BROP - Blind Return Oriented Programming
Osnovne informacije
Cilj ovog napada je da se zloupotrebi ROP putem prelivanja bafera bez ikakvih informacija o ranjivom binarnom fajlu. Ovaj napad se zasniva na sledećem scenariju:
Ranjivost na steku i znanje o tome kako je aktivirati.
Serverska aplikacija koja se ponovo pokreće nakon pada.
Napad
1. Pronađite ranjivi offset slanjem jednog dodatnog karaktera dok se ne otkrije kvar servera
2. Brute-force canary da biste ga otkrili
3. Brute-force sačuvanih RBP i RIP adresa na steku da biste ih otkrili
Možete pronaći više informacija o ovim procesima ovde (BF Forked & Threaded Stack Canaries) i ovde (BF Adrese na Steku).
4. Pronađite stop gadget
Ovaj gadget u suštini omogućava da se potvrdi da je nešto zanimljivo izvršeno putem ROP gadgeta jer izvršenje nije srušeno. Obično, ovaj gadget će biti nešto što zaustavlja izvršenje i pozicioniran je na kraju ROP lanca kada se traže ROP gadgeti da bi se potvrdilo da je određeni ROP gadget izvršen.
5. Pronađite BROP gadget
Ova tehnika koristi ret2csu gadget. I to je zato što, ako pristupite ovom gadgetu usred nekih instrukcija, dobijate gadgete za kontrolu rsi
i rdi
:
Ovo bi bili gadgeti:
pop rsi; pop r15; ret
pop rdi; ret
Primetite kako je sa tim gadgetima moguće kontrolisati 2 argumenta funkcije koju pozivamo.
Takođe, primetite da ret2csu gadget ima veoma jedinstvenu potpis jer će iz steka izvući 6 registara. Dakle, slanjem lanca poput:
'A' * offset + canary + rbp + ADDR + 0xdead * 6 + STOP
Ako se STOP izvrši, to u suštini znači da je korišćena adresa koja izbacuje 6 registara iz steka. Ili da je korišćena adresa koja je takođe STOP adresa.
Da bi se uklonila ova poslednja opcija, izvršava se novi lanac poput sledećeg i ne sme izvršiti STOP gadget da bi se potvrdilo da je prethodni izbacivao 6 registara:
'A' * offset + canary + rbp + ADDR
Poznavanjem adrese ret2csu gadgeta, moguće je izvesti adresu gadgeta za kontrolu rsi
i rdi
.
6. Pronađite PLT
PLT tabela može se pretraživati od 0x400000 ili od otkrivene RIP adrese sa steka (ako se koristi PIE). Unosi tabele su razdvojeni po 16B (0x10B), i kada se pozove jedna funkcija, server se ne sruši čak i ako argumenti nisu tačni. Takođe, provera adrese unosa u PLT + 6B takođe ne sruši jer je to prvi kod koji se izvršava.
Stoga, moguće je pronaći PLT tabelu proverom sledećih ponašanja:
'A' * offset + canary + rbp + ADDR + STOP
-> nema rušenja'A' * offset + canary + rbp + (ADDR + 0x6) + STOP
-> nema rušenja'A' * offset + canary + rbp + (ADDR + 0x10) + STOP
-> nema rušenja
7. Pronalazak strcmp
Funkcija strcmp
postavlja registar rdx
na dužinu stringa koji se upoređuje. Imajte na umu da je rdx
treći argument i treba da bude veći od 0 kako bismo kasnije koristili write
da otkrijemo program.
Moguće je pronaći lokaciju strcmp
u PLT-u na osnovu njenog ponašanja koristeći činjenicu da sada možemo kontrolisati prva 2 argumenta funkcija:
strcmp(<non read addr>, <non read addr>) -> rušenje
strcmp(<non read addr>, <read addr>) -> rušenje
strcmp(<read addr>, <non read addr>) -> rušenje
strcmp(<read addr>, <read addr>) -> nema rušenja
Moguće je proveriti ovo pozivajući svaki unos PLT tabele ili koristeći PLT spor put koji se u suštini sastoji od pozivanja unosa u PLT tabeli + 0xb (što poziva dlresolve
) praćeno na steku sa brojem unosa koji se želi ispitati (počinjajući od nule) da bi se skenirali svi PLT unosi od prvog:
strcmp(<non read addr>, <read addr>) -> rušenje
b'A' * offset + canary + rbp + (BROP + 0x9) + RIP + (BROP + 0x7) + p64(0x300) + p64(0x0) + (PLT + 0xb ) + p64(ENTRY) + STOP
-> Rušićestrcmp(<read addr>, <non read addr>) -> rušenje
b'A' * offset + canary + rbp + (BROP + 0x9) + p64(0x300) + (BROP + 0x7) + RIP + p64(0x0) + (PLT + 0xb ) + p64(ENTRY) + STOP
strcmp(<read addr>, <read addr>) -> nema rušenja
b'A' * offset + canary + rbp + (BROP + 0x9) + RIP + (BROP + 0x7) + RIP + p64(0x0) + (PLT + 0xb ) + p64(ENTRY) + STOP
Zapamtite da:
BROP + 0x7 ukazuje na
pop RSI; pop R15; ret;
BROP + 0x9 ukazuje na
pop RDI; ret;
PLT + 0xb ukazuje na poziv dl_resolve.
Nakon što je pronađen strcmp
, moguće je postaviti rdx
na vrednost veću od 0.
Imajte na umu da obično rdx
već sadrži vrednost veću od 0, tako da ovaj korak možda nije neophodan.
8. Pronalazak Write ili ekvivalentnog
Na kraju, potreban je gadget koji eksfiltrira podatke kako bi se eksfiltrirao binarni fajl. I u ovom trenutku moguće je kontrolisati 2 argumenta i postaviti rdx
veći od 0.
Postoje 3 uobičajene funkcije koje bi se mogle zloupotrebiti za ovo:
puts(data)
dprintf(fd, data)
write(fd, data, len(data)
Međutim, originalni rad pominje samo write
, pa hajde da pričamo o tome:
Trenutni problem je što ne znamo gde se funkcija write nalazi unutar PLT-a i ne znamo fd broj da pošaljemo podatke našem soketu.
Međutim, znamo gde se nalazi PLT tabela i moguće je pronaći write na osnovu njenog ponašanja. I možemo stvoriti nekoliko veza sa serverom i koristiti visok FD nadajući se da će se poklopiti sa nekim od naših veza.
Potpis ponašanja za pronalaženje tih funkcija:
'A' * offset + canary + rbp + (BROP + 0x9) + RIP + (BROP + 0x7) + p64(0) + p64(0) + (PLT + 0xb) + p64(ENTRY) + STOP
-> Ako se podaci ispisuju, onda je pronađen puts'A' * offset + canary + rbp + (BROP + 0x9) + FD + (BROP + 0x7) + RIP + p64(0x0) + (PLT + 0xb) + p64(ENTRY) + STOP
-> Ako se podaci ispisuju, onda je pronađen dprintf'A' * offset + canary + rbp + (BROP + 0x9) + RIP + (BROP + 0x7) + (RIP + 0x1) + p64(0x0) + (PLT + 0xb ) + p64(STRCMP ENTRY) + (BROP + 0x9) + FD + (BROP + 0x7) + RIP + p64(0x0) + (PLT + 0xb) + p64(ENTRY) + STOP
-> Ako se podaci ispisuju, onda je pronađen write
Automatska eksploatacija
Reference
Originalni rad: https://www.scs.stanford.edu/brop/bittau-brop.pdf
Last updated