BROP - Blind Return Oriented Programming
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
Bu saldırının amacı, savunmasız ikili hakkında herhangi bir bilgi olmadan bir ROP'u kötüye kullanabilmektir. Bu saldırı aşağıdaki senaryoya dayanmaktadır:
Bir yığın zafiyeti ve bunu tetikleme bilgisi.
Çöktükten sonra yeniden başlatılan bir sunucu uygulaması.
Bu süreçler hakkında daha fazla bilgi bulabilirsiniz burada (BF Forked & Threaded Stack Canaries) ve burada (BF Addresses in the Stack).
Bu gadget, ROP gadget'ı tarafından ilginç bir şeyin çalıştırıldığını doğrulamayı sağlar çünkü yürütme çökmez. Genellikle, bu gadget yürütmeyi durduran bir şey olacak ve belirli bir ROP gadget'ının çalıştırıldığını doğrulamak için ROP zincirinin sonunda yer alacaktır.
Bu teknik, ret2csu gadget'ını kullanır. Bunun nedeni, bazı talimatların ortasında bu gadget'a erişirseniz rsi ve rdi'yi kontrol eden gadget'lar elde etmenizdir:
Bunlar gadget'lar olacaktır:
pop rsi; pop r15; ret
pop rdi; ret
Bu gadget'lar ile bir fonksiyon çağrısının 2 argümanını kontrol etmenin mümkün olduğunu unutmayın.
Ayrıca, ret2csu gadget'ının çok benzersiz bir imzası olduğunu unutmayın çünkü yığından 6 kayıt alacak. Bu nedenle, şöyle bir zincir göndererek:
'A' * offset + canary + rbp + ADDR + 0xdead * 6 + STOP
Eğer STOP çalıştırılırsa, bu temelde yığından 6 kayıt alan bir adresin kullanıldığı anlamına gelir. Ya da kullanılan adres de bir STOP adresiydi.
Bu son seçeneği kaldırmak için aşağıdaki gibi yeni bir zincir çalıştırılır ve önceki zincirin 6 kayıt aldığını doğrulamak için STOP gadget'ını çalıştırmamalıdır:
'A' * offset + canary + rbp + ADDR
ret2csu gadget'ının adresini bilerek, rsi ve rdi'yi kontrol eden gadget'ların adresini çıkarmak mümkündür.
PLT tablosu 0x400000 adresinden veya yığından sızdırılan RIP adresinden (eğer PIE kullanılıyorsa) aranabilir. Tablo girişleri 16B (0x10B) ile ayrılmıştır ve bir fonksiyon çağrıldığında sunucu çökmez, hatta argümanlar doğru olmasa bile. Ayrıca, bir girişin adresini kontrol etmek PLT + 6B de çökmez çünkü bu ilk yürütülen koddur.
Bu nedenle, PLT tablosunu aşağıdaki davranışları kontrol ederek bulmak mümkündür:
'A' * offset + canary + rbp + ADDR + STOP -> çökme yok
'A' * offset + canary + rbp + (ADDR + 0x6) + STOP -> çökme yok
'A' * offset + canary + rbp + (ADDR + 0x10) + STOP -> çökme yok
strcmp fonksiyonu rdx kaydını karşılaştırılan stringin uzunluğuna ayarlar. rdx'nin üçüncü argüman olduğunu ve daha sonra programı sızdırmak için write kullanabilmemiz için 0'dan büyük olması gerektiğini unutmayın.
strcmp'nin PLT'deki yerini, artık fonksiyonların ilk 2 argümanını kontrol edebildiğimiz gerçeğine dayanarak bulmak mümkündür:
strcmp(<okunmayan adres>, <okunmayan adres>) -> çökme
strcmp(<okunmayan adres>, <okunan adres>) -> çökme
strcmp(<okunan adres>, <okunmayan adres>) -> çökme
strcmp(<okunan adres>, <okunan adres>) -> çökme yok
Bunu, PLT tablosundaki her girişi çağırarak veya PLT yavaş yolu kullanarak kontrol edebiliriz; bu, temelde PLT tablosundaki bir girişi + 0xb (bu dlresolve'a çağrıda bulunur) çağırmak ve ardından yığında sorgulamak istediğiniz giriş numarasını (sıfırdan başlayarak) eklemektir:
strcmp(<okunmayan adres>, <okunan adres>) -> çökme
b'A' * offset + canary + rbp + (BROP + 0x9) + RIP + (BROP + 0x7) + p64(0x300) + p64(0x0) + (PLT + 0xb ) + p64(ENTRY) + STOP -> Çökecek
strcmp(<okunan adres>, <okunmayan adres>) -> çökme
b'A' * offset + canary + rbp + (BROP + 0x9) + p64(0x300) + (BROP + 0x7) + RIP + p64(0x0) + (PLT + 0xb ) + p64(ENTRY) + STOP
strcmp(<okunan adres>, <okunan adres>) -> çökme yok
b'A' * offset + canary + rbp + (BROP + 0x9) + RIP + (BROP + 0x7) + RIP + p64(0x0) + (PLT + 0xb ) + p64(ENTRY) + STOP
Unutmayın ki:
BROP + 0x7 pop RSI; pop R15; ret;'ye işaret eder
BROP + 0x9 pop RDI; ret;'ye işaret eder
PLT + 0xb dl_resolve'a bir çağrıya işaret eder.
strcmp'yi bulduktan sonra, rdx'yi 0'dan büyük bir değere ayarlamak mümkündür.
Genellikle rdx'nin zaten 0'dan büyük bir değeri barındıracağını unutmayın, bu nedenle bu adım gerekli olmayabilir.
Son olarak, ikiliyi sızdırmak için verileri dışarı sızdıran bir gadget'a ihtiyaç vardır. Ve bu noktada 2 argümanı kontrol edebiliriz ve rdx'yi 0'dan büyük ayarlayabiliriz.
Bunun için kötüye kullanılabilecek 3 yaygın fonksiyon vardır:
puts(data)
dprintf(fd, data)
write(fd, data, len(data)
Ancak, orijinal makalede yalnızca write'den bahsedilmektedir, bu nedenle bunun hakkında konuşalım:
Mevcut sorun, write fonksiyonunun PLT içindeki yerini bilmememizdir ve verileri soketimize göndermek için bir fd numarasını bilmememizdir.
Ancak, PLT tablosunun nerede olduğunu biliyoruz ve davranışına dayanarak write'ı bulmak mümkündür. Ve sunucu ile birçok bağlantı oluşturabiliriz ve bazı bağlantılarımızla eşleşmesini umarak yüksek bir FD kullanabiliriz.
Bu fonksiyonları bulmak için davranış imzaları:
'A' * offset + canary + rbp + (BROP + 0x9) + RIP + (BROP + 0x7) + p64(0) + p64(0) + (PLT + 0xb) + p64(ENTRY) + STOP -> Eğer veri yazdırılırsa, puts bulundu
'A' * offset + canary + rbp + (BROP + 0x9) + FD + (BROP + 0x7) + RIP + p64(0x0) + (PLT + 0xb) + p64(ENTRY) + STOP -> Eğer veri yazdırılırsa, dprintf bulundu
'A' * offset + canary + rbp + (BROP + 0x9) + RIP + (BROP + 0x7) + (RIP + 0x1) + p64(0x0) + (PLT + 0xb ) + p64(STRCMP ENTRY) + (BROP + 0x9) + FD + (BROP + 0x7) + RIP + p64(0x0) + (PLT + 0xb) + p64(ENTRY) + STOP -> Eğer veri yazdırılırsa, write bulundu
Orijinal makale: https://www.scs.stanford.edu/brop/bittau-brop.pdf
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
