WWW2Exec - .dtors & .fini_array

Aprenda e pratique Hacking na AWS:Treinamento HackTricks AWS Red Team Expert (ARTE) Aprenda e pratique Hacking no GCP: Treinamento HackTricks GCP Red Team Expert (GRTE)

Suporte ao HackTricks

Verifique os planos de assinatura!
Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
Compartilhe truques de hacking enviando PRs para os repositórios HackTricks e HackTricks Cloud.

.dtors

Atualmente é muito estranho encontrar um binário com uma seção .dtors!

Os destrutores são funções que são executadas antes do programa terminar (após o retorno da função main). Os endereços dessas funções são armazenados dentro da seção .dtors do binário e, portanto, se você conseguir escrever o endereço de um shellcode em __DTOR_END__, isso será executado antes do programa terminar.

Obtenha o endereço desta seção com:

objdump -s -j .dtors /exec
rabin -s /exec | grep “__DTOR”

Normalmente você encontrará os marcadores DTOR entre os valores ffffffff e 00000000. Portanto, se você apenas ver esses valores, significa que não há nenhuma função registrada. Então, sobrescreva o 00000000 com o endereço do shellcode para executá-lo.

Claro, primeiro você precisa encontrar um local para armazenar o shellcode para depois chamá-lo.

.fini_array

Essencialmente, esta é uma estrutura com funções que serão chamadas antes do programa terminar, como .dtors. Isso é interessante se você puder chamar seu shellcode apenas pulando para um endereço, ou em casos em que você precisa voltar para o main novamente para explorar a vulnerabilidade uma segunda vez.

objdump -s -j .fini_array ./greeting

./greeting:     file format elf32-i386

Contents of section .fini_array:
8049934 a0850408

#Put your address in 0x8049934

Note que quando uma função do .fini_array é executada, ela passa para a próxima, então não será executada várias vezes (evitando loops eternos), mas também só lhe dará 1 execução da função colocada aqui.

Note que as entradas em .fini_array são chamadas em ordem inversa, então provavelmente você quer começar a escrever a partir da última.

Loop eterno

Para abusar do .fini_array e obter um loop eterno, você pode ver o que foi feito aqui: Se você tiver pelo menos 2 entradas em .fini_array, você pode:

Use sua primeira escrita para chamar a função de escrita arbitrária vulnerável novamente
Em seguida, calcule o endereço de retorno na pilha armazenado por __libc_csu_fini (a função que está chamando todas as funções .fini_array) e coloque lá o endereço de __libc_csu_fini
Isso fará com que __libc_csu_fini chame a si mesmo novamente executando as funções .fini_array novamente, o que chamará a função WWW vulnerável 2 vezes: uma para escrita arbitrária e outra para sobrescrever novamente o endereço de retorno de __libc_csu_fini na pilha para chamar a si mesmo novamente.

Note que com Full RELRO, a seção .fini_array é tornada somente leitura. Em versões mais recentes, mesmo com [Partial RELRO], a seção .fini_array também é tornada somente leitura.

Aprenda e pratique Hacking AWS:HackTricks Treinamento AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Treinamento GCP Red Team Expert (GRTE)

Apoie o HackTricks

Confira os planos de assinatura!
Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
Compartilhe truques de hacking enviando PRs para os repositórios HackTricks e HackTricks Cloud.

PreviousWWW2Exec - atexit()NextWWW2Exec - GOT/PLT

Last updated 2 months ago