Stack Pivoting - EBP2Ret - EBP chaining
Grundinformationen
Diese Technik nutzt die Fähigkeit, den Basiszeiger (EBP) zu manipulieren, um die Ausführung mehrerer Funktionen durch sorgfältige Verwendung des EBP-Registers und der leave; ret
Instruktionssequenz zu verketten.
Zur Erinnerung, leave
bedeutet im Grunde:
And as the EBP ist im Stack vor dem EIP, ist es möglich, ihn zu kontrollieren, indem man den Stack kontrolliert.
EBP2Ret
Diese Technik ist besonders nützlich, wenn Sie das EBP-Register ändern, aber keinen direkten Weg haben, das EIP-Register zu ändern. Sie nutzt das Verhalten von Funktionen, wenn sie die Ausführung beenden.
Wenn Sie während der Ausführung von fvuln
ein falsches EBP in den Stack injizieren, das auf einen Bereich im Speicher zeigt, wo sich die Adresse Ihres Shellcodes befindet (plus 4 Bytes für die pop
-Operation), können Sie indirekt das EIP kontrollieren. Wenn fvuln
zurückkehrt, wird der ESP auf diesen gestalteten Ort gesetzt, und die nachfolgende pop
-Operation verringert ESP um 4, was effektiv auf eine Adresse zeigt, die vom Angreifer dort gespeichert wurde.
Beachten Sie, dass Sie 2 Adressen wissen müssen: Die, zu der ESP gehen wird, wo Sie die Adresse schreiben müssen, auf die ESP zeigt.
Exploit-Konstruktion
Zuerst müssen Sie eine Adresse kennen, an die Sie beliebige Daten / Adressen schreiben können. Der ESP wird hierhin zeigen und die erste ret
ausführen.
Dann müssen Sie die Adresse kennen, die von ret
verwendet wird, um beliebigen Code auszuführen. Sie könnten verwenden:
Eine gültige ONE_GADGET Adresse.
Die Adresse von
system()
gefolgt von 4 Junk-Bytes und der Adresse von"/bin/sh"
(x86-Bits).Die Adresse eines
jump esp;
Gadgets (ret2esp) gefolgt vom Shellcode, der ausgeführt werden soll.Eine ROP Kette
Denken Sie daran, dass vor einer dieser Adressen im kontrollierten Teil des Speichers 4
Bytes vorhanden sein müssen, wegen des pop
-Teils der leave
-Anweisung. Es wäre möglich, diese 4B auszunutzen, um ein zweites falsches EBP zu setzen und die Ausführung weiter zu kontrollieren.
Off-By-One Exploit
Es gibt eine spezifische Variante dieser Technik, die als "Off-By-One Exploit" bekannt ist. Sie wird verwendet, wenn Sie nur das am wenigsten signifikante Byte des EBP ändern können. In einem solchen Fall muss der Speicherort, der die Adresse speichert, zu der mit dem ret
gesprungen werden soll, die ersten drei Bytes mit dem EBP teilen, was eine ähnliche Manipulation unter restriktiveren Bedingungen ermöglicht.
In der Regel wird das Byte 0x00 geändert, um so weit wie möglich zu springen.
Es ist auch üblich, einen RET-Sled im Stack zu verwenden und die echte ROP-Kette am Ende zu platzieren, um die Wahrscheinlichkeit zu erhöhen, dass der neue ESP innerhalb des RET-SLED zeigt und die endgültige ROP-Kette ausgeführt wird.
EBP-Kettung
Daher ist es möglich, eine kontrollierte Adresse im EBP
-Eintrag des Stacks und eine Adresse zu leave; ret
im EIP
zu setzen, um den ESP
zur kontrollierten EBP
-Adresse aus dem Stack zu bewegen.
Jetzt wird der ESP
kontrolliert und zeigt auf eine gewünschte Adresse, und die nächste auszuführende Anweisung ist ein RET
. Um dies auszunutzen, ist es möglich, an der kontrollierten ESP-Stelle Folgendes zu platzieren:
&(nächstes falsches EBP)
-> Lädt das neue EBP wegenpop ebp
von derleave
-Anweisungsystem()
-> Aufgerufen vonret
&(leave;ret)
-> Aufgerufen, nachdem das System endet, wird es ESP zum falschen EBP bewegen und erneut starten&("/bin/sh")
-> Parameter fürsystem
Grundsätzlich ist es auf diese Weise möglich, mehrere falsche EBPs zu verketten, um den Fluss des Programms zu kontrollieren.
Das ist wie ein ret2lib, aber komplexer ohne offensichtlichen Vorteil, könnte aber in einigen Grenzfällen interessant sein.
Darüber hinaus haben Sie hier ein Beispiel für eine Herausforderung, das diese Technik mit einem Stack-Leak verwendet, um eine gewinnende Funktion aufzurufen. Dies ist die endgültige Payload von der Seite:
EBP könnte nicht verwendet werden
Wie in diesem Beitrag erklärt, wenn ein Binary mit einigen Optimierungen kompiliert wird, hat EBP niemals die Kontrolle über ESP, daher wird jeder Exploit, der durch die Kontrolle von EBP funktioniert, im Grunde scheitern, weil er keinen echten Effekt hat. Das liegt daran, dass sich die Prolog- und Epilog-Änderungen ändern, wenn das Binary optimiert ist.
Nicht optimiert:
Optimiert:
Andere Möglichkeiten, RSP zu steuern
pop rsp
Gadget
pop rsp
GadgetAuf dieser Seite finden Sie ein Beispiel, das diese Technik verwendet. Für diese Herausforderung war es notwendig, eine Funktion mit 2 spezifischen Argumenten aufzurufen, und es gab ein pop rsp
Gadget und es gibt einen leak vom Stack:
xchg <reg>, rsp gadget
jmp esp
Überprüfen Sie die ret2esp-Technik hier:
Referenzen & Weitere Beispiele
64 Bit, Off-by-One-Ausnutzung mit einer ROP-Kette, die mit einem Ret-Sled beginnt
64 Bit, kein RELRO, Canary, NX und PIE. Das Programm gewährt einen Leak für Stack oder PIE und ein WWW eines Qword. Zuerst den Stack-Leak erhalten und das WWW verwenden, um zurückzugehen und den PIE-Leak zu erhalten. Dann das WWW verwenden, um eine ewige Schleife zu erstellen, die
.fini_array
-Einträge missbraucht +__libc_csu_fini
aufruft (weitere Informationen hier). Durch den Missbrauch dieses "ewigen" Schreibens wird eine ROP-Kette im .bss geschrieben und endet damit, dass sie mit RBP pivotiert wird.
ARM64
In ARM64 speichern und rufen die Prologe und Epiloge der Funktionen das SP-Register nicht im Stack ab. Darüber hinaus gibt die RET
-Anweisung nicht die Adresse zurück, die von SP angezeigt wird, sondern die Adresse in x30
.
Daher können Sie standardmäßig, nur durch den Missbrauch des Epilogs, das SP-Register nicht kontrollieren, indem Sie einige Daten im Stack überschreiben. Und selbst wenn Sie es schaffen, das SP zu kontrollieren, benötigen Sie immer noch eine Möglichkeit, das x30
-Register zu kontrollieren.
Prolog
Epilog
Der Weg, um etwas Ähnliches wie Stack-Pivoting in ARM64 durchzuführen, wäre, in der Lage zu sein, das SP
zu kontrollieren (indem Sie ein Register kontrollieren, dessen Wert an SP
übergeben wird, oder weil aus irgendeinem Grund SP
seine Adresse vom Stack bezieht und wir einen Overflow haben) und dann den Epilog zu missbrauchen, um das x30
-Register von einem kontrollierten SP
zu laden und dorthin zurückzukehren.
Auch auf der folgenden Seite können Sie das Äquivalent von Ret2esp in ARM64 sehen:
Last updated