ROP - Return Oriented Programing
Temel Bilgiler
Return-Oriented Programming (ROP), No-Execute (NX) veya Data Execution Prevention (DEP) gibi güvenlik önlemlerini atlatmak için kullanılan gelişmiş bir sızma tekniğidir. Bir saldırgan, shellcode enjekte etmek ve yürütmek yerine, binary veya yüklenmiş kütüphanelerde zaten bulunan kod parçalarını, yani "gadget"'ları kullanır. Her gadget genellikle bir ret
talimatı ile biter ve veri taşıma veya aritmetik işlemler gibi küçük bir işlem gerçekleştirir. Bu gadget'ları bir araya getirerek, bir saldırgan, NX/DEP korumalarını atlayarak keyfi işlemler gerçekleştirmek için bir yük oluşturabilir.
ROP Nasıl Çalışır
Kontrol Akışı Kaçırma: İlk olarak, bir saldırganın bir programın kontrol akışını ele geçirmesi gerekir, genellikle bir tampon taşması kullanarak yığında kaydedilen bir dönüş adresini üzerine yazarak.
Gadget Zinciri: Saldırgan daha sonra istenen işlemleri gerçekleştirmek için dikkatlice gadget'ları seçer ve zincirler. Bu, bir işlev çağrısı için argümanları ayarlamayı, işlevi çağırmayı (örneğin,
system("/bin/sh")
), ve gerekli temizlik veya ek işlemleri ele almayı içerebilir.Yük Yürütme: Zayıf işlev geri döndüğünde, meşru bir konuma dönüş yerine, gadget zincirini yürütmeye başlar.
Araçlar
Genellikle, gadget'lar ROPgadget, ropper veya doğrudan pwntools (ROP) kullanılarak bulunabilir.
ROP Zinciri x86 Örneği
x86 (32-bit) Çağrı sözleşmeleri
cdecl: Çağrı yapan yığını temizler. İşlev argümanları ters sırayla (sağdan sola) yığına itilir. Argümanlar sağdan sola doğru yığına itilir.
stdcall: cdecl'ye benzer, ancak yığını temizleme işlemi çağrıyı alanın sorumluluğundadır.
Gadget'lar Bulma
Öncelikle, binary veya yüklenmiş kütüphanelerde gerekli gadget'ları tanımladığımızı varsayalım. İlgilendiğimiz gadget'lar şunlardır:
pop eax; ret
: Bu gadget, yığının en üst değeriniEAX
kaydedicisine iter ve ardından döner, böyleceEAX
üzerinde kontrol sağlar.pop ebx; ret
: Yukarıdakiyle benzer, ancakEBX
kaydedicisi için,EBX
üzerinde kontrol sağlar.mov [ebx], eax; ret
:EAX
içindeki değeri,EBX
tarafından işaret edilen bellek konumuna taşır ve ardından döner. Bu genellikle bir write-what-where gadget olarak adlandırılır.Ayrıca,
system()
işlevinin adresine sahibiz.
ROP Zinciri
pwntools kullanarak, ROP zinciri yürütmesi için yığını aşağıdaki gibi hazırlıyoruz, system('/bin/sh')
'yi yürütmeyi amaçlayarak, zincirin aşağıdaki gibi başladığına dikkat edin:
Hizalama amaçlı bir
ret
talimatı (isteğe bağlı)system
işlevinin adresi (ASLR devre dışı bırakılmış ve bilinen libc varsayılarak, daha fazla bilgi için Ret2lib)system()
'dan dönüş adresi için yer tutucu"/bin/sh"
dizesi adresi (system işlevi için parametre)
x64 Örneğinde ROP Zinciri
x64 (64-bit) Çağrı Kuralları
Unix benzeri sistemlerde System V AMD64 ABI çağrı kuralını kullanır, burada ilk altı tamsayı veya işaretçi argüman
RDI
,RSI
,RDX
,RCX
,R8
veR9
registerlara iletilir. Ek argümanlar yığına iletilir. Dönüş değeriRAX
registerına yerleştirilir.Windows x64 çağrı kuralı ilk dört tamsayı veya işaretçi argümanlar için
RCX
,RDX
,R8
veR9
kullanır, ek argümanlar yığına iletilir. Dönüş değeriRAX
registerına yerleştirilir.Registerlar: 64-bit registerlar arasında
RAX
,RBX
,RCX
,RDX
,RSI
,RDI
,RBP
,RSP
veR8
ileR15
bulunur.
Gadget'ları Bulma
Amacımız, RDI registerını ayarlamamıza ( **system()`a "/bin/sh" dizesini argüman olarak iletmek için) ve ardından system() fonksiyonunu çağırmamıza izin verecek gadget'ları bulmaya odaklanalım. Aşağıdaki gadget'ları tanımladığımızı varsayalım:
pop rdi; ret: Yığının en üst değerini RDI'ya çıkarır ve ardından döner. system() için argümanımızı ayarlamak için temel önemlidir.
ret: Basit bir dönüş, bazı senaryolarda yığın hizalaması için kullanışlıdır.
Ve system() fonksiyonunun adresini biliyoruz.
ROP Zinciri
Aşağıda, x64 üzerinde system('/bin/sh')'ı çalıştırmayı amaçlayan bir ROP zinciri oluşturmak ve yürütmek için pwntools kullanarak bir örnek bulunmaktadır:
Bu örnekte:
pop rdi; ret
cihazını kullanarakRDI
'yi"/bin/sh"
adresine ayarlıyoruz.RDI
'yi ayarladıktan sonra doğrudansystem()
'e atlıyoruz, system()'ün adresi zincirde.**Hedef ortamın gerektirmesi durumunda hizalama için
ret_gadget
kullanılır, bu daha yaygın olarak x64'te fonksiyonları çağırmadan önce uygun yığın hizalamasını sağlamak için gereklidir.
Yığın Hizalaması
x86-64 ABI, bir çağrı talimatı yürütüldüğünde yığının 16 bayt hizalandığını sağlar. LIBC, performansı optimize etmek için SSE talimatları (örneğin movaps) kullanır ve bu hizalamayı gerektirir. Yığın uygun şekilde hizalanmazsa (yani RSP 16'nın katı değilse), ROP zincirinde system gibi fonksiyonlara çağrılar başarısız olur. Bunun düzeltilmesi için ROP zincirinizde system'i çağırmadan önce basitçe bir ret cihazı ekleyin.
x86'ya karşı x64 ana farkı
x64, ilk birkaç argüman için kayıtları kullandığından, basit fonksiyon çağrıları için genellikle x86'dan daha az cihaz gerektirir, ancak doğru cihazları bulup zincirlemek, artan kayıt sayısı ve daha büyük adres alanı nedeniyle daha karmaşık olabilir. Artan kayıt sayısı ve daha büyük adres alanı, özellikle Return-Oriented Programming (ROP) bağlamında, sömürü geliştirme için hem fırsatlar hem de zorluklar sunar.
ARM64 Örneğinde ROP Zinciri
ARM64 Temelleri ve Çağrı Kuralları
Bu bilgiler için aşağıdaki sayfaya bakın:
pageIntroduction to ARM64v8ROP'a Karşı Korumalar
Yığın Kanaryaları: BOF durumunda, ROP zincirini kötüye kullanmak için geri dönüş işaretçilerini üzerine yazmak için yığın kanaryasını atlamak gereklidir.
Yetersiz Cihazlar: Yeterli cihaz yoksa ROP zinciri oluşturulamaz.
ROP tabanlı teknikler
ROP'un yalnızca keyfi kodu yürütmek için bir teknik olduğunu unutmayın. ROP'a dayalı birçok Ret2XXX tekniği geliştirilmiştir:
Ret2lib: Yüklenmiş bir kütüphaneden keyfi parametrelerle keyfi işlevleri çağırmak için ROP kullanın (genellikle
system('/bin/sh')
gibi bir şey).
Ret2Syscall: ROP'u bir sistem çağrısını hazırlamak için kullanın, örneğin
execve
, ve bunu keyfi komutları yürütmek için kullanın.
EBP2Ret ve EBP Zincirleme: İlk olarak akışı kontrol etmek için EBP'yi EIP yerine kötüye kullanacak ve ikincisi Ret2lib'e benzer ancak akışı çoğunlukla EBP adresleriyle kontrol eder (ancak EIP'yi kontrol etmek de gereklidir).
Diğer Örnekler ve Referanslar
64 bit, Pie ve nx etkin, kanarya yok, RIP'yi yalnızca bir
vsyscall
adresiyle üzerine yazarak, yığında işlevin bayrağı sızdıran kısmını elde etmek için bir sonraki adrese dönüş yapılacak kısmı aşırı yazmaarm64, ASLR yok, ROP cihazı yığını yürütülebilir yapmak ve yığında shellcode'a atlamak için
Last updated