Basic Stack Binary Exploitation Methodology

ELF 基本信息

在开始利用任何东西之前，了解 ELF 二进制文件 的结构的一部分是很有趣的：

利用工具

栈溢出方法论

有这么多技术，最好有一个方案，确定何时使用每种技术。请注意，相同的保护措施会影响不同的技术。您可以在每个保护部分找到绕过保护的方法，但在这个方法论中没有提到。

控制流

有不同的方法可以控制程序的流程：

• 栈溢出 覆盖栈上的返回指针或 EBP -> ESP -> EIP。

• 可能需要滥用 整数溢出 来引发溢出

• 或通过 任意写入 + 写入何处执行。

• 格式化字符串**：**滥用 printf 在任意地址写入任意内容。

• 数组索引：滥用设计不良的索引以控制某些数组并进行任意写入。

• 可能需要滥用 整数溢出 来引发溢出

• bof to WWW via ROP：滥用缓冲区溢出构建 ROP 并能够获得 WWW。

您可以在以下位置找到 写入何处执行 技术：

永久循环

需要考虑的一点是通常仅利用漏洞一次可能不足以执行成功的利用，特别是需要绕过某些保护措施。因此，有趣的是讨论一些选项，使单个漏洞在二进制文件的同一执行中可多次利用：

• 在 ROP 链中写入 main 函数的地址 或漏洞发生的地址。

• 控制适当的 ROP 链，您可能能够执行该链中的所有操作

• 在 GOT 中的 exit 地址（或二进制文件在结束之前使用的任何其他函数）中写入返回到漏洞的地址

• 如 .fini_array 中所述，这里存储 2 个函数，一个用于再次调用漏洞，另一个用于调用 __libc_csu_fini，后者将再次调用 .fini_array 中的函数。

利用目标

目标：调用现有函数

• ret2win：代码中有一个需要调用的函数（可能带有一些特定参数）以获取标志。

• 在没有 PIE 和 canary 的常规 bof 中，只需在栈中存储的返回地址中写入地址。

• 在带有 PIE 的 bof 中，您将需要绕过它

• 在带有 canary 的 bof 中，您将需要绕过它

• 如果需要设置多个参数以正确调用 ret2win 函数，可以使用：

• 如果有足够的 gadget，可以使用 ROP 链来准备所有参数

• SROP（如果可以调用此系统调用）来控制许多寄存器

• 来自 ret2csu 和 ret2vdso 的 gadget 来控制多个寄存器

• 通过 Write What Where，您可以滥用其他漏洞（非 bof）来调用 win 函数。

• 指针重定向：如果栈包含将要调用的函数的指针，或者包含将要被有趣函数（system 或 printf）使用的字符串的指针，可以覆盖该地址。

• ASLR 或 PIE 可能会影响地址。

• 未初始化变量：你永远不知道。

目标：RCE

通过 shellcode，如果 nx 禁用或将 shellcode 与 ROP 混合：

• (Stack) Shellcode：这对于在栈中存储 shellcode 并在覆盖返回指针之前或之后跳转到它以执行它非常有用：

• 在任何情况下，如果有 canary，在常规 bof 中，您将需要绕过（泄漏）它

• 没有 ASLR 和 nx，可以跳转到栈的地址，因为它永远不会改变

• 有 ASLR，您将需要使用诸如 ret2esp/ret2reg 的技术来跳转到它

• 有 nx，您将需要使用一些 ROP 来调用 memprotect 并使某些页面 rwx，然后 在那里存储 shellcode（例如调用 read）然后跳转到那里。

• 这将混合 shellcode 与 ROP 链。

通过系统调用

• Ret2syscall: 用于调用 execve 以运行任意命令。您需要能够找到调用特定系统调用的参数的gadgets。

• 如果启用了ASLR或PIE，您需要打败它们以使用二进制文件或库中的ROP gadgets。

• SROP可用于准备ret2execve

• 来自ret2csu和ret2vdso的gadgets可用于控制多个寄存器

通过libc

• Ret2lib: 用于调用库中的函数（通常来自**libc）如system并带有一些准备好的参数（例如'/bin/sh'）。您需要二进制文件加载包含您想要调用的函数的库**（通常是libc）。

• 如果静态编译且没有PIE，system和/bin/sh的地址不会改变，因此可以静态使用它们。

• 没有ASLR 并且知道加载的libc版本，system和/bin/sh的地址不会改变，因此可以静态使用它们。

• 具有ASLR 但没有PIE，知道libc并且二进制文件使用system函数时，可以ret到GOT中system的地址，参数为'/bin/sh'的地址（您需要弄清楚这一点）。

• 具有ASLR但没有PIE，知道libc并且二进制文件不使用system：

• 使用ret2dlresolve解析system的地址并调用它

• 绕过ASLR并计算内存中system和'/bin/sh'的地址。

• 具有ASLR 和 PIE 但不知道libc：您需要：

• 绕过PIE

• 找到使用的**libc版本**（泄漏几个函数地址）

• 检查具有ASLR的先前情况以继续。

通过EBP/RBP

• Stack Pivoting / EBP2Ret / EBP Chaining: 控制ESP以通过堆栈中存储的EBP控制RET。

• 用于off-by-one堆栈溢出

• 作为控制EIP的替代方式，滥用EIP在内存中构造有效负载，然后通过EBP跳转到它

杂项

• Pointers Redirecting: 如果堆栈包含将要调用的函数的指针或将被有趣函数（如system或printf）使用的字符串的指针，可以覆盖该地址。

• ASLR或PIE可能会影响地址。

• 未初始化的变量: 永远不知道