Msingi wa Mbinu za Ukatili wa Kihandisi

Reading time: 7 minutes

Taarifa za Msingi za ELF

Kabla ya kuanza kutumia chochote, ni muhimu kuelewa sehemu ya muundo wa ELF binary:

{{#ref}} elf-tricks.md {{#endref}}

Zana za Kutumia

{{#ref}} tools/ {{#endref}}

Mbinu ya Stack Overflow

Kwa mbinu nyingi, ni vizuri kuwa na mpango wa wakati mbinu kila moja itakuwa na manufaa. Kumbuka kwamba ulinzi sawa utaathiri mbinu tofauti. Unaweza kupata njia za kupita ulinzi katika kila sehemu ya ulinzi lakini si katika mbinu hii.

Kudhibiti Mchakato

Kuna njia tofauti ambazo unaweza kumaliza kudhibiti mchakato wa programu:

• Stack Overflows kuandika upya kiashiria cha kurudi kutoka kwenye stack au EBP -> ESP -> EIP.
• Inaweza kuhitaji kutumia Integer Overflows ili kusababisha overflow
• Au kupitia Arbitrary Writes + Write What Where to Execution
• Format strings: Tumia printf kuandika maudhui yasiyo na mipaka katika anwani zisizo na mipaka.
• Array Indexing: Tumia mbinu mbaya ya indexing ili uweze kudhibiti baadhi ya arrays na kupata kuandika yasiyo na mipaka.
• Inaweza kuhitaji kutumia Integer Overflows ili kusababisha overflow
• bof to WWW via ROP: Tumia overflow ya buffer kujenga ROP na uweze kupata WWW.

Unaweza kupata mbinu za Write What Where to Execution katika:

{{#ref}} ../arbitrary-write-2-exec/ {{#endref}}

Mizunguko ya Milele

Kitu cha kuzingatia ni kwamba kawaida ku exploit udhaifu mmoja hakutoshi kutekeleza exploit yenye mafanikio, hasa baadhi ya ulinzi zinahitaji kupitishwa. Kwa hivyo, ni muhimu kujadili baadhi ya chaguzi za kufanya udhaifu mmoja uweze kutumika mara kadhaa katika utekelezaji mmoja wa binary:

• Andika katika mnyororo wa ROP anwani ya main function au anwani ambapo udhaifu unafanyika.
• Kwa kudhibiti mnyororo sahihi wa ROP unaweza kuwa na uwezo wa kutekeleza vitendo vyote katika mnyororo huo
• Andika katika exit address in GOT (au kazi nyingine yoyote inayotumiwa na binary kabla ya kumaliza) anwani ya kurudi kwenye udhaifu
• Kama ilivyoelezwa katika .fini_array, hifadhi kazi 2 hapa, moja ya kuita udhaifu tena na nyingine ya kuita __libc_csu_fini ambayo itaita tena kazi kutoka .fini_array.

Malengo ya Ukatili

Lengo: Kuita kazi iliyopo

• ret2win: Kuna kazi katika msimbo unahitaji kuitia (labda na baadhi ya parameta maalum) ili kupata bendera.
• Katika bof ya kawaida bila PIE na canary unahitaji tu kuandika anwani katika anwani ya kurudi iliyohifadhiwa kwenye stack.
• Katika bof yenye PIE, itabidi upite
• Katika bof yenye canary, itabidi upite
• Ikiwa unahitaji kuweka parameta kadhaa ili kuitia kazi ya ret2win kwa usahihi unaweza kutumia:
• Mnyororo wa ROP ikiwa kuna gadgets za kutosha kuandaa parameta zote
• SROP (ikiwa unaweza kuita syscall hii) kudhibiti register nyingi
• Gadgets kutoka ret2csu na ret2vdso kudhibiti register kadhaa
• Kupitia Write What Where unaweza kutumia udhaifu mwingine (sio bof) kuitia kazi ya win.
• Pointers Redirecting: Ikiwa stack ina viashiria vya kazi ambavyo vitaitwa au kwa string ambayo itatumika na kazi ya kuvutia (system au printf), inawezekana kuandika upya anwani hiyo.
• ASLR au PIE inaweza kuathiri anwani.
• Uninitialized variables: Hujui kamwe.

Lengo: RCE

Kupitia shellcode, ikiwa nx imezimwa au kuchanganya shellcode na ROP:

• (Stack) Shellcode: Hii ni muhimu kuhifadhi shellcode kwenye stack kabla au baada ya kuandika upya kiashiria cha kurudi na kisha kuruka kwake ili kuitekeleza:
• Katika hali yoyote, ikiwa kuna canary, katika bof ya kawaida itabidi upite (leak) hiyo
• Bila ASLR na nx inawezekana kuruka kwenye anwani ya stack kwani haitabadilika kamwe
• Na ASLR itabidi utumie mbinu kama ret2esp/ret2reg ili kuruka huko
• Na nx, itabidi utumie baadhi ya ROP kuitia memprotect na kufanya baadhi ya ukurasa rwx, ili kisha kuhifadhi shellcode huko (kuita kusoma kwa mfano) na kisha kuruka huko.
• Hii itachanganya shellcode na mnyororo wa ROP.

Kupitia syscalls

• Ret2syscall: Inatumika kuitia execve ili kuendesha amri zisizo na mipaka. Unahitaji kuwa na uwezo wa kupata gadgets za kuita syscall maalum na parameta.
• Ikiwa ASLR au PIE zimewezeshwa itabidi uzishinde ili kutumia gadgets za ROP kutoka kwa binary au maktaba.
• SROP inaweza kuwa muhimu kuandaa ret2execve
• Gadgets kutoka ret2csu na ret2vdso kudhibiti register kadhaa

Kupitia libc

• Ret2lib: Inatumika kuitia kazi kutoka maktaba (kawaida kutoka libc) kama system na baadhi ya hoja zilizopangwa (mfano '/bin/sh'). Unahitaji binary ili kupakia maktaba yenye kazi unayotaka kuitia (libc kawaida).
• Ikiwa imeandikwa kwa statically na hakuna PIE, anwani ya system na /bin/sh haitabadilika, hivyo inawezekana kuzitumia kwa statically.
• Bila ASLR na kujua toleo la libc lililopakiwa, anwani ya system na /bin/sh haitabadilika, hivyo inawezekana kuzitumia kwa statically.
• Na ASLR lakini hakuna PIE, kujua libc na binary ikitumia kazi ya system inawezekana ret kwa anwani ya system katika GOT na anwani ya '/bin/sh' katika param (utahitaji kufahamu hili).
• Na ASLR lakini hakuna PIE, kujua libc na bila binary ikitumia system:
• Tumia ret2dlresolve kutatua anwani ya system na kuitia
• Pitisha ASLR na kuhesabu anwani ya system na '/bin/sh' katika kumbukumbu.
• Na ASLR na PIE na bila kujua libc: Unahitaji:
• Pitisha PIE
• Pata libc version iliyotumika (leak anwani kadhaa za kazi)
• Angalia hali za awali na ASLR ili kuendelea.

Kupitia EBP/RBP

• Stack Pivoting / EBP2Ret / EBP Chaining: Kudhibiti ESP ili kudhibiti RET kupitia EBP iliyohifadhiwa kwenye stack.
• Inatumika kwa off-by-one stack overflows
• Inatumika kama njia mbadala ya kumaliza kudhibiti EIP wakati unatumia EIP kujenga payload katika kumbukumbu na kisha kuruka kwake kupitia EBP

Mambo Mengine

• Pointers Redirecting: Ikiwa stack ina viashiria vya kazi ambavyo vitaitwa au kwa string ambayo itatumika na kazi ya kuvutia (system au printf), inawezekana kuandika upya anwani hiyo.
• ASLR au PIE inaweza kuathiri anwani.
• Uninitialized variables: Hujui kamwe.