10 KiB
Osnovna metodologija binarne eksploatacije
{% hint style="success" %}
Naučite i vežbajte hakovanje AWS-a:HackTricks Obuka AWS Crveni Tim Ekspert (ARTE)
Naučite i vežbajte hakovanje GCP-a: HackTricks Obuka GCP Crveni Tim Ekspert (GRTE)
Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @hacktricks_live.
- Podelite hakovanje trikova slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.
Osnovne informacije o ELF-u
Pre nego što počnete eksploatisati bilo šta, korisno je razumeti deo strukture ELF binarnog fajla:
{% content-ref url="elf-tricks.md" %} elf-tricks.md {% endcontent-ref %}
Alati za eksploataciju
{% content-ref url="tools/" %} alati {% endcontent-ref %}
Metodologija preplavljivanja steka
S obzirom na toliko tehnika, dobro je imati šemu kada će svaka tehnika biti korisna. Imajte na umu da će iste zaštite uticati na različite tehnike. Možete pronaći načine zaobilaženja zaštita u svakom delu zaštite, ali ne u ovoj metodologiji.
Kontrolisanje toka
Postoje različiti načini na koje možete kontrolisati tok programa:
- Preplavljivanje steka prepisivanjem pokazivača povratka sa steka ili EBP -> ESP -> EIP.
- Možda će biti potrebno zloupotrebiti Prekoračenje celih brojeva da biste izazvali prekoračenje
- Ili putem Proizvoljnog Pisanja + Pisanja Gde Šta ka Izvršenju
- Formatiranje stringova: Zloupotreba
printf
za pisanje proizvoljnog sadržaja na proizvoljne adrese. - Indeksiranje nizova: Zloupotreba loše dizajniranog indeksiranja kako biste mogli kontrolisati neke nizove i dobiti proizvoljno pisanje.
- Možda će biti potrebno zloupotrebiti Prekoračenje celih brojeva da biste izazvali prekoračenje
- bof do WWW putem ROP-a: Zloupotreba prekoračenja bafera za konstruisanje ROP-a i mogućnost dobijanja WWW.
Tehnike Pisanja Gde Šta ka Izvršenju možete pronaći u:
{% content-ref url="../arbitrary-write-2-exec/" %} arbitrary-write-2-exec {% endcontent-ref %}
Večne petlje
Nešto što treba uzeti u obzir je da obično samo jedna eksploatacija ranjivosti možda neće biti dovoljna da se izvrši uspešan eksploatacija, posebno ako neke zaštite treba zaobići. Stoga je interesantno razmotriti neke opcije kako učiniti jednu ranjivost eksploatabilnom više puta u istom izvršavanju binarnog fajla:
- Upisati adresu
main
funkcije u ROP lanac ili adresu gde se događa ranjivost. - Kontrolisanjem odgovarajućeg ROP lanca možda ćete moći izvršiti sve radnje u tom lancu
- Upisati adresu
exit
funkcije u GOT (ili bilo koje druge funkcije koje koristi binarni fajl pre završetka) adresu za povratak na ranjivost - Kao što je objašnjeno u .fini_array, ovde čuvajte 2 funkcije, jednu za ponovno pozivanje ranjivosti i drugu za pozivanje
__libc_csu_fini
koja će ponovo pozvati funkciju iz.fini_array
.
Ciljevi eksploatacije
Cilj: Pozvati postojeću funkciju
- ret2win: Postoji funkcija u kodu koju treba pozvati (možda sa određenim parametrima) kako biste dobili zastavu.
- U običnom bof-u bez PIE i canary samo treba upisati adresu u adresu povratka koja je sačuvana na steku.
- U bof-u sa PIE, moraćete da je zaobiđete
- U bof-u sa canary, moraćete da je zaobiđete
- Ako treba postaviti više parametara da biste pravilno pozvali funkciju ret2win možete koristiti:
- ROP lanac ako postoji dovoljno gedžeta za pripremu svih parametara
- SROP (u slučaju da možete pozvati ovaj sistemski poziv) da kontrolišete mnoge registre
- Gedžeti iz ret2csu i ret2vdso da kontrolišete nekoliko registara
- Putem Pisanja Gde Šta ka Izvršenju možete zloupotrebiti druge ranjivosti (ne bof) da biste pozvali funkciju
win
. - Preusmeravanje pokazivača: Ukoliko stek sadrži pokazivače ka funkciji koja će biti pozvana ili ka stringu koji će biti korišćen od strane zanimljive funkcije (system ili printf), moguće je prepisati tu adresu.
- ASLR ili PIE mogu uticati na adrese.
- Neinicijalizovane promenljive: Nikad ne znate.
Cilj: RCE
Putem shell koda, ako je nx onemogućen ili mešanje shell koda sa ROP-om:
- (Stack) Shell kod: Ovo je korisno za smeštanje shell koda na stek pre ili posle prepisivanja pokazivača povratka, a zatim skočiti na njega da ga izvršite:
- U svakom slučaju, ako postoji canary, u običnom bof-u moraćete da je zaobiđete (procurite)
- Bez ASLR i nx moguće je skočiti na adresu steka jer se nikada neće promeniti
- Sa ASLR moraćete koristiti tehnike poput ret2esp/ret2reg da biste skočili na nju
- Sa nx, moraćete koristiti neki ROP da biste pozvali
memprotect
i napravili neku stranicurwx
, kako biste zatim smeštali shell kod tamo (pozivanjem read na primer) i zatim skočili tamo. - Ovo će mešati shell kod sa ROP lancem.
Putem syscalls-a
- Ret2syscall: Korisno za pozivanje
execve
kako bi se pokrenule proizvoljne komande. Potrebno je pronaći gadgete za pozivanje određenog syscall-a sa parametrima. - Ako su ASLR ili PIE omogućeni, moraćete ih pobediti kako biste koristili ROP gadgete iz binarnog koda ili biblioteka.
- SROP može biti koristan za pripremu ret2execve
- Gadgeti iz ret2csu i ret2vdso za kontrolu više registara
Putem libc-a
- Ret2lib: Korisno za pozivanje funkcije iz biblioteke (obično iz
libc
) poputsystem
sa nekim pripremljenim argumentima (npr.'/bin/sh'
). Potrebno je da binarni fajl učita biblioteku sa funkcijom koju želite da pozovete (obično libc). - Ako je statički kompajliran i nema PIE, adresa
system
-a i/bin/sh
se neće promeniti, pa je moguće statički ih koristiti. - Bez ASLR i poznavanja verzije libc-a koja je učitana, adresa
system
-a i/bin/sh
se neće promeniti, pa je moguće statički ih koristiti. - Sa ASLR ali bez PIE, znajući libc i sa binarnim fajlom koji koristi funkciju
system
, moguće jeret
na adresu system-a u GOT-u sa adresom'/bin/sh'
u parametru (morate ovo da otkrijete). - Sa ASLR ali bez PIE, znajući libc i bez binarnog fajla koji koristi
system
: - Koristite
ret2dlresolve
da rešite adresusystem
-a i pozovete je - Pobedite ASLR i izračunajte adresu
system
-a i'/bin/sh'
u memoriji. - Sa ASLR i PIE i bez poznavanja libc-a: Potrebno je:
- Pobediti PIE
- Pronaći korišćenu verziju libc-a (procureti nekoliko adresa funkcija)
- Proveriti prethodne scenarije sa ASLR-om kako biste nastavili.
Putem EBP/RBP
- Stack Pivoting / EBP2Ret / EBP Chaining: Kontrolišite ESP kako biste kontrolisali RET putem sačuvanog EBP-a na steku.
- Korisno za off-by-one preplavljivanje steka
- Korisno kao alternativni način za završetak kontrole EIP-a dok zloupotrebljavate EIP za konstruisanje payload-a u memoriji, a zatim skakanje na njega putem EBP-a
Razno
- Preusmeravanje pokazivača: U slučaju da stek sadrži pokazivače ka funkciji koja će biti pozvana ili ka stringu koji će biti korišćen od strane zanimljive funkcije (system ili printf), moguće je prepisati tu adresu.
- ASLR ili PIE mogu uticati na adrese.
- Neinicijalizovane promenljive: Nikad ne znate