Upgrade to Pro — share decks privately, control downloads, hide ads and more …

你 PWN 不動我@HackerSir 10th

YJK
September 01, 2024
0
0

你 PWN 不動我@HackerSir 10th

YJK

September 01, 2024
Tweet

More Decks by YJK

See All by YJK
Reverse 0x1@HackerSir 10th
yjk0805
0
0
Reverse 0x2@HackerSir 10th
yjk0805
0
0
不要亂 PWN 我@HackerSir 10th
yjk0805
0
0
Assembly@HackerSir 10th
yjk0805
0
0

Featured

See All Featured
For a Future-Friendly Web
brad_frost
174
9.3k
The Cost Of JavaScript in 2023
addyosmani
42
5.7k
Building a Scalable Design System with Sketch
lauravandoore
459
32k
How To Stay Up To Date on Web Technology
chriscoyier
786
250k
[RailsConf 2023] Rails as a piece of cake
palkan
48
4.6k
Scaling GitHub
holman
458
140k
The Language of Interfaces
destraynor
153
23k
In The Pink: A Labor of Love
frogandcode
139
22k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
326
21k
Large-scale JavaScript Application Architecture
addyosmani
508
110k
Visualization
eitanlees
142
15k
Writing Fast Ruby
sferik
623
60k

Transcript

  1. 你 PWN 不動我 YJK @ HackerSir

  2. 01 03 02 Shellcode ROP Format String Outline

  3. Shellcode 01 What is Shellcode、Linux syscall、ret2sc

  4. C compiled into machine code • 程式編譯過程 C Code Assembly

    Machine code Compiler Assembler

  5. Shellcode • 程式編譯過程 C Code Assembly Machine code Compiler Assembler

  6. Shellcode • 撰寫 Machine code,利用漏洞執行 code • 自己寫參數後 call syscall

  7. Syscall • System call • 跟 kernel 作溝通 • Linux

    System Call Table

  8. Syscall • System call • 跟 kernel 作溝通 • Linux

    System Call Table • 常見 ◦ execve(“/bin/sh”,NULL,NULL) ◦ open、read、write

  9. How to write Shellcode? • 自己寫 asm 並透過 pwntools 轉換

    • Shellcode database • pwntools 的 shellcraft ◦ 要記得 context.arch

  10. ret2sc • 沒有 backdoor 可以使用 ◦ 自己寫出 backdoor • 將

    shellcode 寫到全域變數 • 透過 Overflow 跳過去

  11. ORW • 只能使用 open、read、write • 可以透過 seccomp-tools 確認

  12. Practice • ret2sc • orw

  13. ret2sc

  14. orw

  15. ROP 02 Static、Dynamic Linking、Basic ROP

  16. Demo • 編譯選項 ◦ gcc test.c -o dynamic ◦ gcc

    test.c -o static -static

  17. Demo • 編譯選項 ◦ gcc test.c -o dynamic ◦ gcc

    test.c -o static -static • 觀察一下 ◦ file ◦ ls ◦ objdump ◦ gdb

  18. file

  19. ls

  20. ASM

  21. 差異 • static 很大,dynamic 很小 • static linking 會將所有程式碼包進去 ◦

    call 到任何外部 function 都會包進去 ▪ scanf、printf… • 浪費空間

  22. ASM

  23. Dynamic Linking • 一個程式會呼叫許多 library function • libc.so • .so、.dll

    • 上週提到的 plt、got 就是如此 • 需要使用時再呼叫 libc • 可以重複利用,不浪費空間

  24. ROP • ROP (Return Oriented Programming) • 重複利用編譯的程式碼繞過 NX •

    透過多段可以執行的 gadget 串出 rop chain • 控制執行流程

  25. ROP Gadgets • 片段可執行的程式 • 通常結尾為 ret 或是 jump <addr>

    • 較常利用 ◦ 可以控制 register ◦ 可以寫入資料 ◦ syscall • 如何找到 gadget ◦ ROPgadget Tool

  26. Control Register • pop rax; ret pop rax 0x3b ret

  27. Control Register • rax = 0x3b pop rax 0x3b ret

  28. Control Register • 繼續串 gadget pop rax 0x3b ret

  29. ROP 原理 • Overflow 前 old rbp Return address

  30. ROP 原理 • Overflow 並串成右方後 • 0x419afc:pop rax ; ret

    • 0x40a48d:pop rsi ; ret • 0x402020:pop rdi ; ret AAAAAAAA 0x419afc 0x3b 0x40a48d 0 0x402020 0 ……

  31. ROP 原理 • 0x419afc:pop rax ; ret AAAAAAAA 0x419afc 0x3b

    0x40a48d 0 0x402020 0 ……

  32. ROP 原理 • 0x419afc:pop rax ; ret • rax =

    0x3b AAAAAAAA 0x419afc 0x3b 0x40a48d 0 0x402020 0 ……

  33. ROP 原理 • 0x40a48d:pop rsi ; ret AAAAAAAA 0x419afc 0x3b

    0x40a48d 0 0x402020 0 ……

  34. ROP 原理 • 0x40a48d:pop rsi ; ret • rsi =

    0 AAAAAAAA 0x419afc 0x3b 0x40a48d 0 0x402020 0 ……

  35. ROP 原理 • 0x402020:pop rdi ; ret AAAAAAAA 0x419afc 0x3b

    0x40a48d 0 0x402020 0 ……

  36. ROP 原理 • 0x402020:pop rdi ; ret • rdi =

    0 AAAAAAAA 0x419afc 0x3b 0x40a48d 0 0x402020 0 ……

  37. ROP 原理 • 執行到最後 Register 會變成 • rax:0x3b • rsi:0

    • rdi:0 AAAAAAAA 0x419afc 0x3b 0x40a48d 0 0x402020 0 ……

  38. ROP 原理 • 執行到最後 Register 會變成 • rax:0x3b • rsi:0

    • rdi:0 • 串成可以成功 ROP 的樣子 AAAAAAAA 0x419afc 0x3b 0x40a48d 0 0x402020 0 ……

  39. Practice • Static ROP

  40. Static ROP • static linking binary • 先將 ROP Gadget

    全部找出來存到檔案 ◦ ROPgadget --binary <binary> > gadget • 利用 grep 找到想要的 gadget ◦ cat gadget | grep "pop rdi"

  41. Static ROP • 常用 ◦ pop <reg>;ret 控制 register ◦

    mov qword ptr [reg], reg ; ret; 寫入 memory ◦ syscall

  42. Static ROP • 目標:execve(“/bin/sh”, argv, envp) • Linux System Call

    Table NR Syscall references %rax arg0 (%rdi) arg1 (%rsi) arg2 (%rdx) 59 execve man/cs/ 0x3b const char *filename const char *const *argv const char *const *envp

  43. 整理 • execve 的 argv、envp 可以放 NULL • 用 mov

    qword ptr [reg], reg ; ret; 寫 “/bin/sh” ◦ 用 gdb 開 vmmap 找可寫區域

  44. 整理 • execve 的 argv、envp 可以放 NULL • 用 mov

    qword ptr [reg], reg ; ret; 寫 “/bin/sh” ◦ 用 gdb 開 vmmap 找可寫區域 • 用 pop <reg> ; ret ; 調整 register • 最後 syscall

  45. 整理 • syscall number = rax = 0x3b • rdi

    = &"/bin/sh" (pointer to string "/bin/sh") • rsi = 0 • rdx = 0

  46. 整理 • rdi = &"/bin/sh" (pointer to string "/bin/sh")

  47. 整理 • syscall number = rax = 0x3b

  48. 整理 • rsi = 0 • rdx = 0

  49. 整理 • syscall

  50. 偷吃步 • 利用 ROPgadget 生成 ROP chain • ROPgadget --binary

    <file> --ropchain • 有機會長出很白癡的 ROP chain

  51. Static ROP

  52. Format String 03

  53. What is format string • printf、scanf 透過格式化傳遞參數 • scanf("%s", s);、printf("Hello,

    %s\n", s); • 分別讀取格式化字串,讀取到 %s 將參數傳入解析

  54. Format String Vulnerability • 控制格式化字串參數可以 leak 變數、stack… • 可以修改變數值 •

    可以修改任意記憶體值 ◦ got hijacking

  55. 格式 • %[parameter][flags][field width][.precision][length]type

  56. Parameter • %[parameter][flags][field width][.precision][length]type • 可以忽略 • n$ • 顯示第

    n 個參數 • printf("%3$d %2$d %1$d\n", 1, 2, 3); • 3 2 1

  57. Type • %[parameter][flags][field width][.precision][length]type • d/I、u:整數 • x/X:16 進位 •

    o:10 進位 • c、s:字元、字串 • p:指標 • n:可以寫入變數

  58. 寫入資料 • %[parameter][flags][field width][.precision][length]type • printf("Hello%n\n", &a); ◦ a =

    5

  59. Vulnerability Sample

  60. Practice • FormatString1 • FormatString2

  61. FormatString1

  62. FormatString2

  63. 題目自架 • HackerSir PWN Class

  64. Reference • NTU Computer Security Fall 2019 • NCKUCTF (成大資安社)

    • pwn.college-Format String Exploits
  65. None