Ret2win
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Los desafíos de Ret2win son una categoría popular en las competiciones de Capture The Flag (CTF), particularmente en tareas que involucran binary exploitation. El objetivo es explotar una vulnerabilidad en un binario dado para ejecutar una función específica, no invocada, dentro del binario, a menudo llamada algo como win
, flag
, etc. Esta función, cuando se ejecuta, generalmente imprime una bandera o un mensaje de éxito. El desafío típicamente implica sobrescribir la dirección de retorno en la pila para desviar el flujo de ejecución a la función deseada. Aquí hay una explicación más detallada con ejemplos:
Considera un programa simple en C con una vulnerabilidad y una función win
que pretendemos llamar:
Para compilar este programa sin protecciones de pila y con ASLR deshabilitado, puedes usar el siguiente comando:
-m32
: Compila el programa como un binario de 32 bits (esto es opcional pero común en desafíos CTF).
-fno-stack-protector
: Deshabilita las protecciones contra desbordamientos de pila.
-z execstack
: Permite la ejecución de código en la pila.
-no-pie
: Deshabilita el ejecutable independiente de la posición para asegurar que la dirección de la función win
no cambie.
-o vulnerable
: Nombra el archivo de salida vulnerable
.
Para el exploit, utilizaremos pwntools, un potente marco CTF para escribir exploits. El script de exploit creará una carga útil para desbordar el búfer y sobrescribir la dirección de retorno con la dirección de la función win
.
Para encontrar la dirección de la función win
, puedes usar gdb, objdump o cualquier otra herramienta que te permita inspeccionar archivos binarios. Por ejemplo, con objdump
, podrías usar:
Este comando te mostrará el ensamblaje de la función win
, incluyendo su dirección de inicio.
El script de Python envía un mensaje cuidadosamente elaborado que, al ser procesado por la vulnerable_function
, desborda el búfer y sobrescribe la dirección de retorno en la pila con la dirección de win
. Cuando vulnerable_function
retorna, en lugar de regresar a main
o salir, salta a win
, y se imprime el mensaje.
PIE debe estar deshabilitado para que la dirección sea confiable a través de ejecuciones o la dirección donde se almacenará la función no siempre será la misma y necesitarías alguna leak para averiguar dónde se carga la función win. En algunos casos, cuando la función que causa el desbordamiento es read
o similar, puedes hacer un Partial Overwrite de 1 o 2 bytes para cambiar la dirección de retorno a la función win. Debido a cómo funciona ASLR, los últimos tres nibble hexadecimales no están aleatorizados, por lo que hay una 1/16 de probabilidad (1 nibble) de obtener la dirección de retorno correcta.
Stack Canaries también deben estar deshabilitados o la dirección de retorno EIP comprometida nunca será seguida.
32 bits, sin ASLR
64 bits con ASLR, con una leak de la dirección binaria
64 bits, sin ASLR
32 bits, sin ASLR, desbordamiento pequeño doble, primero para desbordar la pila y aumentar el tamaño del segundo desbordamiento
32 bits, relro, sin canario, nx, sin pie, cadena de formato para sobrescribir la dirección fflush
con la función win (ret2win)
32 bits, nx, nada más, sobrescritura parcial de EIP (1Byte) para llamar a la función win
32 bits, nx, nada más, sobrescritura parcial de EIP (1Byte) para llamar a la función win
El programa solo está validando el último byte de un número para verificar el tamaño de la entrada, por lo tanto, es posible agregar cualquier tamaño siempre que el último byte esté dentro del rango permitido. Luego, la entrada crea un desbordamiento de búfer explotado con un ret2win.
64 bits, relro, sin canario, nx, pie. Sobrescritura parcial para llamar a la función win (ret2win)
arm64, PIE, da una leak de PIE, la función win es en realidad 2 funciones, por lo que gadget ROP que llama a 2 funciones
ARM64, off-by-one para llamar a una función win
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)