BF Addresses in the Stack
从零开始学习 AWS 黑客技术,成为专家 htARTE(HackTricks AWS 红队专家)!
支持 HackTricks 的其他方式:
如果您想看到您的公司在 HackTricks 中做广告或下载 PDF 版的 HackTricks,请查看订阅计划!
加入 💬 Discord 群组 或 电报群组 或在 Twitter 🐦 @hacktricks_live** 上关注我们**。
通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享您的黑客技巧。
如果您面对一个由 canary 和 PIE(位置无关可执行文件)保护的二进制文件,您可能需要找到一种绕过它们的方法。
请注意,如果二进制文件是静态编译的且无法识别函数,checksec 可能无法发现二进制文件受到 canary 保护。
但是,如果您发现在函数调用开始时将一个值保存在堆栈中,并且在退出之前检查了该值,您可以手动注意到这一点。
暴力破解地址
为了绕过 PIE,您需要泄漏一些地址。如果二进制文件没有泄漏任何地址,最好的方法是在易受攻击的函数中暴力破解堆栈中保存的 RBP 和 RIP。 例如,如果一个二进制文件同时使用canary和PIE进行保护,您可以开始暴力破解 canary,然后接下来的 8 字节(x64)将是保存的RBP,接下来的 8 字节将是保存的RIP。
假定堆栈中的返回地址属于主二进制代码,如果漏洞位于二进制代码中,通常情况下会是这样。
要从二进制文件中暴力破解 RBP 和 RIP,您可以发现一个有效的猜测字节是否正确,如果程序输出了内容或者没有崩溃。可以使用与用于暴力破解 canary 相同的函数来暴力破解 RBP 和 RIP:
最后你需要战胜PIE的是计算从泄漏的地址中得到的有用地址:RBP和RIP。
从RBP中,你可以计算出你在堆栈中写入shell的位置。这对于知道你将在堆栈中写入字符串"/bin/sh\x00"的位置非常有用。要计算泄漏的RBP和你的shellcode之间的距离,你可以在泄漏RBP后设置一个断点,检查你的shellcode位于何处,然后计算shellcode和RBP之间的距离:
从RIP中,您可以计算PIE二进制文件的基地址,这是您需要创建有效的ROP链所需的内容。
要计算基地址,只需执行objdump -d vunbinary并检查最新地址的反汇编代码:
在这个示例中,您可以看到只需要1字节和半字节就可以定位所有代码,因此,在这种情况下,基地址将是泄漏的RIP,但以"000"结尾。例如,如果泄漏了0x562002970ecf,则基地址为0x562002970000
改进
根据这篇帖子的一些观察,当泄漏RBP和RIP值时,服务器不会因为一些不正确的值而崩溃,而BF脚本会认为它获得了正确的值。这是因为即使不是完全正确的地址,有些地址可能也不会导致崩溃。
根据该博客文章,建议在请求之间向服务器引入短暂延迟。
最后更新于