Leaking libc address with ROP
Last updated
Last updated
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Encontre o offset de overflow
Encontre o gadget POP_RDI
, gadgets PUTS_PLT
e MAIN
Use os gadgets anteriores para vazar o endereço de memória do puts ou de outra função da libc e encontrar a versão da libc (baixe aqui)
Com a biblioteca, calcule o ROP e explore-o
Este tutorial vai explorar o código/binário proposto neste tutorial: https://tasteofsecurity.com/security/ret2libc-unknown-libc/ Outros tutoriais úteis: https://made0x78.com/bseries-ret2libc/, https://guyinatuxedo.github.io/08-bof_dynamic/csaw19_babyboi/index.html
Nome do arquivo: vuln.c
Baixe o exploit e coloque-o no mesmo diretório que o binário vulnerável e forneça os dados necessários para o script:
Leaking libc - templateO template precisa de um offset antes de continuar com o exploit. Se algum for fornecido, ele executará o código necessário para encontrá-lo (por padrão OFFSET = ""
):
Execute python template.py
um console GDB será aberto com o programa sendo encerrado. Dentro desse console GDB execute x/wx $rsp
para obter os bytes que iriam sobrescrever o RIP. Finalmente, obtenha o offset usando um console python:
Após encontrar o offset (neste caso 40), altere a variável OFFSET dentro do template usando esse valor.
OFFSET = "A" * 40
Outra maneira seria usar: pattern create 1000
-- execute até ret -- pattern seach $rsp
do GEF.
Agora precisamos encontrar gadgets ROP dentro do binário. Esses gadgets ROP serão úteis para chamar puts
para encontrar a libc sendo usada, e depois para lançar o exploit final.
O PUTS_PLT
é necessário para chamar a função puts.
O MAIN_PLT
é necessário para chamar a função main novamente após uma interação para explorar o overflow novamente (ciclos infinitos de exploração). É usado no final de cada ROP para chamar o programa novamente.
O POP_RDI é necessário para passar um parâmetro para a função chamada.
Nesta etapa, você não precisa executar nada, pois tudo será encontrado pelo pwntools durante a execução.
Agora é hora de descobrir qual versão da biblioteca libc está sendo usada. Para isso, vamos vazar o endereço na memória da função puts
e então vamos procurar em qual versão da biblioteca a versão do puts está nesse endereço.
Para fazer isso, a linha mais importante do código executado é:
Isso enviará alguns bytes até que sobrescrever o RIP seja possível: OFFSET
.
Em seguida, definirá o endereço do gadget POP_RDI
para que o próximo endereço (FUNC_GOT
) seja salvo no registro RDI. Isso ocorre porque queremos chamar puts passando o endereço do PUTS_GOT
, pois o endereço na memória da função puts é salvo no endereço apontado por PUTS_GOT
.
Depois disso, PUTS_PLT
será chamado (com PUTS_GOT
dentro do RDI) para que puts leia o conteúdo dentro de PUTS_GOT
(o endereço da função puts na memória) e imprima.
Finalmente, a função main é chamada novamente para que possamos explorar o overflow novamente.
Dessa forma, conseguimos enganar a função puts para imprimir o endereço na memória da função puts (que está dentro da biblioteca libc). Agora que temos esse endereço, podemos procurar qual versão da libc está sendo usada.
Como estamos explorando algum binário local, não é necessário descobrir qual versão da libc está sendo usada (basta encontrar a biblioteca em /lib/x86_64-linux-gnu/libc.so.6
).
Mas, em um caso de exploração remota, explicarei aqui como você pode encontrá-la:
Você pode procurar qual biblioteca está sendo usada na página da web: https://libc.blukat.me/ Isso também permitirá que você baixe a versão descoberta da libc
Você também pode fazer:
$ git clone https://github.com/niklasb/libc-database.git
$ cd libc-database
$ ./get
Isso levará algum tempo, seja paciente. Para que isso funcione, precisamos:
Nome do símbolo da libc: puts
Endereço da libc vazado: 0x7ff629878690
Podemos descobrir qual libc provavelmente está sendo usada.
Obtemos 2 correspondências (você deve tentar a segunda se a primeira não funcionar). Baixe a primeira:
Copie a libc de libs/libc6_2.23-0ubuntu10_amd64/libc-2.23.so
para o nosso diretório de trabalho.
Neste ponto, devemos saber qual a biblioteca libc utilizada. Como estamos explorando um binário local, usarei apenas: /lib/x86_64-linux-gnu/libc.so.6
Então, no início de template.py
, mude a variável libc para: libc = ELF("/lib/x86_64-linux-gnu/libc.so.6") #Defina o caminho da biblioteca quando souber
Dando o caminho para a biblioteca libc, o restante da exploração será calculado automaticamente.
Dentro da função get_addr
, o endereço base da libc será calculado:
Observe que o endereço base final da libc deve terminar em 00. Se esse não for o seu caso, você pode ter vazado uma biblioteca incorreta.
Então, o endereço da função system
e o endereço da string "/bin/sh" serão calculados a partir do endereço base da libc e dada a biblioteca libc.
Finalmente, a exploração de execução /bin/sh será preparada para ser enviada:
Vamos explicar este ROP final.
O último ROP (rop1
) terminou chamando novamente a função main, então podemos explorar novamente o overflow (é por isso que o OFFSET
está aqui novamente). Então, queremos chamar POP_RDI
apontando para o endereço de "/bin/sh" (BINSH
) e chamar a função system (SYSTEM
) porque o endereço de "/bin/sh" será passado como um parâmetro.
Finalmente, o endereço da função exit é chamado para que o processo saia de forma adequada e nenhum alerta seja gerado.
Dessa forma, o exploit executará um _/bin/sh_** shell.**
Você também pode usar ONE_GADGET para obter um shell em vez de usar system e "/bin/sh". ONE_GADGET encontrará dentro da biblioteca libc alguma maneira de obter um shell usando apenas um endereço ROP.
No entanto, normalmente há algumas restrições, as mais comuns e fáceis de evitar são como [rsp+0x30] == NULL
Como você controla os valores dentro do RSP, você só precisa enviar alguns valores NULL a mais para que a restrição seja evitada.
Você pode encontrar um template para explorar essa vulnerabilidade aqui:
Leaking libc - templateSe o símbolo "main" não existir. Então você pode encontrar onde está o código principal:
e defina o endereço manualmente:
Se o binário não estiver usando Puts, você deve verificar se está usando
sh: 1: %s%s%s%s%s%s%s%s: não encontrado
Se você encontrar este erro após criar todo o exploit: sh: 1: %s%s%s%s%s%s%s%s: não encontrado
Tente subtrair 64 bytes do endereço de "/bin/sh":
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)