【论文分享】HAEPG: An Automatic Multi-hop Exploitation Generation Framework

最新推荐文章于 2022-08-30 16:09:33 发布
最新推荐文章于 2022-08-30 16:09:33 发布
阅读量324 收藏 2
点赞数 1
分类专栏: 论文 自动化利用 文章标签: AEG
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013648063/article/details/119806600
版权

来源会议:DIMVA 2020,虽然是个C会,但文章内容挺长的,有21页单栏。

简介

采用符号执行和专家知识结合的方法,针对CTF程序的堆漏洞自动化利用的文章。考虑的防御机制包含NX和Full RELRO。使用到的信息包含PoC,漏洞程序和先验专家知识。

2个贡献:

  • 利用很少能力的堆漏洞
  • 对程序和堆分配器进行建模

方法

分为三个步骤:

  • 堆操作建模
  • 漏洞分析
  • 利用生成

堆操作建模

生成控制流图,标记堆操作的函数调用。主要对三类原语进行标记:

  • allocation:分配
  • deallocation:释放
  • edit:编辑

通常来说,堆原语主要分为三种:

  • 与堆分配器相关的函数调用,比如malloc、calloc、free等等
  • 将堆指针作为参数的函数调用,比如read、fgets等等
  • 将堆对象作为目标地址的内存写指令。

为了分析堆原语,HEAPG使用符号执行执行函数路径。将输入字节符号化,并且追踪与堆区域交互的指令。HEAPG并不会追踪共享库。如果任何堆原语的属性是符号化的,HEAPG会去求解并且记录范围,而不是具体化。为了推断堆原语的关系,还给每个堆指针贴了一个全局标签。

漏洞分析

从AFL获取崩溃输入并且通过检测内存使用的违反情况来分析漏洞的能力。HEAPG动态地执行poc,并且将指针污点化。然后传播到指向的内存区域。

另外,还给堆对象加标签。一开始标签是uninitialized,当有指令写对象的时候,标签会变为busy,当被释放时则是free。同时也记录heap object的大小。如果任何指令访问了堆的内存,我们可以知道指针的标签。

根据下面的表格,判断是哪种类型的堆漏洞。

image-20210818164020577

基于模板的利用生成

这个部分分为模板、攻击序列生成、攻击序列评估这几个部分。

模板主要包含3个组件(能否自动生成该模板呢?):

  • 原语序列:堆原语的顺序。比如循环释放fastbin的堆块。
  • 布局约束:比如,unsafe unlink需要victim 堆块分配unsorted bin的大小,并且伪造的堆块需要在victim堆块的旁边。
  • 要求:要使用一个利用技术,需要有些前置条件。比如fastbin攻击需要对象大小是fastbin size。

攻击序列生成和提供的模板关系密切。首先,检查目标程序是否满足要求,比如漏洞类型和glibc的版本号。如果满足要求,则选择某个模板开始下一步。

在二进制程序中搜索函数路径,去找到模板中的backbone 原语。并将函数路径和原语放在一起构成攻击序列。对于如何执行攻击序列,又提出了两种方法:

  • 堆模拟器:使用它来执行堆原语,并且模拟目标程序的intermediate state。
  • 符号执行:让目标程序执行攻击序列的函数路径,并且将堆原语作为数据约束。

攻击序列评估

根据模板的布局约束来评估攻击序列。动态执行目标程序和攻击序列,同时记录运行时的堆布局。然后提取每个堆对象的地址,真实的大小和存储对象指针的地址。基于这些信息,就基本完成了backbone primitive。

除此之外,还会去检查当前的堆布局是否满足布局约束条件,包括堆对象的距离和状态。为了提高性能,先使用堆模拟器来快速评估。只有攻击序列通过了评估,HEAPG才会使用S2E去精准评估。

如果满足了布局约束,程序会进入可利用的状态,并且HEAPG试图去生成一个exploit。否则,HEAPG会找到有冲突的布局。然后回推断冲突的原因,并试图修正它。通常来说,冲突的原因有以下几个:

  • Heap chunk A需要释放,但是处于busy或者未初始化状态
  • Heap chunk A和B需要相邻,但是没有其他的busy块在他们之间
  • Heap chunk A和B需要相邻,但是A的相邻块被释放了。

一旦攻击序列通过了评估,HEAPG就会使用符号执行,并且通过追踪目标程序的指令来检查利用原语,同时检查符号数据是否在以下地址中:

  • 内存写指令和函数调用的内容和目标地址
  • 非直接跳转的目标地址
  • bin的head指针
  • 函数指针的值

基于以上符号数据的位置,就可以使用下面的原语去生成一个利用的输入。

  • 任意代码执行:如果函数指针或者非直接跳转的地址被覆盖了,就可以覆盖这些指针为一个任意的值。从而实现任意代码执行。
  • 任意地址写:内存写指令或者函数调用的地址是符号化的,就可以写任意的数据到任意的位置。
  • 任意分配:如果bin的头指针是符号化的,那说明可以分配一个堆块到任意的一个位置。

结果

使用CTF程序作为评测,程序来自ctftime.org,pwnable.tw和github.com。选择程序的标准:

  • 至少有个堆漏洞
  • 难度系数越高越好

写了四个利用模板,包含fastbin,unsafe unlink,house of force和tcache poisoning。

从有效性,性能两方面进行评估。

有效性

大部分程序都能生成利用。

image-20210818184312699

性能

image-20210818184339680

不能生成利用有几个原因:

  • 不能找到利用原语去存储非法的堆对象
  • 现有的模板不支持house of autumn
  • 缺少能用的模板,比如不能处理children_tcache,iz_heap_lv2和schmaltz
  • 不能检测到漏洞,由于是在对象级别追踪堆操作,所以不能处理堆对象内的数据越界。
  • 程序分析的问题。比如带有AES加密算法的程序、混淆过的程序,这些都会导致状态爆炸。

讨论

整体的局限性,有以下三点:

  • 不能处理复杂程序
  • 不完整。如果没有补充利用模板,无法实现未知的利用技术。
  • 不能用在ptmalloc以外的堆分配器的程序

总结

这篇文章的思路不错,挺简单易懂。要是开源就好了。

虽然有不少局限性,但也说明这个领域还有不少待解决的问题。

破落之实
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Nosql-Exploitation-Framework:用于NoSQL扫描和利用的Python框架
02-03
Nosql开发框架NoSQL扫描和利用框架的框架NoSQL开发框架2.02b发布作者弗朗西斯·亚历山大(Francis Alexander)创建的NoSQL开发框架维基NoSQL Exploitation Framework Wiki的安装和用法-https: 特征: 第一个工具,...
不连续的需求函数:估计和定价-研究论文
06-09
我们考虑具有未知和不连续需求函数的动态定价问题。 有一个卖家在多周期时间范围内动态设置产品的价格。 产品的预期需求是收费价格的分段连续和参数函数,允许可能存在多个不连续点。 卖方最初既不知道不连续点的...
Automatic Exploit Generation:漏洞利用自动化
omnispace的博客
05-09 4498
漏洞利用是二进制安全的核心内容之一。当安全研究员挖掘到一个新的漏洞时,首先要做的事情就是尝试写POC和exploit。所谓POC,一般来说就是一个能够让程序崩溃的输入,且能够证明控制寄存器或者其他违反安全规则的行为。Exploit则条件更严格一些,是对漏洞的完整利用,通常以弹出一个shell作为目标。 从程序到漏洞再到利用,这个过程需要对二进制程序(或者加上源代码)及其运行...
AAAI2020论文列表(中英对照)
dovings的博客
07-04 5733
AAAI2020论文列表(中英对照)
AAAI2021论文列表(中英对照)
dovings的博客
07-04 7863
AAAI2021论文列表(中英对照)
AAAI2020录用论文汇总(三)
fengdu78的博客
02-28 4072
本文汇总了截至2月23日arxiv上上传的所有AAAI2020录用论文,共计629篇,因篇幅过长,分为三部分,分享给大家。AAAI2020论文汇总(part 3)[401] Jus...
harmonyos2-nixawk-awesome-windows-exploitation:nixawk-awesome-windows-e
07-01
Exploitation 资源和闪亮事物的精选列表。 每个类别中的项目没有预先确定的顺序,顺序是为了贡献。 如果你想贡献,请阅读 . 目录 - 作者:Dark spyrit [1999] - 尼什·巴拉 (Nish Bhalla) [2005] - 哈根·弗里奇 ...
Athena-Exploitation-Framework::bomb:进攻渗透测试框架。 :bomb:
03-22
转到克隆的存储库: cd Athena-Exploitation-Framework 安装所需的Python软件包: pip3 install -r requirements.txt 运行Athena.py python3 Athena.py 特征 漏洞扫描+执行 美丽且易于使用的CLI 目标侦察 完全详细 ...
crossdomain-exploitation-framework:利用过度宽松的 crossdomain.xml 文件所需的一切
07-14
root@kali:~ # cd crossdomain-exploitation-framework root@kali:~/crossdomain-exploitation-framework # ./SWF-server 示例输出 - 安装 root@kali:~/crossdomain-exploitation-framework # python SWF-server **...
NDSS 2021 论文泛读
^_^
10-22 9985
会议论文列表:https://dblp.uni-trier.de/db/conf/ndss/ndss2021.html 只挑了几个感兴趣的session过了一遍,还是发现了不少有意思的文章。 文章目录程序分析模糊测试侧信道智能家居软件防御嵌入式安全可信计算 程序分析 Towards Measuring Supply Chain Attacks on Package Managers for Interpreted Languages. 简介:qualitative assessment!(定性评估) 包管理
Usenix 2022 夏季论文简单分类
^_^
01-16 6637
最近发现Usenix 2022夏季的paper已经出了,所以扫扫看有没有有趣的文章,对文章进行了简单的分类。基于个人知识分类,可能分类不是那么准确。也可以等usenix 2022上了dblp看官方的分类。 文章目录二进制fuzz软件安全物联网声音相关侧信道可信计算内核云安全嵌入式设备AI模型安全驾驶系统移动安全LTE(通信安全?)密码学网络安全Web安全隐私未分类 二进制 DeepDi: Learning a Relational Graph Convolutional Network Model on.
CCS2020论文泛读记录
^_^
12-02 5459
CCS '20: Proceedings of the 2020 ACM SIGSAC Conference on Computer and Communications Security 我只挑了一些我感兴趣的文章简单过了一下,如果这里没有你感兴趣的可以去这里链接看看还有没有你感兴趣的:https://dl.acm.org/doi/proceedings/10.1145/3372297 文章目录二进制相关IOT 固件等模糊测试与可信执行环境内核安全Exploitation and Defenses后量.
S&P 2022论文泛读
^_^
07-05 3700
粗略扫了S&P 2022每个介绍视频,把自己觉得有意思,和自己方向相关的论文给整理到一块~
论文分享】SLAKE: Facilitating Slab Manipulation for Exploiting Vulnerabilities in the Linux Kernel
^_^
01-15 3265
Usenix 2019年一篇关于内核堆布局自动化构造的文章 文章目录简介:背景研究意义难点研究范围假设研究目标SLAB/SLUB的一些背景知识关键挑战哪个内核对象适合利用?如何释放/分配对象和解引用相应的指针?如何系统地调整系统调用来获取理想的内存布局?方法识别对象和系统调用找系统调用匹配漏洞能力调整SLAB布局实现静态分析动态分析结果识别系统调用可利用性评估相关工作讨论支持更多的OS其他的分配器对象识别利用方法漏洞能力总结 简介: 为了确定内核漏洞的可利用性,安全分析人员通常需要操作slab,然后描述.
怎样做文献综述:六步走向成功-读书笔记
^_^
06-12 2714
之前看了《怎样做文献综述:六步走向成功》这本书,感觉有点收获,记录于此。文章的作者不是理工科的,但一些大体上的方法论也是可以借鉴的。 书的豆瓣链接:https://book.douban.com/subject/6526308/ 文献综述的目的: 基本文献综述:展现有关某个研究课题的现有知识 高级文献综述:揭示某一个研究问题 文献综述的定义: 从前人的研究中找出可信的证据,建立自己的论据。 文献综述的过程: 选择主题 文献搜索 展开论证 文献研究 文献批评 综述撰写 开始写作前的积累和准备 一个不
论文分享】Facilitating Vulnerability Assessment through PoC Migration
^_^
12-26 2431
CCS 2021 ,来自复旦白泽的论文 论文链接:https://dl.acm.org/doi/abs/10.1145/3460120.3484594 开源,需要身份认证:https://seclab-fudan.github.io/VulScope/ 简介:有研究表明,MITRE/NIST的漏洞报告,关于漏洞版本的信息有缺失,使得没有报告的漏洞版本存在很大的安全隐患。这篇文章,通过基于fuzz的方法去解决这个问题。技术上来说,这个方法首先收集软件参考版本的崩溃路径,然后使用这个路径去指导目标版本程序的.
论文分享】Fuzzing: A Survey for Roadmap
^_^
07-05 2085
ACM computing survey 的上一篇关于fuzzing的论文阅读记录。这篇文章很适合刚入门模糊测试或者想在模糊测试做研究的人阅读!强烈推荐看看原文!
论文分享】LibAFL: A Framework to Build Modular and Reusable Fuzzers
^_^
08-30 1835
AFL是软件安全测试领域的一个重要里程碑,使得fuzzing成为了一个主要的研究领域,并带动了大量的研究去提高fuzzing流水线上的各个方面。许多研究是通过fork AFL的代码来进行实现的。虽然一开始看起来挺合适的,但是要把多种fork合并到一个fuzzer,需要大量的工程开销,阻碍了不同技术客观和公正的评估。严重碎片化的fuzzing的生态阻止了研究者组合多种技术来实现新的原型系统。为了解决这个问题,这篇文章提出了LibAFL,一个框架来构建模块化和可重用的fuzzer。...
xss exploitation tool
最新发布
08-21
XSS Exploitation Tool(跨站脚本攻击利用工具)是指用于实施跨站脚本攻击的软件或工具。跨站脚本攻击是一种网络安全威胁,攻击者通过注入恶意脚本代码到受害者的网页中,使得该脚本在用户浏览器中执行,并窃取敏感...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

破落之实

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值