[閒聊] OneGadgetTest(ogt) gdb plugin

看板NetSecurity (資安 資訊安全)作者 (Void)時間4年前 (2020/01/30 15:57), 4年前編輯推噓3(305)
留言8則, 5人參與, 4年前最新討論串1/1
今天來自肥一下,小弟我昨天用 python 搞了一個用來快速分辨當前滿足哪個 one gadget 條件的 gdb plugin ,不是什麼創新發明只是將步驟用程式自動化執行,幫助使用者偷懶 的小工具,想偷懶的人可以嘗試用一下 XD 下面針對幾個主題做個小簡介: * One Gadget * one_gadget * OneGadgetTest 1. One Gadget one gadget 這個簡便的利用方法起源眾說紛紜,北京清華的藍蓮花隊長在他的 ppt <掘金-- CTF 中的內存漏洞利用技巧>[1] 中提到 one gadget 可能是從 PPP 戰隊的 rickyz 提出,而台灣的 ddaa 則在撰寫駭客列傳(X CTF 的三十道陰影系列(O 的時候提到 one gadget 起源[2] 時是說出自 Dragon Sector 戰隊之手 (應該是出自 dragon sector 的一篇 slide[3] 扯遠了拉回來,這個技巧原理是因為 libc 這個 shared library 內有些 function 會調 用以下的 syscall: execve("/bin/sh", argv, envp); 目的是啥我沒有細究,總之很方便就對了 XD 因為解謎型式的 ctf pwn 的成功標準就是拿 shell 而已,後續的利用和回復沒啥必要, 拿到 shell 看 flag 就可以走人,所以這種射後不理的手法很受歡迎,基本上能控制程式 流程題目差不多就解完了,因為 libc 內不只有一個 one gadget ,要存在一種情況剛好 所有條件不滿足的機會太小,就算條件不滿足透過一些前置作業也可以修正回來,所以現 今比較難的題目通常會在別的地方刁難玩家 XD 2. one_gadget 比較早期的時代,玩家通常都透過 objdump 或 IDA 之類反組譯工具硬幹,遇到不同版本 的 libc 又要從找一次,十分痛苦(我自己是沒經歷過啦 XD 所幸,台灣 HITCON 戰隊的 david942j 自己開發一套用 ruby 寫的工具 one_gadget[4], 一個指令下去馬上列出當前的 libc 的所有 one gadget 地址和滿足條件,十分簡便,關 於 one_gadget project , david942j 大大有在自己的 blog 下分享該工具的相關原理和 實作[5],想了解細節可以去參觀一下 XD 根據 ddaa 大大的說法,因為 one_gadget 的出現導致 pwn 題的難度下降不少,不少出題 者開始用 seccomp 限制 execve syscall 提升難度,然後強者 david942j 又開發了 seccomp-tools[6],指令一下去馬上列出當前 process 限制的 syscall ,大幅降低開發 exploit 的困擾 相比之下我只能在這些基礎上面做些偷懶的工具 QQ 3. OneGadgetTest 先說在前頭這個部分難度陡降 XD ,以前做 exploit 想用 one gadget 來 get shell 時 ,我都必須用 one_gadget 看當前的 libc 的指令地址和限制,然後根據限制比對哪個地 址可以用或是哪個條件不滿足。 雖然切換來切換去只是多幾個步驟,但懶人如我總想找點地方來偷懶,於是就抓了工具的 輸出然後分析,最後根據每個條件計算看是否符合,直接呈現出來,大概從 3, 4 個步驟 降為 1 個步驟這樣 XD project: https://github.com/0n3t04ll/OneGadgetTest 這邊附上引用和來源,不過因為網址好像大多都過長,所以會被裁切掉,可能要自行拼接 ,有更好的方法我再改進 * Reference [1] https://paper.seebug.org/papers/Archive/refs/2015-1029-yangkun-Gold-Mining- CTF.pdf [2] https://ithelp.ithome.com.tw/articles/10226977 [3] https://drive.google.com/file/d/18UpGDvhccnnGWj7Mux7_2BGouIZK_5bK/view [4] https://github.com/david942j/one_gadget [5] https://david942j.blogspot.com/2017/02/project-one-gadget-in-glibc.html [6] https://github.com/david942j/seccomp-tools -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.228.98.19 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1580371039.A.B89.html

02/15 22:56, 4年前 , 1F
推個 優文居然都沒人推 ==
02/15 22:56, 1F

02/16 15:11, 4年前 , 2F
小弟我負責 m 討論靠各位了~
02/16 15:11, 2F

02/19 07:57, 4年前 , 3F
先推再說!
02/19 07:57, 3F

04/08 10:57, 4年前 , 4F
其實 libc 裡面是執行 execve("/bin/sh", argv, envp)
04/08 10:57, 4F

04/08 10:57, 4年前 , 5F
但因為控 rip 是從中間跳進去, 所以會在 argv 和 envp 還沒
04/08 10:57, 5F

04/08 10:58, 4年前 , 6F
被設定好的情況下跑 one gadget, 才變成傳 NULL
04/08 10:58, 6F

04/12 21:00, 4年前 , 7F
喔喔我以為 argp,envp 原本就是要傳 NULL ,感謝大大指
04/12 21:00, 7F

04/12 21:00, 4年前 , 8F
點,等等再修改
04/12 21:00, 8F
※ 編輯: b0920075 (36.226.12.156 臺灣), 04/13/2020 00:41:11
文章代碼(AID): #1UCenVk9 (NetSecurity)
文章代碼(AID): #1UCenVk9 (NetSecurity)