Stack pivot

Stack Pivot
@fmirx0723
2021/5/12
Rits Security Team 1

準備
題材：warmup
2021/5/12

準備
題材：warmup
2021/5/12
• vulnのリターンアドレスをflag
に書き換えれば良い
• winをtrueに書き換える必要があ
る
• ret2pltによってgetsを呼び出し,
引数をwinに指定することで書き
換えることができる

Attack Process
2021/5/12
win = False
data
gets@plt
flag
addr of win
1. ret2pltによってgets
を呼び出す
2. 引数をwinのアドレス
に指定する
3. 2回目の入力でwinを
書き換える
4. flagを呼び出す
“AAAA”

Attack Process
2021/5/12
win = False
data
gets@plt
flag
addr of win
を呼び出す
に指定する
書き換える
“AAAA”

Attack Process
2021/5/12
win = True
data
gets@plt
flag
addr of win
を呼び出す
に指定する
書き換える
“AAAA”
2‘nd
input

Attack Process
2021/5/12
win = False
data
gets@plt
flag
addr of win
を呼び出す
に指定する
書き換える
“AAAA”

Attack Peocess
2021/5/12

Stacck Pivot
バッファが足りない．RopChainを再構築したい．
このような時に，スタックとは別の領域をあたかもスタックかのように
扱えるようにすることをStackPivotと呼ぶ
データ領域のbssセクションにStack Pivotすることが多い
 書き込み可能で，アドレスが固定であるから
Stack Pivot した場所にRopChainを構築する
2021/5/12

Stack Pivot 手法（例）
rop chainをこのように構築する
フロー
1. getsなどのinput関数を呼び出す
 引数にpivot先(例えばbss)のアドレスを指定
2. getsの入力で，例えばropchainなどペイ
ロードを送り込む
3. 指定したpivot先に，スタックポインタと
ベースポインタを移行
2021/5/12
leave
AAA…A
pop ebp
addr of .bss
gets
addr of bss
pop eax; ret;
.bss section
…
…
(１)

フロー
2021/5/12
leave
AAA…A
pop ebp
addr of .bss
gets
addr of .bss
pop eax; ret;
.bss section
…
…
Rop chain
2‘nd
input
(2)

フロー
2021/5/12
leave
AAA…A
pop ebp
addr of .bss
gets
addr of bss
pop eax; ret;
.bss section
…
…
Rop chain
eip

Attack Process (題材:bypass)
$ cat bypass.c
ソースコードを見てみる
2021/5/12

$ file ./bypass
どんなファイルか調べる
32bitのelf
dynamically linked：実行時に，ほかのオブジェクトとリンクする
2021/5/12

$ ldd ./bypass
どのオブジェクトとリンクするか調べる
32bitの標準ライブラリとリンクすることがわかる（2行名）
 今回，libcは与えられているとする
それ以外は今は無視
 一応言及しておくと… 1行目:vdso，3行名:_dl_runtime_resolve
2021/5/12

2021/5/12
$ checksec ./bypass
有効なセキュリティ機構を調べる
 Partial RELRO → GOT 書き換え可能
 No canary found → スタックオーバフロー攻撃が可能
 NX enabled → 任意のシェルコードを実行させるにはひと工夫必要
 No PIE → ret2plt，ROPが可能

2021/5/12
$ python2 –c ‘print(“A” * 4)’ | ./bypass
実行してみる
文字列”AAAA”を標準入力に渡す

2021/5/12
他にも色々するけど省略
$ nm ./bypass でbypassに存在するシンボルを調べる
→flagとかwinとかのシンボルが存在するか調べることが狙い
$ nm libc でリンクするlibcにも怪しいシンボルが存在しないか調べる

2021/5/12
どうやって解く？？？

2021/5/12
方針
1. system(“/bin/sh”)を実行させたい
2. libcのベースアドレスがわかればよい
3. putsの引数にgotにおけるあるエントリのアドレス
を与えればその関数本体のアドレスが得られる
4. 得られたアドレスからその関数のオフセットを引け
ばlibcのベースアドレスが得られる (この時点で
systemには飛ばせる)
5. getsよりbssセクションにsystem(“/bin/sh”)を実行
させるROP chainを再度構築する
6. 文字列”/bin/sh”を用意する必要があるが，同じく
bssセクションに送れば，固定的に指定できる
7. ROP chainを送り込んだ先のbssにstack pivotする

2021/5/12
AAA…A
puts@plt
pop1
puts@got
gets@plt
pop1
addr of bss
pop ebp
addr of bss
leave
(3)
方針
3. putsの引数にgotのあるエントリのアドレスを与え
ればその関数本体のアドレスが得られる

2021/5/12
AAA…A
puts@plt
pop1
puts@got
gets@plt
pop1
addr of bss
pop ebp
addr of bss
leave
(5)
方針
AAAA
system
dummy
addr of /bin/sh
/bin/sh
ポインタ
bss
2‘nd
input

2021/5/12
AAA…A
puts@plt
pop1
puts@got
gets@plt
pop1
addr of bss
pop ebp
addr of bss
leave
(3)
方針
(7)
AAAA
system
dummy
addr of /bin/sh
/bin/sh
stack
pivot
bss

問題
bypass (original)
さっきまでの例の続き
pivot (rop emporium)
ヒントを次からのスライドで3段階に分けて述べる
2021/5/12

pivot ヒント1
pivot先は指定されている（表示されるアドレス）
1回目の入力で実行したいropchain
2回目の入力でバッファオーバーフローを起こし，飛び先を与えられた
アドレスにする
バッファオーバーフローが発生する脆弱関数はgetsでなくfgetsである
よく読むと，fgetsによりバッファオーバーフローは起きるが，ペイロー
ドの長さに制限がある
2021/5/12

pivot ヒント2
与えられたlibpivotのシンボル情報をnmコマンドで見ると，ret2winと
いう関数シンボルが存在することがわかる(怪しい)
これを実行すればよいことになる(ディスアセンブルすればわかる)が，
実行させるにはこのlibpivotのベースアドレスをリークさせる必要がある
ここで，pivotのpltのエントリを確認すると，libpivotの関数
foothold_functionがある
foothold_functionは文字列を表示するだけの関数
2021/5/12

pivot ヒント3
一回foothold_functionを呼び出すと，それ以降，そのgotのエントリに
はfoothold_function本体(名前解決後)のアドレスが入る
得られたアドレスからfoothold_functionのオフセットを引けば，
libpivotのベースアドレスが求まる
更に，libpivotのベースアドレスにret2winのオフセットを足せば，その
値がret2win本体のあるアドレスである
2021/5/12

Stack pivot

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Stack pivot

Similar to Stack pivot (20)

More from sounakano

More from sounakano (7)

Recently uploaded

Recently uploaded (8)

Stack pivot