BROP - Blind Return Oriented Programming
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Cilj ovog napada je da se zloupotrebi ROP putem prelivanja bafera bez ikakvih informacija o ranjivom binarnom fajlu. Ovaj napad se zasniva na sledećem scenariju:
Ranjivost na steku i znanje o tome kako je aktivirati.
Serverska aplikacija koja se ponovo pokreće nakon pada.
Možete pronaći više informacija o ovim procesima ovde (BF Forked & Threaded Stack Canaries) i ovde (BF Adrese na Steku).
Ovaj gadget u suštini omogućava da se potvrdi da je nešto zanimljivo izvršeno putem ROP gadgeta jer izvršenje nije izazvalo pad. Obično, ovaj gadget će biti nešto što zaustavlja izvršenje i pozicioniran je na kraju ROP lanca kada se traže ROP gadgeti da bi se potvrdilo da je specifičan ROP gadget izvršen.
Ova tehnika koristi ret2csu gadget. I to je zato što, ako pristupite ovom gadgetu usred nekih instrukcija, dobijate gadgete za kontrolu rsi i rdi:
Ovo bi bili gadgeti:
pop rsi; pop r15; ret
pop rdi; ret
Primetite kako je sa tim gadgetima moguće kontrolisati 2 argumenta funkcije koju pozivamo.
Takođe, primetite da ret2csu gadget ima veoma jedinstvenu potpis jer će iz steka izvući 6 registara. Dakle, slanjem lanca poput:
'A' * offset + canary + rbp + ADDR + 0xdead * 6 + STOP
Ako je STOP izvršen, to u suštini znači da je korišćena adresa koja izbacuje 6 registara iz steka. Ili da je korišćena adresa koja je takođe STOP adresa.
Da bi se uklonila ova poslednja opcija, izvršava se novi lanac poput sledećeg i ne sme izvršiti STOP gadget da bi se potvrdilo da je prethodni izbacivao 6 registara:
'A' * offset + canary + rbp + ADDR
Poznavajući adresu ret2csu gadgeta, moguće je izvesti adresu gadgeta za kontrolu rsi i rdi.
PLT tabela se može pretraživati od 0x400000 ili od otkrivene RIP adrese sa steka (ako se koristi PIE). Unosi tabele su razdvojeni po 16B (0x10B), i kada se pozove jedna funkcija, server ne pada čak i ako argumenti nisu ispravni. Takođe, provera adrese jednog unosa u PLT + 6B takođe ne izaziva pad jer je to prvi kod koji se izvršava.
Stoga, moguće je pronaći PLT tabelu proverom sledećih ponašanja:
'A' * offset + canary + rbp + ADDR + STOP -> nema pada
'A' * offset + canary + rbp + (ADDR + 0x6) + STOP -> nema pada
'A' * offset + canary + rbp + (ADDR + 0x10) + STOP -> nema pada
Funkcija strcmp postavlja registar rdx na dužinu stringa koji se upoređuje. Imajte na umu da je rdx treći argument i treba da bude veći od 0 kako bismo kasnije koristili write da otkrijemo program.
Moguće je pronaći lokaciju strcmp u PLT-u na osnovu njenog ponašanja koristeći činjenicu da sada možemo kontrolisati prva 2 argumenta funkcija:
strcmp(<non read addr>, <non read addr>) -> pad
strcmp(<non read addr>, <read addr>) -> pad
strcmp(<read addr>, <non read addr>) -> pad
strcmp(<read addr>, <read addr>) -> nema pada
Moguće je proveriti ovo pozivajući svaki unos PLT tabele ili koristeći PLT spor put koji se u suštini sastoji od pozivanja unosa u PLT tabeli + 0xb (što poziva dlresolve) praćeno u steku sa brojem unosa koji se želi ispitati (počinjajući od nule) da bi se skenirali svi PLT unosi od prvog:
strcmp(<non read addr>, <read addr>) -> pad
b'A' * offset + canary + rbp + (BROP + 0x9) + RIP + (BROP + 0x7) + p64(0x300) + p64(0x0) + (PLT + 0xb ) + p64(ENTRY) + STOP -> Izazvaće pad
strcmp(<read addr>, <non read addr>) -> pad
b'A' * offset + canary + rbp + (BROP + 0x9) + p64(0x300) + (BROP + 0x7) + RIP + p64(0x0) + (PLT + 0xb ) + p64(ENTRY) + STOP
strcmp(<read addr>, <read addr>) -> nema pada
b'A' * offset + canary + rbp + (BROP + 0x9) + RIP + (BROP + 0x7) + RIP + p64(0x0) + (PLT + 0xb ) + p64(ENTRY) + STOP
Zapamtite da:
BROP + 0x7 ukazuje na pop RSI; pop R15; ret;
BROP + 0x9 ukazuje na pop RDI; ret;
PLT + 0xb ukazuje na poziv dl_resolve.
Nakon što je pronađen strcmp, moguće je postaviti rdx na vrednost veću od 0.
Imajte na umu da obično rdx već sadrži vrednost veću od 0, tako da ovaj korak možda nije neophodan.
Na kraju, potreban je gadget koji eksfiltrira podatke kako bi se eksfiltrirao binarni fajl. I u ovom trenutku je moguće kontrolisati 2 argumenta i postaviti rdx veći od 0.
Postoje 3 uobičajene funkcije koje bi se mogle zloupotrebiti za ovo:
puts(data)
dprintf(fd, data)
write(fd, data, len(data)
Međutim, originalni rad pominje samo write, pa hajde da pričamo o tome:
Trenutni problem je što ne znamo gde se funkcija write nalazi unutar PLT-a i ne znamo fd broj da pošaljemo podatke našem soketu.
Međutim, znamo gde se nalazi PLT tabela i moguće je pronaći write na osnovu njenog ponašanja. I možemo stvoriti nekoliko veza sa serverom i koristiti visok FD nadajući se da će se poklopiti sa nekim od naših veza.
Potpis ponašanja za pronalaženje tih funkcija:
'A' * offset + canary + rbp + (BROP + 0x9) + RIP + (BROP + 0x7) + p64(0) + p64(0) + (PLT + 0xb) + p64(ENTRY) + STOP -> Ako se podaci ispisuju, onda je pronađen puts
'A' * offset + canary + rbp + (BROP + 0x9) + FD + (BROP + 0x7) + RIP + p64(0x0) + (PLT + 0xb) + p64(ENTRY) + STOP -> Ako se podaci ispisuju, onda je pronađen dprintf
'A' * offset + canary + rbp + (BROP + 0x9) + RIP + (BROP + 0x7) + (RIP + 0x1) + p64(0x0) + (PLT + 0xb ) + p64(STRCMP ENTRY) + (BROP + 0x9) + FD + (BROP + 0x7) + RIP + p64(0x0) + (PLT + 0xb) + p64(ENTRY) + STOP -> Ako se podaci ispisuju, onda je pronađen write
Originalni rad: https://www.scs.stanford.edu/brop/bittau-brop.pdf
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
