HackTricksMetodología Básica de Explotación Binaria
Reading time: 8 minutes
tip
Aprende y practica AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Apoya a HackTricks
- Revisa los planes de suscripción!
- Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
- Comparte trucos de hacking enviando PRs a HackTricks y HackTricks Cloud repos de github.
Información Básica de ELF
Antes de comenzar a explotar cualquier cosa, es interesante entender parte de la estructura de un binario ELF:
Herramientas de Explotación
Metodología de Desbordamiento de Pila
Con tantas técnicas, es bueno tener un esquema de cuándo cada técnica será útil. Ten en cuenta que las mismas protecciones afectarán diferentes técnicas. Puedes encontrar formas de eludir las protecciones en cada sección de protección, pero no en esta metodología.
Controlando el Flujo
Hay diferentes formas en las que podrías terminar controlando el flujo de un programa:
- Desbordamientos de Pila sobrescribiendo el puntero de retorno desde la pila o el EBP -> ESP -> EIP.
- Podrías necesitar abusar de un Desbordamiento de Entero para causar el desbordamiento.
- O a través de Escrituras Arbitrarias + Escribir Qué Dónde para Ejecución.
- Cadenas de Formato: Abusar de
printfpara escribir contenido arbitrario en direcciones arbitrarias. - Indexación de Arreglos: Abusar de una indexación mal diseñada para poder controlar algunos arreglos y obtener una escritura arbitraria.
- Podrías necesitar abusar de un Desbordamiento de Entero para causar el desbordamiento.
- bof a WWW vía ROP: Abusar de un desbordamiento de búfer para construir un ROP y poder obtener un WWW.
Puedes encontrar las técnicas de Escribir Qué Dónde para Ejecución en:
Bucles Eternos
Algo a tener en cuenta es que, por lo general, solo una explotación de una vulnerabilidad puede no ser suficiente para ejecutar un exploit exitoso, especialmente algunas protecciones necesitan ser eludidas. Por lo tanto, es interesante discutir algunas opciones para hacer que una sola vulnerabilidad sea explotable varias veces en la misma ejecución del binario:
- Escribir en una cadena ROP la dirección de la función
maino a la dirección donde está ocurriendo la vulnerabilidad. - Controlando una cadena ROP adecuada, podrías ser capaz de realizar todas las acciones en esa cadena.
- Escribir en la dirección
exiten GOT (o cualquier otra función utilizada por el binario antes de finalizar) la dirección para volver a la vulnerabilidad. - Como se explicó en .fini_array, almacenar 2 funciones aquí, una para llamar a la vulnerabilidad nuevamente y otra para llamar a
__libc_csu_finique volverá a llamar a la función desde.fini_array.
Objetivos de Explotación
Objetivo: Llamar a una Función Existente
- ret2win: Hay una función en el código que necesitas llamar (quizás con algunos parámetros específicos) para obtener la bandera.
- En un bof regular sin PIE y canary solo necesitas escribir la dirección en la dirección de retorno almacenada en la pila.
- En un bof con PIE, necesitarás eludirlo.
- En un bof con canary, necesitarás eludirlo.
- Si necesitas establecer varios parámetros para llamar correctamente a la función ret2win, puedes usar:
- Una cadena ROP si hay suficientes gadgets para preparar todos los parámetros.
- SROP (en caso de que puedas llamar a esta syscall) para controlar muchos registros.
- Gadgets de ret2csu y ret2vdso para controlar varios registros.
- A través de un Escribir Qué Dónde podrías abusar de otras vulnerabilidades (no bof) para llamar a la función
win. - Redireccionamiento de Punteros: En caso de que la pila contenga punteros a una función que se va a llamar o a una cadena que se va a utilizar por una función interesante (system o printf), es posible sobrescribir esa dirección.
- ASLR o PIE podrían afectar las direcciones.
- Variables No Inicializadas: Nunca se sabe.
Objetivo: RCE
A través de shellcode, si nx está deshabilitado o mezclando shellcode con ROP:
- (Stack) Shellcode: Esto es útil para almacenar un shellcode en la pila antes o después de sobrescribir el puntero de retorno y luego saltar a él para ejecutarlo:
- En cualquier caso, si hay un canary, en un bof regular necesitarás eludirlo (leak).
- Sin ASLR y nx es posible saltar a la dirección de la pila ya que nunca cambiará.
- Con ASLR necesitarás técnicas como ret2esp/ret2reg para saltar a ella.
- Con nx, necesitarás usar algún ROP para llamar a
memprotecty hacer que alguna página searwx, para luego almacenar el shellcode allí (llamando a read, por ejemplo) y luego saltar allí. - Esto mezclará shellcode con una cadena ROP.
A través de syscalls
- Ret2syscall: Útil para llamar a
execvepara ejecutar comandos arbitrarios. Necesitas ser capaz de encontrar los gadgets para llamar a la syscall específica con los parámetros. - Si ASLR o PIE están habilitados, necesitarás derrotarlos para usar gadgets ROP del binario o bibliotecas.
- SROP puede ser útil para preparar el ret2execve.
- Gadgets de ret2csu y ret2vdso para controlar varios registros.
A través de libc
- Ret2lib: Útil para llamar a una función de una biblioteca (generalmente de
libc) comosystemcon algunos argumentos preparados (por ejemplo,'/bin/sh'). Necesitas que el binario cargue la biblioteca con la función que te gustaría llamar (libc generalmente). - Si compilado estáticamente y sin PIE, la dirección de
systemy/bin/shno van a cambiar, por lo que es posible usarlas estáticamente. - Sin ASLR y conociendo la versión de libc cargada, la dirección de
systemy/bin/shno van a cambiar, por lo que es posible usarlas estáticamente. - Con ASLR pero sin PIE, conociendo la libc y con el binario usando la función
systemes posiblereta la dirección de system en el GOT con la dirección de'/bin/sh'en el parámetro (necesitarás averiguarlo). - Con ASLR pero sin PIE, conociendo la libc y sin que el binario use la
system: - Usa
ret2dlresolvepara resolver la dirección desystemy llamarla. - Eludir ASLR y calcular la dirección de
systemy'/bin/sh'en memoria. - Con ASLR y PIE y sin conocer la libc: Necesitas:
- Eludir PIE.
- Encontrar la versión de
libcutilizada (filtrar un par de direcciones de funciones). - Comprobar los escenarios anteriores con ASLR para continuar.
A través de EBP/RBP
- Pivotar Pila / EBP2Ret / Encadenamiento EBP: Controlar el ESP para controlar RET a través del EBP almacenado en la pila.
- Útil para desbordamientos de pila off-by-one.
- Útil como una forma alternativa de terminar controlando EIP mientras se abusa de EIP para construir la carga útil en memoria y luego saltar a ella a través de EBP.
Varios
- Redireccionamiento de Punteros: En caso de que la pila contenga punteros a una función que se va a llamar o a una cadena que se va a utilizar por una función interesante (system o printf), es posible sobrescribir esa dirección.
- ASLR o PIE podrían afectar las direcciones.
- Variables No Inicializadas: Nunca se sabe.
tip
Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apoya a HackTricks
- Revisa los planes de suscripción!
- Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
- Comparte trucos de hacking enviando PRs a HackTricks y HackTricks Cloud repos de github.