Как пишут эксплойты

Предлагаю вникнуть в бинарные уязвимости и эксплойтостроение на примере просто ROP (return oriented programming) – одного из методов эксплуатации уязвимостей в ПО. Это достаточно мощный инструмент, с помощью которого можно обойти различные методы защиты. Конкретно мы будем разбираться с гаджетами и ROP-цепочками.

Что такое ROP-гаджеты

По умолчанию гаджет завершается RET (это инструкция возврата), которая расположена в ОЗУ в коде программы или распределяемой библиотеки. В процессе кибератаки мошенники делают так, чтобы все гаджеты выполнялись через инструкции возврата, а для этого они определенным образом формируют их цепочки (последовательности) – их и называют ROP-цепочками или ROP-chain.

Допустим, мы возьмем необходимые нам гаджеты в цепочку. Ее отправим в стек и добьемся выполнения любого кода. Код может быть вообще любым, но нам нужно вызвать шелл (оболочку). Под linux это делается с помощью execve() (аналог system()) – его и будем применять для создания системного вызова.

Linux System Calls

Системные вызовы помогают получить определенные системные функции. Полный их список с присвоенными номерами вызываем следующим образом:

Зачем нужен номер? Зная его, мы сможем вызвать конкретную системную функцию:

unistd.h представляет собой файл заголовка, через который мы получаем доступ к API нашей ОС. Его содержимое можно увидеть через простой редактор nano.

Что содержится в unistd_32.h?

Видим, что перед нашим системным вызовом стоит 11.

Идем дальше – прототип системного вызова execve().

Filename – указатель на строку (у нас это путь к двоичному файлу ptr для «/bin/sh»).

ARGV[] – перечень аргументов программы (отсутствуют, потому ставим 0).

Envp[] – аргумент параметров среды (снова 0).

Получаем:

Ассемблер

Разберемся, как у него обстоят дела с командами и регистрами.

Основные регистры:

EIP – служебный регистр, указывает на адрес текущей исполняемой инструкции;

ESP – хранит указатель на вершину стека;

EBP – указатель на фрейм, применяется для адресации данных в стек;

EAX – используется как универсальное хранилище при накоплении данных;

EBX – хранит адреса в памяти (регистр общего назначения, хранит любые данные в оперативной памяти);

ECX – применяется для организации циклов. Перед циклом в него заносят необходимое количество итераций, каждая команда loop уменьшает значение этого регистра на единицу. При достижении нуля цикл завершается;

EDX – аналог EAX, тоже универсальный аккумулятор значений, часто используется для умножения и деления (DIV, SUB).

Последние четыре регистра используются для хранения определенных значений.

Есть еще 6 с аргументами системных вызовов: EBX, ECX, EDX, ESI, EDI и EBP. Если аргументов 7 и больше, ячейка памяти первого сохраняется в EBX.

Снова возвращаемся к execve(). Для ее вызова нужно придумать, где хранить аргументы. Используем для этого те самые шесть регистров.

Для самого системного вызова нам понадобится int 0x80 (80h), где int – прерывание, а 0х80 – его номер.

Обработкой прерываний в linux занимается его ядро, оно же отвечает за выполнение системных вызовов другими программами. Ядро получает сведения о том, какой вызов хочет сделать определенная программа после того, как проанализирует содержимое EAX (туда записывается номер системного вызова).

Чтобы сделать системный вызов:

Получаем:

Дальше находим гаджеты, которые соответствуют нашим критериям, и собираем ROP-цепочку.

Формируем ROP-chain

Искать подходящие гаджеты удобно с помощью специальных инструментов. Их много, причем одни просто частично автоматизируют работу, а другие умеют сами формировать ROP-цепочки. Я предлагаю использовать в работе ROPgadget или онлайн-сервис ROPShell. Для нашего примера я выбираю второй вариант.

У нас есть два способа: найти гаджеты в программе stack7 или в библиотеке libc. И снова второй вариант лучше, так как чем «тяжелее» программа, тем больше в ней обнаружится гаджетов, хотя не факт, что нужные там будут.

Найдем, какие библиотеки привязаны к нашей программе, с помощью утилиты ldd.

Где находится библиотека?

Пока видим только ярлык, но сама библиотека располагается там же и называется libc-2.11.2.so. Скачиваем ее и загружаем в онлайн-сервис. Для скачивания рекомендую WinSCP – свободно распространяемый графический клиент SFTP под Windows.

Ищем в папке libc-2.11.2.so и загружаем его.

Со своего компьютера загружаем скачанный файл в онлайн-сервис ROPShell. Как это выглядит – смотрим здесь.

Теперь возьмем некоторые фрагменты из ранее написанного эксплойта.

Нам нужна часть кода.

По результатам анализа библиотеки получаем такую картину:

Чтобы сформировать ROP-последовательность, найдем здесь три инструкции:

pop [register] – переносит данные с вершины стека в [register];

xor eax, eax; – записывает в EAX ноль;

inc eax; – добавляет к содержимому EAX на единицу.

Теперь переходим к конструированию ROP-эксплойта.

1. Переполняем буфер на 80 байтов. offset eip.

2. Переходим на RET address.

3. Обнуляем содержимое регистров ECХ и EDX.

Ищем гаджеты с нужными нам инструкциями. Пишем в ROPShell:

Подставляем четырехбайтное значение ‘x00x00x00x00’, обнуляем содержимое регистра ECX.

И еще:

pop edx; ret

‘x00x00x00x00’ в регистр EDX записываем 0.

Одного гаджета с обеими инструкциями «pop ecx; ret» & «pop edx; ret» мы не нашли, продолжаем поиски.

Значения подставляем такие, которые соответствуют выбранным гаджетам.

4. В регистр EAX записываем 0.

Пишем xor, eax в ropshell.

5. Снова нужен EAX, но сейчас записываем туда 11.

Сейчас в EAX записано значение 0, с помощью инкрементации увеличиваем его до 11.

6. Смотрим, что с EBX.

7. Добавляем ‘bin/sh’.

8. Вызываем int 0x80.

9. Суммируем и печатаем.

Вместо адреса system() подставляем адрес сишной библиотеки. Нам нужен адрес, по которому мы искали гаджеты. Используем «info proc map» – эта команда позволит увидеть адресное пространство и понять, где libc загружен в память.

Адрес выяснили – libc загружен по адресу 0xb7e97000.

И теперь код эксплойта полностью.

Как проверить, что все верно?

Ура, root получили! Наш эксплойт целиком состоит из цепочки гаджетов ROP-chain. Об их классификации можно узнать здесь, а про ROP – здесь.

Больше интересных тем по кибербезопасности вы найдете на нашем форуме https://codeby.net. Всех желающих приглашаем на обучение – преподаватели нашей школы разработали курс по анонимности и безопасности в интернете. Узнать подробности и записаться: вам сюда.

Metasploit имеет множество встроенных модулей и плагинов, которые позволяют проводить эффективное тестирование на проникновение. Но он также служит невероятно настраиваемым инструментом, с помощью которого вы можете настраивать эксплойты, специфичные для системы, которую вы планируете атаковать. В этом пошаговом руководстве будут рассмотрены эксплойты переполнения буфера на основе стека и переполнения буфера, а также как самому написать простой эксплойт Metasploit.

Типы эксплойтов

Типы эксплойтов в Metasploit:

• Активный
• Пассивный

Основное различие между этими двумя типами эксплойтов заключается в том, что активный тип использует определенную цель. прежде, чем он завершится, тогда как пассивный тип ожидает, пока входящий хост не подключится, прежде чем использовать. Это полезно знать заранее, так как разница станет более очевидной, когда вы перейдете к написанию более сложных эксплойтов.

Наша установка

Программное обеспечение, которое мы будем использовать в этом руководстве, включает следующее:

Эксплойт: Для целей этого краткого руководства мы будем использовать уже существующую уязвимость на FTP-сервере freefloat.

Отладчик иммунитета: Это используется при создании эксплойтов и бинарных файлов обратного проектирования. Вы можете легко найти хороший отладчик, доступный в Интернете бесплатно.

Пакет обновления 3 для Windows XP установлен

Kali Linux: Очевидно, что это бесспорно ведущее средство для тестирования на проникновение.

Mona.py: Плагин на основе Python, который помогает с отладкой иммунитета. Загрузите Mona.py и переместите его в каталог отладчика иммунитета (папка команды py).

Процесс

Имитация фаззинга

Мы выполним псевдофаззинг, который предполагает заполнение системы случайными данными. Мы создадим шаблон из 1000 символов и воспользуемся им для перегрузки порта 21, поскольку это командный порт FTP-сервера.

После выполнения модуля запустите отладчик иммунитета и убедитесь, что EIP был перезаписан.

Огонь вверх Мона

После перезаписи EIP мы можем продолжить работу с отладчиком иммунитета. Введите следующее:

>!Мона предлагает

Для продолжения выберите TCP-клиент и порт 21.

Настроить эксплойт

Вы увидите созданный в результате файл на основе рубина. Вы можете изменить его как хотите. Здесь мы переименуем его в f.rb.

Запустите эксплойт в Metasploit

Загрузите файл в Kali Linux и реплицируйте эксплойт из корня в платформу Metasploit:

Вы можете видеть, что Metasploit принимает изменения и совместим.

Вывод

Это было мини-руководство о том, как написать эксплойт для Metasploit. Мы обсудим более сложные эксплойты и посмотрим, как они будут написаны в следующих статьях.

Просмотров: 69

Пожалуй, начнем еще одну вводную лекцию. Я понимаю, что создание эксплойтов, глядя на коды операции сборки в отладчике, может быть очень пугающей или сложной задачей, и это может быть за пределами Вашей зоны комфорта.

Итак, мы собираемся охватить некоторые очень простые концепции, такие как, к примеру, шеллкоды. В основном шеллкод, по крайней мере, в области двоичного представления, содержит в себе операции на языке ассемблера. Это может отталкивать Вас в дальнейшем обучении, но не стоит беспокоиться, так как все не так сложно, как кажется на первый взгляд.

Шеллкод представляет собой двоичный исполняемый код.

Bind-шелл на целевом хосте эксплуатирует приложение для прослушивания, после запуска эксплойта. У жертвы будет новый порт прослушивания, и Вы можете просто подключать «NetCat» для этих целей.

И, наоборот, есть reverse-shell, который делает обратное подключение с машины жертвы, на нашу целевую машину. Все, что от нас требуется, это вовремя прослушивать порт, который мы прописали в эксплойте. Все довольно просто. Таким образом мы можем обойти файрволл, и без препятствий провести соединение. Для ловли входящего подключения с машины жертвы, нам пригодится команда: «nc –nlvp <прослушивающийся порт>».

Еще хотелось бы добавить немного про Meterpreter, который входит в состав фреймворка Metasploit. Meterpreter можно называть трояном (Remote Access Trojan). Он позволяет получить удаленный доступ к машине жертвы.

Но этим не стоит ограничиваться, так как может понадобиться второй эксплойт для повышения Ваших привилегий в системе.

Рассмотрим фаззинг. Фаззинг заключается в отправке или передаче нежелательной строки уязвимому приложению с целью его сбоя и, возможно, обнаружения возможности эксплуатации. Процесс фаззинга поддерживается наличием коммерчески доступных «фаззеров» с открытым исходным кодом. У Вас могут быть фаззеры сетевых или файловых форматов, которые будут видоизменяться.

Дебаггеры также полезны при разработке эксплойтов. Мы подключим отладчик к указанному процессу, который будет работать до момента поломки программы. Мы будем использовать три дебаггера.

1. Immunity Debugger

2. GDB-PEDA (GNU Debugger)

3. EDB (Evan’s Debugger)

Итак, технические особенности. Нам нужна среда виртуализации на Вашем ноутбуке или ПК. Также требуется Windows 7, Vista или XP, и, в качестве целевого хоста, Kali Linux.

#1 Введение в разработку эксплойтов. Вводная часть.

#2 Введение в разработку эксплойтов. Дополнительные модули.

​