作者b0920075 (Void)
看板NetSecurity
標題[閒聊] OneGadgetTest(ogt) gdb plugin
時間Thu Jan 30 15:57:10 2020
今天來自肥一下,小弟我昨天用 python 搞了一個用來快速分辨當前滿足哪個 one gadget
條件的 gdb plugin ,不是什麼創新發明只是將步驟用程式自動化執行,幫助使用者偷懶
的小工具,想偷懶的人可以嘗試用一下 XD
下面針對幾個主題做個小簡介:
* One Gadget
* one_gadget
* OneGadgetTest
1. One Gadget
one gadget 這個簡便的利用方法起源眾說紛紜,北京清華的藍蓮花隊長在他的 ppt
<掘金-- CTF 中的內存漏洞利用技巧>[1] 中提到 one gadget 可能是從 PPP 戰隊的
rickyz 提出,而台灣的 ddaa 則在撰寫駭客列傳(X CTF 的三十道陰影系列(O 的時候提到
one gadget 起源[2] 時是說出自 Dragon Sector 戰隊之手 (應該是出自 dragon sector
的一篇 slide[3]
扯遠了拉回來,這個技巧原理是因為 libc 這個 shared library 內有些 function 會調
用以下的 syscall:
execve("/bin/sh", argv, envp);
目的是啥我沒有細究,總之很方便就對了 XD
因為解謎型式的 ctf pwn 的成功標準就是拿 shell 而已,後續的利用和回復沒啥必要,
拿到 shell 看 flag 就可以走人,所以這種射後不理的手法很受歡迎,基本上能控制程式
流程題目差不多就解完了,因為 libc 內不只有一個 one gadget ,要存在一種情況剛好
所有條件不滿足的機會太小,就算條件不滿足透過一些前置作業也可以修正回來,所以現
今比較難的題目通常會在別的地方刁難玩家 XD
2. one_gadget
比較早期的時代,玩家通常都透過 objdump 或 IDA 之類反組譯工具硬幹,遇到不同版本
的 libc 又要從找一次,十分痛苦(我自己是沒經歷過啦 XD
所幸,台灣 HITCON 戰隊的 david942j 自己開發一套用 ruby 寫的工具 one_gadget[4],
一個指令下去馬上列出當前的 libc 的所有 one gadget 地址和滿足條件,十分簡便,關
於 one_gadget project , david942j 大大有在自己的 blog 下分享該工具的相關原理和
實作[5],想了解細節可以去參觀一下 XD
根據 ddaa 大大的說法,因為 one_gadget 的出現導致 pwn 題的難度下降不少,不少出題
者開始用 seccomp 限制 execve syscall 提升難度,然後強者 david942j 又開發了
seccomp-tools[6],指令一下去馬上列出當前 process 限制的 syscall ,大幅降低開發
exploit 的困擾
相比之下我只能在這些基礎上面做些偷懶的工具 QQ
3. OneGadgetTest
先說在前頭這個部分難度陡降 XD ,以前做 exploit 想用 one gadget 來 get shell 時
,我都必須用 one_gadget 看當前的 libc 的指令地址和限制,然後根據限制比對哪個地
址可以用或是哪個條件不滿足。
雖然切換來切換去只是多幾個步驟,但懶人如我總想找點地方來偷懶,於是就抓了工具的
輸出然後分析,最後根據每個條件計算看是否符合,直接呈現出來,大概從 3, 4 個步驟
降為 1 個步驟這樣 XD
project:
https://github.com/0n3t04ll/OneGadgetTest
這邊附上引用和來源,不過因為網址好像大多都過長,所以會被裁切掉,可能要自行拼接
,有更好的方法我再改進
* Reference
[1]
https://paper.seebug.org/papers/Archive/refs/2015-1029-yangkun-Gold-Mining-
CTF.pdf
[2]
https://ithelp.ithome.com.tw/articles/10226977
[3]
https://drive.google.com/file/d/18UpGDvhccnnGWj7Mux7_2BGouIZK_5bK/view
[4]
https://github.com/david942j/one_gadget
[5]
https://david942j.blogspot.com/2017/02/project-one-gadget-in-glibc.html
[6]
https://github.com/david942j/seccomp-tools
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.228.98.19 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/NetSecurity/M.1580371039.A.B89.html
1F:推 splitline: 推個 優文居然都沒人推 == 02/15 22:56
2F:→ CMJ0121: 小弟我負責 m 討論靠各位了~ 02/16 15:11
3F:推 st1009: 先推再說! 02/19 07:57
4F:推 ddaa: 其實 libc 裡面是執行 execve("/bin/sh", argv, envp) 04/08 10:57
5F:→ ddaa: 但因為控 rip 是從中間跳進去, 所以會在 argv 和 envp 還沒 04/08 10:57
6F:→ ddaa: 被設定好的情況下跑 one gadget, 才變成傳 NULL 04/08 10:58
7F:→ b0920075: 喔喔我以為 argp,envp 原本就是要傳 NULL ,感謝大大指 04/12 21:00
8F:→ b0920075: 點,等等再修改 04/12 21:00
※ 編輯: b0920075 (36.226.12.156 臺灣), 04/13/2020 00:41:11