.. | ||
tools | ||
elf-tricks.md | ||
README.md |
Méthodologie de base de l'exploitation binaire
{% hint style="success" %}
Apprenez et pratiquez le piratage AWS :Formation HackTricks AWS Red Team Expert (ARTE)
Apprenez et pratiquez le piratage GCP : Formation HackTricks GCP Red Team Expert (GRTE)
Soutenez HackTricks
- Consultez les plans d'abonnement!
- Rejoignez 💬 le groupe Discord ou le groupe Telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
- Partagez des astuces de piratage en soumettant des PR aux HackTricks et HackTricks Cloud dépôts GitHub.
Informations de base sur ELF
Avant de commencer à exploiter quoi que ce soit, il est intéressant de comprendre une partie de la structure d'un binaire ELF :
{% content-ref url="elf-tricks.md" %} elf-tricks.md {% endcontent-ref %}
Outils d'exploitation
{% content-ref url="tools/" %} outils {% endcontent-ref %}
Méthodologie du débordement de pile
Avec autant de techniques, il est bon d'avoir un schéma pour savoir quand chaque technique sera utile. Notez que les mêmes protections affecteront différentes techniques. Vous pouvez trouver des moyens de contourner les protections dans chaque section de protection mais pas dans cette méthodologie.
Contrôler le flux
Il existe différentes façons de contrôler le flux d'un programme :
- Les Débordements de pile écrivent le pointeur de retour à partir de la pile ou l'EBP -> ESP -> EIP.
- Pourrait nécessiter d'abuser des Débordements d'entiers pour provoquer le débordement
- Ou via Écritures arbitraires + Écrire quoi où à l'exécution
- Chaines de format: Abuser de
printf
pour écrire un contenu arbitraire à des adresses arbitraires. - Indexation de tableaux : Abuser d'une indexation mal conçue pour pouvoir contrôler certains tableaux et obtenir une écriture arbitraire.
- Pourrait nécessiter d'abuser des Débordements d'entiers pour provoquer le débordement
- bof vers WWW via ROP : Abuser d'un débordement de tampon pour construire un ROP et être capable d'obtenir un WWW.
Vous pouvez trouver les techniques Écrire quoi où à l'exécution dans :
{% content-ref url="../arbitrary-write-2-exec/" %} arbitrary-write-2-exec {% endcontent-ref %}
Boucles éternelles
Il est important de noter que généralement une seule exploitation d'une vulnérabilité pourrait ne pas suffire pour exécuter avec succès une exploitation, surtout si certaines protections doivent être contournées. Par conséquent, il est intéressant de discuter de certaines options pour rendre une seule vulnérabilité exploitable plusieurs fois dans la même exécution du binaire :
- Écrire dans une chaîne ROP l'adresse de la fonction
main
ou à l'adresse où la vulnérabilité se produit. - En contrôlant une chaîne ROP appropriée, vous pourriez être capable d'effectuer toutes les actions dans cette chaîne
- Écrire dans l'adresse
exit
dans GOT (ou toute autre fonction utilisée par le binaire avant la fin) l'adresse pour revenir à la vulnérabilité - Comme expliqué dans .fini_array, stockez 2 fonctions ici, une pour appeler à nouveau la vulnérabilité et une autre pour appeler**
__libc_csu_fini
** qui appellera à nouveau la fonction de.fini_array
.
Objectifs d'exploitation
Objectif : Appeler une fonction existante
- ret2win : Il y a une fonction dans le code que vous devez appeler (peut-être avec certains paramètres spécifiques) pour obtenir le drapeau.
- Dans un bof régulier sans PIE et canary, vous avez juste besoin d'écrire l'adresse dans l'adresse de retour stockée dans la pile.
- Dans un bof avec PIE, vous devrez le contourner
- Dans un bof avec canary, vous devrez le contourner
- Si vous devez définir plusieurs paramètres pour appeler correctement la fonction ret2win, vous pouvez utiliser :
- Une chaîne ROP si suffisamment de gadgets pour préparer tous les paramètres
- SROP (dans le cas où vous pouvez appeler cet appel système) pour contrôler de nombreux registres
- Gadgets de ret2csu et ret2vdso pour contrôler plusieurs registres
- Via un Écrire quoi où vous pourriez abuser d'autres vulnérabilités (pas de bof) pour appeler la fonction
win
. - Redirection des pointeurs : Dans le cas où la pile contient des pointeurs vers une fonction qui va être appelée ou vers une chaîne qui va être utilisée par une fonction intéressante (system ou printf), il est possible de remplacer cette adresse.
- ASLR ou PIE pourraient affecter les adresses.
- Variables non initialisées : On ne sait jamais.
Objectif : RCE
Via shellcode, si nx est désactivé ou en mélangeant shellcode avec ROP :
- (Stack) Shellcode : Cela est utile pour stocker un shellcode dans la pile avant ou après avoir écrasé le pointeur de retour et ensuite sauter dessus pour l'exécuter :
- Dans tous les cas, s'il y a un canary, dans un bof régulier vous devrez le contourner (leak)
- Sans ASLR et nx il est possible de sauter à l'adresse de la pile car elle ne changera jamais
- Avec ASLR vous aurez besoin de techniques telles que ret2esp/ret2reg pour y sauter
- Avec nx, vous devrez utiliser un certain ROP pour appeler
memprotect
et rendre certaines pagesrwx
, afin de stocker ensuite le shellcode là-dedans (en appelant read par exemple) et ensuite y sauter. - Cela mélange le shellcode avec une chaîne ROP.
Via appels système
- Ret2syscall: Utile pour appeler
execve
afin d'exécuter des commandes arbitraires. Vous devez être capable de trouver les gadgets pour appeler l'appel système spécifique avec les paramètres. - Si ASLR ou PIE sont activés, vous devrez les contourner pour utiliser les gadgets ROP du binaire ou des bibliothèques.
- SROP peut être utile pour préparer le ret2execve
- Gadgets de ret2csu et ret2vdso pour contrôler plusieurs registres
Via libc
- Ret2lib: Utile pour appeler une fonction d'une bibliothèque (généralement de
libc
) commesystem
avec certains arguments préparés (par exemple,'/bin/sh'
). Vous avez besoin que le binaire charge la bibliothèque avec la fonction que vous souhaitez appeler (généralement libc). - Si compilé statiquement et sans PIE, l'adresse de
system
et/bin/sh
ne vont pas changer, il est donc possible de les utiliser statiquement. - Sans ASLR et en connaissant la version de libc chargée, l'adresse de
system
et/bin/sh
ne vont pas changer, il est donc possible de les utiliser statiquement. - Avec ASLR mais sans PIE, en connaissant la libc et en utilisant la fonction
system
du binaire, il est possible deret
à l'adresse de system dans le GOT avec l'adresse de'/bin/sh'
en paramètre (vous devrez résoudre cela). - Avec ASLR mais sans PIE, en connaissant la libc et sans que le binaire utilise le
system
: - Utilisez
ret2dlresolve
pour résoudre l'adresse desystem
et l'appeler - Contourner ASLR et calculer l'adresse de
system
et'/bin/sh'
en mémoire. - Avec ASLR et PIE et sans connaître la libc: Vous devez:
- Contourner PIE
- Trouver la version de la libc utilisée (fuite de quelques adresses de fonctions)
- Vérifiez les scénarios précédents avec ASLR pour continuer.
Via EBP/RBP
- Pivotement de pile / EBP2Ret / Chaînage EBP: Contrôlez l'ESP pour contrôler RET à travers l'EBP stocké dans la pile.
- Utile pour les débordements de pile d'un octet
- Utile comme moyen alternatif de contrôler EIP tout en abusant d'EIP pour construire la charge utile en mémoire puis y sauter via EBP
Divers
- Redirection de pointeurs: Dans le cas où la pile contient des pointeurs vers une fonction qui va être appelée ou vers une chaîne qui va être utilisée par une fonction intéressante (system ou printf), il est possible de remplacer cette adresse.
- ASLR ou PIE peuvent affecter les adresses.
- Variables non initialisées: On ne sait jamais