HackTricksWWW2Exec - .dtors & .fini_array
Reading time: 3 minutes
tip
Aprende y practica AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Apoya a HackTricks
- Revisa los planes de suscripción!
- Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
- Comparte trucos de hacking enviando PRs a HackTricks y HackTricks Cloud repos de github.
.dtors
caution
¡Hoy en día es muy raro encontrar un binario con una sección .dtors!
Los destructores son funciones que se ejecutan antes de que el programa termine (después de que la función main retorna).
Las direcciones de estas funciones se almacenan dentro de la sección .dtors del binario y, por lo tanto, si logras escribir la dirección en un shellcode en __DTOR_END__, eso será ejecutado antes de que el programa termine.
Obtén la dirección de esta sección con:
objdump -s -j .dtors /exec
rabin -s /exec | grep “__DTOR”
Normalmente encontrarás los marcadores DTOR entre los valores ffffffff y 00000000. Así que si solo ves esos valores, significa que no hay ninguna función registrada. Así que sobrescribe el 00000000 con la dirección al shellcode para ejecutarlo.
warning
Por supuesto, primero necesitas encontrar un lugar para almacenar el shellcode para poder llamarlo más tarde.
.fini_array
Esencialmente, esta es una estructura con funciones que serán llamadas antes de que el programa termine, como .dtors. Esto es interesante si puedes llamar a tu shellcode simplemente saltando a una dirección, o en casos donde necesitas volver a main nuevamente para explotar la vulnerabilidad una segunda vez.
objdump -s -j .fini_array ./greeting
./greeting: file format elf32-i386
Contents of section .fini_array:
8049934 a0850408
#Put your address in 0x8049934
Nota que cuando se ejecuta una función de .fini_array, se pasa a la siguiente, por lo que no se ejecutará varias veces (previniendo bucles eternos), pero también solo te dará 1 ejecución de la función colocada aquí.
Nota que las entradas en .fini_array se llaman en orden inverso, así que probablemente quieras comenzar a escribir desde la última.
Bucle eterno
Para abusar de .fini_array y obtener un bucle eterno, puedes ver lo que se hizo aquí: Si tienes al menos 2 entradas en .fini_array, puedes:
- Usar tu primera escritura para llamar a la función vulnerable de escritura arbitraria nuevamente
- Luego, calcular la dirección de retorno en la pila almacenada por
__libc_csu_fini(la función que está llamando a todas las funciones de.fini_array) y poner allí la dirección de__libc_csu_fini - Esto hará que
__libc_csu_finise llame a sí mismo nuevamente ejecutando las funciones de.fini_arraynuevamente, lo que llamará a la función WWW vulnerable 2 veces: una para escritura arbitraria y otra para sobrescribir nuevamente la dirección de retorno de__libc_csu_finien la pila para llamarse a sí mismo nuevamente.
caution
Nota que con Full RELRO, la sección .fini_array se vuelve solo de lectura.
En versiones más nuevas, incluso con [Partial RELRO], la sección .fini_array también se vuelve solo de lectura.
tip
Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apoya a HackTricks
- Revisa los planes de suscripción!
- Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
- Comparte trucos de hacking enviando PRs a HackTricks y HackTricks Cloud repos de github.