ROP - Return Oriented Programing
Last updated
Last updated
Lernen Sie AWS-Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen Sie GCP-Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Return-Oriented Programming (ROP) ist eine fortgeschrittene Exploitation-Technik, die verwendet wird, um Sicherheitsmaßnahmen wie No-Execute (NX) oder Data Execution Prevention (DEP) zu umgehen. Anstatt Shellcode einzuspeisen und auszuführen, nutzt ein Angreifer Codefragmente, die bereits in der Binärdatei oder in geladenen Bibliotheken vorhanden sind, bekannt als "Gadgets". Jedes Gadget endet typischerweise mit einer ret
-Anweisung und führt eine kleine Operation aus, wie das Verschieben von Daten zwischen Registern oder das Ausführen von arithmetischen Operationen. Indem ein Angreifer diese Gadgets miteinander verknüpft, kann er eine Nutzlast konstruieren, um beliebige Operationen auszuführen und somit NX/DEP-Schutzmechanismen zu umgehen.
Kontrollfluss-Hijacking: Zunächst muss ein Angreifer den Kontrollfluss eines Programms hijacken, typischerweise durch Ausnutzen eines Pufferüberlaufs, um eine gespeicherte Rücksprungadresse auf dem Stack zu überschreiben.
Gadget-Verkettung: Der Angreifer wählt und verknüpft sorgfältig Gadgets, um die gewünschten Aktionen auszuführen. Dies könnte das Einrichten von Argumenten für einen Funktionsaufruf, den Aufruf der Funktion (z. B. system("/bin/sh")
) und die Behandlung von erforderlichen Bereinigungen oder zusätzlichen Operationen umfassen.
Ausführung der Nutzlast: Wenn die verwundbare Funktion zurückkehrt, beginnt sie anstelle einer legitimen Position mit der Ausführung der Kette von Gadgets.
Typischerweise können Gadgets mithilfe von ROPgadget, ropper oder direkt von pwntools (ROP) gefunden werden.
cdecl: Der Aufrufer bereinigt den Stack. Funktionsargumente werden in umgekehrter Reihenfolge (von rechts nach links) auf den Stack geschoben. Argumente werden von rechts nach links auf den Stack geschoben.
stdcall: Ähnlich wie cdecl, aber der Callee ist für das Bereinigen des Stacks verantwortlich.
Angenommen, wir haben die erforderlichen Gadgets in der Binärdatei oder in ihren geladenen Bibliotheken identifiziert. Die Gadgets, an denen wir interessiert sind, sind:
pop eax; ret
: Dieses Gadget poppt den obersten Wert des Stacks in das EAX
-Register und gibt dann zurück, was es uns ermöglicht, EAX
zu kontrollieren.
pop ebx; ret
: Ähnlich wie oben, aber für das EBX
-Register, was die Kontrolle über EBX
ermöglicht.
mov [ebx], eax; ret
: Bewegt den Wert in EAX
an die Speicherstelle, auf die EBX
zeigt, und gibt dann zurück. Dies wird oft als write-what-where-Gadget bezeichnet.
Zusätzlich haben wir die Adresse der Funktion system()
verfügbar.
Mit pwntools bereiten wir den Stack für die Ausführung der ROP-Kette wie folgt vor, um system('/bin/sh')
auszuführen. Beachten Sie, wie die Kette beginnt mit:
Eine ret
-Anweisung zu Ausrichtungszwecken (optional)
Adresse der Funktion system
(unter der Annahme, dass ASLR deaktiviert ist und die libc bekannt ist, weitere Informationen in Ret2lib)
Platzhalter für die Rücksprungadresse von system()
"/bin/sh"
-String-Adresse (Parameter für die Systemfunktion)
Verwendet die System V AMD64 ABI Aufrufkonvention auf Unix-ähnlichen Systemen, bei der die ersten sechs Integer- oder Zeigerargumente in den Registern RDI
, RSI
, RDX
, RCX
, R8
und R9
übergeben werden. Zusätzliche Argumente werden auf dem Stack übergeben. Der Rückgabewert wird in RAX
platziert.
Die Windows x64 Aufrufkonvention verwendet RCX
, RDX
, R8
und R9
für die ersten vier Integer- oder Zeigerargumente, wobei zusätzliche Argumente auf dem Stack übergeben werden. Der Rückgabewert wird in RAX
platziert.
Register: 64-Bit-Register umfassen RAX
, RBX
, RCX
, RDX
, RSI
, RDI
, RBP
, RSP
und R8
bis R15
.
Für unseren Zweck konzentrieren wir uns auf Gadgets, die es uns ermöglichen, das RDI-Register zu setzen (um den "/bin/sh"-String als Argument an system() zu übergeben) und dann die system()-Funktion aufzurufen. Wir nehmen an, dass wir die folgenden Gadgets identifiziert haben:
pop rdi; ret: Pusht den obersten Wert des Stacks in RDI und gibt dann zurück. Wesentlich für die Festlegung unseres Arguments für system().
ret: Ein einfacher Rückgabewert, nützlich für die Stackausrichtung in einigen Szenarien.
Und wir kennen die Adresse der system()-Funktion.
Im Folgenden finden Sie ein Beispiel, das pwntools verwendet, um eine ROP-Kette einzurichten und auszuführen, die darauf abzielt, system('/bin/sh') auf x64 auszuführen:
Die x86-64 ABI stellt sicher, dass der Stack 16-Byte ausgerichtet ist, wenn eine call-Anweisung ausgeführt wird. LIBC verwendet zur Leistungssteigerung SSE-Anweisungen (wie movaps), die diese Ausrichtung erfordern. Wenn der Stack nicht ordnungsgemäß ausgerichtet ist (was bedeutet, dass RSP kein Vielfaches von 16 ist), schlagen Aufrufe von Funktionen wie system in einer ROP-Kette fehl. Um dies zu beheben, fügen Sie einfach ein ret-Gadget vor dem Aufruf von system in Ihrer ROP-Kette hinzu.
Da x64 Register für die ersten Argumente verwendet, erfordert es oft weniger Gadgets als x86 für einfache Funktionsaufrufe, aber das Finden und Verketten der richtigen Gadgets kann aufgrund der erhöhten Anzahl von Registern und des größeren Adressraums komplexer sein. Die erhöhte Anzahl von Registern und der größere Adressraum in der x64-Architektur bieten sowohl Möglichkeiten als auch Herausforderungen für die Exploit-Entwicklung, insbesondere im Kontext des Return-Oriented Programming (ROP).
Überprüfen Sie die folgende Seite für diese Informationen:
Introduction to ARM64v8Stack-Canaries: Bei einem BOF ist es erforderlich, den gespeicherten Stack-Canary zu umgehen, um Rückgabepunkte zu überschreiben und eine ROP-Kette zu missbrauchen.
Mangel an Gadgets: Wenn nicht genügend Gadgets vorhanden sind, ist es nicht möglich, eine ROP-Kette zu generieren.
Beachten Sie, dass ROP nur eine Technik ist, um beliebigen Code auszuführen. Basierend auf ROP wurden viele Ret2XXX-Techniken entwickelt:
Ret2lib: Verwenden Sie ROP, um beliebige Funktionen aus einer geladenen Bibliothek mit beliebigen Parametern aufzurufen (normalerweise etwas wie system('/bin/sh')
.
Ret2Syscall: Verwenden Sie ROP, um einen Aufruf an ein Systemaufruf vorzubereiten, z.B. execve
, und führen Sie damit beliebige Befehle aus.
EBP2Ret & EBP-Chaining: Ersteres wird EBP anstelle von EIP missbrauchen, um den Fluss zu steuern, und das zweite ist ähnlich wie Ret2lib, aber in diesem Fall wird der Fluss hauptsächlich mit EBP-Adressen gesteuert (obwohl es auch erforderlich ist, EIP zu steuern).
64 Bit, Pie und nx aktiviert, kein Canary, überschreiben von RIP mit einer vsyscall
-Adresse mit dem alleinigen Zweck, zur nächsten Adresse im Stack zurückzukehren, die eine teilweise Überschreibung der Adresse ist, um den Teil der Funktion zu erhalten, der die Flagge preisgibt
Arm64, kein ASLR, ROP-Gadget, um den Stack ausführbar zu machen und zu Shellcode im Stack zu springen
Lernen & üben Sie AWS-Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP-Hacking: HackTricks Training GCP Red Team Expert (GRTE)