BF Addresses in the Stack
Last updated
Last updated
Lernen Sie AWS-Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen Sie GCP-Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Wenn Sie es mit einem Binärfile zu tun haben, das durch einen Canary und PIE (Position Independent Executable) geschützt ist, müssen Sie wahrscheinlich einen Weg finden, um diese zu umgehen.
Beachten Sie, dass checksec
möglicherweise nicht feststellt, dass ein Binärfile durch einen Canary geschützt ist, wenn es statisch kompiliert wurde und nicht in der Lage ist, die Funktion zu identifizieren.
Sie können dies jedoch manuell feststellen, wenn Sie feststellen, dass ein Wert am Anfang eines Funktionsaufrufs im Stack gespeichert wird und dieser Wert vor dem Verlassen überprüft wird.
Um PIE zu umgehen, müssen Sie eine Adresse leaken. Und wenn das Binärfile keine Adressen leakt, ist es am besten, den RBP und RIP, die im Stack gespeichert sind, in der verwundbaren Funktion zu brute-forcen. Beispielsweise, wenn ein Binärfile sowohl durch einen Canary als auch durch PIE geschützt ist, können Sie damit beginnen, den Canary zu brute-forcen, dann werden die nächsten 8 Bytes (x64) das gespeicherte RBP und die nächsten 8 Bytes das gespeicherte RIP sein.
Es wird angenommen, dass die Rückgabeadresse im Stack zum Hauptcode des Binärs gehört, was in der Regel der Fall ist, wenn die Schwachstelle im Binärcode liegt.
Um den RBP und den RIP des Binärs zu brute-forcen, können Sie feststellen, dass ein gültig geratenes Byte korrekt ist, wenn das Programm etwas ausgibt oder einfach nicht abstürzt. Die gleiche Funktion, die für das Brute-Forcen des Canary bereitgestellt wurde, kann verwendet werden, um den RBP und den RIP zu brute-forcen:
Das Letzte, was Sie benötigen, um den PIE zu umgehen, ist die Berechnung nützlicher Adressen aus den durchgesickerten Adressen: dem RBP und dem RIP.
Vom RBP aus können Sie berechnen, wo Sie Ihren Shellcode im Stack schreiben. Dies kann sehr nützlich sein, um zu wissen, wo Sie den String "/bin/sh\x00" im Stack schreiben werden. Um den Abstand zwischen dem durchgesickerten RBP und Ihrem Shellcode zu berechnen, setzen Sie einfach einen Haltepunkt nach dem Durchsickern des RBP und überprüfen, wo sich Ihr Shellcode befindet, dann können Sie den Abstand zwischen dem Shellcode und dem RBP berechnen:
Vom RIP aus können Sie die Basisadresse der PIE-Binärdatei berechnen, die Sie benötigen, um eine gültige ROP-Kette zu erstellen.
Um die Basisadresse zu berechnen, führen Sie einfach objdump -d vunbinary
aus und überprüfen Sie die zuletzt disassemblierten Adressen:
In diesem Beispiel sehen Sie, dass nur 1 Byte und eine Hälfte erforderlich sind, um den gesamten Code zu lokalisieren. Die Basisadresse in dieser Situation wird also der geleakte RIP, endend auf "000" sein. Zum Beispiel, wenn Sie 0x562002970ecf
geleakt haben, ist die Basisadresse 0x562002970000
.
Gemäß einiger Beobachtungen aus diesem Beitrag ist es möglich, dass der Server bei bestimmten Werten von RBP und RIP nicht abstürzt, die nicht die richtigen sind, und das BF-Skript denkt, er habe die richtigen erhalten. Dies liegt daran, dass es möglich ist, dass einige Adressen es einfach nicht brechen, auch wenn es nicht genau die richtigen sind.
Gemäß diesem Blog-Beitrag wird empfohlen, eine kurze Verzögerung zwischen den Anfragen an den Server einzuführen.