Pointer Redirecting

Reading time: 2 minutes

String pointers

Se una chiamata di funzione utilizza un indirizzo di una stringa che si trova nello stack, è possibile abusare del buffer overflow per sovrascrivere questo indirizzo e inserire un indirizzo di una stringa diversa all'interno del binario.

Se ad esempio una chiamata alla funzione system deve utilizzare l'indirizzo di una stringa per eseguire un comando, un attaccante potrebbe posizionare l'indirizzo di una stringa diversa nello stack, export PATH=.:$PATH e creare nella directory corrente uno script con il nome della prima lettera della nuova stringa, poiché questo sarà eseguito dal binario.

Puoi trovare un esempio di questo in:

• https://github.com/florianhofhammer/stack-buffer-overflow-internship/blob/master/ASLR%20Smack%20and%20Laugh%20reference%20-%20Tilo%20Mueller/strptr.c
• https://guyinatuxedo.github.io/04-bof_variable/tw17_justdoit/index.html
• 32bit, cambia l'indirizzo della stringa dei flag nello stack in modo che venga stampato da puts

Function pointers

Stesso concetto dei puntatori a stringa ma applicato alle funzioni, se lo stack contiene l'indirizzo di una funzione che verrà chiamata, è possibile cambiarlo (ad es. per chiamare system).

Puoi trovare un esempio in:

• https://github.com/florianhofhammer/stack-buffer-overflow-internship/blob/master/ASLR%20Smack%20and%20Laugh%20reference%20-%20Tilo%20Mueller/funcptr.c

References

• https://github.com/florianhofhammer/stack-buffer-overflow-internship/blob/master/NOTES.md#pointer-redirecting