Ret2csu
https://www.scs.stanford.edu/brop/bittau-brop.pdfInformação Básica
ret2csu é uma técnica de hacking usada quando você está tentando assumir o controle de um programa, mas não consegue encontrar os gadgets que costuma usar para manipular o comportamento do programa.
Quando um programa usa certas bibliotecas (como libc), ele possui algumas funções internas para gerenciar como diferentes partes do programa se comunicam entre si. Entre essas funções, existem algumas joias escondidas que podem atuar como nossos gadgets ausentes, especialmente uma chamada __libc_csu_init
.
Os Gadgets Mágicos em __libc_csu_init
Em __libc_csu_init
, existem duas sequências de instruções (gadgets) a serem destacadas:
A primeira sequência nos permite configurar valores em vários registradores (rbx, rbp, r12, r13, r14, r15). Estes são como slots onde podemos armazenar números ou endereços que queremos usar posteriormente.
Este gadget nos permite controlar esses registradores ao retirar valores da pilha e colocá-los neles.
A segunda sequência utiliza os valores que configuramos para fazer algumas coisas:
Mover valores específicos para outros registradores, preparando-os para serem usados como parâmetros em funções.
Realizar uma chamada a uma localização determinada somando os valores em r15 e rbx, e então multiplicando rbx por 8.
Talvez você não saiba nenhum endereço para escrever lá e você precisa de uma instrução
ret
. Note que o segundo gadget também terminará em umret
, mas você precisará atender a algumas condições para alcançá-lo:
As condições serão:
[r12 + rbx*8]
deve apontar para um endereço que armazena uma função chamável (se não tiver ideia e não tiver PIE, você pode simplesmente usar a função_init
):Se _init estiver em
0x400560
, use o GEF para procurar por um ponteiro na memória para ele e faça[r12 + rbx*8]
ser o endereço com o ponteiro para _init:
rbp
erbx
devem ter o mesmo valor para evitar o saltoExistem alguns pops omitidos que você precisa levar em consideração
RDI e RSI
Outra maneira de controlar rdi
e rsi
do gadget ret2csu é acessando offsets específicos:
Verifique esta página para mais informações:
pageBROP - Blind Return Oriented ProgrammingExemplo
Usando a chamada
Imagine que você queira fazer uma chamada de sistema ou chamar uma função como write()
, mas precisa de valores específicos nos registradores rdx
e rsi
como parâmetros. Normalmente, você procuraria por gadgets que definem esses registradores diretamente, mas não consegue encontrar nenhum.
Aqui é onde o ret2csu entra em ação:
Configurar os Registradores: Use o primeiro gadget mágico para desempilhar valores da pilha e colocá-los em rbx, rbp, r12 (edi), r13 (rsi), r14 (rdx) e r15.
Usar o Segundo Gadget: Com esses registradores configurados, você usa o segundo gadget. Isso permite que você mova os valores escolhidos para
rdx
ersi
(de r14 e r13, respectivamente), preparando os parâmetros para uma chamada de função. Além disso, controlandor15
erbx
, você pode fazer o programa chamar uma função localizada no endereço que você calcula e coloca em[r15 + rbx*8]
.
Você tem um exemplo usando essa técnica e explicando-a aqui, e este é o exploit final que foi usado:
Note que o exploit anterior não tem como objetivo fazer um RCE
, ele tem como objetivo apenas chamar uma função chamada win
(pegando o endereço de win
do stdin chamando gets na cadeia ROP e armazenando-o em r15) com um terceiro argumento com o valor 0xdeadbeefcafed00d
.
Bypassando a chamada e alcançando o ret
O exploit a seguir foi extraído desta página onde o ret2csu é usado, mas em vez de usar a chamada, está bypassando as comparações e alcançando o ret
após a chamada:
Por que não usar diretamente a libc?
Normalmente esses casos também são vulneráveis ao ret2plt + ret2lib, mas às vezes você precisa controlar mais parâmetros do que são facilmente controlados com os gadgets que você encontra diretamente na libc. Por exemplo, a função write()
requer três parâmetros, e encontrar gadgets para definir todos esses diretamente pode não ser possível.
Last updated