Hacking for all!

https://chacker.pl/

Ropper to przydatne narzędzie do generowania łańcuchów ROP i znajdowania gadżetów do ponownego wykorzystania kodu. Jest w stanie ładować pliki binarne w formatach ELF, PE i Mach-O i obsługuje wiele architektur (x86, x86_64, MIPS, MIPS64, ARM/Thumb, ARM64, PowerPC i Sparc) przy użyciu platformy deasemblacji Capstone7. Aby zainstalować Roppera, użyj sudo apt install ropper. Jedną z jego najciekawszych funkcji jest możliwość wyszukiwania gadżetów na podstawie ograniczeń i warunków formatu pliku. Utwórzmy łańcuch ROP, który wywoła mprotect(), aby włączyć uprawnienia wykonywalne dla dowolnego adresu

Powstały fragment kodu Pythona zostanie utworzony:

Możemy również użyć wyszukiwania semantycznego, aby znaleźć gadżet, który zwiększa wskaźnik stosu o 16 bajtów, unikając zaśmiecania rejestrów R15 i RDI: ropper — plik <plik-binarny> –semantic „rsp+=16 !r15 !rdi”. Aby skorzystać z tej funkcji, musisz zainstalować pyvex i z3, postępując zgodnie z instrukcjami na stronie projektu GitHub. Jak widać, oszczędza to dużo czasu i wysiłku, a także zapewnia wiele innych interesujących funkcji — od programowania zorientowanego na skok (JOP) po obracanie stosu.

https://chacker.pl/

Zamiast ręcznie szukać one_gadgets dla wielu wersji glibc, możesz użyć narzędzia one_gadget, napisanego w języku Ruby przez david942j i dostępnego w RubyGems (gem install one_gadget). To narzędzie wykorzystuje wykonanie symboliczne do znalezienia one_gadgets i ich ograniczeń. Projekt ten jest dostępny na GitHubie.6 Aby go zainstalować, użyj polecenia sudo gem install one_gadget. Aby automatycznie znaleźć one_gadgets, uruchamiamy narzędzie, podając bibliotekę docelową w następujący sposób:

https://chacker.pl/

One_gadgets znajdują się w bibliotece libc i zapewniają prosty sposób uzyskania powłoki poprzez przeskoczenie do pojedynczego gadżetu w celu wykonania execve(„/bin/sh”, NULL, NULL). Te magiczne gadżety możemy znaleźć na dwa sposoby: ręcznie za pomocą ciągów znaków i objdump lub za pomocą narzędzia one_gadget.

Ręczne użycie ciągów i objdump

Najpierw użyjmy ciągów znaków, aby uzyskać adres przesunięcia /bin/sh w docelowej bibliotece libc:

Następnie możemy użyć objdump do wyszukania odniesień do adresu ciągu /bin/sh:

Jedynym ograniczeniem jest to, że w momencie wykonania r12 i r13 muszą być równe NULL. W ten sposób rejestry rdi, rsi i rdx będą zawierać odpowiednio wartości /bin/sh, NULL, NULL.

https://chacker.pl/

Narzędzie wiersza poleceń Patchelf pozwala nam modyfikować biblioteki pliku wykonywalnego ELF. Jest to bardzo przydatne, gdy przeprowadzamy analizę sterty na innej wersji libc niż ta używana przez system zdalny lub gdy nie mamy dostępu do kodu źródłowego i chcemy uruchomić wiele wersji libc w tym samym systemie. Możesz pobrać patchelf z repozytorium GitHub5 lub po prostu zainstalować go za pomocą sudo apt install patchelf. W tym laboratorium załatamy plik binarny hello, aby korzystał z interpretera i wersji libc:

1. Najpierw tworzymy folder lib i kopiujemy systemowe pliki ld-linux.so i libc:

2. Teraz możemy załatać plik binarny hello i potwierdzić, że zmiany zostały wprowadzone pomyślnie i że nasz program działa:

https://chacker.pl/

Czasami udaje ci się znaleźć i wykorzystać lukę w zabezpieczeniach pliku informacyjnego, ale nie jest możliwe obliczenie przesunięcia w stosunku do bazy libc lub innych funkcji, chyba że znasz wersję libc używaną na zdalnym hoście. Biblioteka libcdatabase pobiera listę skonfigurowanych wersji ibc, wyodrębnia przesunięcia symboli i umożliwia sprawdzenie nazwy funkcji i adresu, który wyciekł, w celu zidentyfikowania używanej wersji libc.

1. Sklonujmy repozytorium GitHub libc-database:

2. Możliwe jest pobranie wszystkich wstępnie udostępnionych wersji libc w ramach skryptu get, ale można także pobrać wersje specyficzne dla dystrybucji dla systemów Ubuntu, Debian, RPM, CentOS, Arch, Alpine, Kali i Parrot OS. Pobierzmy wersje libc używane przez Kali Linux. W folderze /home/kali/libc-database wykonaj następujące czynności:

3. Znajdź w bazie danych wszystkie wersje libc, które mają podane nazwy pod podanymi adresami. Użyjmy readelf, aby uzyskać przesunięcie put, a następnie użyjmy skryptu find libc-database:

3. Znajdź w bazie danych wszystkie wersje libc, które mają podane nazwy pod podanymi adresami. Użyjmy readelf, aby uzyskać przesunięcie put, a następnie użyjmy skryptu find libc-database:

https://chacker.pl/

Skrypt powłoki checksec analizuje nagłówek ELF programu, aby określić, które technologie ograniczające czas kompilacji są używane, takie jak RELRO, NX, Stack Canaries, ASLR i PIE. Pomaga to zidentyfikować ograniczenia w eksploatacji. Podobne funkcje i polecenia checksec są również dostępne w większości narzędzi i struktur programistycznych (takich jak funkcja pwntools checksec). Możemy pobrać checksec bezpośrednio ze strony GitHub2 lub zainstalować go za pomocą sudo apt install checksec. Uruchomienie checksec w skompilowanym wcześniej programie hello wyświetli włączone środki zaradcze (w zależności od ustawień domyślnych konfiguracji gcc dystrybucji), jak pokazano tutaj:

Skompilujmy ponownie nasz program hello.c z włączonymi wszystkimi zabezpieczeniami, a następnie uruchommy checksec:

https://chacker.pl/

Głównym celem narzędzia ltrace jest śledzenie wywołań bibliotek współdzielonych i ich odpowiedzi, ale można go również wykorzystać do śledzenia wywołań systemowych. Upewnij się, że masz zainstalowany pakiet ltrace za pomocą polecenia dpkg -l ltrace, ponieważ nie jest on domyślnie dostarczany z Kali. Użyj sudo apt install ltrace na wypadek, gdybyś musiał go zainstalować. Oto wynik działania ltrace ./hello:

UWAGA: Możesz użyć opcji -S, aby wyświetlić wywołania systemowe.

https://chacker.pl/

Narzędzie wiersza poleceń strace jest przydatne, gdy musimy śledzić wywołania i sygnały systemowe. Wykorzystuje wywołanie systemowe ptrace do sprawdzania programu docelowego i manipulowania nim, a poza tym, że pozwala nam lepiej zrozumieć zachowanie programu, może być również wykorzystywane do manipulowania zachowaniem wywołań systemowych w celu lepszego rozwiązywania problemów lub szybszego odtworzenia ataku w określonych warunkach sytuacjach (na przykład wprowadzenie błędu, wprowadzenie wartości zwracanej, wprowadzenie sygnału i wprowadzenie opóźnienia). Spójrzmy na kilka przykładów. Przede wszystkim upewnij się, że masz zainstalowany pakiet strace za pomocą polecenia dpkg -l strace, ponieważ domyślnie nie jest on dostarczany z Kali. Używaj sudo apt install strace, aby go zainstalować. Kiedy uruchomisz strace bez argumentów, wyświetli wszystkie wywołania systemowe i sygnały, tak jak poniżej:

Możemy użyć opcji -e trace=syscall, jeśli chcemy prześledzić/filtrować określone wywołanie systemowe, jak pokazano poniżej:

Jak zachowałby się program, gdyby funkcja zapisu nie została zaimplementowana?

Możemy również wstrzyknąć konkretną odpowiedź na błąd. Zamiast tego wstrzyknijmy błąd „EAGAIN (Zasób tymczasowo niedostępny)”:

Możliwe jest również użycie strace do wstrzykiwania opóźnień. Jest to bardzo pomocne w wielu przypadkach, ale dobrym przykładem jest sytuacja, w której musimy uczynić warunek wyścigu bardziej deterministycznym, pomagając zmniejszyć losowość wywłaszczania programu planującego. Wprowadźmy opóźnienie 1 sekundy przed wykonaniem funkcji odczytu (delay_enter) i opóźnienie 1 sekundę po wykonaniu funkcji zapisu (delay_exit). Domyślnie oczekiwana precyzja czasu to mikrosekundy:

Jeśli chcesz dowiedzieć się więcej o strace, Dmitry Levin ( przeprowadzi Cię przez listę zaawansowanych funkcji w swoim przemówieniu „Modern strace”.

https://chacker.pl/

Możemy używać objdump jako deasemblera wiersza poleceń, a także do uzyskiwania ważnych informacji o plikach wykonywalnych i obiektach. Zdobądźmy trochę informacji na temat pliku binarnego hello.

Uzyskiwanie tabeli globalnych przesunięć (GOT) i tabeli powiązań procedur (PLT)

Analizując pozbawiony plików binarnych, możesz użyć objdump, aby odwrócić adres pamięci interesującej funkcji. Za pomocą opcji -R możesz wyświetlić listę funkcji w GOT-u:

Teraz użyjmy objdump do zlokalizowania adresu, który zostanie wywołany w PLT, aby dostać się do funkcji puts():

Oto kilka punktów, na które warto zwrócić uwagę:

• -M intel informuje objdump, aby używał trybu składni Intel zamiast domyślnego (AT&T).
• -d jest skrótem od –disassemble.
• -j .plt określa sekcję, którą chcemy wyświetlić (PLT).

Teraz użyjemy opcji -j .text, aby znaleźć wywołanie puts w analizowanym programie:

Znajdowanie odniesień do ciągów stałych

W niektórych sytuacjach może być konieczne znalezienie odniesień do ciągów znaków w pozbawionych plików binarnych, aby przyspieszyć proces debugowania, lub znaleźć magiczne gadżety w obiekcie. Odniesienia do ciągów znaków możemy znaleźć w dwóch krokach. Pierwszym krokiem jest

gdzie -tx (-t oznacza podstawę, x oznacza wartość szesnastkową) wypisuje przesunięcie w pliku na początku każdego łańcucha. Drugi krok to

https://chacker.pl/

Narzędzie ldd wyświetla biblioteki współdzielone ładowane przez programy w czasie wykonywania. Biblioteki te mają przyrostek .so (obiekt współdzielony) i składają się z pojedynczych plików zawierających listę funkcji. Korzystanie z bibliotek współdzielonych ma wiele zalet, takich jak promowanie możliwości ponownego użycia kodu, pisanie mniejszych programów i ułatwianie konserwacji dużych aplikacji. Z punktu widzenia bezpieczeństwa ważne jest, aby wiedzieć, jakich bibliotek współdzielonych używa program i w jaki sposób są one ładowane. Jeśli programista nie będzie wystarczająco ostrożny, biblioteki współdzielone mogą zostać wykorzystane do uzyskania wykonania kodu lub pełnego naruszenia bezpieczeństwa systemu. Możliwości ataku obejmują znajdowanie słabych uprawnień do plików i używanie rpath do zastąpienia udostępnionej biblioteki złą, możliwość wycieku adresu załadowanej biblioteki, a nawet nadużywanie jej interesujących gadżetów w celu uzyskania kontroli przepływu wykonywania za pomocą kodu ROP/JOP- ponowne wykorzystanie technik ataku. Oto wynik po uruchomieniu ldd /bin/ls: