Basic Stack Binary Exploitation Methodology

Основна Інформація про ELF

Перед початком експлуатації чогось цікаво зрозуміти частину структури ELF бінарника:

Інструменти для Експлуатації

Методологія Переповнення Стеку

З такою кількістю технік добре мати схему, коли кожна техніка буде корисною. Зверніть увагу, що ті ж самі захисти вплинуть на різні техніки. Ви можете знайти способи обійти захисти в кожному розділі захисту, але не в цій методології.

Контроль Потоку

Є різні способи, якими ви можете контролювати потік програми:

• Переповнення Стеку переписуючи вказівник повернення зі стека або EBP -> ESP -> EIP.

• Можливо, потрібно зловживати Цілочисельними Переповненнями, щоб викликати переповнення.

• Або через Довільні Записи + Записати Що Де до Виконання.

• Форматні рядки: Зловживати printf, щоб записати довільний вміст у довільні адреси.

• Індексація Масивів: Зловживати погано спроектованою індексацією, щоб мати можливість контролювати деякі масиви та отримати довільний запис.

• Можливо, потрібно зловживати Цілочисельними Переповненнями, щоб викликати переповнення.

• bof до WWW через ROP: Зловживати переповненням буфера, щоб побудувати ROP і мати можливість отримати WWW.

Ви можете знайти техніки Записати Що Де до Виконання в:

Вічні Цикли

Щось, що слід врахувати, це те, що зазвичай лише одна експлуатація вразливості може бути недостатньою для виконання успішної експлуатації, особливо деякі захисти потрібно обійти. Тому цікаво обговорити деякі варіанти, щоб зробити одну вразливість експлуатованою кілька разів в одному виконанні бінарника:

• Записати в ROP ланцюг адресу main функції або адресу, де відбувається вразливість.

• Контролюючи правильний ROP ланцюг, ви можете виконати всі дії в цьому ланцюгу.

• Записати в exit адресу в GOT (або будь-яку іншу функцію, що використовується бінарником перед завершенням) адресу, щоб повернутися до вразливості.

• Як пояснено в .fini_array, зберігайте тут 2 функції, одну для повторного виклику вразливості та іншу для виклику __libc_csu_fini, яка знову викликатиме функцію з .fini_array.

Цілі Експлуатації

Мета: Викликати Існуючу функцію

• ret2win: Є функція в коді, яку потрібно викликати (можливо, з деякими специфічними параметрами), щоб отримати прапор.

• У звичайному bof без PIE та canary вам просто потрібно записати адресу у вказівник повернення, збережений у стеці.

• У bof з PIE, вам потрібно буде обійти його.

• У bof з canary, вам потрібно буде обійти його.

• Якщо вам потрібно встановити кілька параметрів для правильного виклику функції ret2win, ви можете використовувати:

• ROP ланцюг, якщо є достатньо гаджетів для підготовки всіх параметрів.

• SROP (якщо ви можете викликати цей системний виклик) для контролю багатьох регістрів.

• Гаджети з ret2csu та ret2vdso для контролю кількох регістрів.

• Через Write What Where ви могли б зловживати іншими вразливостями (не bof), щоб викликати функцію win.

• Перенаправлення Вказівників: У разі, якщо стек містить вказівники на функцію, яка буде викликана, або на рядок, який буде використаний цікавою функцією (system або printf), можливо, переписати цю адресу.

• ASLR або PIE можуть вплинути на адреси.

• Невизначені змінні: Ви ніколи не знаєте.

Мета: RCE

Через shellcode, якщо nx вимкнено або змішуючи shellcode з ROP:

• (Stack) Shellcode: Це корисно для зберігання shellcode у стеці перед або після переписування вказівника повернення, а потім перейти до нього для виконання:

• У будь-якому випадку, якщо є canary, у звичайному bof вам потрібно буде обійти (викрити) його.

• Без ASLR та nx можливо перейти до адреси стека, оскільки вона ніколи не зміниться.

• З ASLR вам знадобляться техніки, такі як ret2esp/ret2reg, щоб перейти до нього.

• З nx, вам потрібно буде використовувати деякі ROP для виклику memprotect і зробити деяку сторінку rwx, щоб потім зберегти shellcode там (викликавши read, наприклад) і потім перейти туди.

• Це змішає shellcode з ROP ланцюгом.

Через системні виклики

• Ret2syscall: Корисно для виклику execve, щоб виконати довільні команди. Вам потрібно бути в змозі знайти гаджети для виклику конкретного системного виклику з параметрами.

• Якщо ASLR або PIE увімкнені, вам потрібно буде їх обійти для використання ROP гаджетів з бінарника або бібліотек.

• SROP може бути корисним для підготовки ret2execve.

• Гаджети з ret2csu та ret2vdso для контролю кількох регістрів.

Через libc

• Ret2lib: Корисно для виклику функції з бібліотеки (зазвичай з libc) як system з деякими підготовленими аргументами (наприклад, '/bin/sh'). Вам потрібно, щоб бінарник завантажив бібліотеку з функцією, яку ви хочете викликати (зазвичай libc).

• Якщо статично скомпільовано і без PIE, адреса system та /bin/sh не зміняться, тому їх можна використовувати статично.

• Без ASLR і знаючи версію libc, адреса system та /bin/sh не зміняться, тому їх можна використовувати статично.

• З ASLR але без PIE, знаючи libc і з бінарником, що використовує функцію system, можливо ret до адреси system в GOT з адресою '/bin/sh' в параметрі (вам потрібно буде це з'ясувати).

• З ASLR але без PIE, знаючи libc і без бінарника, що використовує system:

• Використовуйте ret2dlresolve, щоб вирішити адресу system і викликати її.

• Обійти ASLR і обчислити адресу system та '/bin/sh' в пам'яті.

• З ASLR та PIE і не знаючи libc: Вам потрібно:

• Обійти PIE.

• Знайти версію libc, що використовується (викрити кілька адрес функцій).

• Перевірити попередні сценарії з ASLR, щоб продовжити.

Через EBP/RBP

• Поворот Стеку / EBP2Ret / EBP Ланцюгування: Контролюйте ESP, щоб контролювати RET через збережений EBP у стеці.

• Корисно для off-by-one переповнень стека.

• Корисно як альтернативний спосіб контролювати EIP, зловживаючи EIP для побудови корисного навантаження в пам'яті, а потім переходячи до нього через EBP.

Різне

• Перенаправлення Вказівників: У разі, якщо стек містить вказівники на функцію, яка буде викликана, або на рядок, який буде використаний цікавою функцією (system або printf), можливо, переписати цю адресу.

• ASLR або PIE можуть вплинути на адреси.

• Невизначені змінні: Ви ніколи не знаєте.