Chinese - Ht
HackTricks Training Twitter Linkedin Sponsor

Basic Stack Binary Exploitation Methodology

支持 HackTricks

ELF 基本信息

在开始利用任何东西之前,了解 ELF 二进制文件 的结构的一部分是很有趣的:

ELF Basic Information

利用工具

Exploiting Tools

栈溢出方法论

有这么多技术,最好有一个方案,确定何时使用每种技术。请注意,相同的保护措施会影响不同的技术。您可以在每个保护部分找到绕过保护的方法,但在这个方法论中没有提到。

控制流

有不同的方法可以控制程序的流程:

  • 栈溢出 覆盖栈上的返回指针或 EBP -> ESP -> EIP。

  • 可能需要滥用 整数溢出 来引发溢出

  • 或通过 任意写入 + 写入何处执行

  • 格式化字符串**:**滥用 printf 在任意地址写入任意内容。

  • 数组索引:滥用设计不良的索引以控制某些数组并进行任意写入。

  • 可能需要滥用 整数溢出 来引发溢出

  • bof to WWW via ROP:滥用缓冲区溢出构建 ROP 并能够获得 WWW。

您可以在以下位置找到 写入何处执行 技术:

https://github.com/HackTricks-wiki/hacktricks/blob/cn/binary-exploitation/arbitrary-write-2-exec/README.md

永久循环

需要考虑的一点是通常仅利用漏洞一次可能不足以执行成功的利用,特别是需要绕过某些保护措施。因此,有趣的是讨论一些选项,使单个漏洞在二进制文件的同一执行中可多次利用

  • ROP 链中写入 main 函数的地址 或漏洞发生的地址。

  • 控制适当的 ROP 链,您可能能够执行该链中的所有操作

  • GOT 中的 exit 地址(或二进制文件在结束之前使用的任何其他函数)中写入返回到漏洞的地址

  • .fini_array 中所述,这里存储 2 个函数,一个用于再次调用漏洞,另一个用于调用 __libc_csu_fini,后者将再次调用 .fini_array 中的函数。

利用目标

目标:调用现有函数

  • ret2win:代码中有一个需要调用的函数(可能带有一些特定参数)以获取标志。

  • 在没有 PIEcanary 的常规 bof 中,只需在栈中存储的返回地址中写入地址。

  • 在带有 PIE 的 bof 中,您将需要绕过它

  • 在带有 canary 的 bof 中,您将需要绕过它

  • 如果需要设置多个参数以正确调用 ret2win 函数,可以使用:

  • 如果有足够的 gadget,可以使用 ROP 链来准备所有参数

  • SROP(如果可以调用此系统调用)来控制许多寄存器

  • 来自 ret2csuret2vdso 的 gadget 来控制多个寄存器

  • 通过 Write What Where,您可以滥用其他漏洞(非 bof)来调用 win 函数。

  • 指针重定向:如果栈包含将要调用的函数的指针,或者包含将要被有趣函数(system 或 printf)使用的字符串的指针,可以覆盖该地址。

  • ASLRPIE 可能会影响地址。

  • 未初始化变量:你永远不知道。

目标:RCE

通过 shellcode,如果 nx 禁用或将 shellcode 与 ROP 混合:

  • (Stack) Shellcode:这对于在栈中存储 shellcode 并在覆盖返回指针之前或之后跳转到它以执行它非常有用:

  • 在任何情况下,如果有 canary,在常规 bof 中,您将需要绕过(泄漏)它

  • 没有 ASLR nx,可以跳转到栈的地址,因为它永远不会改变

  • ASLR,您将需要使用诸如 ret2esp/ret2reg 的技术来跳转到它

  • nx,您将需要使用一些 ROP 来调用 memprotect 并使某些页面 rwx,然后 在那里存储 shellcode(例如调用 read)然后跳转到那里。

  • 这将混合 shellcode 与 ROP 链。

通过系统调用

  • Ret2syscall: 用于调用 execve 以运行任意命令。您需要能够找到调用特定系统调用的参数的gadgets

  • 如果启用了ASLRPIE,您需要打败它们以使用二进制文件或库中的ROP gadgets

  • SROP可用于准备ret2execve

  • 来自ret2csuret2vdso的gadgets可用于控制多个寄存器

通过libc

  • Ret2lib: 用于调用库中的函数(通常来自**libc)如system并带有一些准备好的参数(例如'/bin/sh')。您需要二进制文件加载包含您想要调用的函数的库**(通常是libc)。

  • 如果静态编译且没有PIEsystem/bin/sh地址不会改变,因此可以静态使用它们。

  • 没有ASLR 并且知道加载的libc版本system/bin/sh地址不会改变,因此可以静态使用它们。

  • 具有ASLR 但没有PIE,知道libc并且二进制文件使用system函数时,可以ret到GOT中system的地址,参数为'/bin/sh'的地址(您需要弄清楚这一点)。

  • 具有ASLR但没有PIE,知道libc并且二进制文件不使用system

  • 使用ret2dlresolve解析system的地址并调用它

  • 绕过ASLR并计算内存中system'/bin/sh'的地址。

  • 具有ASLR PIE 但不知道libc:您需要:

  • 绕过PIE

  • 找到使用的**libc版本**(泄漏几个函数地址)

  • 检查具有ASLR的先前情况以继续。

通过EBP/RBP

  • Stack Pivoting / EBP2Ret / EBP Chaining: 控制ESP以通过堆栈中存储的EBP控制RET。

  • 用于off-by-one堆栈溢出

  • 作为控制EIP的替代方式,滥用EIP在内存中构造有效负载,然后通过EBP跳转到它

杂项

  • Pointers Redirecting: 如果堆栈包含将要调用的函数的指针或将被有趣函数(如system或printf)使用的字符串的指针,可以覆盖该地址。

  • ASLRPIE可能会影响地址。

  • 未初始化的变量: 永远不知道

支持HackTricks
PreviousFirmware IntegrityNextELF Basic Information

Last updated