Basic Stack Binary Exploitation Methodology
Last updated
Last updated
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Bevor Sie mit der Ausnutzung von irgendetwas beginnen, ist es interessant, einen Teil der Struktur einer ELF-Binärdatei zu verstehen:
ELF Basic InformationBei so vielen Techniken ist es gut, ein Schema zu haben, wann jede Technik nützlich sein wird. Beachten Sie, dass die gleichen Schutzmaßnahmen verschiedene Techniken beeinflussen werden. Sie können Möglichkeiten finden, die Schutzmaßnahmen in jedem Schutzabschnitt zu umgehen, jedoch nicht in dieser Methodik.
Es gibt verschiedene Möglichkeiten, wie Sie den Fluss eines Programms steuern könnten:
Stack Overflows überschreiben den Rückgabepointer vom Stack oder den EBP -> ESP -> EIP.
Möglicherweise müssen Sie einen Integer Overflow ausnutzen, um den Overflow zu verursachen.
Oder über Arbitrary Writes + Write What Where to Execution.
Format-Strings: Missbrauch von printf, um beliebige Inhalte an beliebige Adressen zu schreiben.
Array-Indizierung: Missbrauch einer schlecht gestalteten Indizierung, um einige Arrays zu steuern und einen beliebigen Schreibzugriff zu erhalten.
Möglicherweise müssen Sie einen Integer Overflow ausnutzen, um den Overflow zu verursachen.
bof zu WWW über ROP: Missbrauch eines Buffer Overflows, um einen ROP zu konstruieren und in der Lage zu sein, ein WWW zu erhalten.
Sie finden die Write What Where to Execution Techniken in:
Write What Where 2 ExecEtwas, das zu berücksichtigen ist, ist, dass normalerweise nur eine Ausnutzung einer Schwachstelle möglicherweise nicht ausreicht, um einen erfolgreichen Exploit auszuführen, insbesondere müssen einige Schutzmaßnahmen umgangen werden. Daher ist es interessant, einige Optionen zu diskutieren, um eine einzelne Schwachstelle mehrmals in derselben Ausführung der Binärdatei ausnutzbar zu machen:
Schreiben Sie in eine ROP-Kette die Adresse der main-Funktion oder die Adresse, an der die Schwachstelle auftritt.
Durch die Kontrolle einer ordnungsgemäßen ROP-Kette könnten Sie in der Lage sein, alle Aktionen in dieser Kette auszuführen.
Schreiben Sie in die exit-Adresse in GOT (oder eine andere Funktion, die von der Binärdatei vor dem Ende verwendet wird) die Adresse, um zur Schwachstelle zurückzukehren.
Wie in .fini_array, speichern Sie hier 2 Funktionen, eine um die Schwachstelle erneut aufzurufen und eine andere um __libc_csu_fini aufzurufen, die die Funktion aus .fini_array erneut aufruft.
ret2win: Es gibt eine Funktion im Code, die Sie aufrufen müssen (vielleicht mit einigen spezifischen Parametern), um das Flag zu erhalten.
In einem bof mit PIE müssen Sie es umgehen.
In einem bof mit canary müssen Sie es umgehen.
Wenn Sie mehrere Parameter setzen müssen, um die ret2win-Funktion korrekt aufzurufen, können Sie verwenden:
Eine ROP Kette, wenn genügend Gadgets vorhanden sind, um alle Parameter vorzubereiten.
SROP (falls Sie diesen Syscall aufrufen können), um viele Register zu steuern.
Über einen Write What Where könnten Sie andere Schwachstellen (nicht bof) ausnutzen, um die win-Funktion aufzurufen.
Pointer-Redirecting: Falls der Stack Zeiger auf eine Funktion enthält, die aufgerufen werden soll, oder auf einen String, der von einer interessanten Funktion (system oder printf) verwendet werden soll, ist es möglich, diese Adresse zu überschreiben.
Uninitialisierte Variablen: Man weiß nie.
(Stack) Shellcode: Dies ist nützlich, um einen Shellcode im Stack zu speichern, bevor oder nachdem der Rückgabepointer überschrieben wurde, und dann dorthin zu springen, um ihn auszuführen:
In jedem Fall, wenn es einen canary, müssen Sie in einem regulären bof (leak) ihn umgehen.
Mit ASLR müssen Sie Techniken wie ret2esp/ret2reg verwenden, um dorthin zu springen.
Dies wird Shellcode mit einer ROP-Kette mischen.
Ret2syscall: Nützlich, um execve aufzurufen, um beliebige Befehle auszuführen. Sie müssen in der Lage sein, die Gadgets zu finden, um den spezifischen Syscall mit den Parametern aufzurufen.
SROP kann nützlich sein, um die ret2execve vorzubereiten.
Ret2lib: Nützlich, um eine Funktion aus einer Bibliothek (normalerweise aus libc) wie system mit einigen vorbereiteten Argumenten (z.B. '/bin/sh') aufzurufen. Sie müssen die Binärdatei laden, um die Bibliothek mit der Funktion, die Sie aufrufen möchten (normalerweise libc), zu verwenden.
Wenn statisch kompiliert und kein PIE, ändern sich die Adressen von system und /bin/sh nicht, sodass sie statisch verwendet werden können.
Ohne ASLR und Kenntnis der geladenen libc-Version ändern sich die Adressen von system und /bin/sh nicht, sodass sie statisch verwendet werden können.
Verwenden Sie ret2dlresolve, um die Adresse von system aufzulösen und sie aufzurufen.
Umgehen Sie ASLR und berechnen Sie die Adresse von system und '/bin/sh' im Speicher.
PIE umgehen.
Die libc-Version herausfinden (ein paar Funktionsadressen leaken).
Die vorherigen Szenarien mit ASLR überprüfen, um fortzufahren.
Stack Pivoting / EBP2Ret / EBP Chaining: Steuern Sie den ESP, um RET über den gespeicherten EBP im Stack zu steuern.
Nützlich für off-by-one Stack Overflows.
Nützlich als alternative Möglichkeit, EIP zu steuern, während EIP missbraucht wird, um die Nutzlast im Speicher zu konstruieren und dann über EBP dorthin zu springen.
Pointer-Redirecting: Falls der Stack Zeiger auf eine Funktion enthält, die aufgerufen werden soll, oder auf einen String, der von einer interessanten Funktion (system oder printf) verwendet werden soll, ist es möglich, diese Adresse zu überschreiben.
Uninitialisierte Variablen: Man weiß nie.
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
