Wie kriege ich mit ROP einen "/bin/sh" Pointer in rdi?

Ich versuche, rücksprungorientierte Programmierung (ROP) zu lernen.

Und zwar habe ich ein Programm mit einem Pufferüberlauf auf dem Stack, und ich möchte das Programm dazu bringen, /bin/sh zu öffnen.

Das geht mit dem execve Syscall, wenn ich die richtigen Instruktionen finden kann, um die Funktionsparameter vorzubereiten. Das ist die Signatur von execve:

int execve(const char *pathname, char *const _Nullable argv[], char *const _Nullable envp[]);

Also muss ich die folgenden Register setzen:

rax = 0x3b (Syscallnummer von execve)
rdi = "/bin/sh" Pointer
rsi = NULL
rdx = NULL

Die folgenden Instruktionen habe ich bereits gefunden:

pop rax ; ret
pop rdi ; ret
pop rsi ; ret
pop rdx ; ret
syscall

Ich kann also die Instruktionen und Registerwerte mit dem Pufferüberlauf auf den Stack schreiben und so meine Register füllen. Das Problem ist aber, dass ich einen "/bin/sh" Pointer in rdi brauche (also nicht "/bin/sh" im Register, sondern eine Speicheradresse, an der "/bin/sh" steht).

Ich kann natürlich "/bin/sh" in den Puffer auf dem Stack schreiben, aber leider ist die Speicheradresse jedes Mal anders und ich kenne sie vorher nicht.

Ich weiß, dass "/bin/sh" in libc vorkommt, aber auch dort ist die Speicheradresse jedes Mal anders und ich kenne sie vorher nicht.

Wie komme ich also an einen "/bin/sh" Pointer? Gibt es Tricks oder bestimmte Instruktionen, nach denen ich mich umsehen sollte?

2 Antworten

Vom Fragesteller als hilfreich ausgezeichnet

KarlRanseierIII

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

programmieren, Informatik

17.04.2024, 20:54

Ich kann natürlich "/bin/sh" in den Puffer auf dem Stack schreiben, aber leider ist die Speicheradresse jedes Mal anders und ich kenne sie vorher nicht.

Welche Adresse ist jedes mal anders?

Du könntest vielleicht '"/bin/sh" auf dem Stack ablegen und kennst die Position zum Basepointer, sodaß Du mit dessen Hilfe eine Adresse konstruieren kannst?

DummeStudentin

Fragesteller

17.04.2024, 21:10

Die relative Position zum Basepointer kann ich herausfinden. Die sollte sich ja nicht verändern. Aber der Basepointer ist jedes Mal anders.

KarlRanseierIII

17.04.2024, 21:22

@DummeStudentin

Die Idee wäre halt den Basepointer (liegt ja in RBP) zu nehmen, den bekannten offset zu Deinem string zu verrechnen udn das Ergebnis in rdi zu legen.

Ich denke da in Richtung:

LEA rdi,[rbp+knownoffset]

DummeStudentin

Fragesteller

17.04.2024, 21:27

@KarlRanseierIII

Danke, ich schau mal nach, ob es solche Instruktionen im Programm gibt.

KarlRanseierIII

17.04.2024, 21:31

@DummeStudentin

Statt eines LEA ginge ggf. auch direkte Arithmetik, also ein geeignetes mov udn add o.ä. .

Ob du damit weiterkommst, kann ich Dir natürlich nicht sagen.

JanaL161

17.04.2024, 20:35

Pack doch einfach den String "/bin/sh" in die `.data` Region deiner Software. Dann weißt du immer, wo sich dieser befindet und hast den Pointer dazu.

Hier ein Beispiel: https://www.mourtada.se/calling-printf-from-the-c-standard-library-in-assembly/

DummeStudentin

Fragesteller

17.04.2024, 20:37

Es ist ja eben nicht meine eigene Software, sondern eine Challenge, die auf einem fremden Server läuft. Ich kann das Programm also nicht direkt modifizieren, sondern nur Eingaben senden.

JanaL161

17.04.2024, 20:42

@DummeStudentin

Ich verstehe nicht ganz.

Du kannst direkt in assembly auf den Stack schreiben. Dann hast du doch auch den Stackpointer, der zu dem String zeigt (wenn du ihn dahin schreibst). Die Adresse kannst du dir in ein Register kopieren und an die Funktion geben.

Wenn nicht, müsstest du mehr Informationen zu dem teilen, wie genau dein Code bisher aussieht.

DummeStudentin

Fragesteller

17.04.2024, 21:06

@JanaL161

Nein, ich kann kein Assembly auf den Stack schreiben, weil der Stack nicht ausführbar ist. Ich überschreibe durch einen Pufferüberlauf die Rücksprungadresse auf dem Stack, um den Kontrollfluss des Programms zu manipulieren. Deshalb kann ich nur Code, der schon im Programm vorhanden ist, zweckentfremden.

Zum Beispiel gibt es im Programmcode 2 Funktionen, die so enden:

        ...
0x1234: pop rdi
        ret

        ...
0x5678: pop rsi
        ret

Die Adressen habe ich frei erfunden.

Wenn ich die Adresse der "pop rdi" Instruktion auf den Stack schreibe, springt das Programm dort hin, nachdem es mit der aktuellen Funktion fertig ist und liest rdi vom Stack. Die Idee ist jetzt also, solche kleinen Stücke des Programmcodes aneinanderzureihen.

Ich würde dann z.B. das hier als Eingabe senden (natürlich kodiert und Little Endian, aber für die bessere Lesbarkeit lasse ich das hier mal weg):

0x0000000000000000
...
0x0000000000001234
0x0000000000069420
0x0000000000005678
0x0000000000000000
...

Zuerst einige Bytes, sodass 0x1234 an die Stelle auf dem Stack kommt, an der die Rücksprungadresse steht. Dann den Wert, den ich in rdi haben will (ich habe hier 0x69420 als Beispiel verwendet, aber eigentlich will ich einen "/bin/sh" Pointer). 0x5678 ist dann die Rücksprungadresse, die von der "ret" Instruktion nach "pop rdi" verwendet wird, weil ich als nächstes rsi setzen möchte. In rsi schreibe ich in diesem Beispiel 0x0 rein, und so weiter.

Diese Technik heißt rücksprungorientierte Programmierung.

Das funktioniert so weit auch. Ich habe es mit gdb getestet, und die Register haben die richtigen Werte. Aber ich weiß eben nicht, wie ich einen "/bin/sh" Pointer in rdi bekomme.

Ich würde die Aufgabe so lösen. In der Aufgabe steht byte-weisen Aufbau des Stack. D. h. für mich ein Byte pro Stack schickt.

ebx und eax sind ja normal 32 Bit a 4 Byte Register d. h. 2^31 als max Zahl passt rein.

Gehe von little Endianess aus. D. h. für mich 4711h wird

11 lowest Adress

47 highest Adress gespeichert. Zuerst 11, dann 47

Bei einem Stack ist aber die höchste Speicheradresse im Keller (ganz oben) und jedesmal wenn ich etwas drauf push wird die Adresse im Stack kleiner. Der esp wandert eins nach unten..

Wie ist hier die richtige Reihenfolge?

Worauf zeigt der esp am Ende im Stack?

=> little Endian 11 an lowest Adress 47 an highest address

=> im Stack highest adress im Keller lower address wenn der Stack wächst.

Gehe von little Endian aus. D. h. Im Stack im Keller steht die 47 und dann folgt die 11 oder anders herum?

...zur Frage

Speicherzugriffsfehler in Assembler?

Hey ich habe folgenden rekursiven Fibonacci Code geschrieben. Ich erhalte beim ausführen immer einen Speicherzugriffsfehler

Pastebin-Link: https://pastebin.com/qNWcyBa5

.intel_syntax noprefix

.section .data

n: .quad 10 # define the fibonacci number that should be calculated

.section .text

.global _start

_start:

# call Fibonacci function f(n)

push [n] # parameter: fibonacci number to calculate

call f # call function

add rsp, 8 # remove parameter from stack

# print calculated Fibonacci number on stdout

#call printnumber

# exit process with exit code 0

mov rax, 1

mov rbx, 0

int 0x80

# f: Calculates a Fibonacci number

# f(n) = {n, if n<=1; f(n-1)+f(n-2), else}.

# Parameter: Integer n >= 0, passed on stack

# Returns: Fibonacci number f(n), returned in rax

.type f, @function

push rbp # basepointer auf stack pushen

mov rbp, rsp # basepointer bekommt Wert des stackpointers

add rbp, 8 # 1.Parameter

mov rbx, [rbp] # rbx= 1.Paramter

cmp rbx, 0 # wenn n=0 passiert nichts, jmp zu end

je end

cmp rbx, 1 # wenn n=1 jmp zu baseone

je baseone

dec rbx # n-1

push [rbx] # push n-1

call f # call f(n-1)

dec rbx # n-2

push [rbx] # push n-2

call f # call f(n-2)

baseone: add rdi, 1 # rdi = rdi + 1

end: pop rbp # basepointer wieder vom Stack entfernen

ret

weiß auch nicht warum gf hier so viele Leerzeichen reinmacht. Naja hab das meiste kommentiert. Also wenn jemand einen Tipp hat wäre ich sehr dankbar.

Wer es kompilieren will.

as --gstabs -o Dateiname.o Dateiname.asm

ld -m elf-x86-64 -o Name Dateiname.o

./Name

Lg Tischtennisftw

...zur Frage

Was ist die Aufgabe von "cld" und "rep movsb" in diesem Assembler Programm?

Warum haben wir folgendes geschrieben ?

   cld
   rep     movsb

durch lopsb und stosb wird jedes Byte in esi mit 2 addiert und nach edi transferiert, oder ?

...zur Frage

Könnte jemand mir dieses Code schritt für schritt erklären?

ich habe diese Schritte nicht verstanden:

"shl eax, 16

sar eax, 8

mov edx, eax

shr edx, 16"

...zur Frage

Kann jeder hacken lernen?

Ich möchte hacken lernen und dem CCC beitreten, aber ich befürchte, dass ich zu dumm dafür bin.

Denkt ihr, mit genug Motivation kann jeder hacken lernen, oder muss man dazu sehr intelligent sein?

...zur Frage

Was ist die Aufgabe von Push EDX in diesem Beispiel?

Warum hat man hier "PUSH EDX" geschrieben ?

Was ist seine Aufgabe ?

Wenn wir darauf verzichten, was könnten es sein ? Wird der Programm ein Fehler zeigen ?

...zur Frage

Add Ziel, Quelle?

können die beiden Operanden zwei Speicherzugriffe sein ? oder sollen die beiden Register sein ?

...zur Frage

was ist CTF?

Hallo, ich habe vor Monaten mit Coden angefangen und beschäftige mich immer mehr damit, neulich habe ich eine Sache gehört, die mir sehr gefallen hat, es geht über CTF (Capture the flag), wie kann man mitmachen und so stark wie die trainieren, man kan so viel wissen damit machen und deswegen will ich es gerne wissen.

...zur Frage

Division in Assembly. Zeichen sind in ASCII gespeichert?

section .text
global main

main:
  mov esi, 10           ; ESI holds current number
  mov eax, 0           ; EAX holds sum of numbers
  push 10             ; Line feed for end of line (Stack is first in, last out -> Line feed will be last char)
  mov edi, 10           ; Divisor of 10 for seperating digits of number (used in divisionLoop)



; Sum numbers 1 through 10
sumLoop:
  add eax, esi          ; Add number to sum
  dec esi             ; Next number
  jnz sumLoop           ; Loop until 0



; Seperate eax into its digits, by dividing by 10 multiple times,
; where in each division the remainder will be a single digit 
; and the quotient will be the remaining digits used as dividend in next loop run
divisionLoop:
  mov edx, 0           ; Make sure edx is empty, as it is used as upper half of dividend
  div edi             ; Divide eax by edi (= 10) => quotient is in eax (= Rest of digits for next loop), remainder in edx (= Single digit)
  add edx, 48           ; Make edx (digit) a char representing its value by adding '0' to it
  push edx            ; Push char to stack for usage in print later

  cmp eax, 0           ; Loop until quotient is 0 (=> no more digits left)
  jne divisionLoop



; Print digits from Stack one by one
printLoop:
  mov eax, 4
  mov ebx, 1
  mov ecx, esp          ; Print top of stack (esp always points to top of stack)
  mov edx, 1           ; Length of 1 byte (= 1 char)
  int 80h

  pop esi             ; Remove top of stack
  cmp esi, 10           ; Loop until Line feed is reached
  jne printLoop


exit:
  mov eax, 1
  mov ebx, 0           ; Exit code 0
  int 80h

Hallo,

hier steht ein Programm in Assembler, dass die Zahlen von 1 bis 10 addiert.

Die 55 durch 10 teilt und die Reste der Division dann in einem Stack speichert.

push....

Am Ende wird alles über den Standardkanal ausgegeben auf der Konsole.

Wenn ich 55 / 10 teile ergibt das Quotient 5 steht in Register eax und der Rest hier auch 5 in edx Register. Bevor ich jetzt den Rest auf den Stack lege wird die Zahl mit 48 addiert. ergbit 53 ist das char Zeichen 5 im ASCII Code.

Heißt das jetzt, dass die Ergebnisse bei einer ganzzahligen Division im Assembler-Code immer in ASCII-Zeichen gespeichert sind?

...zur Frage

Was ist der Unterschied zwischen char und char* im assembler?

...zur Frage

Warum belegen einige Befehle im Hauptspeicher 16 Bit, andere dagegen 32-Bit?

...zur Frage

In welchem Maschinen-Code sind Betriebssysteme geschrieben?

Hallo,

Ich habe ein paar Fragen:

In welchen Maschinen-Code sind Betriebssysteme kompilliert damit sie auf mehreren Computer laufen können? Windows läuft ja auf vielen Intel-Prozessoren und auf vielen AMD-Prozessoren.
Wo finde ich eine Tabelle die den passenden Maschinen-Code und die passenden Assembler Befehle auflistet

...zur Frage

Mit Assemblersprache in Geräte kommen - Gutes Assemblerprogramm?

Hallo, ich möchte mit Assemblersprache anfangen und sie lernen. Nun habe ich mich erstmal generell informiert und mir sagen lassen, dass auch moderne Küchengeräte einen Prozessor haben, der ja wiederum Maschinencode liest und sich von diesem beeinflussen lässt.

Jetzt bräuchte ich ein Assembler, der die Assemblersprache in Maschinensprache übersetzt. Kennt da jemand einen guten?

Und wie könnte ich denn beispielsweise eine IoT-Lampe manipulieren? Bin noch nicht ganz so eingeweiht in den Assemblercode und finde im Internet auch nicht alt so viel.

...zur Frage

Problem mit NASM?

Ich bekomme einen Speicherzugriffsfehler bei einem Teil meiner IOTA Methode. Diese Funktion ermittelt die Länge einer Zahl, die im eax Register später steht. Das funktioniert auch, das Ergebnis ist richtig, nur ich bekomme dann einen nervigen Speicherzugriffsfehler.

Die Methode wird folgendermaßen angesteuert:

  push    edi
  push    ebx
  push    esi
  mov     esi, 0   mov     edi, eax


  call    len_count


len_count:   mov     eax, edi   mov     ebx, 10   idiv    ebx   call    resetcalc


  mov     edi, eax


  cmp     eax, 0   je      len_iszero   inc     esi   jne     len_count


len_iszero:   mov     eax, esi   add     eax, 1   pop     esi   pop     ebx   pop     edi   ret

Die Methode steuere ich so an:

 mov  eax, 15024
 call  len

In len_iszero ist eax beim Abschluss der Methode 5, logisch, die Zahl ist fünfstellig. len_iszero läuft komplett durch und dann gibt es einen Speicherzugriffsfehler.

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen