Temel İkili Sömürü Metodolojisi

Reading time: 7 minutes

ELF Temel Bilgiler

Herhangi bir şeyi sömürmeye başlamadan önce, bir ELF ikilisi yapısının bir kısmını anlamak ilginçtir:

ELF Basic Information

Sömürü Araçları

Exploiting Tools

Yığın Taşması Metodolojisi

Bu kadar çok teknikle, her tekniğin ne zaman faydalı olacağına dair bir şemaya sahip olmak iyidir. Aynı korumaların farklı teknikleri etkileyeceğini unutmayın. Her koruma bölümünde korumaları aşmanın yollarını bulabilirsiniz, ancak bu metodolojide değil.

Akışı Kontrol Etme

Bir programın akışını kontrol etmenin farklı yolları vardır:

• Yığın Taşmaları yığından dönüş işaretçisini veya EBP -> ESP -> EIP'yi yazmak.
• Taşmayı sağlamak için bir Tam Sayı Taşması istismar etmeniz gerekebilir.
• Ya da Rastgele Yazmalar + Yaz Nereye İcra yoluyla.
• Format dizeleri: printf'i kullanarak rastgele içeriği rastgele adreslere yazmak.
• Dizi İndeksleme: Bazı dizileri kontrol edebilmek ve rastgele yazma elde edebilmek için kötü tasarlanmış bir indekslemeyi istismar etmek.
• Taşmayı sağlamak için bir Tam Sayı Taşması istismar etmeniz gerekebilir.
• bof'dan WWW'ye ROP ile: Bir tampon taşmasını istismar ederek bir ROP oluşturmak ve WWW'ye ulaşmak.

Yaz Nereye İcra tekniklerini şurada bulabilirsiniz:

Write What Where 2 Exec

Sonsuz Döngüler

Dikkate alınması gereken bir şey, genellikle bir zafiyetin sadece bir kez sömürülmesinin yeterli olmayabileceğidir; özellikle bazı korumaların aşılması gerekir. Bu nedenle, bir tek zafiyeti aynı ikilinin yürütülmesi sırasında birkaç kez sömürülebilir hale getirmek için bazı seçenekleri tartışmak ilginçtir:

• main fonksiyonunun adresini veya zafiyetin meydana geldiği adresi bir ROP zincirine yazmak.
• Uygun bir ROP zincirini kontrol ederek, o zincirdeki tüm eylemleri gerçekleştirebilirsiniz.
• exit adresini GOT'ta (veya ikili tarafından bitirilmeden önce kullanılan herhangi bir fonksiyonda) zafiyete geri dönmek için yazmak.
• .fini_array'de açıklandığı gibi, burada zafiyeti tekrar çağıracak bir fonksiyon ve __libc_csu_fini fonksiyonunu çağıracak başka bir fonksiyon saklamak.

Sömürü Hedefleri

Hedef: Mevcut bir fonksiyonu çağırmak

• ret2win: Bayrağı almak için çağırmanız gereken (belki bazı özel parametrelerle) kodda bir fonksiyon var.
• PIE ve canary olmayan bir normal bof'da, yığındaki saklanan dönüş adresine sadece adresi yazmanız yeterlidir.
• PIE olan bir bof'da, bunu aşmanız gerekecek.
• canary olan bir bof'da, bunu aşmanız gerekecek.
• ret2win fonksiyonunu doğru bir şekilde çağırmak için birkaç parametre ayarlamanız gerekiyorsa:
• Tüm parametreleri hazırlamak için yeterli gadget varsa bir ROP zinciri kullanabilirsiniz.
• SROP (bu syscall'ı çağırabiliyorsanız) birçok kaydı kontrol etmek için.
• ret2csu ve ret2vdso ile birkaç kaydı kontrol etmek için gadget'lar.
• Yaz Nereye ile, win fonksiyonunu çağırmak için diğer zafiyetleri (bof değil) istismar edebilirsiniz.
• İşaretçi Yönlendirme: Yığın, çağrılacak bir fonksiyona veya ilginç bir fonksiyon (system veya printf) tarafından kullanılacak bir dizeye işaret eden işaretçiler içeriyorsa, o adresi yazmak mümkündür.
• ASLR veya PIE adresleri etkileyebilir.
• Başlatılmamış değişkenler: Asla bilemezsiniz.

Hedef: RCE

Shellcode aracılığıyla, eğer nx devre dışıysa veya shellcode'u ROP ile karıştırıyorsanız:

• (Yığın) Shellcode: Bu, dönüş işaretçisini yazmadan önce veya sonra yığında bir shellcode saklamak ve ardından ona atlamak için yararlıdır:
• Her durumda, eğer bir canary** varsa**, normal bir bof'da bunu aşmanız (sızdırmanız) gerekecek.
• ASLR ve nx olmadan, yığın adresine atlamak mümkündür çünkü asla değişmeyecektir.
• ASLR ile, ona atlamak için ret2esp/ret2reg gibi tekniklere ihtiyacınız olacak.
• nx ile, bazı ROP kullanarak memprotect çağırmanız ve bazı sayfaları rwx yapmanız gerekecek, böylece shellcode'u oraya saklayabilir (örneğin read çağırarak) ve ardından oraya atlayabilirsiniz.
• Bu, shellcode'u bir ROP zinciri ile karıştıracaktır.

Syscall'lar aracılığıyla

• Ret2syscall: Rastgele komutları çalıştırmak için execve çağırmak için yararlıdır. Belirli syscall'ı parametrelerle çağırmak için gadget'ları bulabilmeniz gerekir.
• Eğer ASLR veya PIE etkinse, ROP gadget'larını kullanmak için bunları aşmanız gerekecek.
• SROP ret2execve'yi hazırlamak için yararlı olabilir.
• ret2csu ve ret2vdso ile birkaç kaydı kontrol etmek için gadget'lar.

libc aracılığıyla

• Ret2lib: Genellikle libc'den bir fonksiyonu (örneğin system) bazı hazırlanmış argümanlarla (örneğin '/bin/sh') çağırmak için yararlıdır. Çağırmak istediğiniz fonksiyonla birlikte kütüphaneyi yüklemek için ikiliyi yüklemeniz gerekir (genellikle libc).
• Statik derlenmiş ve PIE yoksa, system ve /bin/sh'nin adresleri değişmeyecek, bu nedenle bunları statik olarak kullanmak mümkündür.
• ASLR olmadan ve yüklü libc sürümünü bilerek, system ve /bin/sh'nin adresleri değişmeyecek, bu nedenle bunları statik olarak kullanmak mümkündür.
• ASLR ama PIE yoksa, libc'yi bilerek ve ikili system** fonksiyonunu kullanıyorsa, GOT'taki system adresine ret yaparak '/bin/sh' adresini parametre olarak kullanmak mümkündür (bunu çözmeniz gerekecek).
• ASLR ama PIE yoksa, libc'yi bilerek ve ikili system kullanmıyorsanız:
• ret2dlresolve kullanarak system adresini çözmek ve çağırmak.
• ASLR aşmak ve system ve '/bin/sh' adreslerini bellek içinde hesaplamak.
• ASLR ve PIE ve libc'yi bilmeden: Şunları yapmanız gerekir:
• PIE aşmak.
• Kullanılan libc sürümünü bulmak (birkaç fonksiyon adresini sızdırmak).
• Devam etmek için ASLR ile önceki senaryoları kontrol etmek.

EBP/RBP aracılığıyla

• Yığın Pivotlama / EBP2Ret / EBP Zincirleme: Yığındaki saklanan EBP aracılığıyla RET'i kontrol etmek için ESP'yi kontrol edin.
• Birden fazla yığın taşmaları için yararlıdır.
• Yüklemenin bellek içinde yüklenmesini sağlarken EIP'yi kontrol etmenin alternatif bir yolu olarak yararlıdır ve ardından EBP aracılığıyla ona atlayabilirsiniz.

Çeşitli

• İşaretçi Yönlendirme: Yığın, çağrılacak bir fonksiyona veya ilginç bir fonksiyon (system veya printf) tarafından kullanılacak bir dizeye işaret eden işaretçiler içeriyorsa, o adresi yazmak mümkündür.
• ASLR veya PIE adresleri etkileyebilir.
• Başlatılmamış değişkenler: Asla bilemezsiniz.