Stack pivot

Stack Pivot
@fmirx0723
2021/5/12
Rits Security Team 1

準備
題材：warmup
2021/5/12

準備
題材：warmup
2021/5/12
• vulnのリターンアドレスをflag
に書き換えれば良い
• winをtrueに書き換える必要があ
る
• ret2pltによってgetsを呼び出し,
引数をwinに指定することで書き
換えることができる

Attack Process
2021/5/12
win = False
data
gets@plt
flag
addr of win
1. ret2pltによってgets
を呼び出す
2. 引数をwinのアドレス
に指定する
3. 2回目の入力でwinを
書き換える
4. flagを呼び出す
“AAAA”

Attack Process
2021/5/12
win = False
data
gets@plt
flag
addr of win
を呼び出す
に指定する
書き換える
“AAAA”

Attack Process
2021/5/12
win = True
data
gets@plt
flag
addr of win
を呼び出す
に指定する
書き換える
“AAAA”
2‘nd
input

Attack Process
2021/5/12
win = False
data
gets@plt
flag
addr of win
を呼び出す
に指定する
書き換える
“AAAA”

Attack Peocess
2021/5/12

Stacck Pivot
バッファが足りない．RopChainを再構築したい．
このような時に，スタックとは別の領域をあたかもスタックかのように
扱えるようにすることをStackPivotと呼ぶ
データ領域のbssセクションにStack Pivotすることが多い
 書き込み可能で，アドレスが固定であるから
Stack Pivot した場所にRopChainを構築する
2021/5/12

Stack Pivot 手法（例）
rop chainをこのように構築する
フロー
1. getsなどのinput関数を呼び出す
 引数にpivot先(例えばbss)のアドレスを指定
2. getsの入力で，例えばropchainなどペイ
ロードを送り込む
3. 指定したpivot先に，スタックポインタと
ベースポインタを移行
2021/5/12
leave
AAA…A
pop ebp
addr of .bss
gets
addr of bss
pop eax; ret;
.bss section
…
…
(１)

フロー
2021/5/12
leave
AAA…A
pop ebp
addr of .bss
gets
addr of .bss
pop eax; ret;
.bss section
…
…
Rop chain
2‘nd
input
(2)

フロー
2021/5/12
leave
AAA…A
pop ebp
addr of .bss
gets
addr of bss
pop eax; ret;
.bss section
…
…
Rop chain
eip

Attack Process (題材:bypass)
$ cat bypass.c
ソースコードを見てみる
2021/5/12

$ file ./bypass
どんなファイルか調べる
32bitのelf
dynamically linked：実行時に，ほかのオブジェクトとリンクする
2021/5/12

$ ldd ./bypass
どのオブジェクトとリンクするか調べる
32bitの標準ライブラリとリンクすることがわかる（2行名）
 今回，libcは与えられているとする
それ以外は今は無視
 一応言及しておくと… 1行目:vdso，3行名:_dl_runtime_resolve
2021/5/12

2021/5/12
$ checksec ./bypass
有効なセキュリティ機構を調べる
 Partial RELRO → GOT 書き換え可能
 No canary found → スタックオーバフロー攻撃が可能
 NX enabled → 任意のシェルコードを実行させるにはひと工夫必要
 No PIE → ret2plt，ROPが可能

2021/5/12
$ python2 –c ‘print(“A” * 4)’ | ./bypass
実行してみる
文字列”AAAA”を標準入力に渡す

2021/5/12
他にも色々するけど省略
$ nm ./bypass でbypassに存在するシンボルを調べる
→flagとかwinとかのシンボルが存在するか調べることが狙い
$ nm libc でリンクするlibcにも怪しいシンボルが存在しないか調べる

2021/5/12
どうやって解く？？？

2021/5/12
方針
1. system(“/bin/sh”)を実行させたい
2. libcのベースアドレスがわかればよい
3. putsの引数にgotにおけるあるエントリのアドレス
を与えればその関数本体のアドレスが得られる
4. 得られたアドレスからその関数のオフセットを引け
ばlibcのベースアドレスが得られる (この時点で
systemには飛ばせる)
5. getsよりbssセクションにsystem(“/bin/sh”)を実行
させるROP chainを再度構築する
6. 文字列”/bin/sh”を用意する必要があるが，同じく
bssセクションに送れば，固定的に指定できる
7. ROP chainを送り込んだ先のbssにstack pivotする

2021/5/12
AAA…A
puts@plt
pop1
puts@got
gets@plt
pop1
addr of bss
pop ebp
addr of bss
leave
(3)
方針
3. putsの引数にgotのあるエントリのアドレスを与え
ればその関数本体のアドレスが得られる

2021/5/12
AAA…A
puts@plt
pop1
puts@got
gets@plt
pop1
addr of bss
pop ebp
addr of bss
leave
(5)
方針
AAAA
system
dummy
addr of /bin/sh
/bin/sh
ポインタ
bss
2‘nd
input

2021/5/12
AAA…A
puts@plt
pop1
puts@got
gets@plt
pop1
addr of bss
pop ebp
addr of bss
leave
(3)
方針
(7)
AAAA
system
dummy
addr of /bin/sh
/bin/sh
stack
pivot
bss

問題
bypass (original)
さっきまでの例の続き
pivot (rop emporium)
ヒントを次からのスライドで3段階に分けて述べる
2021/5/12

pivot ヒント1
pivot先は指定されている（表示されるアドレス）
1回目の入力で実行したいropchain
2回目の入力でバッファオーバーフローを起こし，飛び先を与えられた
アドレスにする
バッファオーバーフローが発生する脆弱関数はgetsでなくfgetsである
よく読むと，fgetsによりバッファオーバーフローは起きるが，ペイロー
ドの長さに制限がある
2021/5/12

pivot ヒント2
与えられたlibpivotのシンボル情報をnmコマンドで見ると，ret2winと
いう関数シンボルが存在することがわかる(怪しい)
これを実行すればよいことになる(ディスアセンブルすればわかる)が，
実行させるにはこのlibpivotのベースアドレスをリークさせる必要がある
ここで，pivotのpltのエントリを確認すると，libpivotの関数
foothold_functionがある
foothold_functionは文字列を表示するだけの関数
2021/5/12

pivot ヒント3
一回foothold_functionを呼び出すと，それ以降，そのgotのエントリに
はfoothold_function本体(名前解決後)のアドレスが入る
得られたアドレスからfoothold_functionのオフセットを引けば，
libpivotのベースアドレスが求まる
更に，libpivotのベースアドレスにret2winのオフセットを足せば，その
値がret2win本体のあるアドレスである
2021/5/12

Stack pivot

More Related Content

What's hot (20)

Similar to Stack pivot (15)

Stack pivot