Rex：栈溢出之Exploit自动生成

2019 年 2 月 16 日 FreeBuf

Rex是由Shellphish开发的自动化漏洞利用引擎，设计初衷在于参加Cyber Grand Challenge。本文以栈溢出为例，展示Rex自动生成 Exploit的能力。测试样例为Linux下可执行程序vuln_stacksmash，其中存在栈溢出漏洞，通过Rex自动生成rop2system、rop2text、jmpesp三种Exploit。

0x00 vuln_stacksmash栈溢出漏洞

使用radare2简要分析vuln_stacksmash。vuln()函数中，调用 read(int fd,void * bu,size_t count)时未检查缓冲区大小，导致栈溢出。

使用GDB调试vuln_stacksmash，运行至溢出点，程序状态如下：

计算偏移为0x44，构造PoC并输入。单步执行并检查栈帧情况，可见EBP已被“\x41\x41\x41\x41”覆盖，后续四个字节为EIP值，已被覆盖为“\x42\x42\x42\x42”。

跟踪至vuln()返回，触发异常，EIP被劫持为“\x42\x42\x42\x42”。

上文简要分析了vuln_stacksmash中存在的栈溢出漏洞，下文将介绍如何利用Rex自动生成Exploit。

0x01 Rex脚本

Rex的实现基于Angr，主要采用混合符号执行技术，对原理感兴趣的同学可以阅读论文《(State of) The Art of War: Offensive Techniques in Binary Analysis》。由于封装的原因，整体代码看起来较为简洁，从漏洞复现、漏洞类型判定、Exploit生成到Exploit有效性验证，共计10行代码。其中，Crash类用以复现漏洞并返回漏洞类型，Exploit类用以判定漏洞的可利用性，并生成Exploit。171 ~ 174行用以验证Exploit的有效性。

0x02 漏洞复现

Rex在实现混合符号执行时，首先使用QEMU进行Concrete Execution，在获取到Crash状态后，使用Angr进行Concolic Execution，相关功能封装在Crash类中。

1、Concrete Execution

使用QEMU加载vuln_stacksmash，以PoC为输入运行，获取程序崩溃时的状态。执行结果如下：

2、Concolic Execution

在获取到Crash state后，基于Angr实现Concolic Execution。首先设置程序初始状态。

使用‘posix’、’preconstrainer’插件辅助分析：

SimSystemPosix()

Data storage and interaction mechanisms for states with an environment conforming to posix.

Available as state.posix.

SimStatePreconstrainer()

This state plugin manages the concept of preconstraining - adding constraints which you would like to remove later.

:param constrained_addrs : SimActions for memory operations whose addresses should be constrained during crash analysis

使用‘Tracer’、’Oppologist’两种Exploration_techniques：

设置simulation_manager：

执行结果:

0x03 漏洞类型判定

Crash类中的_triage_crash()方法对漏洞类型进行判定。

执行结果为IP_OVERWRITE：

0x04 Exploit生成

代码中设置了rop_leak_memory、rop_set_register、 explore_for_exploit三种利用方式。通过阅读源码可知，rop_leak_memory、rop_set_register均是针对CGC格式文件的利用技术。在Rex现有的exploit_technique中，call_jmp_sp_shellcode、call_shellcode、rop_to_system三种技术用以针对ELF文件。执行结果如下：