![Execution Flow
./hello
fork()
execve(“./hello”,*argv[],*envp[])
sys_execve()
do_execve() search_binary_handler()
load_elf_binary()
_start
main
kernel mode
user mode](https://image.slidesharecdn.com/basic-180421170943/85/Linux-binary-Exploitation-Basic-knowledge-49-320.jpg)
![Execution Flow
./hello
fork()
execve(“./hello”,*argv[],*envp[])
sys_execve()
do_execve() search_binary_handler()
load_elf_binary()
ld.so
_start
__libc_start_main _init
kernel mode
user mode
main](https://image.slidesharecdn.com/basic-180421170943/85/Linux-binary-Exploitation-Basic-knowledge-50-320.jpg)
![Execution Flow
• 我們在 shell 執⾏行行⼀一個 elf 時
• 會先去 fork ⼀一個 process
• child 再去使⽤用 execve 執⾏行行
./hello
fork()
execve(“./hello”,*argv[],*envp[])](https://image.slidesharecdn.com/basic-180421170943/85/Linux-binary-Exploitation-Basic-knowledge-51-320.jpg)
![x64 assembly
• push/pop
• push/pop reg
• ex :
• push rax = sub rsp,8 ; mov [rsp],eax
• pop rbx = mov rbx,[rsp] ; add rsp,8](https://image.slidesharecdn.com/basic-180421170943/85/Linux-binary-Exploitation-Basic-knowledge-74-320.jpg)
![x64 assembly
• lea
• ex :
• lea rax, [rsp+8]](https://image.slidesharecdn.com/basic-180421170943/85/Linux-binary-Exploitation-Basic-knowledge-75-320.jpg)
![x64 assembly
• lea v.s. mov
• lea rax, [rsp+8] v.s mov rax,[rsp+8]
• assume
• rax = 3
• rsp+8 = 0x7fffffffe4c0
• [rsp+8] = 0xdeadbeef
rax = 0x7fffffffe4c0
rax = 0xdeadbeef
lea
mov](https://image.slidesharecdn.com/basic-180421170943/85/Linux-binary-Exploitation-Basic-knowledge-76-320.jpg)
![• Hello world shellcode
x64 assembly
shellcode[] = “x48x31xc0x48x31xdbx48x31xc9x48x31xd2xebx17…….x7xx6cx64”](https://image.slidesharecdn.com/basic-180421170943/85/Linux-binary-Exploitation-Basic-knowledge-98-320.jpg)
Linux binary Exploitation - Basic knowledge
- 1. Linux Binary Exploitation Basic Knowledge x86-64 [email protected]
- 2. Outline • Introduction • Section • Compilation Flow • Execution • x86 assembbly
- 3. Outline • Introduction • Section • Compilation Flow • Execution • x86 assembbly
- 4. Introduction • Reverse Engineering • Exploitation • Useful Tool
- 5. Reverse Engineering • 正常情況下我們不容易易取得執⾏行行檔的原始碼,所以我們很常需逆向分析程式 尋找漏洞洞 • Static Analysis • Dynamic Analysis binary source code
- 6. Reverse Engineering • Static Analysis • Analyze program without running • e.g. • objdump • Machine code to asm
- 7. Reverse Engineering • Dynamic Analysis • Analyze program with running • e.g. • strace • trace all system call • ltrace • trace all library call
- 8. Exploitation • 利利⽤用漏洞洞來來達成攻擊者⽬目的 • ⼀一般來來說主要⽬目的在於取得程式控制權 • ⼜又稱 Pwn Vulnerability Control flow
- 9. Exploitation • Binary exploitation • 專指與 binary 相關的漏洞洞利利⽤用 • 本課程重點 Vulnerability Control flow
- 10. Useful Tool • IDA PRO - a static analysis tool
- 11. Useful Tool • GDB - a dynamic analysis tool • The GNU Project Debugger
- 12. Useful Tool • Basic command • run - 執⾏行行 • disas function name - 反組譯某個 function • break *0x400566 - 設斷點 • info breakpoint - 查看已設定哪些中斷點 • info register 查看所有 register 狀狀態
- 13. Useful Tool • Basic command • x/wx address - 查看 address 中的內容 • w 可換成 b/h/g 分別是取 1/2/8 byte • / 後可接數字 表⽰示⼀一次列列出幾個 • 第⼆二個 x 可換成 u/d/s/i 以不同⽅方式表⽰示 • u : unsigned int • d : 10 進位 • s : 字串串 • i : 指令
- 14. Useful Tool • Basic command • x/gx address 查看 address 中的內容 • e.g.
- 15. Useful Tool • Basic command • ni - next instruction • si - step into • backtrace - 顯⽰示上層所有 stack frame 的資訊 • continue
- 16. Useful Tool • Basic command • set *address=value • 將 address 中的值設成 value ⼀一次設 4 byte • 可將 * 換成 {char/short/long} 分別設定 1/2/8 byte • e.g. • set *0x602040=0xdeadbeef • set {int}0x602040=1337
- 17. Useful Tool • Basic command • 在有 debug symbol 下 • list : 列列出 source code • b 可直接接⾏行行號斷點 • info local : 列列出區域變數 • print val : 印出變數 val 的值
- 18. Useful Tool • Basic command • attach pid : attach ⼀一個正在運⾏行行的 process • 可以配合 ncat 進⾏行行 exploit 的 debug • ncat -ve ./a.out -kl 8888 • echo 0 > /proc/sys/kernel/yama/ptrace_scope
- 19. Useful Tool • GDB - PEDA • Python Exploit Development Assistance for GDB • https://github.com/longld/peda • https://github.com/scwuaptx/peda
- 20. GDB - PEDA • Screenshot
- 21. GDB - PEDA • Some useful feature • checksec : Check for various security options of binary • elfsymbol : show elf .plt section • vmmap : show memory mapping • readelf : Get headers information from an ELF file • find/searchmem : Search for a pattern in memory • record : record every instruction at runtime
- 22. GDB - PEDA • checksec • 查看 binary 中有哪些保護機制
- 23. GDB - PEDA • elfsymbol • 查看 function .plt 做 ROP 時非常需要
- 24. GDB - PEDA • vmmap • 查看 process mapping • 可觀察到每個 address 中的權限
- 25. GDB - PEDA • readelf • 查看 section 位置 • 有些攻擊⼿手法會需要 • e.g. ret2dl_resolve
- 26. GDB - PEDA • find (alias searchmem) • search memory 中的 patten • 通常拿來來找字串串 • e.g. /bin/sh
- 27. GDB - PEDA • record • 記錄每個 instruction 讓 gdb 可回朔前⾯面的指令,在 PC 被改變後,可利利 ⽤用該功能,追回原本發⽣生問題的地⽅方
- 28. Useful Tool • Pwntools • Exploit development library • python
- 29. Outline • Introduction • Section • Compilation Flow • Execution • x86 assembbly
- 30. Section • 在⼀一般情況下程式碼會分成 text、data 以及 bss 等 section ,並不會將 code 跟 data 混在⼀一起使⽤用
- 31. Section • .text • 存放 code 的 section • .data • 存放有初始值的全域變數 • .bss • 存放沒有初始值的全域變數 • .rodata • 存放唯讀資料的 section
- 33. Outline • Introduction • Section • Compilation Flow • Execution • x86 assembbly
- 34. Compilation flow • Preprocessing • Compilation • Assembly • Linking
- 35. Compilation flow source code (test.c) header file (stdin.h) Propressing (gcc -E) Preprocessed (test.i) Compilation (gcc -S) Assembly (test.s) Assembly (as/gcc -c) Object File (test.o) Linking (ld) Executable (a.out) Other Object File (test2.o) Static Library (libc.a)
- 36. Preprocessing • 展開 Macro • 展開 header file • 刪除所有註解 • 處理理所有 preprocess 指令 • #if 、 #ifnde、#endif … source code (test.c) Preprocessed (test.i)
- 37. Compilation • 語法分析 (Syntactic analysis) • 詞法分析 (Lexical analysis) • ⽣生成組合語⾔言 (Generate assembly) Preprocessed (test.i) Assembly (test.s)
- 38. Assembly • 組合語⾔言到機械碼的過程 • 最後⽣生出 object file • 此時已是無法⽤用⾁肉眼看懂的 binary Assembly (test.s) Object File (test.o)
- 39. Linking • Object file 到執⾏行行檔的過程 ( 組裝 ) • Relocation Object File (test.o) Other Object File (test2.o) Static Library (libc.a) Executable (a.out)
- 40. Linking test.o test2.o main(){ hello();} int a ; hello(){ …} int b ; linker hello(){ …} main(){ hello();} int a ; int b ; text data
- 41. Relocation • 在 object file ⽣生成後,若若程式中有 call func 之類的指令,並不會⾺馬上將 address 填入,⽽而是將所有 object file 合併之後,重新定位才將正確位置填 入
- 42. Static Linking • 將有⽤用到 library 的 code 也⼀一起編進執⾏行行檔中 • 執⾏行行檔較肥⼤大 • ⼀一但 library 的 code 有變動需要整個重編
- 43. Dynamic Linking • 所有程式共⽤用⼀一份 library • 在執⾏行行時期才將 library 載入記憶體中 • 因執⾏行行時才去找 function 位置,故執⾏行行時間較多 • 執⾏行行檔較⼩小 • library 變動不需要重編 • 可能會因為 library 版本不同⽽而⾏行行為有所不同
- 44. Outline • Introduction • Section • Compilation Flow • Execution • x86 assembbly
- 45. Execution • Binary Format • Segment • Execution Flow
- 46. Binary Format • 執⾏行行檔的格式會根據 OS 不同,⽽而有所不同 • Linux - ELF • Windows - PE • 在 Binary 的開頭會有個 magic number 欄欄位,⽅方便便讓 OS 辨認是屬於什什麼 樣類型的檔案 • 在 Linux 下可以使⽤用 file 來來檢視
- 47. Segment • 在程式執⾏行行時期才會有的概念念,基本上會根據讀寫執⾏行行權限及特性來來分為數 個 segment • ⼀一般來來說可分為 rodata、data、code、stack、heap 等 segment • data : rw- • code : r-x • stack : rw- • heap : rw-
- 48. Execution Flow • What happened when we execute an elf file ? • $ ./hello • 在⼀一般情況下程式會在 disk 中,⽽而 kernel 會通過⼀一連串串的過程來來將程式 mapping 到記憶體中去執⾏行行
- 49. Execution Flow ./hello fork() execve(“./hello”,*argv[],*envp[]) sys_execve() do_execve() search_binary_handler() load_elf_binary() _start main kernel mode user mode
- 50. Execution Flow ./hello fork() execve(“./hello”,*argv[],*envp[]) sys_execve() do_execve() search_binary_handler() load_elf_binary() ld.so _start __libc_start_main _init kernel mode user mode main
- 51. Execution Flow • 我們在 shell 執⾏行行⼀一個 elf 時 • 會先去 fork ⼀一個 process • child 再去使⽤用 execve 執⾏行行 ./hello fork() execve(“./hello”,*argv[],*envp[])
- 52. • sys_execve() • 檢查參參數 ex: argv , envp • do_execve() • 搜尋執⾏行行檔位置 • 讀取執⾏行行檔前 128 byte 獲取執⾏行行檔的資訊 • e.g. magic number Execution Flow sys_execve() do_execve()
- 53. Execution Flow • search_binary_handler() • 利利⽤用前⾯面所獲取的資訊來來呼叫相對應的 handler • e.g. load_script() 、 load_elf_binary() search_binary_handler()
- 54. • load_elf_binary() • 檢查及獲取 program header 資訊 • 如果是 dynamic linking 則利利⽤用 .interp 這個 section 來來確定 loader 路路徑 • 將 program header 紀錄的位置 mapping 到 memory 中,e.g. code segment 位置 • 將 sys_execve 的 return address 改為 loader (ld.so) 的entry point • static linking 下則會是 elf 的 entry point Execution Flow
- 55. Execution Flow • How program maps to virtual memory. • 在 program header 中 • 記錄著哪些 segment 應該 mapping 到什什麼位置,以及該 segment 的讀寫 執⾏行行權限 • 記錄哪些 section 屬於哪些 segment • 當 program mapping 記憶體時會根據權限的不同來來分成好幾個 segment • ⼀一個 segment 可以包含 0 個到多個 section
- 56. Execution Flow • How program maps to virtual memory. other section .data .bss .got.plt .rodata .text .init ELF Header In disk In memory kernel space CODE VMA DATA VMA HEAP STACK R or RX RW 0x400000 0x601000 0x602000 0x7fffffffe520
- 57. Execution Flow • How program maps to virtual memory. • readelf -l binary • 查看 program header • readelf -S binary • 查看 section header • readelf -d binary • 查看 dynamic section 內容
- 58. Execution Flow • How program maps to virtual memory. 權限 mapping 位置 segment 中有哪些 section
- 59. Execution flow • ld.so • 載入 elf 所需的 shared library • 這部分會記錄在 elf 中的 DT_NEED 中 • 初始化 GOT • 其他相關初始化的動作 • ex : 將 symbol table 合併到 global symbol table 等等 • 對實際運作過程有興趣可參參考 elf/rtld.c
- 60. Execution Flow • 在 ld.so 執⾏行行完後會跳到 _start 開始執⾏行行主要程式 _start __libc_start_main .init main .fini exit
- 61. Execution Flow • _start • 將下列列項⽬目傳給 libc_start_main • 環境變數起始位置 • main 的位置 (通常在第⼀一個參參數) • .init • 呼叫 main 之前的初始化⼯工作 • .fini • 程式結束前的收尾⼯工作 _start __libc_start_main
- 62. Execution Flow • _libc_start_main • 執⾏行行 .init • 執⾏行行 main • 主程式部分 • 執⾏行行 .fini • 執⾏行行 exit 結束程式
- 63. Outline • Introduction • Section • Compilation Flow • Execution • x64 assembly
- 64. • Registers • General-purpose registers • RAX RBX RCX RDX RSI RDI- 64 bit • EAX EBX ECX EDX ESI EDI - 32 bit • AX BX CX DX SI DI - 16 bit x64 assembly ALAH EAX AX RAX
- 65. • Registers • r8 r9 r10 r11 r12 r13 r14 r15 - 64 bit • r8d r9d r10d … - 32 bit • r8w r9w r10w … -16 bit • r8b r9b r10b … - 8 bit x64 assembly
- 66. • Registers • Stack Pointer Register • RSP • Base Pointer Register • RBP • Program Counter Register • RIP x64 assembly
- 67. x64 assembly • Registers • Stack Pointer • RSP - 64 bit • 指向 stack 頂端 • Base Pointer • RBP - 64 bit • 指向 stack 底端 • RSP 到 function 參參數範圍稱為該 function 的 Stack Frame … … … … variable return address rbp rbp rsp high low extra-arg
- 68. x64 assembly • Registers • Stack Pointer • RSP - 64 bit • 指向 stack 頂端 • Base Pointer • RBP - 64 bit • 指向 stack 底端 • RSP 到 function 參參數範圍稱為該 function 的 Stack Frame high low … … … … variable return address rbp rbp rsp extra-arg stack frame
- 69. x64 assembly • Registers • Program counter register • RIP • 指向⽬目前程式執⾏行行的位置 • Flag register • eflags • 儲存指令執⾏行行結果 • Segment register • cs ss ds es fs gs
- 70. x64 assembly • AT & T • mov %rax,%rbx • Intel • mov rbx,rax
- 71. x64 assembly • Basic instruction • mov • add/sub • and/or/xor • push/pop • lea • jmp/call/ret
- 72. x64 assembly • mov • mov imm/reg/mem value to reg/mem • mov A,B (move B to A) • A 與 B 的 size 要相等 • ex : • mov rax,rbx (o) • mov rax,bx (x) • mov rax,0xdeadbeef
- 73. x64 assembly • add/sub/or/xor/and • add/sub/or/xor/and reg,imm/reg • add/sub/or/xor/and A,B • A 與 B 的 size ⼀一樣要相等 • ex : • add rbp,0x48 • sub rax,rbx
- 74. x64 assembly • push/pop • push/pop reg • ex : • push rax = sub rsp,8 ; mov [rsp],eax • pop rbx = mov rbx,[rsp] ; add rsp,8
- 75. x64 assembly • lea • ex : • lea rax, [rsp+8]
- 76. x64 assembly • lea v.s. mov • lea rax, [rsp+8] v.s mov rax,[rsp+8] • assume • rax = 3 • rsp+8 = 0x7fffffffe4c0 • [rsp+8] = 0xdeadbeef rax = 0x7fffffffe4c0 rax = 0xdeadbeef lea mov
- 77. x64 assembly • jmp/call/ret • jmp 跳⾄至程式碼的某處去執⾏行行 • call rax = push rip+8 ;jmp rax • ret = pop rip
- 78. x64 assembly • leave • mov rsp,rbp • pop rbp
- 79. x64 assembly • nop • ⼀一個 byte 不做任何事 • opcode = 0x90
- 80. • System call • Instruction : syscall • SYSCALL NUMBER: RAX • Argument : RDI RSI RDX RCX R8 R9 • Return value : RAX x64 assembly
- 81. x64 assembly • system call table • https://w3challs.com/syscalls/?arch=x86_64
- 82. x64 assembly • Calling convention • function call • call : push return address to stack then jump • function return • ret : pop return address • function argument • 基本上⽤用 register 傳遞 • 依序為 rdi rsi rdx r10 r8 r9 • 依序放到 register,再去執⾏行行 function call
- 83. x64 assembly • Calling convention • function prologue • compiler 在 function 開頭加的指令,主要在保存 rbp 分配區域變數所 需空間 push rbp mov rbp,rsp sub rsp,0x30
- 84. x64 assembly • Calling convention • function epilogue • compiler 在 function 結尾加的指令,主要在利利⽤用保存的 rbp 回覆 call function 時的 stack 狀狀態 leave ret
- 85. x64 assembly • Calling convention • call foo(0x1337,0xdeadbee) 0x1000 mov rsi,0xdeadbee 0x100a mov rsi,0x1337 0x1014 call foo() 0x101d mov rbx,rax … rsp high low foo() : push rbp mov rbp,rsp … leave ret rbp rdi rsi 0 0 Stack
- 86. x64 assembly • Calling convention • call foo(0x1337,0xdeadbee) 0x1000 mov rsi,0xdeadbee 0x100a mov rsi,0x1337 0x1014 call foo() 0x101d mov rbx,rax … rsp high low foo() : push rbp mov rbp,rsp … leave ret rbp rdi rsi 0xdeadbee 0 Stack
- 87. x64 assembly • Calling convention • call foo(0x1337,0xdeadbee) 0x1000 mov rsi,0xdeadbee 0x100a mov rsi,0x1337 0x1014 call foo() 0x101d mov rbx,rax … rsp high low foo() : push rbp mov rbp,rsp … leave ret rbp rdi rsi 0xdeadbee 0x1337 Stack
- 88. x64 assembly • Calling convention • call foo(0x1337,0xdeadbee) 0x1000 mov rsi,0xdeadbee 0x100a mov rsi,0x1337 0x1014 call foo() 0x101d mov rbx,rax … 0x101d rsp high low foo() : push rbp mov rbp,rsp … leave ret rbp rdi rsi 0xdeadbee 0x1337 Stack
- 89. x64 assembly • Calling convention • call foo(0x1337,0xdeadbee) 0x1000 mov rsi,0xdeadbee 0x100a mov rsi,0x1337 0x1014 call foo() 0x101d mov rbx,rax … 0x101d old rbp rsp high low foo() : push rbp mov rbp,rsp … leave ret rbp rdi rsi 0xdeadbee 0x1337 Stack
- 90. x64 assembly • Calling convention • call foo(0x1337,0xdeadbee) 0x1000 mov rsi,0xdeadbee 0x100a mov rsi,0x1337 0x1014 call foo() 0x101d mov rbx,rax … 0x101d old rbp rbp/rsp high low foo() : push rbp mov rbp,rsp … leave ret rdi rsi 0xdeadbee 0x1337 Stack
- 91. x64 assembly • Calling convention • call foo(0x1337,0xdeadbee) 0x1000 mov rsi,0xdeadbee 0x100a mov rsi,0x1337 0x1014 call foo() 0x101d mov rbx,rax … 0x101d old rbp rbp high low foo() : push rbp mov rbp,rsp … leave ret rdi rsi 0xdeadbee 0x1337 Stack rsp
- 92. x64 assembly • Calling convention • call foo(0x1337,0xdeadbee) 0x1000 mov rsi,0xdeadbee 0x100a mov rsi,0x1337 0x1014 call foo() 0x101d mov rbx,rax … 0x101d old rbp rbp high low foo() : push rbp mov rbp,rsp … mov rsp,rbp pop rbp ret rdi rsi 0xdeadbee 0x1337 Stack rsp
- 93. x64 assembly • Calling convention • call foo(0x1337,0xdeadbee) 0x1000 mov rsi,0xdeadbee 0x100a mov rsi,0x1337 0x1014 call foo() 0x101d mov rbx,rax … 0x101d old rbp rsp/rbp high low foo() : push rbp mov rbp,rsp … mov rsp,rbp pop rbp ret rdi rsi 0xdeadbee 0x1337 Stack
- 94. x64 assembly • Calling convention • call foo(0x1337,0xdeadbee) 0x1000 mov rsi,0xdeadbee 0x100a mov rsi,0x1337 0x1014 call foo() 0x101d mov rbx,rax … 0x101d old rbp rsp high low foo() : push rbp mov rbp,rsp … mov rsp,rbp pop rbp ret rdi rsi 0xdeadbee 0x1337 Stack rbp
- 95. x64 assembly • Calling convention • call foo(0x1337,0xdeadbee) 0x1000 mov rsi,0xdeadbee 0x100a mov rsi,0x1337 0x1014 call foo() 0x101d mov rbx,rax … 0x101d old rbp rsp high low foo() : push rbp mov rbp,rsp … mov rsp,rbp pop rbp ret rdi rsi 0xdeadbee 0x1337 Stack rbp
- 96. x64 assembly • Hello world • nasm -felf64 hello.s -o hello.o • ld -m elf_x86_64 hello.o -o hello
- 97. x64 assembly • Shellcode • 顧名思義,攻擊者主要注入程式碼後的⽬目的為拿到 shell ,故稱 shellcode • 由⼀一系列列的 machine code 組成,最後⽬目的可做任何攻擊者想做的事
- 98. • Hello world shellcode x64 assembly shellcode[] = “x48x31xc0x48x31xdbx48x31xc9x48x31xd2xebx17…….x7xx6cx64”
- 99. x64 assembly • 產⽣生 shellcode • objcopy -O binary hello.bin shellcode.bin
- 100. x64 assembly • Using Pwntool • http://docs.pwntools.com/en/stable/asm.html • Pwntool bunutils • http://docs.pwntools.com/en/stable/install/binutils.html
- 102. x64 assembly • Test your shellcode • gcc -z execstack test.c -o test
- 103. x64 assembly • How to debug your shellcode • gdb ./test
- 104. Reference • Glibc cross reference • Linux Cross Reference • 程式設計師的⾃自我修養
- 105. Q & A