Stack Pivoting - EBP2Ret - EBP chaining
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Esta técnica explota la capacidad de manipular el Base Pointer (EBP) para encadenar la ejecución de múltiples funciones a través del uso cuidadoso del registro EBP y la secuencia de instrucciones leave; ret
.
Como recordatorio, leave
básicamente significa:
Y como el EBP está en la pila antes del EIP, es posible controlarlo controlando la pila.
Esta técnica es particularmente útil cuando puedes alterar el registro EBP pero no tienes una forma directa de cambiar el registro EIP. Aprovecha el comportamiento de las funciones cuando terminan de ejecutarse.
Si, durante la ejecución de fvuln
, logras inyectar un EBP falso en la pila que apunta a un área en memoria donde se encuentra la dirección de tu shellcode (más 4 bytes para tener en cuenta la operación pop
), puedes controlar indirectamente el EIP. A medida que fvuln
retorna, el ESP se establece en esta ubicación creada, y la siguiente operación pop
disminuye el ESP en 4, haciendo que apunte efectivamente a una dirección almacenada por el atacante allí.
Nota cómo necesitas conocer 2 direcciones: La que donde va a ir el ESP, donde necesitarás escribir la dirección a la que apunta el ESP.
Primero necesitas conocer una dirección donde puedas escribir datos / direcciones arbitrarias. El ESP apuntará aquí y ejecutará el primer ret
.
Luego, necesitas conocer la dirección utilizada por ret
que ejecutará código arbitrario. Podrías usar:
Una dirección válida de ONE_GADGET.
La dirección de system()
seguida de 4 bytes basura y la dirección de "/bin/sh"
(bits x86).
La dirección de un gadget de jump esp;
(ret2esp) seguida del shellcode a ejecutar.
Alguna cadena de ROP.
Recuerda que antes de cualquiera de estas direcciones en la parte controlada de la memoria, debe haber 4
bytes debido a la parte de pop
de la instrucción leave
. Sería posible abusar de estos 4B para establecer un segundo EBP falso y continuar controlando la ejecución.
Hay una variante específica de esta técnica conocida como "Off-By-One Exploit". Se utiliza cuando solo puedes modificar el byte menos significativo del EBP. En tal caso, la ubicación de memoria que almacena la dirección a la que saltar con el ret
debe compartir los primeros tres bytes con el EBP, permitiendo una manipulación similar con condiciones más restringidas.
Usualmente se modifica el byte 0x00 para saltar lo más lejos posible.
Además, es común usar un RET sled en la pila y colocar la verdadera cadena ROP al final para hacer más probable que el nuevo ESP apunte dentro del RET SLED y se ejecute la cadena ROP final.
Por lo tanto, al poner una dirección controlada en la entrada EBP
de la pila y una dirección para leave; ret
en EIP
, es posible mover el ESP
a la dirección EBP
controlada desde la pila.
Ahora, el ESP
está controlado apuntando a una dirección deseada y la siguiente instrucción a ejecutar es un RET
. Para abusar de esto, es posible colocar en el lugar controlado del ESP esto:
&(next fake EBP)
-> Cargar el nuevo EBP debido a pop ebp
de la instrucción leave
.
system()
-> Llamado por ret
.
&(leave;ret)
-> Llamado después de que el sistema termina, moverá el ESP al EBP falso y comenzará de nuevo.
&("/bin/sh")
-> Parámetro para system
.
Básicamente, de esta manera es posible encadenar varios EBP falsos para controlar el flujo del programa.
Esto es como un ret2lib, pero más complejo sin un beneficio aparente, pero podría ser interesante en algunos casos límite.
Además, aquí tienes un ejemplo de un desafío que utiliza esta técnica con un leak de pila para llamar a una función ganadora. Este es el payload final de la página:
Como se explica en esta publicación, si un binario se compila con algunas optimizaciones, el EBP nunca llega a controlar ESP, por lo tanto, cualquier exploit que funcione controlando EBP básicamente fallará porque no tiene ningún efecto real. Esto se debe a que los cambios de prólogo y epílogo si el binario está optimizado.
No optimizado:
Optimizado:
pop rsp
gadgetEn esta página puedes encontrar un ejemplo usando esta técnica. Para este desafío era necesario llamar a una función con 2 argumentos específicos, y había un gadget pop rsp
y hay una fuga de la pila:
Consulta la técnica ret2esp aquí:
Ret2esp / Ret2reg64 bits, explotación off by one con una cadena rop que comienza con un ret sled
64 bits, sin relro, canary, nx y pie. El programa otorga un leak para stack o pie y un WWW de un qword. Primero obtén el leak de stack y usa el WWW para volver y obtener el leak de pie. Luego usa el WWW para crear un bucle eterno abusando de las entradas de .fini_array
+ llamando a __libc_csu_fini
(más información aquí). Abusando de esta escritura "eterna", se escribe una cadena ROP en la .bss y se termina llamándola pivotando con RBP.
En ARM64, el prologo y epílogos de las funciones no almacenan ni recuperan el registro SP en la pila. Además, la instrucción RET
no regresa a la dirección apuntada por SP, sino a la dirección dentro de x30
.
Por lo tanto, por defecto, solo abusando del epílogo no podrás controlar el registro SP sobrescribiendo algunos datos dentro de la pila. E incluso si logras controlar el SP, aún necesitarías una forma de controlar el registro x30
.
prologo
epílogo
La forma de realizar algo similar a stack pivoting en ARM64 sería poder controlar el SP
(controlando algún registro cuyo valor se pasa a SP
o porque por alguna razón SP
está tomando su dirección de la pila y tenemos un desbordamiento) y luego abusar del epílogo para cargar el registro x30
desde un SP
controlado y RET
a él.
También en la siguiente página puedes ver el equivalente de Ret2esp en ARM64:
Ret2esp / Ret2regAprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)