Basic Binary Exploitation Methodology

Reading time: 7 minutes

ELF Basic Info

Prima di iniziare a sfruttare qualsiasi cosa, è interessante comprendere parte della struttura di un ELF binary:

{{#ref}} elf-tricks.md {{#endref}}

Exploiting Tools

{{#ref}} tools/ {{#endref}}

Stack Overflow Methodology

Con così tante tecniche, è utile avere uno schema su quando ciascuna tecnica sarà utile. Nota che le stesse protezioni influenzeranno tecniche diverse. Puoi trovare modi per bypassare le protezioni in ciascuna sezione di protezione, ma non in questa metodologia.

Controlling the Flow

Ci sono diversi modi in cui potresti finire per controllare il flusso di un programma:

• Stack Overflows sovrascrivendo il puntatore di ritorno dallo stack o l'EBP -> ESP -> EIP.
• Potrebbe essere necessario abusare di un Integer Overflows per causare il overflow.
• Oppure tramite Arbitrary Writes + Write What Where to Execution.
• Format strings: Abusare di printf per scrivere contenuti arbitrari in indirizzi arbitrari.
• Array Indexing: Abusare di un indicizzazione mal progettata per poter controllare alcuni array e ottenere una scrittura arbitraria.
• Potrebbe essere necessario abusare di un Integer Overflows per causare il overflow.
• bof to WWW via ROP: Abusare di un buffer overflow per costruire un ROP e poter ottenere un WWW.

Puoi trovare le tecniche di Write What Where to Execution in:

{{#ref}} ../arbitrary-write-2-exec/ {{#endref}}

Eternal Loops

Qualcosa da tenere in considerazione è che di solito solo un sfruttamento di una vulnerabilità potrebbe non essere sufficiente per eseguire un exploit con successo, specialmente alcune protezioni devono essere bypassate. Pertanto, è interessante discutere alcune opzioni per rendere una singola vulnerabilità sfruttabile più volte nella stessa esecuzione del binary:

• Scrivere in una ROP chain l'indirizzo della funzione main o l'indirizzo in cui si verifica la vulnerabilità.
• Controllando una corretta ROP chain potresti essere in grado di eseguire tutte le azioni in quella catena.
• Scrivere nell'indirizzo exit in GOT (o qualsiasi altra funzione utilizzata dal binary prima di terminare) l'indirizzo per tornare alla vulnerabilità.
• Come spiegato in .fini_array, memorizzare qui 2 funzioni, una per chiamare di nuovo la vuln e un'altra per chiamare __libc_csu_fini che richiamerà di nuovo la funzione da .fini_array.

Exploitation Goals

Goal: Call an Existing function

• ret2win: C'è una funzione nel codice che devi chiamare (forse con alcuni parametri specifici) per ottenere il flag.
• In un regular bof without PIE and canary devi solo scrivere l'indirizzo nel puntatore di ritorno memorizzato nello stack.
• In un bof con PIE, dovrai bypassarlo.
• In un bof con canary, dovrai bypassarlo.
• Se hai bisogno di impostare diversi parametri per chiamare correttamente la funzione ret2win puoi usare:
• Una ROP chain se ci sono abbastanza gadget per preparare tutti i parametri.
• SROP (nel caso tu possa chiamare questa syscall) per controllare molti registri.
• Gadget da ret2csu e ret2vdso per controllare diversi registri.
• Tramite un Write What Where potresti abusare di altre vulnerabilità (non bof) per chiamare la funzione win.
• Pointers Redirecting: Nel caso in cui lo stack contenga puntatori a una funzione che verrà chiamata o a una stringa che verrà utilizzata da una funzione interessante (system o printf), è possibile sovrascrivere quell'indirizzo.
• ASLR o PIE potrebbero influenzare gli indirizzi.
• Uninitialized variables: Non si sa mai.

Goal: RCE

Via shellcode, se nx disabilitato o mescolando shellcode con ROP:

• (Stack) Shellcode: Questo è utile per memorizzare uno shellcode nello stack prima o dopo aver sovrascritto il puntatore di ritorno e poi saltare a esso per eseguirlo:
• In ogni caso, se c'è un canary, in un regular bof dovrai bypassarlo (leak).
• Senza ASLR e nx è possibile saltare all'indirizzo dello stack poiché non cambierà mai.
• Con ASLR dovrai utilizzare tecniche come ret2esp/ret2reg per saltare a esso.
• Con nx, dovrai usare alcuni ROP per chiamare memprotect e rendere alcune pagine rwx, per poi memorizzare lo shellcode lì (chiamando read ad esempio) e poi saltare lì.
• Questo mescolerà shellcode con una catena ROP.

Via syscalls

• Ret2syscall: Utile per chiamare execve per eseguire comandi arbitrari. Devi essere in grado di trovare i gadget per chiamare la specifica syscall con i parametri.
• Se ASLR o PIE sono abilitati, dovrai sconfiggerli per utilizzare i gadget ROP dal binary o dalle librerie.
• SROP può essere utile per preparare il ret2execve.
• Gadget da ret2csu e ret2vdso per controllare diversi registri.

Via libc

• Ret2lib: Utile per chiamare una funzione da una libreria (di solito da libc) come system con alcuni argomenti preparati (ad es. '/bin/sh'). Devi che il binary carichi la libreria con la funzione che desideri chiamare (libc di solito).
• Se compilato staticamente e senza PIE, l'indirizzo di system e /bin/sh non cambierà, quindi è possibile usarli staticamente.
• Senza ASLR e conoscendo la versione di libc caricata, l'indirizzo di system e /bin/sh non cambierà, quindi è possibile usarli staticamente.
• Con ASLR ma senza PIE, conoscendo la libc e con il binary che utilizza la funzione system è possibile ret all'indirizzo di system nel GOT con l'indirizzo di '/bin/sh' nel parametro (dovrai scoprirlo).
• Con ASLR ma senza PIE, conoscendo la libc e senza che il binary utilizzi la system :
• Usa ret2dlresolve per risolvere l'indirizzo di system e chiamarlo.
• Bypassa ASLR e calcola l'indirizzo di system e '/bin/sh' in memoria.
• Con ASLR e PIE e non conoscendo la libc: Devi:
• Bypassare PIE.
• Trovare la versione di libc utilizzata (leakare un paio di indirizzi di funzione).
• Controllare gli scenari precedenti con ASLR per continuare.

Via EBP/RBP

• Stack Pivoting / EBP2Ret / EBP Chaining: Controllare l'ESP per controllare RET tramite l'EBP memorizzato nello stack.
• Utile per off-by-one stack overflows.
• Utile come modo alternativo per controllare EIP mentre si abusa di EIP per costruire il payload in memoria e poi saltare a esso tramite EBP.

Misc

• Pointers Redirecting: Nel caso in cui lo stack contenga puntatori a una funzione che verrà chiamata o a una stringa che verrà utilizzata da una funzione interessante (system o printf), è possibile sovrascrivere quell'indirizzo.
• ASLR o PIE potrebbero influenzare gli indirizzi.
• Uninitialized variables: Non si sa mai.