ROP - Return Oriented Programing
Last updated
Last updated
Impara e pratica l'Hacking su AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica l'Hacking su GCP: HackTricks Training GCP Red Team Expert (GRTE)
Return-Oriented Programming (ROP) è una tecnica avanzata di exploit utilizzata per aggirare misure di sicurezza come No-Execute (NX) o Data Execution Prevention (DEP). Invece di iniettare ed eseguire shellcode, un attaccante sfrutta pezzi di codice già presenti nel binario o nelle librerie caricate, noti come "gadget". Ogni gadget termina tipicamente con un'istruzione ret
e esegue una piccola operazione, come spostare dati tra registri o eseguire operazioni aritmetiche. Concatenando questi gadget, un attaccante può costruire un payload per eseguire operazioni arbitrarie, aggirando efficacemente le protezioni NX/DEP.
Dirottamento del Flusso di Controllo: Innanzitutto, un attaccante deve dirottare il flusso di controllo di un programma, tipicamente sfruttando un buffer overflow per sovrascrivere un indirizzo di ritorno salvato nello stack.
Concatenazione di Gadget: L'attaccante seleziona attentamente e concatena i gadget per eseguire le azioni desiderate. Ciò potrebbe coinvolgere la configurazione degli argomenti per una chiamata di funzione, la chiamata della funzione (ad esempio, system("/bin/sh")
), e la gestione di eventuali operazioni di pulizia o aggiuntive.
Esecuzione del Payload: Quando la funzione vulnerabile ritorna, anziché tornare a una posizione legittima, inizia ad eseguire la catena di gadget.
Tipicamente, i gadget possono essere trovati utilizzando ROPgadget, ropper o direttamente da pwntools (ROP).
cdecl: Il chiamante pulisce lo stack. Gli argomenti della funzione vengono spinti nello stack in ordine inverso (da destra a sinistra). Gli argomenti vengono spinti nello stack da destra a sinistra.
stdcall: Simile a cdecl, ma è il chiamato a pulire lo stack.
Innanzitutto, supponiamo di aver identificato i gadget necessari all'interno del binario o delle sue librerie caricate. I gadget di nostro interesse sono:
pop eax; ret
: Questo gadget estrae il valore in cima allo stack nel registro EAX
e quindi ritorna, consentendoci di controllare EAX
.
pop ebx; ret
: Simile al precedente, ma per il registro EBX
, consentendo il controllo su EBX
.
mov [ebx], eax; ret
: Sposta il valore in EAX
nella posizione di memoria puntata da EBX
e quindi ritorna. Questo è spesso chiamato un gadget write-what-where.
Inoltre, abbiamo a disposizione l'indirizzo della funzione system()
.
Utilizzando pwntools, prepariamo lo stack per l'esecuzione della catena ROP come segue mirando ad eseguire system('/bin/sh')
, nota come la catena inizia con:
Un'istruzione ret
per scopi di allineamento (opzionale)
Indirizzo della funzione system
(supponendo ASLR disabilitato e libc conosciuta, maggiori informazioni in Ret2lib)
Segnaposto per l'indirizzo di ritorno da system()
Indirizzo della stringa "/bin/sh"
(parametro per la funzione system)
Utilizza la convenzione di chiamata System V AMD64 ABI su sistemi simili a Unix, dove i primi sei argomenti interi o puntatori vengono passati nei registri RDI
, RSI
, RDX
, RCX
, R8
e R9
. Gli argomenti aggiuntivi vengono passati nello stack. Il valore di ritorno viene inserito in RAX
.
La convenzione di chiamata Windows x64 utilizza RCX
, RDX
, R8
e R9
per i primi quattro argomenti interi o puntatori, con argomenti aggiuntivi passati nello stack. Il valore di ritorno viene inserito in RAX
.
Registri: I registri a 64 bit includono RAX
, RBX
, RCX
, RDX
, RSI
, RDI
, RBP
, RSP
e R8
a R15
.
Per il nostro scopo, concentriamoci sui gadget che ci permetteranno di impostare il registro RDI (per passare la stringa "/bin/sh" come argomento a system()) e quindi chiamare la funzione system(). Supponiamo di aver identificato i seguenti gadget:
pop rdi; ret: Estrae il valore in cima allo stack in RDI e poi ritorna. Essenziale per impostare il nostro argomento per system().
ret: Un semplice ritorno, utile per l'allineamento dello stack in alcuni scenari.
E conosciamo l'indirizzo della funzione system().
Di seguito è riportato un esempio che utilizza pwntools per configurare ed eseguire una catena ROP mirata a eseguire system('/bin/sh') su x64:
In questo esempio:
Utilizziamo il gadget pop rdi; ret
per impostare RDI
all'indirizzo di "/bin/sh"
.
Saltiamo direttamente a system()
dopo aver impostato RDI
, con l'indirizzo di system() nella catena.
Il gadget ret_gadget
viene utilizzato per l'allineamento se l'ambiente di destinazione lo richiede, il che è più comune in x64 per garantire un corretto allineamento dello stack prima di chiamare le funzioni.
L'ABI x86-64 garantisce che lo stack sia allineato a 16 byte quando viene eseguita un'istruzione di chiamata. LIBC, per ottimizzare le prestazioni, utilizza istruzioni SSE (come movaps) che richiedono questo allineamento. Se lo stack non è allineato correttamente (cioè RSP non è un multiplo di 16), le chiamate a funzioni come system falliranno in una catena ROP. Per risolvere questo problema, aggiungi semplicemente un gadget ret prima di chiamare system nella tua catena ROP.
Poiché x64 utilizza registri per i primi argomenti, spesso richiede meno gadget rispetto a x86 per chiamate di funzioni semplici, ma trovare e concatenare i gadget giusti può essere più complesso a causa del numero maggiore di registri e dello spazio degli indirizzi più ampio. Il numero maggiore di registri e lo spazio degli indirizzi più ampio nell'architettura x64 offrono sia opportunità che sfide per lo sviluppo di exploit, specialmente nel contesto della Programmazione Orientata al Ritorno (ROP).
Controlla la seguente pagina per questa informazione:
Introduction to ARM64v8Stack Canaries: In caso di BOF, è necessario aggirare lo stack canary per sovrascrivere i puntatori di ritorno per abusare di una catena ROP.
Mancanza di Gadget: Se non ci sono abbastanza gadget, non sarà possibile generare una catena ROP.
Nota che ROP è solo una tecnica per eseguire codice arbitrario. Basandosi su ROP sono state sviluppate molte tecniche Ret2XXX:
Ret2lib: Usa ROP per chiamare funzioni arbitrarie da una libreria caricata con parametri arbitrari (di solito qualcosa come system('/bin/sh')
.
Ret2Syscall: Usa ROP per preparare una chiamata a una syscall, ad es. execve
, e far eseguire comandi arbitrari.
EBP2Ret & EBP Chaining: Il primo sfrutterà EBP invece di EIP per controllare il flusso e il secondo è simile a Ret2lib ma in questo caso il flusso è controllato principalmente con gli indirizzi EBP (anche se è necessario controllare anche EIP).
64 bit, Pie e nx abilitato, nessun canary, sovrascrive RIP con un indirizzo vsyscall
con l'unico scopo di tornare all'indirizzo successivo nello stack che sarà una sovrascrittura parziale dell'indirizzo per ottenere la parte della funzione che rilascia il flag
arm64, senza ASLR, gadget ROP per rendere lo stack eseguibile e saltare al codice shell nello stack
Impara e pratica l'Hacking su AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica l'Hacking su GCP: HackTricks Training GCP Red Team Expert (GRTE)