WWW2Exec - .dtors & .fini_array
.dtors
Σήμερα είναι πολύ παράξενο να βρείτε ένα δυαδικό με τμήμα .dtors!
Οι καταστροφείς είναι συναρτήσεις που εκτελούνται πριν το πρόγραμμα τελειώσει (μετά την επιστροφή της συνάρτησης main
).
Οι διευθύνσεις αυτών των συναρτήσεων αποθηκεύονται μέσα στο .dtors
τμήμα του δυαδικού και επομένως, αν καταφέρετε να γράψετε τη διεύθυνση ενός shellcode στο __DTOR_END__
, αυτό θα εκτελεστεί πριν το πρόγραμμα τελειώσει.
Αποκτήστε τη διεύθυνση αυτού του τμήματος με:
Συνήθως θα βρείτε τα σήματα DTOR μεταξύ των τιμών ffffffff
και 00000000
. Έτσι, αν βλέπετε μόνο αυτές τις τιμές, σημαίνει ότι δεν υπάρχει καμία συνάρτηση που έχει καταχωρηθεί. Επομένως, αντικαταστήστε το 00000000
με τη διεύθυνση του shellcode για να το εκτελέσετε.
Φυσικά, πρέπει πρώτα να βρείτε ένα μέρος για να αποθηκεύσετε το shellcode ώστε να το καλέσετε αργότερα.
.fini_array
Ουσιαστικά αυτή είναι μια δομή με συναρτήσεις που θα κληθούν πριν το πρόγραμμα ολοκληρωθεί, όπως η .dtors
. Αυτό είναι ενδιαφέρον όταν μπορείτε να καλέσετε το shellcode απλά αναπηδώντας σε μια διεύθυνση, ή σε περιπτώσεις όπου χρειάζεται να πάτε πίσω στο main
ξανά για να εκμεταλλευτείτε την ευπάθεια μια δεύτερη φορά.
Σημειώστε ότι όταν εκτελείται μια συνάρτηση από το .fini_array
μετακινείται στην επόμενη, οπότε δεν θα εκτελεστεί πολλές φορές (αποτρέποντας ατέρμονες βρόχους), αλλά θα σας δώσει μόνο 1 εκτέλεση της συνάρτησης που τοποθετήθηκε εδώ.
Σημειώστε ότι οι καταχωρήσεις στο .fini_array
καλούνται με αντίστροφη σειρά, οπότε πιθανόν θέλετε να ξεκινήσετε την εγγραφή από την τελευταία.
Ατέρμονη βρόχος
Για να εκμεταλλευτείτε το .fini_array
για να έχετε έναν ατέρμονο βρόχο μπορείτε να ελέγξετε τι έγινε εδώ: Αν έχετε τουλάχιστον 2 καταχωρήσεις στο .fini_array
, μπορείτε:
Χρησιμοποιήστε την πρώτη εγγραφή σας για να καλέσετε ξανά την ευπάθεια της αυθαίρετης εγγραφής
Στη συνέχεια, υπολογίστε τη διεύθυνση επιστροφής στη στοίβα που αποθηκεύεται από το
__libc_csu_fini
(η συνάρτηση που καλεί όλες τις λειτουργίες του.fini_array
) και τοποθετήστε εκεί τη διεύθυνση του__libc_csu_fini
Αυτό θα κάνει το
__libc_csu_fini
να καλέσει ξανά τον εαυτό του εκτελώντας τις λειτουργίες του.fini_array
ξανά, οι οποίες θα καλέσουν την ευάθροτη WWW συνάρτηση 2 φορές: μία για την αυθαίρετη εγγραφή και μια για να αντικαταστήσει ξανά τη διεύθυνση επιστροφής του__libc_csu_fini
στη στοίβα για να καλέσει ξανά τον εαυτό του.
Σημειώστε ότι με Πλήρη RELRO, η ενότητα .fini_array
γίνεται μόνο για ανάγνωση.
link_map
Όπως εξηγείται σε αυτήν την ανάρτηση, Αν το πρόγραμμα τερματίσει χρησιμοποιώντας return
ή exit()
θα εκτελέσει το __run_exit_handlers()
που θα καλέσει τους εγγεγραμμένους καταστροφείς.
Αν το πρόγραμμα τερματίσει μέσω της λειτουργίας _exit()
, θα καλέσει τη κλήση συστήματος exit
και οι χειριστές εξόδου δεν θα εκτελεστούν. Έτσι, για να επιβεβαιώσετε ότι το __run_exit_handlers()
εκτελείται μπορείτε να ορίσετε ένα σημείο διακοπής σε αυτό.
Ο σημαντικός κώδικας είναι (πηγή):
Σημειώστε πώς το map -> l_addr + fini_array -> d_un.d_ptr
χρησιμοποιείται για υπολογισμό της θέσης του πίνακα συναρτήσεων προς κλήση.
Υπάρχουν μερικές επιλογές:
Αντικαταστήστε την τιμή του
map->l_addr
ώστε να δείχνει σε ένα ψεύτικοfini_array
με οδηγίες για εκτέλεση αυθαίρετου κώδικαΑντικαταστήστε τις καταχωρήσεις
l_info[DT_FINI_ARRAY]
καιl_info[DT_FINI_ARRAYSZ]
(που είναι περίπου διαδοχικές στη μνήμη), ώστε να κάνουν δείκτες σε μια πλαστή δομήElf64_Dyn
που θα κάνει ξανά τοarray
να δείχνει σε μια ζώνη μνήμης που ελέγχεται από τον επιτιθέμενο.Αυτή η ανάλυση αντικαθιστά το
l_info[DT_FINI_ARRAY]
με τη διεύθυνση μνήμης ενός ελεγχόμενου τμήματος στο.bss
που περιέχει ένα ψεύτικοfini_array
. Αυτός ο ψεύτικος πίνακας περιέχει πρώτα μια διεύθυνση one gadget που θα εκτελεστεί και στη συνέχεια τη διαφορά μεταξύ της διεύθυνσης αυτού του ψεύτικου πίνακα και της τιμής τουmap->l_addr
ώστε το*array
να δείχνει στον ψεύτικο πίνακα.Σύμφωνα με την κύρια ανάρτηση αυτής της τεχνικής και αυτή την ανάλυση το ld.so αφήνει ένα δείκτη στη στοίβα που δείχνει στο δυαδικό
link_map
στο ld.so. Με ένα αυθαίρετο γράψιμο είναι δυνατόν να τον αντικαταστήσετε και να τον κάνετε να δείχνει σε ένα ψεύτικοfini_array
που ελέγχεται από τον επιτιθέμενο με τη διεύθυνση ενός one gadget για παράδειγμα.
Ακολουθώντας τον προηγούμενο κώδικα μπορείτε να βρείτε μια άλλη ενδιαφέρουσα ενότητα με τον κώδικα:
Σε αυτήν την περίπτωση θα ήταν δυνατό να αντικατασταθεί η τιμή του map->l_info[DT_FINI]
που δείχνει σε ένα πλαστό ElfW(Dyn)
δομή. Βρείτε περισσότερες πληροφορίες εδώ.
Αντικατάσταση της λίστας dtor_list αποθήκευσης TLS στο __run_exit_handlers
__run_exit_handlers
Όπως εξηγείται εδώ, αν ένα πρόγραμμα τερματίζει μέσω return
ή exit()
, θα εκτελέσει το __run_exit_handlers()
το οποίο θα καλέσει οποιαδήποτε συνάρτηση καταστροφέων που έχει καταχωρηθεί.
Κώδικας από το _run_exit_handlers()
:
Κώδικας από το __call_tls_dtors()
:
Για κάθε εγγεγραμμένη λειτουργία στο tls_dtor_list
, θα αποκωδικοποιήσει το δείκτη από το cur->func
και θα το καλέσει με το όρισμα cur->obj
.
Χρησιμοποιώντας τη λειτουργία tls
από αυτό το fork του GEF, είναι δυνατό να δούμε ότι πραγματικά η dtor_list
είναι πολύ κοντά στο stack canary και το PTR_MANGLE cookie. Έτσι, με ένα υπερχείλιση σε αυτό, θα ήταν δυνατό να αντικατασταθεί το cookie και το stack canary.
Αν αντικατασταθεί το PTR_MANGLE cookie, θα ήταν δυνατό να παρακάμψει η λειτουργία PTR_DEMANLE
καθώς η ρύθμισή του σε 0x00, θα σήμαινε ότι το xor
που χρησιμοποιείται για να λάβει την πραγματική διεύθυνση είναι απλά η διεύθυνση που έχει ρυθμιστεί. Στη συνέχεια, γράφοντας στο dtor_list
είναι δυνατό να αλυσιδωθούν αρκετές λειτουργίες με τη διεύθυνση της λειτουργίας και το όρισμά της.
Τέλος, παρατηρήστε ότι ο αποθηκευμένος δείκτης δεν θα υποστεί μόνο λογική πράξη XOR με το cookie αλλά θα περιστραφεί επίσης 17 bits:
Έτσι πρέπει να λάβετε υπόψη πριν προσθέσετε μια νέα διεύθυνση.
Βρείτε ένα παράδειγμα στην αρχική δημοσίευση.
Άλλες μεταβλημένες δείκτες στο __run_exit_handlers
__run_exit_handlers
Αυτή η τεχνική εξηγείται εδώ και εξαρτάται ξανά από το πρόγραμμα που τερματίζει καλώντας return
ή exit()
έτσι ώστε να κληθεί το __run_exit_handlers()
.
Ας ελέγξουμε περισσότερο κώδικα αυτής της συνάρτησης:
Η μεταβλητή f
δείχνει στη δομή initial
και ανάλογα με την τιμή του f->flavor
θα κληθούν διαφορετικές συναρτήσεις.
Ανάλογα με την τιμή, η διεύθυνση της συνάρτησης που θα κληθεί θα βρίσκεται σε διαφορετική θέση, αλλά θα είναι πάντα αποκωδικοποιημένη.
Επιπλέον, στις επιλογές ef_on
και ef_cxa
είναι επίσης δυνατόν να ελέγξετε ένα όρισμα.
Είναι δυνατόν να ελέγξετε τη δομή initial
σε μια συνεδρία εντοπισμού σφαλμάτων με το GEF εκτελώντας gef> p initial
.
Για να εκμεταλλευτείτε αυτό, πρέπει είτε να διαρρεύσετε είτε να διαγράψετε το PTR_MANGLE
cookie και στη συνέχεια να αντικαταστήσετε μια είσοδο cxa
στο initial με system('/bin/sh')
.
Μπορείτε να βρείτε ένα παράδειγμα αυτού στην αρχική ανάρτηση στο blog σχετικά με την τεχνική.
Last updated