Basic Stack Binary Exploitation Methodology

ELF Temel Bilgiler

Herhangi bir şeyi sömürmeye başlamadan önce, bir ELF ikilisi yapısının bir kısmını anlamak ilginçtir:

Sömürü Araçları

Yığın Taşması Metodolojisi

Bu kadar çok teknikle, her tekniğin ne zaman faydalı olacağına dair bir şemaya sahip olmak iyidir. Aynı korumaların farklı teknikleri etkileyeceğini unutmayın. Her koruma bölümünde korumaları aşmanın yollarını bulabilirsiniz, ancak bu metodolojide değil.

Akışı Kontrol Etme

Bir programın akışını kontrol etmenin farklı yolları vardır:

• Yığın Taşmaları yığından dönüş işaretçisini veya EBP -> ESP -> EIP'yi yazma.

• Taşmayı sağlamak için bir Tam Sayı Taşması istismar etmeniz gerekebilir.

• Ya da Rastgele Yazmalar + Yazılacak Ne Nerede ile.

• Format dizeleri: printf'i istendiği gibi içerik yazmak için istismar etme.

• Dizi İndeksleme: Bazı dizileri kontrol edebilmek ve rastgele yazma elde edebilmek için kötü tasarlanmış bir indekslemeyi istismar etme.

• Taşmayı sağlamak için bir Tam Sayı Taşması istismar etmeniz gerekebilir.

• bof'dan WWW'ye ROP ile: Bir tampon taşmasını istismar ederek bir ROP oluşturma ve WWW'ye ulaşma.

Yazılacak Ne Nerede tekniklerini bulabilirsiniz:

Sonsuz Döngüler

Dikkate alınması gereken bir şey, genellikle bir zafiyetin yalnızca bir kez sömürülmesinin yeterli olmayabileceğidir; özellikle bazı korumaların aşılması gerekir. Bu nedenle, bir tek zafiyeti aynı ikilinin yürütülmesi sırasında birkaç kez sömürülebilir hale getirmek için bazı seçenekleri tartışmak ilginçtir:

• main fonksiyonunun adresini veya zafiyetin meydana geldiği adresi bir ROP zincirine yazın.

• Uygun bir ROP zincirini kontrol ederek, o zincirdeki tüm eylemleri gerçekleştirebilirsiniz.

• exit adresini GOT'ta (veya ikili tarafından bitirilmeden önce kullanılan herhangi bir fonksiyonda) zafiyete geri dönmek için adresi yazın.

• .fini_array'de açıklandığı gibi, burada zafiyeti tekrar çağırmak için bir fonksiyon ve __libc_csu_fini fonksiyonunu çağırmak için başka bir fonksiyon saklayın; bu da .fini_array'dan fonksiyonu tekrar çağıracaktır.

Sömürü Hedefleri

Hedef: Mevcut bir fonksiyonu çağırmak

• ret2win: Bayrağı almak için çağırmanız gereken (belki bazı özel parametrelerle) kodda bir fonksiyon var.

• PIE ve canary olmayan bir normal bof'da, yığında saklanan dönüş adresine adresi yazmanız yeterlidir.

• PIE olan bir bof'da, bunu aşmanız gerekecek.

• canary olan bir bof'da, bunu aşmanız gerekecek.

• ret2win fonksiyonunu doğru bir şekilde çağırmak için birkaç parametre ayarlamanız gerekiyorsa, şunları kullanabilirsiniz:

• Tüm parametreleri hazırlamak için yeterli gadget varsa bir ROP zinciri.

• Birçok kaydı kontrol etmek için SROP (bu syscall'ı çağırabiliyorsanız).

• Birçok kaydı kontrol etmek için ret2csu ve ret2vdso gadget'ları.

• Yazılacak Ne Nerede aracılığıyla, win fonksiyonunu çağırmak için diğer zafiyetleri (bof olmayan) istismar edebilirsiniz.

• İşaretçi Yönlendirme: Yığın, çağrılacak bir fonksiyona veya ilginç bir fonksiyon (system veya printf) tarafından kullanılacak bir dizeye işaretçi içeriyorsa, o adresi yazmak mümkündür.

• ASLR veya PIE adresleri etkileyebilir.

• Başlatılmamış değişkenler: Asla bilemezsiniz.

Hedef: RCE

Shellcode aracılığıyla, eğer nx devre dışıysa veya shellcode ile ROP'u karıştırarak:

• (Yığın) Shellcode: Bu, dönüş işaretçisini yazmadan önce veya sonra yığında bir shellcode saklamak ve ardından ona atlamak için yararlıdır:

• Her durumda, eğer bir canary varsa, normal bir bof'da bunu aşmanız gerekecek (sızdırmak).

• ASLR ve nx olmadan, yığın adresine atlamak mümkündür çünkü asla değişmeyecektir.

• ASLR ile, ona atlamak için ret2esp/ret2reg gibi tekniklere ihtiyacınız olacak.

• nx ile, bazı ROP kullanarak memprotect çağırmanız ve bazı sayfaları rwx yapmanız gerekecek; böylece shellcode'u oraya saklayabilir (örneğin read çağırarak) ve ardından oraya atlayabilirsiniz.

• Bu, shellcode ile bir ROP zincirini karıştıracaktır.

Syscall'lar aracılığıyla

• Ret2syscall: Rastgele komutları çalıştırmak için execve çağırmak için yararlıdır. Belirli syscall'ı parametrelerle çağırmak için gadget'ları bulabilmeniz gerekir.

• ASLR veya PIE etkinse, ROP gadget'larını kullanmak için bunları aşmanız gerekecek.

• SROP ret2execve'yi hazırlamak için yararlı olabilir.

• Birçok kaydı kontrol etmek için ret2csu ve ret2vdso gadget'ları.

libc aracılığıyla

• Ret2lib: Genellikle libc'den bir fonksiyonu (örneğin system ile bazı hazırlanan argümanlarla) çağırmak için yararlıdır (örneğin '/bin/sh'). Çağırmak istediğiniz fonksiyonla birlikte kütüphaneyi yüklemek için ikiliyi gerektirir (genellikle libc).

• Statik derlenmiş ve PIE yoksa, system ve /bin/sh'nin adresleri değişmeyecek, bu nedenle bunları statik olarak kullanmak mümkündür.

• ASLR olmadan ve yüklü libc sürümünü bilerek, system ve /bin/sh'nin adresleri değişmeyecek, bu nedenle bunları statik olarak kullanmak mümkündür.

• ASLR var ama PIE yoksa, libc'yi bilerek ve ikili system fonksiyonunu kullanıyorsa, GOT'taki system adresine '/bin/sh' adresi ile ret yapmak mümkündür (bunu çözmeniz gerekecek).

• ASLR var ama PIE yoksa, libc'yi bilerek ve ikili system kullanmıyorsanız:

• ret2dlresolve kullanarak system adresini çözmek ve çağırmak.

• ASLR aşmak ve system ve '/bin/sh' adreslerini bellek içinde hesaplamak.

• ASLR ve PIE ve libc'yi bilmeden: Şunları yapmanız gerekir:

• PIE aşmak.

• Kullanılan libc sürümünü bulmak (birkaç fonksiyon adresini sızdırmak).

• Devam etmek için ASLR ile önceki senaryoları kontrol etmek.

EBP/RBP aracılığıyla

• Yığın Pivotlama / EBP2Ret / EBP Zincirleme: Yığın üzerindeki EBP'yi kontrol ederek RET'i kontrol etmek.

• Birden fazla yığın taşmalarında yararlıdır.

• Yüklemenin bellek içinde payload'u oluştururken EIP'i istismar ederek EIP'i kontrol etmenin alternatif bir yolu olarak yararlıdır ve ardından EBP aracılığıyla ona atlayabilirsiniz.

Çeşitli

• İşaretçi Yönlendirme: Yığın, çağrılacak bir fonksiyona veya ilginç bir fonksiyon (system veya printf) tarafından kullanılacak bir dizeye işaretçi içeriyorsa, o adresi yazmak mümkündür.

• ASLR veya PIE adresleri etkileyebilir.

• Başlatılmamış değişkenler: Asla bilemezsiniz.