OneGadgetTest(ogt) gdb plugin - 資安

今天來自肥一下，小弟我昨天用 python 搞了一個用來快速分辨當前滿足哪個 one gadget
條件的 gdb plugin ，不是什麼創新發明只是將步驟用程式自動化執行，幫助使用者偷懶
的小工具，想偷懶的人可以嘗試用一下 XD

下面針對幾個主題做個小簡介:

* One Gadget
* one_gadget
* OneGadgetTest

1. One Gadget

one gadget 這個簡便的利用方法起源眾說紛紜，北京清華的藍蓮花隊長在他的 ppt
<掘金-- CTF 中的內存漏洞利用技巧>[1] 中提到 one gadget 可能是從 PPP 戰隊的
rickyz 提出，而台灣的 ddaa 則在撰寫駭客列傳(X CTF 的三十道陰影系列(O 的時候提到
one gadget 起源[2] 時是說出自 Dragon Sector 戰隊之手 (應該是出自 dragon sector
的一篇 slide[3]

扯遠了拉回來，這個技巧原理是因為 libc 這個 shared library 內有些 function 會調
用以下的 syscall:

execve("/bin/sh", argv, envp);

目的是啥我沒有細究，總之很方便就對了 XD

因為解謎型式的 ctf pwn 的成功標準就是拿 shell 而已，後續的利用和回復沒啥必要，
拿到 shell 看 flag 就可以走人，所以這種射後不理的手法很受歡迎，基本上能控制程式
流程題目差不多就解完了，因為 libc 內不只有一個 one gadget ，要存在一種情況剛好
所有條件不滿足的機會太小，就算條件不滿足透過一些前置作業也可以修正回來，所以現
今比較難的題目通常會在別的地方刁難玩家 XD

2. one_gadget

比較早期的時代，玩家通常都透過 objdump 或 IDA 之類反組譯工具硬幹，遇到不同版本
的 libc 又要從找一次，十分痛苦(我自己是沒經歷過啦 XD

所幸，台灣 HITCON 戰隊的 david942j 自己開發一套用 ruby 寫的工具 one_gadget[4]，
一個指令下去馬上列出當前的 libc 的所有 one gadget 地址和滿足條件，十分簡便，關
於 one_gadget project ， david942j 大大有在自己的 blog 下分享該工具的相關原理和
實作[5]，想了解細節可以去參觀一下 XD

根據 ddaa 大大的說法，因為 one_gadget 的出現導致 pwn 題的難度下降不少，不少出題
者開始用 seccomp 限制 execve syscall 提升難度，然後強者 david942j 又開發了
seccomp-tools[6]，指令一下去馬上列出當前 process 限制的 syscall ，大幅降低開發
exploit 的困擾

相比之下我只能在這些基礎上面做些偷懶的工具 QQ

3. OneGadgetTest

先說在前頭這個部分難度陡降 XD ，以前做 exploit 想用 one gadget 來 get shell 時
，我都必須用 one_gadget 看當前的 libc 的指令地址和限制，然後根據限制比對哪個地
址可以用或是哪個條件不滿足。

雖然切換來切換去只是多幾個步驟，但懶人如我總想找點地方來偷懶，於是就抓了工具的
輸出然後分析，最後根據每個條件計算看是否符合，直接呈現出來，大概從 3, 4 個步驟
降為 1 個步驟這樣 XD

project: https://github.com/0n3t04ll/OneGadgetTest

這邊附上引用和來源，不過因為網址好像大多都過長，所以會被裁切掉，可能要自行拼接
，有更好的方法我再改進


* Reference
[1] https://paper.seebug.org/papers/Archive/refs/2015-1029-yangkun-Gold-Mining-
CTF.pdf
[2] https://ithelp.ithome.com.tw/articles/10226977
[3] https://drive.google.com/file/d/18UpGDvhccnnGWj7Mux7_2BGouIZK_5bK/view
[4] https://github.com/david942j/one_gadget
[5] https://david942j.blogspot.com/2017/02/project-one-gadget-in-glibc.html
[6] https://github.com/david942j/seccomp-tools

--