1と6のリビジョン間の差分 (その間の編集: 5回)

Pwn勉強会(Stack day 1)

Tools

Disassembler
- udcli / ndisasm
- objdump
- METASM / Hopper / IDA Pro
Assembler
- nasm
- Pwntools
- METASM?
Debugger
- gdb-peda
Pwn toolkit
- Pwntools
- Ruby系でなにか

Python(Pwntools)とRuby(METASM? ctfライブラリ?)好きな方を選んで作業を進めてもらう．

x86 assembly

Intel記法

データはオペランドの右から左に流れる
比較命令のオペランドの順序が命令名と一致しているためわかりやすい

例

  14:   8b 45 f8                mov    eax,DWORD PTR [rbp-0x8]
  17:   01 45 fc                add    DWORD PTR [rbp-0x4],eax
  1a:   83 45 f8 01             add    DWORD PTR [rbp-0x8],0x1
  1e:   83 7d f8 09             cmp    DWORD PTR [rbp-0x8],0x9
  22:   7e f0                   jle    14 <f+0x14>

AT&T記法

Intel記法のオペランドと逆順

例

  14:   8b 45 f8                mov    -0x8(%rbp),%eax
  17:   01 45 fc                add    %eax,-0x4(%rbp)
  1a:   83 45 f8 01             addl   $0x1,-0x8(%rbp)
  1e:   83 7d f8 09             cmpl   $0x9,-0x8(%rbp)
  22:   7e f0                   jle    14 <f+0x14>

x86/x86-64 ABI

チートシート

System call

システムコールとは
- プログラムがカーネルとやりとりする一元化された窓口
プログラムの動作権限
- ユーザモード
  - 普通のプログラムが動作
  - 基本的にプロセスのメモリ内で計算しかできない．
  - それ以外のことをするためにはシステムコールを呼ぶ
- カーネルモード
  - カーネルが動作
- 任意の操作が可能

How to call System calls

システムコールの呼び出し方

x86
- int 0x80
  - INTerrupt (ソフトウェア割り込み命令)
- システムコール番号: eax
- 引数: ebx, ecx, edx, esi, edi, ebp
x86-64
- syscall命令
- システムコール番号: rax
- 引数: rdi, rsi, rdx, r10, r8, r9

arch	instruction	syscall #	retval	arg1	arg2	arg3	arg4	arg5	arg6
x86	int 0x80	eax	eax	ebx	ecx	edx	esi	edi	ebp
x86-64	syscall	rax	rax	rdi	rsi	rdx	r10	r8	r9

システムコール番号

system call	x86	x86-64
execve	11	59
open	5	2
read	3	0
write	4	1

参考文献

/usr/include/x86_64-linux-gnu/asm/unistd_32.h
/usr/include/x86_64-linux-gnu/asm/unistd_64.h

Shellcode

   1 // gcc -z execstack -fno-stack-protector -o baby1 baby1.c
   2 // -m32 / -m64 両方やってもらうよ！
   3 #include <stdio.h>
   4 typedef void func();
   5 int main() {
   6     char buf[1024];
   7     fread(buf, 1, 4096, stdin);
   8     ((func *)buf)();
   9 }

Shellcode(no /bin/sh)

   1 // gcc -z execstack -fno-stack-protector -o baby1 baby1.c
   2 // -m32 / -m64 両方やってもらうよ！
   3 #include <stdio.h>
   4 typedef void func();
   5 int main() {
   6     char buf[1024];
   7     fread(buf, 1, 4096, stdin);
   8     ((func *)buf)();
   9 }

Return-to-plt

   1 // gcc -m32 -fno-stack-protector -o baby3 baby3.c
   2 #include <stdio.h>
   3 #include <unistd.h>
   4 char buf2[128];
   5 int f() {
   6     char buf[32];
   7     system("sleep 1");
   8     gets(buf);
   9     return 0;
  10 }
  11 int main() { return f(); }

ASLR

ASLRについて説明

Return-to-libc

   1 // gcc -m32 -pie -fPIE -fno-stack-protector -o baby4 baby4.c
   2 #include <unistd.h>
   3 int f() {
   4     char buf[32];
   5     write(1, buf, 64);
   6     read(0, buf, 1024);
   7     return 0;
   8 }
   9 int main() { return f(); }

Return-to-plt revisited(x86-64) with tiny ROP

   1 // gcc -m64 -fno-stack-protector -o baby5 baby5.c
   2 #include <stdio.h>
   3 #include <unistd.h>
   4 char buf2[128];
   5 int f() {
   6     char buf[32];
   7     system("sleep 1");
   8     gets(buf);
   9     return 0;
  10 }
  11 int main() { return f(); }

ROP

   1 // gcc -m32 -static -fno-stack-protector -o baby6 baby6.c
   2 #include <unistd.h>
   3 int f() {
   4     char buf[32];
   5     read(0, buf, 1024);
   6     return 0;
   7 }
   8 int main() { return f(); }

実践

適当な問題を探す

ytoku/Slides/Pwn勉強会 (最終更新日時 2015-10-07 15:46:40 更新者 nomeaning)

-  ⇤ ← 2015-04-27 20:48:40時点のリビジョン1 → 
  サイズ: 2190
  編集者: ytoku
  コメント:
+   ← 2015-05-05 23:51:56時点のリビジョン6 → ⇥
  サイズ: 4410
  編集者: ytoku
  コメント:
-削除された箇所はこのように表示されます。
+追加された箇所はこのように表示されます。
 行 4:
-== Tools ==
+= Tools =
 行 10:
+  * nasm
-行 20:
+行 21:
-== Shellcode ==
+= x86 assembly =
 * Intel記法
  * データはオペランドの右から左に流れる
  * 比較命令のオペランドの順序が命令名と一致しているためわかりやすい
  * 例{{{
  14:	8b 45 f8             	mov    eax,DWORD PTR [rbp-0x8]
  17:	01 45 fc             	add    DWORD PTR [rbp-0x4],eax
  1a:	83 45 f8 01          	add    DWORD PTR [rbp-0x8],0x1
  1e:	83 7d f8 09          	cmp    DWORD PTR [rbp-0x8],0x9
  22:	7e f0                	jle    14 <f+0x14>
}}}
 * AT&T記法
  * Intel記法のオペランドと逆順
  * 例{{{
  14:	8b 45 f8             	mov    -0x8(%rbp),%eax
  17:	01 45 fc             	add    %eax,-0x4(%rbp)
  1a:	83 45 f8 01          	addl   $0x1,-0x8(%rbp)
  1e:	83 7d f8 09          	cmpl   $0x9,-0x8(%rbp)
  22:	7e f0                	jle    14 <f+0x14>
}}}

= x86/x86-64 ABI =
チートシート

= System call =
 * システムコールとは
  * プログラムがカーネルとやりとりする一元化された窓口
 * プログラムの動作権限
  * ユーザモード
   * 普通のプログラムが動作
   * 基本的にプロセスのメモリ内で計算しかできない．
   * それ以外のことをするためにはシステムコールを呼ぶ
  * カーネルモード
   * カーネルが動作
  * 任意の操作が可能

{{attachment:systemcall.png}}

= How to call System calls =
システムコールの呼び出し方

 * x86
  * int 0x80
   * INTerrupt (ソフトウェア割り込み命令)
  * システムコール番号: eax
  * 引数: ebx, ecx, edx, esi, edi, ebp
 * x86-64
  * syscall命令
  * システムコール番号: rax
  * 引数: rdi, rsi, rdx, r10, r8, r9

||<rowclass="header"> arch || instruction || syscall # || retval || arg1 || arg2 || arg3 || arg4 || arg5 || arg6 ||
|| x86 || int 0x80 || eax || eax || ebx || ecx || edx || esi || edi || ebp ||
|| x86-64 || syscall || rax || rax || rdi || rsi || rdx || r10 || r8 || r9 ||

= システムコール番号 =

||<rowclass="header"> system call || x86 || x86-64 ||
|| execve || 11 || 59 ||
|| open || 5 || 2 ||
|| read || 3 || 0 ||
|| write || 4 || 1 ||

参考文献
 * /usr/include/x86_64-linux-gnu/asm/unistd_32.h
 * /usr/include/x86_64-linux-gnu/asm/unistd_64.h

= Shellcode =
-行 33:
+行 101:
-== x86/x86-64 ABI ==
チートシート

== System call ==
システムコールの呼び出し方

== Shellcode(slightly modified) ==
+= Shellcode(no /bin/sh) =
-行 41:
+行 103:
-// gcc -z execstack -fno-stack-protector -o baby2 baby2.c
+// gcc -z execstack -fno-stack-protector -o baby1 baby1.c
-行 47:
+行 109:
-    scanf("%1023s", buf);
+    fread(buf, 1, 4096, stdin);
-行 53:
+行 115:
-== Return-to-plt ==
+= Return-to-plt =
-行 59:
+行 121:
-int main() {
+int f() {
-行 65:
+行 127:
+int main() { return f(); }
-行 67:
+行 130:
-== ASLR ==
+= ASLR =
-行 70:
+行 133:
-== Return-to-libc ==
+= Return-to-libc =
-行 74:
+行 137:
-int main() {
+int f() {
-行 80:
+行 143:
+int main() { return f(); }
-行 83:
+行 147:
-== Return-to-plt revisited(x86-64) with tiny ROP ==
+= Return-to-plt revisited(x86-64) with tiny ROP =
-行 89:
+行 153:
-int main() {
+int f() {
-行 95:
+行 159:
+int main() { return f(); }
-行 99:
+行 164:
-== ROP ==
+= ROP =
-行 103:
+行 168:
-int main() {
+int f() {
-行 108:
+行 173:
+int main() { return f(); }
-行 110:
+行 176:
-= Pwn勉強会(Stack day 2) =
+= 実践 =
-行 112:
+行 178:
-= Pwn勉強会(Heap day 1) =
やりたいな