Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 05:03:35 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/binary-exploitation/arbitrary-write-2-exec/www2exec-.dtors-and-.fini_array.md

79 lines
5.2 KiB
Markdown
Raw Normal View History

Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA
2024-04-07 05:33:57 +00:00
# WWW2Exec - .dtors & .fini_array
<details>
<summary><strong>Leer AWS-hacking vanaf nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Ander maniere om HackTricks te ondersteun:
* As jy wil sien dat jou **maatskappy geadverteer word in HackTricks** of **HackTricks aflaai in PDF-formaat** Kontroleer die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ontdek [**Die PEASS Familie**](https://opensea.io/collection/the-peass-family), ons versameling van eksklusiewe [**NFT's**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.
</details>
## .dtors
{% hint style="danger" %}
Teenwoordig is dit baie **vreemd om 'n bineêre lêer met 'n .dtors-seksie te vind**.
{% endhint %}
Die destruktore is funksies wat **uitgevoer word voordat die program eindig** (nadat die `main`-funksie terugkeer).\
Die adresse van hierdie funksies word binne die **`.dtors`**-afdeling van die bineêre lêer gestoor en daarom, as jy daarin slaag om die **adres** van 'n **shellcode** in **`__DTOR_END__`** te **skryf**, sal dit **uitgevoer** word voordat die programme eindig.
Kry die adres van hierdie afdeling met:
```bash
objdump -s -j .dtors /exec
rabin -s /exec | grep “__DTOR”
```
Gewoonlik sal jy die **DTOR** merkers **tussen** die waardes `ffffffff` en `00000000` vind. So as jy net daardie waardes sien, beteken dit dat daar **geen funksie geregistreer is nie**. **Oorskryf** dus die **`00000000`** met die **adres** van die **shellcode** om dit uit te voer.
{% hint style="warning" %}
Natuurlik moet jy eers 'n **plek vind om die shellcode te stoor** sodat jy dit later kan aanroep.
{% endhint %}
## **.fini\_array**
Essensieel is dit 'n struktuur met **funksies wat geroep sal word** voordat die program eindig, soos **`.dtors`**. Dit is interessant as jy jou **shellcode kan roep deur net na 'n adres te spring**, of in gevalle waar jy terug moet gaan na `main` om die kwesbaarheid 'n tweede keer te **uitbuit**.
```bash
objdump -s -j .fini_array ./greeting
./greeting: file format elf32-i386
Contents of section .fini_array:
8049934 a0850408
#Put your address in 0x8049934
```
Merk op dat wanneer 'n funksie van die **`.fini_array`** uitgevoer word, beweeg dit na die volgende een, sodat dit nie verskeie kere uitgevoer word (om ewige lusse te voorkom nie), maar dit sal jou ook net 1 **uitvoering van die funksie** hier gee.
Merk op dat inskrywings in `.fini_array` in **omgekeerde** volgorde genoem word, so jy wil waarskynlik begin skryf van die laaste een af.
#### Ewige lus
Om **`.fini_array`** te misbruik om 'n ewige lus te kry, kan jy [**kyk wat hier gedoen is**](https://guyinatuxedo.github.io/17-stack\_pivot/insomnihack18\_onewrite/index.html)**:** As jy ten minste 2 inskrywings in **`.fini_array`** het, kan jy:
* Gebruik jou eerste skryf om weer die kwesbare willekeurige skryffunksie te **roep**
* Bereken dan die terugkeeradres in die stapel wat deur **`__libc_csu_fini`** gestoor word (die funksie wat al die `.fini_array`-funksies aanroep) en sit daar die **adres van `__libc_csu_fini`**
* Dit sal maak dat **`__libc_csu_fini`** homself weer roep deur die **`.fini_array`**-funksies weer uit te voer wat die kwesbare WWW-funksie 2 keer sal roep: een vir **willekeurige skryf** en nog een om weer die **terugkeeradres van `__libc_csu_fini`** op die stapel te oorskryf om homself weer te roep.
{% hint style="danger" %}
Merk op dat met [**Vol Relro**](../common-binary-protections-and-bypasses/relro.md)**,** die afdeling **`.fini_array`** **leesbaar** gemaak word.
{% endhint %}
<details>
<summary><strong>Leer AWS-hacking vanaf nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Ander maniere om HackTricks te ondersteun:
* As jy wil sien dat jou **maatskappy geadverteer word in HackTricks** of **HackTricks aflaai in PDF-formaat** Kyk na die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ontdek [**Die PEASS-familie**](https://opensea.io/collection/the-peass-family), ons versameling eksklusiewe [**NFT's**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.
</details>
Reference in a new issue Copy permalink