Basic Stack Binary Exploitation Methodology
Last updated
Last updated
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
Antes de comenzar a explotar cualquier cosa, es interesante entender parte de la estructura de un binario ELF:
ELF Basic InformationCon tantas técnicas, es bueno tener un esquema de cuándo cada técnica será útil. Ten en cuenta que las mismas protecciones afectarán a diferentes técnicas. Puedes encontrar formas de evadir las protecciones en cada sección de protección, pero no en esta metodología.
Hay diferentes formas en las que podrías terminar controlando el flujo de un programa:
Desbordamientos de Pila sobrescribiendo el puntero de retorno de la pila o el EBP -> ESP -> EIP.
Podrías necesitar abusar de un Desbordamiento de Enteros para causar el desbordamiento.
O a través de Escrituras Arbitrarias + Escribir Qué Dónde a la Ejecución
Cadenas de Formato: Abusar de printf para escribir contenido arbitrario en direcciones arbitrarias.
Indexación de Arreglos: Abusar de una indexación mal diseñada para poder controlar algunos arreglos y obtener una escritura arbitraria.
Podrías necesitar abusar de un Desbordamiento de Enteros para causar el desbordamiento.
bof a WWW a través de ROP: Abusar de un desbordamiento de búfer para construir un ROP y poder obtener un WWW.
Puedes encontrar las técnicas de Escribir Qué Dónde a la Ejecución en:
https://github.com/HackTricks-wiki/hacktricks/blob/es/binary-exploitation/arbitrary-write-2-exec/README.mdAlgo a tener en cuenta es que usualmente solo una explotación de una vulnerabilidad podría no ser suficiente para ejecutar un exploit exitoso, especialmente si se necesitan evadir algunas protecciones. Por lo tanto, es interesante discutir algunas opciones para hacer que una sola vulnerabilidad sea explotable varias veces en la misma ejecución del binario:
Escribir en una cadena ROP la dirección de la función main o la dirección donde está ocurriendo la vulnerabilidad.
Controlando una cadena ROP adecuada podrías ser capaz de realizar todas las acciones en esa cadena.
Escribir en la dirección de exit en GOT (o cualquier otra función utilizada por el binario antes de finalizar) la dirección para volver a la vulnerabilidad.
Como se explica en .fini_array, almacenar 2 funciones aquí, una para llamar nuevamente a la vulnerabilidad y otra para llamar a __libc_csu_fini que llamará nuevamente a la función de .fini_array.
ret2win: Hay una función en el código que necesitas llamar (quizás con algunos parámetros específicos) para obtener la bandera.
En un bof con PIE, necesitarás evadirlo.
En un bof con canary, necesitarás evadirlo.
Si necesitas establecer varios parámetros para llamar correctamente a la función ret2win puedes usar:
Una cadena ROP si hay suficientes gadgets para preparar todos los parámetros.
SROP (en caso de que puedas llamar a esta llamada al sistema) para controlar muchos registros.
A través de un Escribir Qué Dónde podrías abusar de otras vulnerabilidades (no bof) para llamar a la función win.
Redirección de Punteros: En caso de que la pila contenga punteros a una función que va a ser llamada o a una cadena que va a ser utilizada por una función interesante (system o printf), es posible sobrescribir esa dirección.
Variables no inicializadas: Nunca se sabe.
(Stack) Shellcode: Esto es útil para almacenar un shellcode en la pila antes o después de sobrescribir el puntero de retorno y luego saltar a él para ejecutarlo:
En cualquier caso, si hay un canary, en un bof regular necesitarás evadirlo (filtrarlo).
Con ASLR necesitarás técnicas como ret2esp/ret2reg para saltar a ella.
Esto mezclará shellcode con una cadena ROP.
Ret2syscall: Útil para llamar a execve y ejecutar comandos arbitrarios. Necesitas encontrar los gadgets para llamar al syscall específico con los parámetros.
SROP puede ser útil para preparar el ret2execve.
Ret2lib: Útil para llamar a una función de una biblioteca (generalmente de libc) como system con algunos argumentos preparados (por ejemplo, '/bin/sh'). Necesitas que el binario cargue la biblioteca con la función que deseas llamar (generalmente libc).
Si está compilado estáticamente y no hay PIE, la dirección de system y /bin/sh no cambiarán, por lo que es posible usarlos estáticamente.
Sin ASLR y conociendo la versión de libc cargada, la dirección de system y /bin/sh no cambiarán, por lo que es posible usarlos estáticamente.
Usa ret2dlresolve para resolver la dirección de system y llamarla.
Evade ASLR y calcula la dirección de system y '/bin/sh' en memoria.
Evadir PIE.
Encontrar la versión de libc utilizada (filtrar un par de direcciones de funciones).
Verificar los escenarios anteriores con ASLR para continuar.
Pivoteo de pila / EBP2Ret / EBP Chaining: Controla el ESP para controlar RET a través del EBP almacenado en la pila.
Útil para desbordamientos de pila off-by-one.
Útil como una forma alternativa de controlar EIP mientras se abusa de EIP para construir la carga útil en memoria y luego saltar a ella a través de EBP.
Redirección de punteros: En caso de que la pila contenga punteros a una función que va a ser llamada o a una cadena que va a ser utilizada por una función interesante (system o printf), es posible sobrescribir esa dirección.
Variables no inicializadas: Nunca se sabe.
