WWW2Exec - .dtors & .fini_array

AWS Hacking öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da bizi takip edin 🐦 @hacktricks_live.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

.dtors

Günümüzde bir .dtors bölümüne sahip bir ikili bulmak çok garip!

Yıkıcılar, program tamamlanmadan önce (main fonksiyonu döndükten sonra) çalıştırılan fonksiyonlardır. Bu fonksiyonların adresleri, ikilinin .dtors bölümünde saklanır ve bu nedenle, eğer __DTOR_END__ içine bir shellcode adresi yazmayı başarırsanız, bu, program sona ermeden önce çalıştırılacaktır.

Bu bölümün adresini almak için:

objdump -s -j .dtors /exec
rabin -s /exec | grep “__DTOR”

Genellikle DTOR işaretlerini ffffffff ve 00000000 değerleri arasında bulursunuz. Yani bu değerleri gördüğünüzde, kayıtlı bir fonksiyon yoktur anlamına gelir. Bu yüzden 00000000 değerini shellcode'un adresine overwrite edin.

Tabii ki, önce shellcode'u daha sonra çağırmak için saklayacak bir yer bulmanız gerekiyor.

.fini_array

Temelde bu, program sona ermeden önce çağrılacak fonksiyonlar ile bir yapıdır, tıpkı .dtors gibi. Bu, shellcode'unuzu sadece bir adrese atlayarak çağırabiliyorsanız veya açığı ikinci kez istismar etmek için tekrar main'e dönmeniz gereken durumlarda ilginçtir.

objdump -s -j .fini_array ./greeting

./greeting:     file format elf32-i386

Contents of section .fini_array:
8049934 a0850408

#Put your address in 0x8049934

Not edin ki .fini_array'dan bir fonksiyon çalıştırıldığında bir sonraki fonksiyona geçer, bu nedenle birkaç kez çalıştırılmaz (sonsuz döngüleri önler), ancak burada yer alan fonksiyonun yalnızca 1 çalıştırılmasını sağlar.

.fini_array'daki girişlerin ters sırayla çağrıldığını unutmayın, bu nedenle muhtemelen sonuncusundan yazmaya başlamak istersiniz.

Sonsuz döngü

.fini_array'ı kötüye kullanarak bir sonsuz döngü elde etmek için burada ne yapıldığını kontrol edebilirsiniz: Eğer .fini_array'da en az 2 girişiniz varsa, şunları yapabilirsiniz:

İlk yazmanızı vulnerable arbitrary write function'ı tekrar çağırmak için kullanın
Ardından, __libc_csu_fini tarafından saklanan yığın içindeki dönüş adresini hesaplayın (tüm .fini_array fonksiyonlarını çağıran fonksiyon) ve oraya __libc_csu_fini'nin adresini koyun
Bu, __libc_csu_fini'nin kendisini tekrar çağırmasına neden olacak ve .fini_array fonksiyonlarını tekrar çalıştıracak, bu da vulnerable WWW fonksiyonunu 2 kez çağıracaktır: biri arbitrary write için ve diğeri de yığında __libc_csu_fini'nin dönüş adresini tekrar yazmak için kendisini tekrar çağırmak üzere.

Full RELRO ile dikkat edin, .fini_array bölümü salt okunur hale getirilmiştir. Daha yeni sürümlerde, [Partial RELRO] ile bile .fini_array bölümü salt okunur hale getirilmiştir.

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da bizi takip edin 🐦 @hacktricks_live.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

PreviousWWW2Exec - atexit()NextWWW2Exec - GOT/PLT

Last updated 3 days ago

.dtors

Günümüzde bir .dtors bölümüne sahip bir ikili bulmak çok garip!

Bu bölümün adresini almak için:

objdump -s -j .dtors /exec
rabin -s /exec | grep “__DTOR”

Tabii ki, önce shellcode'u daha sonra çağırmak için saklayacak bir yer bulmanız gerekiyor.

.fini_array

objdump -s -j .fini_array ./greeting

./greeting:     file format elf32-i386

Contents of section .fini_array:
8049934 a0850408

#Put your address in 0x8049934

.fini_array'daki girişlerin ters sırayla çağrıldığını unutmayın, bu nedenle muhtemelen sonuncusundan yazmaya başlamak istersiniz.

Sonsuz döngü

İlk yazmanızı vulnerable arbitrary write function'ı tekrar çağırmak için kullanın

Ardından, __libc_csu_fini tarafından saklanan yığın içindeki dönüş adresini hesaplayın (tüm .fini_array fonksiyonlarını çağıran fonksiyon) ve oraya __libc_csu_fini'nin adresini koyun

Bu, __libc_csu_fini'nin kendisini tekrar çağırmasına neden olacak ve .fini_array fonksiyonlarını tekrar çalıştıracak, bu da vulnerable WWW fonksiyonunu 2 kez çağıracaktır: biri arbitrary write için ve diğeri de yığında __libc_csu_fini'nin dönüş adresini tekrar yazmak için kendisini tekrar çağırmak üzere.