Login
Immutable PageDiscussionInfoAttachments
ytoku/Slides/Pwn勉強会

MMA

Pwn勉強会(Stack day)

Tools

Python(Pwntools)とRuby(METASM? ctfライブラリ?)好きな方を選んで作業を進めてもらう.

x86 assembly

System call

systemcall.png

How to call System calls

システムコールの呼び出し方

arch

instruction

syscall #

retval

arg1

arg2

arg3

arg4

arg5

arg6

x86

int 0x80

eax

eax

ebx

ecx

edx

esi

edi

ebp

x86-64

syscall

rax

rax

rdi

rsi

rdx

r10

r8

r9

システムコール番号

system call

x86

x86-64

execve

11

59

open

5

2

read

3

0

write

4

1

参考文献

Pwntools

Pwntools?

install

Pwntools example

   1 # -*- coding: utf-8 -*-
   2 from pwn import *
   3 ## exploit対象のアーキテクチャ
   4 context(arch = 'i386', os = 'linux')
   5 # context(arch = "amd64", os = "linux")
   6 ## 攻撃のサーバに接続
   7 conn = process("./example")
   8 # conn = remote("example.com", 10000)
   9 ## ROPを構成
  10 rop = ""
  11 rop += p32(0x8048330)       # mprotect
  12 rop += p32(0x804855d)       # skip 3 words
  13 rop += p32(0x20000000)      # buf
  14 ...
  15 ## シェルコードをアセンブル
  16 shellcode = asm(shellcraft.sh())
  17 ## ログ表示
  18 p = log.waitfor("Pwning")
  19 ## ": "を受信するまでrecv
  20 conn.recvuntil(": ")
  21 ## エクスプロイトを送信
  22 conn.send(rop)
  23 time.sleep(0.5)
  24 conn.send(shellcode)
  25 ## ログ表示
  26 p.success("OK")
  27 ## コンソールの入出力を攻撃対象に接続
  28 conn.interactive()

Ruby Example

以下の外部ライブラリを利用する

標準ライブラリのうち以下はpwnの問題を解く上でとても良く利用される

   1 require 'metasm'
   2 require 'expect' # IO#expect
   3 require 'socket' # TCPSocket
   4 require 'io/interactive' # IO#interactive!
   5 
   6 # シェルコードをアセンブル(x86)
   7 # x86-64の場合はMetasm::Ia32の変わりにMetasm::X86_64を利用する
   8 shellcode = Metasm::Shellcode.assemble(Metasm::Ia32.new, <<SOURCE).encode_string
   9 mov eax, 1
  10 mov ebx, 42
  11 int 80h   // exit(42)
  12 SOURCE
  13 
  14 # ROPを作成
  15 rop = ''
  16 rop << [0x8048330, 0x804855d].pack("I*") # 32bit little endian
  17 # "Q"が64bit litten endian
  18 
  19 # コマンドを実行し、その入出力をIOオブジェクトとして取得します。
  20 IO.popen('./example', 'w+') do |s|
  21   # TCPサーバに接続する場合は次のようにします。
  22   # TCPSocket.open('ctforderpwn.cloudapp.net', 11011) do |s|
  23 
  24   s.expect(": ") # ": "を受信するまでread
  25   # s.expect(/(\d+): /) 正規表現も利用可能
  26 
  27   # エクスプロイトの送信
  28   s.print rop
  29   sleep 0.5
  30   s.print shellcode
  31 
  32   # コンソールの入出力を攻撃対称に接続
  33   s.interactive!
  34 end
  35 exit 0
  36 # ログ出力が必要な場合、Rubyの標準のLogライブラリあたりを利用できます
  37 # 普通にSTDOUT.putsやppやpで十分な場合がほとんどだと思います。
  38 
  39 # ここからアセンブラに関する補足。
  40 
  41 # アセンブラではマクロを利用可能
  42 shellcode = Metasm::Shellcode.assemble(Metasm::Ia32.new, <<SOURCE).encode_string
  43 #define EXIT 42
  44 #define syscall int 80h
  45 mov eax, 1
  46 mov ebx, EXIT
  47 syscall   // exit(42)
  48 SOURCE
  49 
  50 
  51 # Cのヘッダファイルのインクルードし、定数等を利用
  52 shellcode = Metasm::Shellcode.assemble(Metasm::Ia32.new, <<SOURCE).encode_string
  53 #include <asm/unistd_32.h>
  54 #define syscall(name) mov eax, __NR_##name \\
  55                           int 0x80
  56 #define syscall1(name, arg1) mov ebx, arg1 syscall(name)
  57 syscall1(exit, 42)
  58 SOURCE
  59 
  60 
  61 # 定数を後からプログラムで設定
  62 shellcode = Metasm::Shellcode.assemble(Metasm::Ia32.new, <<SOURCE).encoded
  63 mov eax, fd
  64 SOURCE
  65 shellcode.fixup 'fd' => 3 # fdを3に設定
  66 shellcode = shellcode.data # 文字列として取得

Shellcode

   1 // gcc -z execstack -fno-stack-protector -o baby1 baby1.c
   2 // -m32 / -m64 両方やってもらうよ!
   3 #include <stdio.h>
   4 typedef void func();
   5 int main() {
   6     char buf[1024];
   7     int n;
   8     printf("length: ");
   9     fflush(stdout);
  10     fread(&n, 1, sizeof(n), stdin);
  11     printf("shellcode: ");
  12     fflush(stdout);
  13     fread(buf, 1, n, stdin);
  14     ((func *)buf)();
  15 }

Targets

時間が余った人はARMにもチャレンジ

Shellcode(no /bin/sh)

Targets

時間が余った人はARMにもチャレンジ

x86/x86-64 ABI

x86/x86_64関数呼び出しチートシート

ASLR

Return-to-plt

Return-to-plt (演習)

   1 // gcc -m32 -fno-stack-protector -o baby3 baby3.c
   2 #include <unistd.h>
   3 char buf2[128];
   4 int f() {
   5     char buf[32];
   6     int n;
   7     read(0, &n, sizeof(n));
   8     system("sleep 1");
   9     read(0, buf, n);
  10     return 0;
  11 }
  12 int main() { return f(); }

Target

Return-to-libc

Stack canary

http://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/c905.html

Return-to-libc & Stack canary (演習)

   1 // gcc -m32 -pie -fPIE -fstack-protector -o baby4 baby4.c
   2 #include <stdio.h>
   3 #include <unistd.h>
   4 int main() {
   5     char buf[32];
   6     int n;
   7     write(1, buf, 128);
   8     fread(&n, 1, sizeof(n), stdin);
   9     fread(buf, 1, n, stdin);
  10     return 0;
  11 }

Target

時間が余った人はx86-64とARMにもチャレンジ

ROP

Return-to-plt revisited(x86-64) with tiny ROP

   1 // gcc -m64 -fno-stack-protector -o baby3 baby3.c
   2 #include <unistd.h>
   3 char buf2[128];
   4 int f() {
   5     char buf[32];
   6     int n;
   7     read(0, &n, sizeof(n));
   8     system("sleep 1");
   9     read(0, buf, n);
  10     return 0;
  11 }
  12 int main() { return f(); }

Target

時間が余った人はARMにもチャレンジ

ROP (演習)

   1 // gcc -m32 -static -fno-stack-protector -o baby5 baby5.c
   2 #include <stdio.h>
   3 #include <unistd.h>
   4 int f() {
   5     char buf[32];
   6     int n;
   7     fread(&n, 1, sizeof(n), stdin);
   8     fread(buf, 1, n, stdin);
   9     return 0;
  10 }
  11 int main() { return f(); }

Target

時間が余った人はx86-64とARMにもチャレンジ

その他

Format String Attack

実践

適当な問題を探す

ytoku/Slides/Pwn勉強会 (last edited 2015-10-07 15:46:40 by nomeaning)