Stack Shellcode
Grundlegende Informationen
Stack-Shellcode ist eine Technik, die bei der binären Ausnutzung verwendet wird, bei der ein Angreifer Shellcode in den Stack eines anfälligen Programms schreibt und dann den Instruktionszeiger (IP) oder den Erweiterten Instruktionszeiger (EIP) so ändert, dass er auf die Position dieses Shellcodes zeigt, wodurch dieser ausgeführt wird. Dies ist eine klassische Methode, um unbefugten Zugriff zu erlangen oder beliebige Befehle auf einem Zielsystem auszuführen. Hier ist eine Aufschlüsselung des Prozesses, einschließlich eines einfachen C-Beispiels und wie Sie möglicherweise ein entsprechendes Exploit mit Python und pwntools schreiben würden.
C-Beispiel: Ein anfälliges Programm
Beginnen wir mit einem einfachen Beispiel eines anfälligen C-Programms:
Dieses Programm ist anfällig für einen Pufferüberlauf aufgrund der Verwendung der gets()
-Funktion.
Kompilierung
Um dieses Programm zu kompilieren und dabei verschiedene Schutzmechanismen zu deaktivieren (um eine verwundbare Umgebung zu simulieren), können Sie den folgenden Befehl verwenden:
-fno-stack-protector
: Deaktiviert den Stack-Schutz.-z execstack
: Macht den Stack ausführbar, was für die Ausführung von Shellcode, der im Stack gespeichert ist, erforderlich ist.-no-pie
: Deaktiviert Position Independent Executable, was es einfacher macht, die Speicheradresse vorherzusagen, an der unser Shellcode platziert wird.-m32
: Kompiliert das Programm als 32-Bit ausführbare Datei, oft für die Einfachheit bei der Exploit-Entwicklung verwendet.
Python Exploit mit Pwntools
So könnten Sie einen Exploit in Python mit pwntools schreiben, um einen ret2shellcode-Angriff durchzuführen:
Dieses Skript konstruiert eine Nutzlast, die aus einem NOP-Slide, dem Shellcode und dann dem Überschreiben des EIP mit der Adresse besteht, die auf den NOP-Slide zeigt, um sicherzustellen, dass der Shellcode ausgeführt wird.
Der NOP-Slide (asm('nop')
) wird verwendet, um die Wahrscheinlichkeit zu erhöhen, dass die Ausführung unabhhängig von der genauen Adresse in unseren Shellcode "rutscht". Passen Sie das Argument von p32()
an die Startadresse Ihres Buffers plus einen Offset an, um im NOP-Slide zu landen.
Schutzmaßnahmen
ASLR sollte deaktiviert sein, damit die Adresse über verschiedene Ausführungen hinweg zuverlässig ist. Andernfalls wird die Adresse, an der die Funktion gespeichert wird, nicht immer dieselbe sein, und Sie bräuchten ein Leck, um herauszufinden, wo die Win-Funktion geladen ist.
Stack Canaries sollten ebenfalls deaktiviert sein, da die kompromittierte EIP-Rückgabeadresse niemals verfolgt wird.
NX Stack-Schutz würde die Ausführung des Shellcodes im Stack verhindern, da dieser Bereich nicht ausführbar ist.
Weitere Beispiele & Referenzen
64-Bit, ASLR mit Stack-Adressen-Leck, Schreiben von Shellcode und Sprung dazu
32-Bit, ASLR mit Stack-Leck, Schreiben von Shellcode und Sprung dazu
32-Bit, ASLR mit Stack-Leck, Vergleich zur Verhinderung des Aufrufs von exit(), Überschreiben einer Variablen mit einem Wert, Schreiben von Shellcode und Sprung dazu
ARM64, kein ASLR, ROP-Gadget, um den Stack ausführbar zu machen und zum Shellcode im Stack zu springen
Last updated