Rex:栈溢出之Exploit自动生成

Rex是由Shellphish开发的自动化漏洞利用引擎,设计初衷在于参加Cyber Grand Challenge。本文以栈溢出为例,展示Rex自动生成 Exploit的能力。测试样例为Linux下可执行程序vuln_stacksmash,其中存在栈溢出漏洞,通过Rex自动生成rop2system、rop2text、jmpesp三种Exploit。

0x00 vuln_stacksmash栈溢出漏洞

使用radare2简要分析vuln_stacksmash。vuln()函数中,调用 read(int fd,void * bu,size_t count)时未检查缓冲区大小,导致栈溢出。

使用GDB调试vuln_stacksmash,运行至溢出点,程序状态如下:

计算偏移为0x44,构造PoC并输入。单步执行并检查栈帧情况,可见EBP已被“\x41\x41\x41\x41”覆盖,后续四个字节为EIP值,已被覆盖为“\x42\x42\x42\x42”。

跟踪至vuln()返回,触发异常,EIP被劫持为“\x42\x42\x42\x42”。

上文简要分析了vuln_stacksmash中存在的栈溢出漏洞,下文将介绍如何利用Rex自动生成Exploit。

0x01 Rex脚本

Rex的实现基于Angr,主要采用混合符号执行技术,对原理感兴趣的同学可以阅读论文《(State of) The Art of War: Offensive Techniques in Binary Analysis》。由于封装的原因,整体代码看起来较为简洁,从漏洞复现、漏洞类型判定、Exploit生成到Exploit有效性验证,共计10行代码。其中,Crash类用以复现漏洞并返回漏洞类型,Exploit类用以判定漏洞的可利用性,并生成Exploit。171 ~ 174行用以验证Exploit的有效性。

0x02 漏洞复现

Rex在实现混合符号执行时,首先使用QEMU进行Concrete Execution,在获取到Crash状态后,使用Angr进行Concolic Execution,相关功能封装在Crash类中。

1、Concrete Execution

使用QEMU加载vuln_stacksmash,以PoC为输入运行,获取程序崩溃时的状态。执行结果如下:

2、Concolic Execution

在获取到Crash state后,基于Angr实现Concolic Execution。首先设置程序初始状态。

使用‘posix’、’preconstrainer’插件辅助分析:

SimSystemPosix()

Data storage and interaction mechanisms for states with an environment conforming to posix. Available as state.posix.

SimStatePreconstrainer()

This state plugin manages the concept of preconstraining - adding constraints which you would like to remove later. :param constrained_addrs : SimActions for memory operations whose addresses should be constrained during crash analysis

使用‘Tracer’、’Oppologist’两种Exploration_techniques:

设置simulation_manager:

执行结果:

0x03 漏洞类型判定

Crash类中的_triage_crash()方法对漏洞类型进行判定。

执行结果为IP_OVERWRITE:

0x04 Exploit生成

代码中设置了rop_leak_memory、rop_set_register、 explore_for_exploit三种利用方式。通过阅读源码可知,rop_leak_memory、rop_set_register均是针对CGC格式文件的利用技术。在Rex现有的exploit_technique中,call_jmp_sp_shellcode、call_shellcode、rop_to_system三种技术用以针对ELF文件。执行结果如下:

0x05 Verified

对三种生成结果进行确认。

0x06 小结

通过学习Rex源码以及混合符号执行,成功对栈溢出漏洞生成Exploit。文中所针对的漏洞非常简单,且未涉及ASLR等安全机制的绕过。由于弟才疏学浅,文中难免存在理解不当之处,望各位师傅批评指正。

*本文原创作者:xiaohan0x00,本文属FreeBuf原创奖励计划,未经许可禁止转载

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2019-02-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

扫码关注云+社区