ROP all the things
ROP
- Pourquoi?
- Structure de la Stack
- ROP 101
- ROPGadget.py
Pourquoi?
- NX Bytes
- Segment exécutable seulement en lecture
- Réutilisation des segments présents
- Exemple readelf -l:
Program Headers:
Type Offset VirtAddr PhysAddr FileSiz MemSiz Flg Align
PHDR 0x000034 0x08048034 0x08048034 0x00100 0x00100 R E 0x4
INTERP 0x000134 0x08048134 0x08048134 0x00013 0x00013 R 0x1
[Requesting program interpreter: /lib/ld-linux.so.2]
LOAD 0x000000 0x08048000 0x08048000 0x005bc 0x005bc R E 0x1000
LOAD 0x0005bc 0x080495bc 0x080495bc 0x00114 0x00118 RW 0x1000
DYNAMIC 0x0005c8 0x080495c8 0x080495c8 0x000e8 0x000e8 RW 0x4
NOTE 0x000148 0x08048148 0x08048148 0x00044 0x00044 R 0x4
GNU_EH_FRAME 0x000480 0x08048480 0x08048480 0x0003c 0x0003c R 0x4
GNU_STACK 0x000000 0x00000000 0x00000000 0x00000 0x00000 RW 0x10
Structure de la Stack
void g(int x) { f(x); }; g(123456);
080483d9 <g>: 80483d9: 55 push ebp 80483da: 89 e5 mov ebp,esp 80483dc: ff 75 08 push [ebp+0x8] 80483df: e8 e7 ff ff ff call 80483cb <f> 80483e4: 83 c4 04 add esp,0x4 80483e7: c9 leave 80483e8: c3 ret
Structure de la Stack
ROP 101
Retourner dans une autre fonction
Text
int check_password(char* user, char* file) {
char user_password[32];
scanf("%s", user_password);
// Do more stuff
}
void print_file(char* file) {
int f = open(file);
char buf[32];
read(file, buf, 32);
printf("%s", buf);
}
ROP Gadgets
- Fragment d'instructions finissant par un saut ou une instruction de retour dont la destination est contrôlé par l'attaquant.
- Exécution en chaîne de plusieurs fragments pour créer un "programme"
Pop; pop; ret
- Gadgets courant et pratiques
- Séries d'instructions qui permet de « dérouler » la Stack
- Permet de chaîner plusieurs appels de fonction avec des arguments valide
Chaîne de fonction
void a(int a1, int a2, int a3) {}
void b() {}
void c(int c1, int c2) {}
8048455: 83 c4 0c add esp,0xc
8048458: 5b pop ebx
8048459: 5e pop esi
804845a: 5f pop edi
804845b: 5d pop ebp
804845c: c3 ret
Objectif: Exécuter les fonctions dans l'ordre suivant:
- a(1,2,3);
- b();
- c(4,5);
ROPGadget.py
- https://github.com/JonathanSalwan/ROPgadget
- Logiciel de recherche de Gadget ROP
- ./ROPGadget --binary your_bin
- Permet même de générer un ROP pour
execve('/bin/sh', 0, 0); - ./ROPGadget --binary your_bin --ropchain
Limitation
- Executable ASLR (fPIE)
- Leak une adresse ou .PLT table
- Peu de gadget disponible
- Linked library! Libc is big...
Question?
Action!
Bonus: pop a shell
ROP all the things
By Israel Hallé
ROP all the things
- 1,924