今天來自肥一下，小弟我昨天用 python 搞了一個用來快速分辨當前滿足哪個 one gadget 條件的 gdb plugin ，不是什麼創新發明只是將步驟用程式自動化執行，幫助使用者偷懶 的小工具，想偷懶的人可以嘗試用一下 XD 下面針對幾個主題做個小簡介: * One Gadget * one_gadget * OneGadgetTest 1. One Gadget one gadget 這個簡便的利用方法起源眾說紛紜，北京清華的藍蓮花隊長在他的 ppt <掘金-- CTF 中的內存漏洞利用技巧>[1] 中提到 one gadget 可能是從 PPP 戰隊的 rickyz 提出，而台灣的 ddaa 則在撰寫駭客列傳(X CTF 的三十道陰影系列(O 的時候提到 one gadget 起源[2] 時是說出自 Dragon Sector 戰隊之手 (應該是出自 dragon sector 的一篇 slide[3] 扯遠了拉回來，這個技巧原理是因為 libc 這個 shared library 內有些 function 會調 用以下的 syscall: execve("/bin/sh", argv, envp); 目的是啥我沒有細究，總之很方便就對了 XD 因為解謎型式的 ctf pwn 的成功標準就是拿 shell 而已，後續的利用和回復沒啥必要， 拿到 shell 看 flag 就可以走人，所以這種射後不理的手法很受歡迎，基本上能控制程式 流程題目差不多就解完了，因為 libc 內不只有一個 one gadget ，要存在一種情況剛好 所有條件不滿足的機會太小，就算條件不滿足透過一些前置作業也可以修正回來，所以現 今比較難的題目通常會在別的地方刁難玩家 XD 2. one_gadget 比較早期的時代，玩家通常都透過 objdump 或 IDA 之類反組譯工具硬幹，遇到不同版本 的 libc 又要從找一次，十分痛苦(我自己是沒經歷過啦 XD 所幸，台灣 HITCON 戰隊的 david942j 自己開發一套用 ruby 寫的工具 one_gadget[4]， 一個指令下去馬上列出當前的 libc 的所有 one gadget 地址和滿足條件，十分簡便，關 於 one_gadget project ， david942j 大大有在自己的 blog 下分享該工具的相關原理和 實作[5]，想了解細節可以去參觀一下 XD 根據 ddaa 大大的說法，因為 one_gadget 的出現導致 pwn 題的難度下降不少，不少出題 者開始用 seccomp 限制 execve syscall 提升難度，然後強者 david942j 又開發了 seccomp-tools[6]，指令一下去馬上列出當前 process 限制的 syscall ，大幅降低開發 exploit 的困擾 相比之下我只能在這些基礎上面做些偷懶的工具 QQ 3. OneGadgetTest 先說在前頭這個部分難度陡降 XD ，以前做 exploit 想用 one gadget 來 get shell 時 ，我都必須用 one_gadget 看當前的 libc 的指令地址和限制，然後根據限制比對哪個地 址可以用或是哪個條件不滿足。 雖然切換來切換去只是多幾個步驟，但懶人如我總想找點地方來偷懶，於是就抓了工具的 輸出然後分析，最後根據每個條件計算看是否符合，直接呈現出來，大概從 3, 4 個步驟 降為 1 個步驟這樣 XD project: https://github.com/0n3t04ll/OneGadgetTest 這邊附上引用和來源，不過因為網址好像大多都過長，所以會被裁切掉，可能要自行拼接 ，有更好的方法我再改進 * Reference [1] https://paper.seebug.org/papers/Archive/refs/2015-1029-yangkun-Gold-Mining- CTF.pdf [2] https://ithelp.ithome.com.tw/articles/10226977 [3] https://drive.google.com/file/d/18UpGDvhccnnGWj7Mux7_2BGouIZK_5bK/view [4] https://github.com/david942j/one_gadget [5] https://david942j.blogspot.com/2017/02/project-one-gadget-in-glibc.html [6] https://github.com/david942j/seccomp-tools -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.228.98.19 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1580371039.A.B89.html ※ 編輯: b0920075 (36.226.12.156 臺灣), 04/13/2020 00:41:11