Rex：栈溢出之Exploit自动生成

*本文原创作者：xiaohan0x00，本文属FreeBuf原创奖励计划，未经许可禁止转载

Rex 是由 Shellphish 开发的自动化漏洞利用引擎，设计初衷在于参加 Cyber Grand Challenge 。本文以栈溢出为例，展示 Rex 自动生成 Exploit 的能力。测试样例为 Linux 下可执行程序 vuln_stacksmash ，其中存在栈溢出漏洞，通过 Rex 自动生成 rop2system、rop2text、jmpesp 三种 Exploit。

0×00 vuln_stacksmash 栈溢出漏洞

使用 radare2 简要分析 vuln_stacksmash。vuln() 函数中，调用 read(int fd, void * buf, size_t count) 时未检查缓冲区大小，导致栈溢出。

bUn6viu.jpg!web

使用 GDB 调试 vuln_stacksmash，运行至溢出点，程序状态如下：

VVZvayr.jpg!web

计算偏移为 0×44，构造 PoC 并输入。单步执行并检查栈帧情况，可见 EBP 已被 “\x41\x41\x41\x41” 覆盖，后续四个字节为 EIP 值，已被覆盖为 “\x42\x42\x42\x42”。

Qve2Qj3.jpg!web

跟踪至 vuln() 返回，触发异常，EIP 被劫持为 “\x42\x42\x42\x42”。

uQNNVnI.jpg!web

上文简要分析了 vuln_stacksmash 中存在的栈溢出漏洞，下文将介绍如何利用 Rex 自动生成 Exploit。

0×01 Rex 脚本

Rex 的实现基于 Angr，主要采用混合符号执行技术，对原理感兴趣的同学可以阅读论文《(State of) The Art of War: Offensive Techniques in Binary Analysis》。由于封装的原因，整体代码看起来较为简洁，从漏洞复现、漏洞类型判定、Exploit 生成到 Exploit 有效性验证，共计 10 行代码。其中，Crash 类用以复现漏洞并返回漏洞类型，Exploit 类用以判定漏洞的可利用性，并生成 Exploit。171 ~ 174 行用以验证 Exploit 的有效性。

imamMzJ.jpg!web

0×02 漏洞复现

Rex 在实现混合符号执行时，首先使用 QEMU 进行 Concrete Execution，在获取到 Crash 状态后，使用 Angr 进行 Concolic Execution，相关功能封装在 Crash 类中。

1、Concrete Execution

使用 QEMU 加载 vuln_stacksmash，以 PoC 为输入运行，获取程序崩溃时的状态。执行结果如下：

aYVnque.jpg!web

2、Concolic Execution

在获取到 Crash state 后，基于 Angr 实现 Concolic Execution。首先设置程序初始状态。

mqEJziV.jpg!web

3uuiqaE.jpg!web

使用 ‘posix’、’preconstrainer’ 插件辅助分析：

Jr2q6nu.jpg!web

SimSystemPosix()

Data storage and interaction mechanisms for states with an environment conforming to posix.
Available as “state.posix“.

SimStatePreconstrainer()

This state plugin manages the concept of preconstraining – adding constraints which you would like to remove later.
:param constrained_addrs : SimActions for memory operations whose addresses should be constrained during crash analysis

使用 ‘Tracer’、’Oppologist’ 两种 Exploration_techniques：

RJnmM32.jpg!web

FruqYzR.jpg!web

设置 simulation_manager ：

ZbArEf6.jpg!web

执行结果:

jAVVBbz.jpg!web

0×03 漏洞类型判定

Crash 类中的 _triage_crash() 方法对漏洞类型进行判定。

YbYRFrm.jpg!web

执行结果为 IP_OVERWRITE：

eEBRBfy.jpg!web

0×04 Exploit 生成

代码中设置了 rop_leak_memory、rop_set_register、 explore_for_exploit 三种利用方式。通过阅读源码可知，rop_leak_memory、rop_set_register 均是针对 CGC 格式文件的利用技术。在 Rex 现有的 exploit_technique 中，call_jmp_sp_shellcode、call_shellcode、rop_to_system 三种技术用以针对 ELF 文件。执行结果如下：

z2eYbeM.jpg!web

0×05 Verified

对三种生成结果进行确认。

FBvm2iF.jpg!web

uAfIZz2.jpg!web

0×06 小结

通过学习 Rex 源码以及混合符号执行，成功对栈溢出漏洞生成 Exploit。文中所针对的漏洞非常简单，且未涉及 ASLR 等安全机制的绕过。由于弟才疏学浅，文中难免存在理解不当之处，望各位师傅批评指正。

*本文原创作者：xiaohan0x00，本文属FreeBuf原创奖励计划，未经许可禁止转载

0×00 vuln_stacksmash 栈溢出漏洞

0×01 Rex 脚本

0×02 漏洞复现

1、Concrete Execution

2、Concolic Execution

0×03 漏洞类型判定

0×04 Exploit 生成

0×05 Verified

0×06 小结

Recommend

nginx(一、概念篇)

巧用 CSS3 中的 clip-path 绘制图形

如何叠加多条宽带，使局域网速度更快？

从运维的角度理解 memcached

Experimenting with Bluetooth from JavaScript

如何说明白浏览器缓存机制？

Visualizing Brooklyn Nine-Nine with R!

分布式系统关注点——弹性架构

详解 Golang 中间代码生成

“阿里离职漂亮美女高管”文章刷屏|前同事：吹牛要有度几年前被裁

About Joyk