ROP - Return Oriented Programing
Grundlegende Informationen
Return-Oriented Programming (ROP) ist eine fortgeschrittene Exploitation-Technik, die verwendet wird, um Sicherheitsmaßnahmen wie No-Execute (NX) oder Data Execution Prevention (DEP) zu umgehen. Anstatt Shellcode einzuspeisen und auszuführen, nutzt ein Angreifer Codefragmente, die bereits in der Binärdatei oder in geladenen Bibliotheken vorhanden sind, bekannt als "Gadgets". Jedes Gadget endet typischerweise mit einer ret
-Anweisung und führt eine kleine Operation aus, wie das Verschieben von Daten zwischen Registern oder das Ausführen von arithmetischen Operationen. Indem ein Angreifer diese Gadgets miteinander verknüpft, kann er eine Nutzlast konstruieren, um beliebige Operationen auszuführen und somit NX/DEP-Schutzmechanismen zu umgehen.
Funktionsweise von ROP
Kontrollfluss-Hijacking: Zunächst muss ein Angreifer den Kontrollfluss eines Programms hijacken, typischerweise durch Ausnutzen eines Pufferüberlaufs, um eine gespeicherte Rücksprungadresse auf dem Stack zu überschreiben.
Gadget-Verkettung: Der Angreifer wählt und verknüpft sorgfältig Gadgets, um die gewünschten Aktionen auszuführen. Dies könnte das Einrichten von Argumenten für einen Funktionsaufruf, den Aufruf der Funktion (z. B.
system("/bin/sh")
) und die Behandlung von erforderlichen Bereinigungen oder zusätzlichen Operationen umfassen.Ausführung der Nutzlast: Wenn die verwundbare Funktion zurückkehrt, beginnt sie anstelle einer legitimen Position mit der Ausführung der Kette von Gadgets.
Tools
Typischerweise können Gadgets mithilfe von ROPgadget, ropper oder direkt von pwntools (ROP) gefunden werden.
ROP-Kette im x86-Beispiel
x86 (32-Bit) Aufrufkonventionen
cdecl: Der Aufrufer bereinigt den Stack. Funktionsargumente werden in umgekehrter Reihenfolge (von rechts nach links) auf den Stack geschoben. Argumente werden von rechts nach links auf den Stack geschoben.
stdcall: Ähnlich wie cdecl, aber der Callee ist für das Bereinigen des Stacks verantwortlich.
Auffinden von Gadgets
Angenommen, wir haben die erforderlichen Gadgets in der Binärdatei oder in ihren geladenen Bibliotheken identifiziert. Die Gadgets, an denen wir interessiert sind, sind:
pop eax; ret
: Dieses Gadget poppt den obersten Wert des Stacks in dasEAX
-Register und gibt dann zurück, was es uns ermöglicht,EAX
zu kontrollieren.pop ebx; ret
: Ähnlich wie oben, aber für dasEBX
-Register, was die Kontrolle überEBX
ermöglicht.mov [ebx], eax; ret
: Bewegt den Wert inEAX
an die Speicherstelle, auf dieEBX
zeigt, und gibt dann zurück. Dies wird oft als write-what-where-Gadget bezeichnet.Zusätzlich haben wir die Adresse der Funktion
system()
verfügbar.
ROP-Kette
Mit pwntools bereiten wir den Stack für die Ausführung der ROP-Kette wie folgt vor, um system('/bin/sh')
auszuführen. Beachten Sie, wie die Kette beginnt mit:
Eine
ret
-Anweisung zu Ausrichtungszwecken (optional)Adresse der Funktion
system
(unter der Annahme, dass ASLR deaktiviert ist und die libc bekannt ist, weitere Informationen in Ret2lib)Platzhalter für die Rücksprungadresse von
system()
"/bin/sh"
-String-Adresse (Parameter für die Systemfunktion)
ROP-Kette im x64-Beispiel
x64 (64-Bit) Aufrufkonventionen
Verwendet die System V AMD64 ABI Aufrufkonvention auf Unix-ähnlichen Systemen, bei der die ersten sechs Integer- oder Zeigerargumente in den Registern
RDI
,RSI
,RDX
,RCX
,R8
undR9
übergeben werden. Zusätzliche Argumente werden auf dem Stack übergeben. Der Rückgabewert wird inRAX
platziert.Die Windows x64 Aufrufkonvention verwendet
RCX
,RDX
,R8
undR9
für die ersten vier Integer- oder Zeigerargumente, wobei zusätzliche Argumente auf dem Stack übergeben werden. Der Rückgabewert wird inRAX
platziert.Register: 64-Bit-Register umfassen
RAX
,RBX
,RCX
,RDX
,RSI
,RDI
,RBP
,RSP
undR8
bisR15
.
Gadgets finden
Für unseren Zweck konzentrieren wir uns auf Gadgets, die es uns ermöglichen, das RDI-Register zu setzen (um den "/bin/sh"-String als Argument an system() zu übergeben) und dann die system()-Funktion aufzurufen. Wir nehmen an, dass wir die folgenden Gadgets identifiziert haben:
pop rdi; ret: Pusht den obersten Wert des Stacks in RDI und gibt dann zurück. Wesentlich für die Festlegung unseres Arguments für system().
ret: Ein einfacher Rückgabewert, nützlich für die Stackausrichtung in einigen Szenarien.
Und wir kennen die Adresse der system()-Funktion.
ROP-Kette
Im Folgenden finden Sie ein Beispiel, das pwntools verwendet, um eine ROP-Kette einzurichten und auszuführen, die darauf abzielt, system('/bin/sh') auf x64 auszuführen:
Stack Alignment
Die x86-64 ABI stellt sicher, dass der Stack 16-Byte ausgerichtet ist, wenn eine call-Anweisung ausgeführt wird. LIBC verwendet zur Leistungssteigerung SSE-Anweisungen (wie movaps), die diese Ausrichtung erfordern. Wenn der Stack nicht ordnungsgemäß ausgerichtet ist (was bedeutet, dass RSP kein Vielfaches von 16 ist), schlagen Aufrufe von Funktionen wie system in einer ROP-Kette fehl. Um dies zu beheben, fügen Sie einfach ein ret-Gadget vor dem Aufruf von system in Ihrer ROP-Kette hinzu.
Hauptunterschied zwischen x86 und x64
Da x64 Register für die ersten Argumente verwendet, erfordert es oft weniger Gadgets als x86 für einfache Funktionsaufrufe, aber das Finden und Verketten der richtigen Gadgets kann aufgrund der erhöhten Anzahl von Registern und des größeren Adressraums komplexer sein. Die erhöhte Anzahl von Registern und der größere Adressraum in der x64-Architektur bieten sowohl Möglichkeiten als auch Herausforderungen für die Exploit-Entwicklung, insbesondere im Kontext des Return-Oriented Programming (ROP).
ROP-Kette im ARM64-Beispiel
ARM64-Grundlagen & Aufrufkonventionen
Überprüfen Sie die folgende Seite für diese Informationen:
Introduction to ARM64v8Schutzmaßnahmen gegen ROP
Stack-Canaries: Bei einem BOF ist es erforderlich, den gespeicherten Stack-Canary zu umgehen, um Rückgabepunkte zu überschreiben und eine ROP-Kette zu missbrauchen.
Mangel an Gadgets: Wenn nicht genügend Gadgets vorhanden sind, ist es nicht möglich, eine ROP-Kette zu generieren.
Auf ROP basierende Techniken
Beachten Sie, dass ROP nur eine Technik ist, um beliebigen Code auszuführen. Basierend auf ROP wurden viele Ret2XXX-Techniken entwickelt:
Ret2lib: Verwenden Sie ROP, um beliebige Funktionen aus einer geladenen Bibliothek mit beliebigen Parametern aufzurufen (normalerweise etwas wie
system('/bin/sh')
.
Ret2Syscall: Verwenden Sie ROP, um einen Aufruf an ein Systemaufruf vorzubereiten, z.B.
execve
, und führen Sie damit beliebige Befehle aus.
EBP2Ret & EBP-Chaining: Ersteres wird EBP anstelle von EIP missbrauchen, um den Fluss zu steuern, und das zweite ist ähnlich wie Ret2lib, aber in diesem Fall wird der Fluss hauptsächlich mit EBP-Adressen gesteuert (obwohl es auch erforderlich ist, EIP zu steuern).
Weitere Beispiele & Referenzen
64 Bit, Pie und nx aktiviert, kein Canary, überschreiben von RIP mit einer
vsyscall
-Adresse mit dem alleinigen Zweck, zur nächsten Adresse im Stack zurückzukehren, die eine teilweise Überschreibung der Adresse ist, um den Teil der Funktion zu erhalten, der die Flagge preisgibtArm64, kein ASLR, ROP-Gadget, um den Stack ausführbar zu machen und zu Shellcode im Stack zu springen
Last updated