Basic Stack Binary Exploitation Methodology

Osnovne informacije o ELF-u

Pre nego što počnete eksploatisati bilo šta, korisno je razumeti deo strukture ELF binarnog fajla:

Alati za eksploataciju

Metodologija preplavljivanja steka

S obzirom na toliko tehnika, dobro je imati šemu kada će svaka tehnika biti korisna. Imajte na umu da će iste zaštite uticati na različite tehnike. Možete pronaći načine zaobilaženja zaštita u svakom delu zaštite, ali ne u ovoj metodologiji.

Kontrolisanje toka

Postoje različiti načini na koje možete kontrolisati tok programa:

• Preplavljivanje steka prepisivanjem pokazivača povratka sa steka ili EBP -> ESP -> EIP.

• Možda će biti potrebno zloupotrebiti Prekoračenje celih brojeva da biste izazvali prekoračenje

• Ili putem Proizvoljnog Pisanja + Pisanja Gde Šta ka Izvršenju

• Formatiranje stringova: Zloupotreba printf za pisanje proizvoljnog sadržaja na proizvoljne adrese.

• Indeksiranje nizova: Zloupotreba loše dizajniranog indeksiranja kako biste mogli kontrolisati neke nizove i dobiti proizvoljno pisanje.

• Možda će biti potrebno zloupotrebiti Prekoračenje celih brojeva da biste izazvali prekoračenje

• bof do WWW putem ROP-a: Zloupotreba prekoračenja bafera za konstruisanje ROP-a i mogućnost dobijanja WWW.

Tehnike Pisanja Gde Šta ka Izvršenju možete pronaći u:

Večne petlje

Nešto što treba uzeti u obzir je da obično samo jedna eksploatacija ranjivosti možda neće biti dovoljna da se izvrši uspešan eksploatacija, posebno ako neke zaštite treba zaobići. Stoga je interesantno razmotriti neke opcije kako učiniti jednu ranjivost eksploatabilnom više puta u istom izvršavanju binarnog fajla:

• Upisati adresu main funkcije u ROP lanac ili adresu gde se događa ranjivost.

• Kontrolisanjem odgovarajućeg ROP lanca možda ćete moći izvršiti sve radnje u tom lancu

• Upisati adresu exit funkcije u GOT (ili bilo koje druge funkcije koje koristi binarni fajl pre završetka) adresu za povratak na ranjivost

• Kao što je objašnjeno u .fini_array, ovde čuvajte 2 funkcije, jednu za ponovno pozivanje ranjivosti i drugu za pozivanje __libc_csu_fini koja će ponovo pozvati funkciju iz .fini_array.

Ciljevi eksploatacije

Cilj: Pozvati postojeću funkciju

• ret2win: Postoji funkcija u kodu koju treba pozvati (možda sa određenim parametrima) kako biste dobili zastavu.

• U običnom bof-u bez PIE i canary samo treba upisati adresu u adresu povratka koja je sačuvana na steku.

• U bof-u sa PIE, moraćete da je zaobiđete

• U bof-u sa canary, moraćete da je zaobiđete

• Ako treba postaviti više parametara da biste pravilno pozvali funkciju ret2win možete koristiti:

• ROP lanac ako postoji dovoljno gedžeta za pripremu svih parametara

• SROP (u slučaju da možete pozvati ovaj sistemski poziv) da kontrolišete mnoge registre

• Gedžeti iz ret2csu i ret2vdso da kontrolišete nekoliko registara

• Putem Pisanja Gde Šta ka Izvršenju možete zloupotrebiti druge ranjivosti (ne bof) da biste pozvali funkciju win.

• Preusmeravanje pokazivača: Ukoliko stek sadrži pokazivače ka funkciji koja će biti pozvana ili ka stringu koji će biti korišćen od strane zanimljive funkcije (system ili printf), moguće je prepisati tu adresu.

• ASLR ili PIE mogu uticati na adrese.

• Neinicijalizovane promenljive: Nikad ne znate.

Cilj: RCE

Putem shell koda, ako je nx onemogućen ili mešanje shell koda sa ROP-om:

• (Stack) Shell kod: Ovo je korisno za smeštanje shell koda na stek pre ili posle prepisivanja pokazivača povratka, a zatim skočiti na njega da ga izvršite:

• U svakom slučaju, ako postoji canary, u običnom bof-u moraćete da je zaobiđete (procurite)

• Bez ASLR i nx moguće je skočiti na adresu steka jer se nikada neće promeniti

• Sa ASLR moraćete koristiti tehnike poput ret2esp/ret2reg da biste skočili na nju

• Sa nx, moraćete koristiti neki ROP da biste pozvali memprotect i napravili neku stranicu rwx, kako biste zatim smeštali shell kod tamo (pozivanjem read na primer) i zatim skočili tamo.

• Ovo će mešati shell kod sa ROP lancem.

Putem syscalls-a

• Ret2syscall: Korisno za pozivanje execve kako bi se pokrenule proizvoljne komande. Potrebno je pronaći gadgete za pozivanje određenog syscall-a sa parametrima.

• Ako su ASLR ili PIE omogućeni, moraćete ih pobediti kako biste koristili ROP gadgete iz binarnog koda ili biblioteka.

• SROP može biti koristan za pripremu ret2execve

• Gadgeti iz ret2csu i ret2vdso za kontrolu više registara

Putem libc-a

• Ret2lib: Korisno za pozivanje funkcije iz biblioteke (obično iz libc) poput system sa nekim pripremljenim argumentima (npr. '/bin/sh'). Potrebno je da binarni fajl učita biblioteku sa funkcijom koju želite da pozovete (obično libc).

• Ako je statički kompajliran i nema PIE, adresa system-a i /bin/sh se neće promeniti, pa je moguće statički ih koristiti.

• Bez ASLR i poznavanja verzije libc-a koja je učitana, adresa system-a i /bin/sh se neće promeniti, pa je moguće statički ih koristiti.

• Sa ASLR ali bez PIE, znajući libc i sa binarnim fajlom koji koristi funkciju system, moguće je ret na adresu system-a u GOT-u sa adresom '/bin/sh' u parametru (morate ovo da otkrijete).

• Sa ASLR ali bez PIE, znajući libc i bez binarnog fajla koji koristi system:

• Koristite ret2dlresolve da rešite adresu system-a i pozovete je

• Pobedite ASLR i izračunajte adresu system-a i '/bin/sh' u memoriji.

• Sa ASLR i PIE i bez poznavanja libc-a: Potrebno je:

• Pobediti PIE

• Pronaći korišćenu verziju libc-a (procureti nekoliko adresa funkcija)

• Proveriti prethodne scenarije sa ASLR-om kako biste nastavili.

Putem EBP/RBP

• Stack Pivoting / EBP2Ret / EBP Chaining: Kontrolišite ESP kako biste kontrolisali RET putem sačuvanog EBP-a na steku.

• Korisno za off-by-one preplavljivanje steka

• Korisno kao alternativni način za završetak kontrole EIP-a dok zloupotrebljavate EIP za konstruisanje payload-a u memoriji, a zatim skakanje na njega putem EBP-a

Razno

• Preusmeravanje pokazivača: U slučaju da stek sadrži pokazivače ka funkciji koja će biti pozvana ili ka stringu koji će biti korišćen od strane zanimljive funkcije (system ili printf), moguće je prepisati tu adresu.

• ASLR ili PIE mogu uticati na adrese.

• Neinicijalizovane promenljive: Nikad ne znate