Ret2ret & Reo2pop

AWSハッキングの学習と練習:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングの学習と練習: HackTricks Training GCP Red Team Expert (GRTE)

HackTricksのサポート

サブスクリプションプランをチェック！
💬 Discordグループに参加するか、telegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出してハッキングテクニックを共有してください。

Ret2ret

この技術の主な目的は、スタック内の既存のポインタを悪用してASLRをバイパスしようとすることです。

基本的に、スタックオーバーフローは通常、文字列によって引き起こされ、文字列はメモリ内で末尾にヌルバイトで終わります。これにより、スタック内の既存のポインタが指す場所を減らすことができます。したがって、スタックに0xbfffffddが含まれている場合、このオーバーフローはそれを0xbfffff00に変換できます（最後のゼロバイトに注意）。

そのアドレスがスタック内のシェルコードを指す場合、ret命令にアドレスを追加して、このアドレスに到達するまでフローを到達させることが可能です。

したがって、攻撃は次のようになります:

NOPスレッド
シェルコード
スタックをEIPから**retへのアドレスで上書き**する（RETスレッド）
ストリングによって0x00が追加され、スタック内のアドレスがNOPスレッドを指すように変更される

このリンクを参照すると、脆弱なバイナリの例とこのリンクでエクスプロイトが確認できます。

Ret2pop

スタック内で変更したくない完璧なポインタを見つけることができる場合（ret2retでは最終的な最下位バイトを0x00に変更しました）、同じret2ret攻撃を実行できますが、RETスレッドの長さを1つ短くする必要があります（最終的な0x00が完璧なポインタの直前のデータを上書きするため）、そしてRETスレッドの最後のアドレスは**pop <reg>; retを指す必要があります。 この方法で、完璧なポインタの前のデータがスタックから削除されます（これは0x00によって影響を受けるデータです）、そして最終的なretは変更なしでスタック内の完璧なアドレスを指す**ようになります。

このリンクを参照すると、脆弱なバイナリの例とこのリンクでエクスプロイトが確認できます。

参考文献

https://github.com/florianhofhammer/stack-buffer-overflow-internship/blob/master/NOTES.md

AWSハッキングの学習と練習:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングの学習と練習: HackTricks Training GCP Red Team Expert (GRTE)

HackTricksのサポート

サブスクリプションプランをチェック！
💬 Discordグループに参加するか、telegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出してハッキングテクニックを共有してください。

PreviousRet2plt NextCET & Shadow Stack

Last updated 1 month ago