5.4 KiB
WWW2Exec - .dtors & .fini_array
Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!
Outras maneiras de apoiar o HackTricks:
- Se você quiser ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Verifique os PLANOS DE ASSINATURA!
- Adquira o swag oficial PEASS & HackTricks
- Descubra A Família PEASS, nossa coleção exclusiva de NFTs
- Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
- Compartilhe seus truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.
.dtors
{% hint style="danger" %} Atualmente é muito estranho encontrar um binário com uma seção .dtors! {% endhint %}
Os destrutores são funções que são executadas antes do programa terminar (após o retorno da função main
).
Os endereços dessas funções são armazenados dentro da seção .dtors
do binário e, portanto, se você conseguir escrever o endereço de um shellcode em __DTOR_END__
, isso será executado antes do programa terminar.
Obtenha o endereço desta seção com:
objdump -s -j .dtors /exec
rabin -s /exec | grep “__DTOR”
Normalmente você encontrará os marcadores DTOR entre os valores ffffffff
e 00000000
. Portanto, se você apenas ver esses valores, significa que não há nenhuma função registrada. Então, sobrescreva o 00000000
com o endereço do shellcode para executá-lo.
{% hint style="warning" %} Claro, primeiro você precisa encontrar um local para armazenar o shellcode para depois chamá-lo. {% endhint %}
.fini_array
Essencialmente, esta é uma estrutura com funções que serão chamadas antes do programa terminar, como .dtors
. Isso é interessante se você puder chamar seu shellcode apenas pulando para um endereço, ou em casos em que você precisa voltar para o main
novamente para explorar a vulnerabilidade uma segunda vez.
objdump -s -j .fini_array ./greeting
./greeting: file format elf32-i386
Contents of section .fini_array:
8049934 a0850408
#Put your address in 0x8049934
Note que quando uma função do .fini_array
é executada, ela passa para a próxima, então não será executada várias vezes (evitando loops eternos), mas também só lhe dará 1 execução da função colocada aqui.
Note que as entradas em .fini_array
são chamadas em ordem inversa, então provavelmente você quer começar a escrever a partir da última.
Loop eterno
Para abusar do .fini_array
e obter um loop eterno, você pode ver o que foi feito aqui: Se você tiver pelo menos 2 entradas em .fini_array
, você pode:
- Usar sua primeira escrita para chamar a função de escrita arbitrária vulnerável novamente
- Em seguida, calcular o endereço de retorno na pilha armazenado por
__libc_csu_fini
(a função que está chamando todas as funções.fini_array
) e colocar lá o endereço de__libc_csu_fini
- Isso fará com que
__libc_csu_fini
chame a si mesmo novamente executando as funções do.fini_array
novamente, o que chamará a função WWW vulnerável 2 vezes: uma para a escrita arbitrária e outra para sobrescrever novamente o endereço de retorno de__libc_csu_fini
na pilha para chamar a si mesmo novamente.
{% hint style="danger" %}
Note que com Full RELRO, a seção .fini_array
é tornada somente leitura.
Em versões mais recentes, mesmo com [Partial RELRO], a seção .fini_array
também é tornada somente leitura.
{% endhint %}
Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!
Outras maneiras de apoiar o HackTricks:
- Se você quiser ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF, confira os PLANOS DE ASSINATURA!
- Adquira o swag oficial PEASS & HackTricks
- Descubra The PEASS Family, nossa coleção exclusiva de NFTs
- Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
- Compartilhe seus truques de hacking enviando PRs para os HackTricks e HackTricks Cloud github repos.