Upgrade to Pro — share decks privately, control downloads, hide ads and more …

你 PWN 不動我@HackerSir 10th

YJK
September 01, 2024
0
2

你 PWN 不動我@HackerSir 10th

YJK

September 01, 2024
Tweet

More Decks by YJK

See All by YJK
Reverse 0x1@HackerSir 10th
yjk0805
0
2
Reverse 0x2@HackerSir 10th
yjk0805
0
2
不要亂 PWN 我@HackerSir 10th
yjk0805
0
5
Assembly@HackerSir 10th
yjk0805
0
2

Featured

See All Featured
Designing Experiences People Love
moore
138
23k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
246
1.3M
RailsConf 2023
tenderlove
29
900
Six Lessons from altMBA
skipperchong
27
3.5k
Happy Clients
brianwarren
98
6.7k
Side Projects
sachag
452
42k
Why You Should Never Use an ORM
jnunemaker
PRO
54
9.1k
A Philosophy of Restraint
colly
203
16k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
6
410
Faster Mobile Websites
deanohume
305
30k
KATA
mclloyd
29
14k
Statistics for Hackers
jakevdp
796
220k

Transcript

  1. 你 PWN 不動我 YJK @ HackerSir

  2. 01 03 02 Shellcode ROP Format String Outline

  3. Shellcode 01 What is Shellcode、Linux syscall、ret2sc

  4. C compiled into machine code • 程式編譯過程 C Code Assembly

    Machine code Compiler Assembler

  5. Shellcode • 程式編譯過程 C Code Assembly Machine code Compiler Assembler

  6. Shellcode • 撰寫 Machine code,利用漏洞執行 code • 自己寫參數後 call syscall

  7. Syscall • System call • 跟 kernel 作溝通 • Linux

    System Call Table

  8. Syscall • System call • 跟 kernel 作溝通 • Linux

    System Call Table • 常見 ◦ execve(“/bin/sh”,NULL,NULL) ◦ open、read、write

  9. How to write Shellcode? • 自己寫 asm 並透過 pwntools 轉換

    • Shellcode database • pwntools 的 shellcraft ◦ 要記得 context.arch

  10. ret2sc • 沒有 backdoor 可以使用 ◦ 自己寫出 backdoor • 將

    shellcode 寫到全域變數 • 透過 Overflow 跳過去

  11. ORW • 只能使用 open、read、write • 可以透過 seccomp-tools 確認

  12. Practice • ret2sc • orw

  13. ret2sc

  14. orw

  15. ROP 02 Static、Dynamic Linking、Basic ROP

  16. Demo • 編譯選項 ◦ gcc test.c -o dynamic ◦ gcc

    test.c -o static -static

  17. Demo • 編譯選項 ◦ gcc test.c -o dynamic ◦ gcc

    test.c -o static -static • 觀察一下 ◦ file ◦ ls ◦ objdump ◦ gdb

  18. file

  19. ls

  20. ASM

  21. 差異 • static 很大,dynamic 很小 • static linking 會將所有程式碼包進去 ◦

    call 到任何外部 function 都會包進去 ▪ scanf、printf… • 浪費空間

  22. ASM

  23. Dynamic Linking • 一個程式會呼叫許多 library function • libc.so • .so、.dll

    • 上週提到的 plt、got 就是如此 • 需要使用時再呼叫 libc • 可以重複利用,不浪費空間

  24. ROP • ROP (Return Oriented Programming) • 重複利用編譯的程式碼繞過 NX •

    透過多段可以執行的 gadget 串出 rop chain • 控制執行流程

  25. ROP Gadgets • 片段可執行的程式 • 通常結尾為 ret 或是 jump <addr>

    • 較常利用 ◦ 可以控制 register ◦ 可以寫入資料 ◦ syscall • 如何找到 gadget ◦ ROPgadget Tool

  26. Control Register • pop rax; ret pop rax 0x3b ret

  27. Control Register • rax = 0x3b pop rax 0x3b ret

  28. Control Register • 繼續串 gadget pop rax 0x3b ret

  29. ROP 原理 • Overflow 前 old rbp Return address

  30. ROP 原理 • Overflow 並串成右方後 • 0x419afc:pop rax ; ret

    • 0x40a48d:pop rsi ; ret • 0x402020:pop rdi ; ret AAAAAAAA 0x419afc 0x3b 0x40a48d 0 0x402020 0 ……

  31. ROP 原理 • 0x419afc:pop rax ; ret AAAAAAAA 0x419afc 0x3b

    0x40a48d 0 0x402020 0 ……

  32. ROP 原理 • 0x419afc:pop rax ; ret • rax =

    0x3b AAAAAAAA 0x419afc 0x3b 0x40a48d 0 0x402020 0 ……

  33. ROP 原理 • 0x40a48d:pop rsi ; ret AAAAAAAA 0x419afc 0x3b

    0x40a48d 0 0x402020 0 ……

  34. ROP 原理 • 0x40a48d:pop rsi ; ret • rsi =

    0 AAAAAAAA 0x419afc 0x3b 0x40a48d 0 0x402020 0 ……

  35. ROP 原理 • 0x402020:pop rdi ; ret AAAAAAAA 0x419afc 0x3b

    0x40a48d 0 0x402020 0 ……

  36. ROP 原理 • 0x402020:pop rdi ; ret • rdi =

    0 AAAAAAAA 0x419afc 0x3b 0x40a48d 0 0x402020 0 ……

  37. ROP 原理 • 執行到最後 Register 會變成 • rax:0x3b • rsi:0

    • rdi:0 AAAAAAAA 0x419afc 0x3b 0x40a48d 0 0x402020 0 ……

  38. ROP 原理 • 執行到最後 Register 會變成 • rax:0x3b • rsi:0

    • rdi:0 • 串成可以成功 ROP 的樣子 AAAAAAAA 0x419afc 0x3b 0x40a48d 0 0x402020 0 ……

  39. Practice • Static ROP

  40. Static ROP • static linking binary • 先將 ROP Gadget

    全部找出來存到檔案 ◦ ROPgadget --binary <binary> > gadget • 利用 grep 找到想要的 gadget ◦ cat gadget | grep "pop rdi"

  41. Static ROP • 常用 ◦ pop <reg>;ret 控制 register ◦

    mov qword ptr [reg], reg ; ret; 寫入 memory ◦ syscall

  42. Static ROP • 目標:execve(“/bin/sh”, argv, envp) • Linux System Call

    Table NR Syscall references %rax arg0 (%rdi) arg1 (%rsi) arg2 (%rdx) 59 execve man/cs/ 0x3b const char *filename const char *const *argv const char *const *envp

  43. 整理 • execve 的 argv、envp 可以放 NULL • 用 mov

    qword ptr [reg], reg ; ret; 寫 “/bin/sh” ◦ 用 gdb 開 vmmap 找可寫區域

  44. 整理 • execve 的 argv、envp 可以放 NULL • 用 mov

    qword ptr [reg], reg ; ret; 寫 “/bin/sh” ◦ 用 gdb 開 vmmap 找可寫區域 • 用 pop <reg> ; ret ; 調整 register • 最後 syscall

  45. 整理 • syscall number = rax = 0x3b • rdi

    = &"/bin/sh" (pointer to string "/bin/sh") • rsi = 0 • rdx = 0

  46. 整理 • rdi = &"/bin/sh" (pointer to string "/bin/sh")

  47. 整理 • syscall number = rax = 0x3b

  48. 整理 • rsi = 0 • rdx = 0

  49. 整理 • syscall

  50. 偷吃步 • 利用 ROPgadget 生成 ROP chain • ROPgadget --binary

    <file> --ropchain • 有機會長出很白癡的 ROP chain

  51. Static ROP

  52. Format String 03

  53. What is format string • printf、scanf 透過格式化傳遞參數 • scanf("%s", s);、printf("Hello,

    %s\n", s); • 分別讀取格式化字串,讀取到 %s 將參數傳入解析

  54. Format String Vulnerability • 控制格式化字串參數可以 leak 變數、stack… • 可以修改變數值 •

    可以修改任意記憶體值 ◦ got hijacking

  55. 格式 • %[parameter][flags][field width][.precision][length]type

  56. Parameter • %[parameter][flags][field width][.precision][length]type • 可以忽略 • n$ • 顯示第

    n 個參數 • printf("%3$d %2$d %1$d\n", 1, 2, 3); • 3 2 1

  57. Type • %[parameter][flags][field width][.precision][length]type • d/I、u:整數 • x/X:16 進位 •

    o:10 進位 • c、s:字元、字串 • p:指標 • n:可以寫入變數

  58. 寫入資料 • %[parameter][flags][field width][.precision][length]type • printf("Hello%n\n", &a); ◦ a =

    5

  59. Vulnerability Sample

  60. Practice • FormatString1 • FormatString2

  61. FormatString1

  62. FormatString2

  63. 題目自架 • HackerSir PWN Class

  64. Reference • NTU Computer Security Fall 2019 • NCKUCTF (成大資安社)

    • pwn.college-Format String Exploits
  65. None