Basic Stack Binary Exploitation Methodology
Last updated
Last updated
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Antes de começar a explorar qualquer coisa, é interessante entender parte da estrutura de um binário ELF:
ELF Basic InformationCom tantas técnicas, é bom ter um esquema de quando cada técnica será útil. Note que as mesmas proteções afetarão diferentes técnicas. Você pode encontrar maneiras de contornar as proteções em cada seção de proteção, mas não nesta metodologia.
Existem diferentes maneiras de você acabar controlando o fluxo de um programa:
Stack Overflows sobrescrevendo o ponteiro de retorno da pilha ou o EBP -> ESP -> EIP.
Pode ser necessário abusar de um Integer Overflows para causar o overflow.
Ou via Arbitrary Writes + Write What Where to Execution.
Format strings: Abuse printf para escrever conteúdo arbitrário em endereços arbitrários.
Array Indexing: Abuse de um indexação mal projetada para conseguir controlar alguns arrays e obter uma escrita arbitrária.
Pode ser necessário abusar de um Integer Overflows para causar o overflow.
bof para WWW via ROP: Abuse de um buffer overflow para construir um ROP e conseguir obter um WWW.
Você pode encontrar as técnicas de Write What Where to Execution em:
Write What Where 2 ExecAlgo a ser levado em conta é que geralmente apenas uma exploração de uma vulnerabilidade pode não ser suficiente para executar um exploit bem-sucedido, especialmente algumas proteções precisam ser contornadas. Portanto, é interessante discutir algumas opções para tornar uma única vulnerabilidade explorável várias vezes na mesma execução do binário:
Escrever em uma cadeia ROP o endereço da função main ou o endereço onde a vulnerabilidade está ocorrendo.
Controlando uma cadeia ROP adequada, você pode ser capaz de realizar todas as ações nessa cadeia.
Escrever no endereço exit no GOT (ou qualquer outra função usada pelo binário antes de terminar) o endereço para voltar à vulnerabilidade.
Como explicado em .fini_array, armazene 2 funções aqui, uma para chamar a vulnerabilidade novamente e outra para chamar __libc_csu_fini que chamará novamente a função de .fini_array.
ret2win: Há uma função no código que você precisa chamar (talvez com alguns parâmetros específicos) para obter a flag.
Em um bof com PIE, você precisará contorná-lo.
Em um bof com canary, você precisará contorná-lo.
Se você precisar definir vários parâmetros para chamar corretamente a função ret2win, você pode usar:
Uma cadeia ROP se houver gadgets suficientes para preparar todos os parâmetros.
SROP (caso você possa chamar essa syscall) para controlar muitos registradores.
Via um Write What Where, você poderia abusar de outras vulnerabilidades (não bof) para chamar a função win.
Pointers Redirecting: Caso a pilha contenha ponteiros para uma função que será chamada ou para uma string que será usada por uma função interessante (system ou printf), é possível sobrescrever esse endereço.
Uninitialized variables: Você nunca sabe.
(Stack) Shellcode: Isso é útil para armazenar um shellcode na pilha antes ou depois de sobrescrever o ponteiro de retorno e então pular para ele para executá-lo:
Em qualquer caso, se houver um canary, em um bof regular você precisará contorná-lo (leak).
Com ASLR, você precisará de técnicas como ret2esp/ret2reg para pular para ele.
Isso misturará shellcode com uma cadeia ROP.
Ret2syscall: Útil para chamar execve para executar comandos arbitrários. Você precisa ser capaz de encontrar os gadgets para chamar a syscall específica com os parâmetros.
SROP pode ser útil para preparar o ret2execve.
Ret2lib: Útil para chamar uma função de uma biblioteca (geralmente de libc) como system com alguns argumentos preparados (por exemplo, '/bin/sh'). Você precisa que o binário carregue a biblioteca com a função que você gostaria de chamar (libc geralmente).
Se compilado estaticamente e sem PIE, o endereço de system e /bin/sh não vão mudar, então é possível usá-los estaticamente.
Sem ASLR e sabendo a versão da libc carregada, o endereço de system e /bin/sh não vão mudar, então é possível usá-los estaticamente.
Use ret2dlresolve para resolver o endereço de system e chamá-lo.
Contorne ASLR e calcule o endereço de system e '/bin/sh' na memória.
Contornar PIE.
Encontrar a versão da libc usada (leak de alguns endereços de função).
Verificar os cenários anteriores com ASLR para continuar.
Stack Pivoting / EBP2Ret / EBP Chaining: Controle o ESP para controlar RET através do EBP armazenado na pilha.
Útil para off-by-one stack overflows.
Útil como uma maneira alternativa de acabar controlando EIP enquanto abusa de EIP para construir o payload na memória e então pulando para ele via EBP.
Pointers Redirecting: Caso a pilha contenha ponteiros para uma função que será chamada ou para uma string que será usada por uma função interessante (system ou printf), é possível sobrescrever esse endereço.
Uninitialized variables: Você nunca sabe.
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
