Metodologia di Base per l’Exploitation Binaria

Tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks

Informazioni di Base su ELF

Prima di iniziare a sfruttare qualsiasi cosa, è interessante comprendere parte della struttura di un binario ELF:

ELF Basic Information

Strumenti di Exploitation

Exploiting Tools

Metodologia di Stack Overflow

Con cosÏ tante tecniche, è utile avere uno schema su quando ciascuna tecnica sarà utile. Nota che le stesse protezioni influenzeranno tecniche diverse. Puoi trovare modi per bypassare le protezioni in ciascuna sezione di protezione, ma non in questa metodologia.

Controllare il Flusso

Ci sono diversi modi in cui potresti finire per controllare il flusso di un programma:

  • Stack Overflows sovrascrivendo il puntatore di ritorno dallo stack o l’EBP -> ESP -> EIP.
  • Potrebbe essere necessario abusare di un Integer Overflows per causare l’overflow.
  • Oppure tramite Arbitrary Writes + Write What Where to Execution.
  • Format strings: Abusare di printf per scrivere contenuti arbitrari in indirizzi arbitrari.
  • Array Indexing: Abusare di un indicizzazione mal progettata per poter controllare alcuni array e ottenere una scrittura arbitraria.
  • Potrebbe essere necessario abusare di un Integer Overflows per causare l’overflow.
  • bof to WWW via ROP: Abusare di un buffer overflow per costruire un ROP e poter ottenere un WWW.

Puoi trovare le tecniche di Write What Where to Execution in:

Write What Where 2 Exec

Loop Eterni

Qualcosa da tenere in considerazione è che di solito solo un exploitation di una vulnerabilità potrebbe non essere sufficiente per eseguire un exploit con successo, specialmente alcune protezioni devono essere bypassate. Pertanto, è interessante discutere alcune opzioni per rendere una singola vulnerabilità sfruttabile piÚ volte nella stessa esecuzione del binario:

  • Scrivere in una catena ROP l’indirizzo della funzione main o l’indirizzo in cui si verifica la vulnerabilitĂ .
  • Controllando una catena ROP appropriata, potresti essere in grado di eseguire tutte le azioni in quella catena.
  • Scrivere nell’indirizzo exit in GOT (o qualsiasi altra funzione utilizzata dal binario prima di terminare) l’indirizzo per tornare alla vulnerabilitĂ .
  • Come spiegato in .fini_array, memorizzare qui 2 funzioni, una per chiamare di nuovo la vuln e un’altra per chiamare __libc_csu_fini che richiamerĂ  di nuovo la funzione da .fini_array.

Obiettivi di Exploitation

Obiettivo: Chiamare una Funzione Esistente

  • ret2win: C’è una funzione nel codice che devi chiamare (forse con alcuni parametri specifici) per ottenere il flag.
  • In un bof regolare senza PIE e canary devi solo scrivere l’indirizzo nel puntatore di ritorno memorizzato nello stack.
  • In un bof con PIE, dovrai bypassarlo.
  • In un bof con canary, dovrai bypassarlo.
  • Se hai bisogno di impostare diversi parametri per chiamare correttamente la funzione ret2win, puoi usare:
  • Una catena ROP se ci sono abbastanza gadget per preparare tutti i parametri.
  • SROP (nel caso tu possa chiamare questa syscall) per controllare molti registri.
  • Gadget da ret2csu e ret2vdso per controllare diversi registri.
  • Tramite un Write What Where potresti abusare di altre vulnerabilitĂ  (non bof) per chiamare la funzione win.
  • Pointers Redirecting: Nel caso in cui lo stack contenga puntatori a una funzione che verrĂ  chiamata o a una stringa che verrĂ  utilizzata da una funzione interessante (system o printf), è possibile sovrascrivere quell’indirizzo.
  • ASLR o PIE potrebbero influenzare gli indirizzi.
  • Uninitialized variables: Non si sa mai.

Obiettivo: RCE

Via shellcode, se nx disabilitato o mescolando shellcode con ROP:

  • (Stack) Shellcode: Questo è utile per memorizzare uno shellcode nello stack prima o dopo aver sovrascritto il puntatore di ritorno e poi saltare a esso per eseguirlo:
  • In ogni caso, se c’è un canary, in un bof regolare dovrai bypassarlo (leak).
  • Senza ASLR e nx è possibile saltare all’indirizzo dello stack poichĂŠ non cambierĂ  mai.
  • Con ASLR dovrai utilizzare tecniche come ret2esp/ret2reg per saltare a esso.
  • Con nx, dovrai usare alcuni ROP per chiamare memprotect e rendere alcune pagine rwx, per poi memorizzare lo shellcode lĂŹ (chiamando read ad esempio) e poi saltare lĂŹ.
  • Questo mescolerĂ  shellcode con una catena ROP.

Via syscalls

  • Ret2syscall: Utile per chiamare execve per eseguire comandi arbitrari. Devi essere in grado di trovare i gadget per chiamare la specifica syscall con i parametri.
  • Se ASLR o PIE sono abilitati, dovrai sconfiggerli per utilizzare i gadget ROP dal binario o dalle librerie.
  • SROP può essere utile per preparare il ret2execve.
  • Gadget da ret2csu e ret2vdso per controllare diversi registri.

Via libc

  • Ret2lib: Utile per chiamare una funzione da una libreria (di solito da libc) come system con alcuni argomenti preparati (ad esempio, '/bin/sh'). Devi che il binario carichi la libreria con la funzione che desideri chiamare (libc di solito).
  • Se compilato staticamente e senza PIE, l’indirizzo di system e /bin/sh non cambierĂ , quindi è possibile usarli staticamente.
  • Senza ASLR e conoscendo la versione di libc caricata, l’indirizzo di system e /bin/sh non cambierĂ , quindi è possibile usarli staticamente.
  • Con ASLR ma senza PIE, conoscendo la libc e con il binario che utilizza la funzione system è possibile ret all’indirizzo di system nel GOT con l’indirizzo di '/bin/sh' nel parametro (dovrai scoprirlo).
  • Con ASLR ma senza PIE, conoscendo la libc e senza che il binario utilizzi la system:
  • Usa ret2dlresolve per risolvere l’indirizzo di system e chiamarlo.
  • Bypassa ASLR e calcola l’indirizzo di system e '/bin/sh' in memoria.
  • Con ASLR e PIE e non conoscendo la libc: Devi:
  • Bypassare PIE.
  • Trovare la versione di libc utilizzata (leak un paio di indirizzi di funzione).
  • Controllare gli scenari precedenti con ASLR per continuare.

Via EBP/RBP

  • Stack Pivoting / EBP2Ret / EBP Chaining: Controllare l’ESP per controllare RET attraverso l’EBP memorizzato nello stack.
  • Utile per off-by-one stack overflows.
  • Utile come modo alternativo per controllare EIP mentre si abusa di EIP per costruire il payload in memoria e poi saltare a esso tramite EBP.

Varie

  • Pointers Redirecting: Nel caso in cui lo stack contenga puntatori a una funzione che verrĂ  chiamata o a una stringa che verrĂ  utilizzata da una funzione interessante (system o printf), è possibile sovrascrivere quell’indirizzo.
  • ASLR o PIE potrebbero influenzare gli indirizzi.
  • Uninitialized variables: Non si sa mai.

Tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks