BF Forked & Threaded Stack Canaries
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Si te enfrentas a un binario protegido por un canario y PIE (Ejecutable Independiente de Posición), probablemente necesites encontrar una forma de eludirlos.
Ten en cuenta que checksec podría no encontrar que un binario está protegido por un canario si este fue compilado estáticamente y no es capaz de identificar la función.
Sin embargo, puedes notar esto manualmente si encuentras que un valor se guarda en la pila al comienzo de una llamada a función y este valor se verifica antes de salir.
La mejor manera de eludir un canario simple es si el binario es un programa que crea procesos hijos cada vez que estableces una nueva conexión con él (servicio de red), porque cada vez que te conectas a él se usará el mismo canario.
Entonces, la mejor manera de eludir el canario es simplemente forzarlo de forma bruta carácter por carácter, y puedes averiguar si el byte del canario adivinado fue correcto comprobando si el programa se ha bloqueado o continúa su flujo regular. En este ejemplo, la función fuerza bruta un canario de 8 Bytes (x64) y distingue entre un byte adivinado correcto y un byte incorrecto simplemente comprobando si se envía una respuesta de vuelta por el servidor (otra forma en otra situación podría ser usando un try/except):
Este ejemplo está implementado para 64 bits, pero podría implementarse fácilmente para 32 bits.
Esto está implementado para 32 bits, pero esto podría cambiarse fácilmente a 64 bits. También tenga en cuenta que para este ejemplo el programa esperaba primero un byte para indicar el tamaño de la entrada y la carga útil.
Los hilos del mismo proceso también compartirán el mismo token canario, por lo tanto, será posible forzar un canario si el binario genera un nuevo hilo cada vez que ocurre un ataque.
Además, un desbordamiento de búfer en una función con hilos protegida con canario podría usarse para modificar el canario maestro almacenado en el TLS. Esto se debe a que podría ser posible alcanzar la posición de memoria donde se almacena el TLS (y, por lo tanto, el canario) a través de un bof en la pila de un hilo. Como resultado, la mitigación es inútil porque la verificación se utiliza con dos canarios que son los mismos (aunque modificados). Este ataque se realiza en el informe: http://7rocky.github.io/en/ctf/htb-challenges/pwn/robot-factory/#canaries-and-threads
Consulta también la presentación de https://www.slideshare.net/codeblue_jp/master-canary-forging-by-yuki-koike-code-blue-2015 que menciona que generalmente el TLS se almacena mediante mmap y cuando se crea una pila de hilo también se genera mediante mmap de acuerdo con esto, lo que podría permitir el desbordamiento como se muestra en el informe anterior.
64 bits, no PIE, nx, BF canary, escribir en alguna memoria un ROP para llamar a execve y saltar allí.
