rp-bf:一款Windows下辅助进行ROP gadgets搜索的Rust库

关于rp-bf

rp-bf是一款Windows下辅助进行ROP gadgets搜索的Rust库,该工具可以通过模拟Windows用户模式下的崩溃转储来爆破枚举ROP gadgets。

在很多系统安全测试场景中,研究人员成功劫持控制流后,通常需要将堆栈数据转移到他们所能够控制的内存区域中,以便执行ROP链。但是在劫持控制流时,找到合适的部分很大程度取决于研究人员对CPU上下文场景的控制。那么为了劫持具备任意值的控制流,我们需要找到合适的地址,但这个地址的寻找过程又非常的麻烦,需要涉及到各种地址值、代码指针、堆栈和汇编指令。

为了解决上述问题,rp-bf便应运而生,该工具能够有效地解决上述问题,并通过ROP gadgets搜索来辅助广大研究人员完成ROP链的执行。

依赖组件配置

在使用该工具之前,我们首先需要手动配置好bochscpu模拟器,它也是rp-bf的主要依赖组件。具体的配置方法如下:

1、点击【这里】下载对应操作系统平台的bochscpu组件版本;

2、使用下列命令克隆bochscpu项目代码:

git clone https://github.com/yrp604/bochscpu.git

3、将项目中的lib和bochs目录提取到解压后的bochscpu根目录;

4、使用下列命令验证bochscpu是否构建成功:

cargo build --release

工具下载

广大研究人员可以直接使用下列命令将rp-bf项目源码克隆至本地:

git clone https://github.com/0vercl0k/rp-bf.rs.git

然后切换到项目目录下,并使用cargo build命令完成代码构建:

cargo build --release

工具运行机制

rp-bf能够从根据一个进程快照来模拟目标代码,并能够迭代快照中找到的每一个内存区域,然后将其传递给用户模块。接下来,研究人员就可以用这个地址来执行其他的安全测试了:

pub trait Finder {fn pre(&mut self, emu: &mut Emu, candidate: u64) -> Result<()>;fn post(&mut self, emu: &Emu) -> Result<bool>;}

工具使用

获取一个快照

该工具的使用方法适用于所有的操作系统和体系架构,但我们的使用样例会以Windows/Intel为例。

我们可以直接使用Windows调试器生成快照,在Windbg中运行你的目标,然后在所需状态下的所需位置生成崩溃转储(.dump/ma)即可。

搜索算法

rp-bf能够遍历崩溃转储中找到的所有内存区域,然后在模拟器中重新创建相同的执行环境。接下来,它会调用用户的pre条件,并持续执行,直到模拟器退出。此时,工具会调用post条件来让用户决定目标区域是否合适,模拟器的状态(即内存和CPU上下文)将被不断恢复和刷新。

pub fn explore(opts: &Opts, finder: &mut dyn Finder, ui: &mut dyn ui::Ui) -> Result<Vec<Candidate>> {// ...for (mem_address, mem_block) in dump.mem_blocks() {// ...'outer: for candidate in mem_block.range.start..mem_block.range.end {// ...// Invoke the `pre` callback to set-up state.trace!("Trying out {candidate:#x}");finder.pre(&mut emu, candidate)?;// Run the emulation with the candidate.let (res, stats) = emu.run()?;how_many_total += 1;// We found a candidate if it lead to a crash & the `post` condition// returned `true`.let crashed = matches!(res, TestcaseResult::Crash);let found_candidate = crashed && finder.post(&emu)?;// ...emu.restore()?;// ...}}}

从用户模式Windows崩溃转储模拟代码

该工具所使用的模拟器都使用了bochscpu库的Bochs CPU模拟器。为了在Bochs中重新创建执行环境,rp-bf将构建页面表以重新创建用户模式转储中可用的相同虚拟环境。

编写一个Finder模块

Finder模块需要提供一个pre方法和一个post方法:

pub trait Finder {fn pre(&mut self, emu: &mut Emu, candidate: u64) -> anyhow::Result<()>;fn post(&mut self, emu: &Emu) -> anyhow::Result<bool>;}

pre方法接收一个指向模拟器的可变引用,以及候选内存区域,我们可以在运行时环境中的某个位置“注入”候选区域。它能够将寄存器设置为候选值,或者将其写入内存中的某个位置:

impl Finder for Pwn2OwnMiami2022_2 {fn pre(&mut self, emu: &mut Emu, candidate: u64) -> Result<()> {// Here, we continue where we left off after the gadget found in |miami1|,// where we went from constrained arbitrary call, to unconstrained arbitrary// call. At this point, we want to pivot the stack to our heap chunk.//// ```// (1de8.1f6c): Access violation - code c0000005 (first/second chance not available)// For analysis of this file, run !analyze -v// mfc140u!_guard_dispatch_icall_nop:// 00007ffd`57427190 ffe0            jmp     rax {deadbeef`baadc0de}//// 0:011> dqs @rcx// 00000000`1970bf00  00000001`400aed08 GenBroker64+0xaed08// 00000000`1970bf08  bbbbbbbb`bbbbbbbb// 00000000`1970bf10  deadbeef`baadc0de <-- this is where @rax comes from// 00000000`1970bf18  61616161`61616161// ```self.rcx_before = emu.rcx();// Fix-up @rax with the candidate address.emu.set_rax(candidate);// Fix-up the buffer, where the address of the candidate would be if we were// executing it after |miami1|.let size_of_u64 = std::mem::size_of::<u64>() as u64;let second_qword = size_of_u64 * 2;emu.virt_write(Gva::from(self.rcx_before + second_qword), &candidate)?;// Overwrite the buffer we control with the `MARKER_PAGE_ADDR`. Skip the first 3// qwords, because the first and third ones are already used to hijack flow// and the second we skip it as it makes things easier.for qword_idx in 3..18 {let byte_idx = qword_idx * size_of_u64;emu.virt_write(Gva::from(self.rcx_before + byte_idx),&MARKER_PAGE_ADDR.u64(),)?;}Ok(())}// ...}

模拟完成后便会调用post方法,我们可以在这里找到你想要的内容,即堆栈数据和可控制的@rip值等数据,这里还允许我们指定需要实现的特定需求:

impl Finder for Pwn2OwnMiami2022_2 {// ...fn post(&mut self, emu: &Emu) -> Result<bool> {// Let's check if we pivoted into our buffer AND that we also are able to// start a ROP chain.let wanted_landing_start = self.rcx_before + 0x18;let wanted_landing_end = self.rcx_before + 0x90;let pivoted = has_stack_pivoted_in_range(emu, wanted_landing_start..=wanted_landing_end);let mask = 0xffffffff_ffff0000;let rip = emu.rip();let rip_has_marker = (rip & mask) == (MARKER_PAGE_ADDR.u64() & mask);let is_interesting = pivoted && rip_has_marker;Ok(is_interesting)}}

post方法返回值之后,模拟器会恢复内存和CPU寄存器,并继续寻找下一个候选区域。

工具运行演示

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

rp-bf:【GitHub传送门】

参考资料

Competing in Pwn2Own ICS 2022 Miami: Exploiting a zero click remote memory corruption in ICONICS Genesis64

GitHub - yrp604/bochscpu

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/444015.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Unity - 调节camera物理相机参数(HDRP)

在 “Hierarchy” 右键 -> Volume -> Global Volume new 一个 profile, 设置Mode为Pysical Camera 再点击camera组件&#xff0c;这时候设置 ISO、Shutter Speed、Aperture等参数值还会有效。

phpstudy安装并运行redis

对于一个菜鸟来说&#xff0c;任何一个小步骤都可能研究半天&#xff0c;比如“phpstudy安装并运行redis”这一问题&#xff0c;解决好后第一时间记录下来&#xff0c;方便日后查看&#xff0c;也为遇到同样困难的小伙伴提供个参考&#xff01; 一、phpstudy安装redis 1.打开…

中央空调的安装一

中央空调的安装 一般工程安装工序 1.工序内容划分 预埋管道工程……………要考虑排水管向下倾斜 室内机安装…………要确认机种名&#xff0c;避免装错 冷媒配管工程…………要注意干燥、清洁、密封 排水管工程…………向下倾斜 风管工程…………要确保足够的风量 保温绝热…

httprunnermanager接口平台二次开发(十一):实现平台套件支持模块搜索

文章目录 一、背景二、前后端实现2.1、先从前端页面入手suite_list.html2.2、顺藤摸瓜views.py-->suite_list-->get_pager_info方法2.3、后端加了字段&#xff0c;前端也需要同时考量两个方法 三、总结四、心得交流 一、背景 需求还是内置测试需求&#xff0c;就是说一个…

Altium Designer导入嘉立创EDA中的元器件原理图、封装图和3D模型

Altium Designer导入嘉立创EDA中的元器件原理图、封装图和3D模型 在立创商城找到需要使用的元器件&#xff0c;单击进入详情页。 立创商城_一站式电子元器件采购自营商城-嘉立创电子商城 进入详情页点击右侧【下载文件】。 点击【立即打开】。 在打开的立创EDA网页版中分别下…

大数据分析|从七个特征理解大数据分析

文献来源&#xff1a;Saggi M K, Jain S. A survey towards an integration of big data analytics to big insights for value-creation[J]. Information Processing & Management, 2018, 54(5): 758-790. 下载链接&#xff1a;链接&#xff1a;https://pan.baidu.com/s/1…

正则表达式补充以及sed

正则表达式&#xff1a; 下划线算 在单词里面 解释一下过程&#xff1a; 在第二行hello world当中&#xff0c;hello中的h 与后面第一个h相匹配&#xff0c;所以hello中的ello可以和abcde匹配 在world中&#xff0c;w先匹配h匹配不上&#xff0c;则在看0&#xff0c;r&#…

ML:2-2-3 多分类问题multicalss

文章目录 1. 多分类问题的定义2. softmax3. 神经网络的softmax输出 【吴恩达机器学习65-67】 1. 多分类问题的定义 classification问题可能的output大于2种。 multiclass的预测图像可能是右侧这样的。 2. softmax softmax regression算法是logistic regression的泛化&#x…

win11安装wsl作为linux子系统并当作服务器

wsl安装 打开控制面板&#xff0c;找到启用或关闭windows功能 开启windows虚拟机监控平台和适用于Linux的Windows子系统&#xff0c;重启电脑。 打开microsoft store搜索ubuntu&#xff0c;找到合适的版本下载安装 输入wsl -l如下所示&#xff0c;即为安装成功。 安装过程比较…

基于C++的面向对象程序设计:类与对象的深入剖析

面向对象程序设计的基本特点 面向对象程序设计的基本特点包括&#xff1a;抽象、封装、继承、多态。 抽象 抽象是指对具体问题或对象进行概括&#xff0c;抽出其公共性质并加以描述的过程。一般情况抽象分为数据抽象和行为抽象&#xff0c;其中数据抽象是指一个对象区别于另…

【lesson4】高并发内存池ThreadCache(线程缓存)层实现

文章目录 ThreadCache层的结构申请内存逻辑释放内存逻辑自由链表的实现自由链表的成员变量自由链表的成员函数自由链表的完整实现 ThreadCache申请内存过程的实现ThreadCache需要的成员变量ThreadCache需要的成员函数ThreadCache.h文件代码Allocate的实现Deallocate的实现 封装…

Maven安装,学习笔记,详细整理maven的一些配置

Maven 1. 初识Maven 2. Maven概述 Maven模型介绍 Maven仓库介绍 Maven安装与配置 3. IDEA集成Maven 4. 依赖管理 01. Maven课程介绍 1.1 课程安排 学习完前端Web开发技术后&#xff0c;我们即将开始学习后端Web开发技术。做为一名Java开发工程师&#xff0c;后端 Web开发技术…