HackTricksImprimer le Stack Canary
Reading time: 3 minutes
tip
Apprenez et pratiquez le hacking AWS :
HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : 
HackTricks Training GCP Red Team Expert (GRTE)
Soutenir HackTricks
- Vérifiez les plans d'abonnement !
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez nous sur Twitter 🐦 @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PRs au HackTricks et HackTricks Cloud dépôts github.
Agrandir le stack imprimé
Imaginez une situation où un programme vulnérable à un débordement de pile peut exécuter une fonction puts pointant vers une partie du débordement de pile. L'attaquant sait que le premier octet du canary est un octet nul (\x00) et que le reste du canary est constitué de octets aléatoires. Ensuite, l'attaquant peut créer un débordement qui écrase la pile jusqu'au premier octet du canary.
Ensuite, l'attaquant appelle la fonctionnalité puts au milieu de la charge utile, ce qui va imprimer tout le canary (sauf le premier octet nul).
Avec cette information, l'attaquant peut concevoir et envoyer une nouvelle attaque en connaissant le canary (dans la même session de programme).
Évidemment, cette tactique est très restrictive car l'attaquant doit être capable de imprimer le contenu de sa charge utile pour exfiltrer le canary et ensuite être capable de créer une nouvelle charge utile (dans la même session de programme) et envoyer le vrai débordement de tampon.
Exemples CTF :
- https://guyinatuxedo.github.io/08-bof_dynamic/csawquals17_svc/index.html
- 64 bits, ASLR activé mais pas de PIE, la première étape consiste à remplir un débordement jusqu'à l'octet 0x00 du canary pour ensuite appeler puts et le divulguer. Avec le canary, un gadget ROP est créé pour appeler puts afin de divulguer l'adresse de puts depuis le GOT et un gadget ROP pour appeler
system('/bin/sh') - https://guyinatuxedo.github.io/14-ret_2_system/hxp18_poorCanary/index.html
- 32 bits, ARM, pas de relro, canary, nx, pas de pie. Débordement avec un appel à puts dessus pour divulguer le canary + ret2lib appelant
systemavec une chaîne ROP pour pop r0 (arg/bin/sh) et pc (adresse de system)
Lecture Arbitraire
Avec une lecture arbitraire comme celle fournie par les chaînes de format, il pourrait être possible de divulguer le canary. Vérifiez cet exemple : https://ir0nstone.gitbook.io/notes/types/stack/canaries et vous pouvez lire sur l'abus des chaînes de format pour lire des adresses mémoire arbitraires dans :
- https://guyinatuxedo.github.io/14-ret_2_system/asis17_marymorton/index.html
- Ce défi abuse de manière très simple d'une chaîne de format pour lire le canary depuis la pile
tip
Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)
Soutenir HackTricks
- Vérifiez les plans d'abonnement !
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez nous sur Twitter 🐦 @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PRs au HackTricks et HackTricks Cloud dépôts github.