mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-22 12:43:23 +00:00
.. | ||
tools | ||
elf-tricks.md | ||
README.md |
二进制基础渗透方法论
从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS Red Team Expert)!
支持HackTricks的其他方式:
- 如果您想看到您的公司在HackTricks中做广告或下载PDF格式的HackTricks,请查看订阅计划!
- 获取官方PEASS & HackTricks周边产品
- 探索PEASS家族,我们的独家NFT收藏品
- 加入 💬 Discord群 或 电报群 或在Twitter上关注我们 🐦 @hacktricks_live。
- 通过向HackTricks和HackTricks Cloud github仓库提交PR来分享您的黑客技巧。
ELF基础信息
在开始利用任何东西之前,了解ELF二进制文件的结构的一部分是很有趣的:
{% content-ref url="elf-tricks.md" %} elf-tricks.md {% endcontent-ref %}
利用工具
{% content-ref url="tools/" %} tools {% endcontent-ref %}
栈溢出方法论
有这么多技术,有一个方案在何时使用每种技术会很有帮助。请注意,相同的保护措施会影响不同的技术。您可以在每个保护部分找到绕过保护的方法,但在此方法论中没有提及。
控制流程
有不同的方法可以控制程序的流程:
- 栈溢出 覆盖栈上的返回指针或 EBP -> ESP -> EIP。
- 可能需要滥用整数溢出 来引发溢出
- 或通过任意写入 + 写入何处执行来实现
- 格式化字符串**:**滥用
printf
在任意地址写入任意内容。 - 数组索引:滥用设计不良的索引以控制某些数组并进行任意写入。
- 可能需要滥用整数溢出 来引发溢出
- bof to WWW via ROP:滥用缓冲区溢出构建ROP,从而能够获得WWW。
您可以在以下位置找到写入何处执行技术:
{% content-ref url="../arbitrary-write-2-exec/" %} arbitrary-write-2-exec {% endcontent-ref %}
永久循环
需要考虑的一点是通常仅利用漏洞一次可能不足以执行成功的利用,特别是需要绕过某些保护措施。因此,有趣的是讨论一些选项,使单个漏洞在二进制文件的同一执行中可多次利用:
- 在ROP链中写入**
main
函数的地址**或漏洞发生的地址。 - 通过控制正确的ROP链,您可能能够执行该链中的所有操作
- 在GOT中的
exit
地址(或二进制文件在结束前使用的任何其他函数)中写入返回到漏洞的地址 - 如.fini_array所述,这里存储2个函数,一个用于再次调用漏洞,另一个用于调用**
__libc_csu_fini
**,后者将再次调用.fini_array
中的函数。
利用目标
目标:调用现有函数
- ret2win:代码中有一个需要调用的函数(可能带有一些特定参数)以获取标志。
- 在没有PIE和canary的常规bof中,只需在栈中存储的返回地址中写入地址。
- 在带有PIE的bof中,您将需要绕过它
- 在带有canary的bof中,您将需要绕过它
- 如果需要设置多个参数以正确调用ret2win函数,您可以使用:
- 如果有足够的gadgets,可以使用ROP链来准备所有参数
- SROP(如果可以调用此系统调用)来控制许多寄存器
- 来自ret2csu和ret2vdso的gadgets来控制多个寄存器
- 通过Write What Where,您可以滥用其他漏洞(非bof)来调用**
win
**函数。 - 指针重定向:如果栈包含指向将要调用的函数或将要被有趣函数(system或printf)使用的字符串的指针,可以覆盖该地址。
- ASLR或PIE可能会影响地址。
- 未初始化变量:您永远不知道。
目标:RCE
通过shellcode,如果nx被禁用或将shellcode与ROP混合:
- (Stack) Shellcode:这对于在覆盖返回指针之前或之后在栈中存储shellcode,然后跳转到它以执行它非常有用:
- 在任何情况下,如果有 canary**,在常规bof中您将需要绕过(泄漏)它
- 没有 ASLR 和 nx,可以跳转到栈的地址,因为它永远不会改变
- 有 ASLR,您将需要使用技术,如ret2esp/ret2reg来跳转到它
- 有 nx,您将需要使用一些ROP 来调用
memprotect
,使某些页面rwx
,然后在那里存储shellcode(例如调用read)然后跳转到那里。 - 这将混合shellcode与ROP链。
通过syscalls
- Ret2syscall: 用于调用
execve
以运行任意命令。您需要能够找到调用特定syscall的gadgets及其参数。 - 如果启用了ASLR或PIE,您需要打败它们,以便使用二进制文件或库中的ROP gadgets。
- SROP可用于准备ret2execve。
- 来自ret2csu和ret2vdso的gadgets可用于控制多个寄存器。
通过libc
- Ret2lib: 用于调用库中的函数(通常是**
libc
)如system
并带有一些准备好的参数(例如'/bin/sh'
)。您需要二进制文件加载包含要调用的函数的库**(通常是libc)。 - 如果静态编译且没有PIE,则
system
和/bin/sh
的地址不会改变,因此可以静态使用它们。 - 没有ASLR 且知道加载的libc版本,
system
和/bin/sh
的地址不会改变,因此可以静态使用它们。 - 具有ASLR 但没有PIE,知道libc并且二进制文件使用
system
函数时,可以ret
到GOT中system的地址,参数为'/bin/sh'
的地址(您需要弄清楚这一点)。 - 具有ASLR但没有PIE,知道libc但二进制文件不使用
system
: - 使用
ret2dlresolve
解析system
的地址并调用它。 - 绕过ASLR并计算内存中
system
和'/bin/sh'
的地址。 - 具有ASLR 和 PIE 但不知道libc版本:您需要:
- 绕过PIE
- 找到使用的**
libc
版本**(泄漏几个函数地址) - 检查具有ASLR的先前情况以继续。
通过EBP/RBP
- Stack Pivoting / EBP2Ret / EBP Chaining: 控制ESP以通过堆栈中存储的EBP控制RET。
- 用于off-by-one堆栈溢出
- 作为控制EIP的替代方式,滥用EIP在内存中构造有效负载,然后通过EBP跳转到它
其他
- Pointers Redirecting: 如果堆栈包含将要调用的函数或将要被有趣函数(如system或printf)使用的字符串的指针,可以覆盖该地址。
- ASLR或PIE可能会影响地址。
- Uninitialized variables: 永远不知道。