5 KiB
Imprimer le Stack Canary
{% hint style="success" %}
Apprenez et pratiquez le piratage AWS :
Formation HackTricks AWS Red Team Expert (ARTE)
Apprenez et pratiquez le piratage GCP : 
Formation HackTricks GCP Red Team Expert (GRTE)
Soutenez HackTricks
- Consultez les plans d'abonnement !
- Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez nous sur Twitter 🐦 @hacktricks_live.
- Partagez des astuces de piratage en soumettant des PR aux HackTricks et HackTricks Cloud dépôts GitHub.
Augmenter le stack imprimé
Imaginez une situation où un programme vulnérable à un débordement de pile peut exécuter une fonction puts pointant vers une partie du débordement de pile. L'attaquant sait que le premier octet du canary est un octet nul (\x00) et que le reste du canary est composé d'octets aléatoires. Ensuite, l'attaquant peut créer un débordement qui écrase la pile jusqu'au premier octet du canary.
Ensuite, l'attaquant appelle la fonction puts au milieu de la charge utile qui va imprimer tout le canary (à l'exception du premier octet nul).
Avec ces informations, l'attaquant peut concevoir et envoyer une nouvelle attaque en connaissant le canary (dans la même session du programme).
Évidemment, cette tactique est très limitée car l'attaquant doit être capable d'imprimer le contenu de sa charge utile pour exfiltrer le canary et ensuite être capable de créer une nouvelle charge utile (dans la même session du programme) et envoyer le vrai débordement de tampon.
Exemples CTF :
- https://guyinatuxedo.github.io/08-bof_dynamic/csawquals17_svc/index.html
- 64 bits, ASLR activé mais pas PIE, la première étape est de remplir un débordement jusqu'à l'octet 0x00 du canary pour ensuite appeler puts et le divulguer. Avec le canary, un gadget ROP est créé pour appeler puts et divulguer l'adresse de puts depuis le GOT et un gadget ROP pour appeler
system('/bin/sh') - https://guyinatuxedo.github.io/14-ret_2_system/hxp18_poorCanary/index.html
- 32 bits, ARM, pas de relro, canary, nx, pas de pie. Débordement avec un appel à puts pour divulguer le canary + ret2lib appelant
systemavec une chaîne ROP pour pop r0 (arg/bin/sh) et pc (adresse de system)
Lecture arbitraire
Avec une lecture arbitraire comme celle fournie par les chaines de format, il pourrait être possible de divulguer le canary. Consultez cet exemple : https://ir0nstone.gitbook.io/notes/types/stack/canaries et vous pouvez lire sur l'abus des chaines de format pour lire des adresses mémoire arbitraires dans :
{% content-ref url="../../format-strings/" %} format-strings {% endcontent-ref %}
- https://guyinatuxedo.github.io/14-ret_2_system/asis17_marymorton/index.html
- Ce défi abuse d'une manière très simple d'une chaine de format pour lire le canary depuis la pile
{% hint style="success" %}
Apprenez et pratiquez le piratage AWS :Formation HackTricks AWS Red Team Expert (ARTE)
Apprenez et pratiquez le piratage GCP : Formation HackTricks GCP Red Team Expert (GRTE)
Soutenez HackTricks
- Consultez les plans d'abonnement !
- Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez nous sur Twitter 🐦 @hacktricks_live.
- Partagez des astuces de piratage en soumettant des PR aux HackTricks et HackTricks Cloud dépôts GitHub.