hacktricks/binary-exploitation/arbitrary-write-2-exec/www2exec-.dtors-and-.fini_array.md

7.7 KiB
Raw Permalink Blame History

WWW2Exec - .dtors & .fini_array

{% hint style="success" %} Μάθετε & εξασκηθείτε στο AWS Hacking:Εκπαίδευση HackTricks AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: Εκπαίδευση HackTricks GCP Red Team Expert (GRTE)

Υποστηρίξτε το HackTricks
{% endhint %}

.dtors

{% hint style="danger" %} Σήμερα είναι πολύ παράξενο να βρείτε ένα δυαδικό αρχείο με τμήμα .dtors! {% endhint %}

Οι καταστροφείς είναι συναρτήσεις που εκτελούνται πριν το πρόγραμμα τελειώσει (μετά την επιστροφή της συνάρτησης main).
Οι διευθύνσεις αυτών των συναρτήσεων αποθηκεύονται μέσα στο .dtors τμήμα του δυαδικού αρχείου και επομένως, αν καταφέρετε να εγγράψετε τη διεύθυνση ενός shellcode στο __DTOR_END__, αυτό θα εκτελεστεί πριν το πρόγραμμα τελειώσει.

Λάβετε τη διεύθυνση αυτού του τμήματος με:

objdump -s -j .dtors /exec
rabin -s /exec | grep “__DTOR”

Συνήθως θα βρείτε τα σημεία DTOR μεταξύ των τιμών ffffffff και 00000000. Έτσι, αν βλέπετε μόνο αυτές τις τιμές, σημαίνει ότι δεν υπάρχει καμία συνάρτηση που έχει καταχωρηθεί. Έτσι, αντικαταστήστε το 00000000 με τη διεύθυνση του shellcode για να το εκτελέσετε.

{% hint style="warning" %} Φυσικά, πρώτα πρέπει να βρείτε ένα σημείο για να αποθηκεύσετε το shellcode ώστε να μπορέσετε να το καλέσετε αργότερα. {% endhint %}

.fini_array

Ουσιαστικά αυτή είναι μια δομή με συναρτήσεις που θα κληθούν πριν το πρόγραμμα ολοκληρωθεί, όπως η .dtors. Αυτό είναι ενδιαφέρον όταν μπορείτε να καλέσετε το shellcode σας απλά αναπηδώντας σε μια διεύθυνση, ή σε περιπτώσεις όπου χρειάζεται να πάτε πίσω στο main ξανά για να εκμεταλλευτείτε την ευπάθεια μια δεύτερη φορά.

objdump -s -j .fini_array ./greeting

./greeting:     file format elf32-i386

Contents of section .fini_array:
8049934 a0850408

#Put your address in 0x8049934

Σημείωσε ότι όταν εκτελείται μια συνάρτηση από το .fini_array μετακινείται στην επόμενη, έτσι δεν θα εκτελεστεί πολλές φορές (αποτρέποντας αιώνιους βρόχους), αλλά θα σας δώσει μόνο 1 εκτέλεση της συνάρτησης που τοποθετείται εδώ.

Σημείωσε ότι οι καταχωρήσεις στο .fini_array καλούνται με αντίστροφη σειρά, οπότε πιθανόν θέλετε να ξεκινήσετε την εγγραφή από την τελευταία.

Αιώνιος βρόχος

Για να καταχραστείτε το .fini_array για να πάρετε έναν αιώνιο βρόχο μπορείτε να ελέγξετε τι έγινε εδώ: Αν έχετε τουλάχιστον 2 καταχωρήσεις στο .fini_array, μπορείτε:

  • Χρησιμοποιήστε την πρώτη εγγραφή σας για να καλέσετε ξανά την ευπάθεια της αυθαίρετης εγγραφής
  • Στη συνέχεια, υπολογίστε τη διεύθυνση επιστροφής στη στοίβα που αποθηκεύεται από το __libc_csu_fini (η συνάρτηση που καλεί όλες τις συναρτήσεις του .fini_array) και τοποθετήστε εκεί τη διεύθυνση του __libc_csu_fini
  • Αυτό θα κάνει το __libc_csu_fini να καλέσει ξανά τον εαυτό του εκτελώντας τις συναρτήσεις του .fini_array ξανά, οι οποίες θα καλέσουν την ευάθροτη WWW συνάρτηση 2 φορές: μία για την αυθαίρετη εγγραφή και μια για να αντικαταστήσει ξανά τη διεύθυνση επιστροφής του __libc_csu_fini στη στοίβα για να καλέσει ξανά τον εαυτό του.

{% hint style="danger" %} Σημείωσε ότι με το Full RELRO, η ενότητα .fini_array γίνεται μόνο για ανάγνωση. Σε νεότερες εκδόσεις, ακόμη και με [Partial RELRO] η ενότητα .fini_array γίνεται μόνο για ανάγνωση επίσης. {% endhint %}

{% hint style="success" %} Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Υποστηρίξτε το HackTricks
{% endhint %}