BF Forked & Threaded Stack Canaries
Ako se suočavate sa binarnim fajlom zaštićenim kanarincem i PIE-om (Position Independent Executable) verovatno ćete morati da pronađete način da ih zaobiđete.
Imajte na umu da checksec
možda neće otkriti da je binarni fajl zaštićen kanarincem ako je statički kompajliran i nije u mogućnosti da identifikuje funkciju.
Međutim, to možete ručno primetiti ako primetite da je vrednost sačuvana na steku na početku poziva funkcije i ta vrednost se proverava pre izlaska.
Brute force kanarinca
Najbolji način zaobići jednostavan kanarinac je ako je binarni program forkovanje dječijih procesa svaki put kada uspostavite novu vezu sa njim (mrežna usluga), jer svaki put kada se povežete sa njim biće korišćen isti kanarinac.
Zatim, najbolji način zaobići kanarinac je jednostavno brute-force-ovati ga po karakterima, i možete saznati da li je pogodak kanarinca bio tačan proverom da li je program pao ili nastavlja svoj redovan tok. U ovom primeru funkcija brute-force-uje 8 bajtova kanarinca (x64) i razlikuje između tačno pogodjenog bajta i lošeg bajta samo proverom da li je odgovor poslat od strane servera (drugi način u drugim situacijama mogao bi biti korišćenje try/except):
Primer 1
Ovaj primer je implementiran za 64 bita ali se lako može implementirati i za 32 bita.
Primer 2
Ovo je implementirano za 32 bita, ali se lako može promeniti na 64 bita. Takođe, obratite pažnju da za ovaj primer program očekuje prvo bajt koji označava veličinu unosa i samog payload-a.
Niti
Niti istog procesa će takođe deliti isti canary token, stoga će biti moguće brute-force-ovati canary ako binarni fajl pokrene novu nit svaki put kada se desi napad.
Osim toga, prekoračenje bafera u funkciji sa nitima zaštićenoj canary-jem može se koristiti za modifikaciju glavnog canary-ja koji je smešten u TLS-u. To je zato što bi bilo moguće dostići poziciju memorije gde je smešten TLS (i stoga, canary) putem bof-a na steku niti. Kao rezultat, zaštita je beskorisna jer se provera vrši sa dva canary-ja koji su isti (iako modifikovani). Ovaj napad je izvršen u objašnjenju: http://7rocky.github.io/en/ctf/htb-challenges/pwn/robot-factory/#canaries-and-threads
Pogledajte takođe prezentaciju https://www.slideshare.net/codeblue_jp/master-canary-forging-by-yuki-koike-code-blue-2015 koja pominje da se obično TLS čuva pomoću mmap
i kada se kreira stek niti, takođe se generiše pomoću mmap
prema ovome, što bi moglo omogućiti prekoračenje kao što je prikazano u prethodnom objašnjenju.
Ostali primeri & reference
64 bita, bez PIE-a, nx, BF canary, upisivanje ROP-a u neku memoriju da pozove
execve
i skoči tamo.
Last updated