[HaBo]

Zer0c00l · 08.06.11, 21:29

So den Code habe ich mittlerweile zum laufen gebracht, nur wie macht man es das ich ihn in eine executable stack einschleuse?hat jemand ein tipp oder ein link für mich

ChiefWiggum · 09.06.11, 09:26

per Buffer-overflow

da gibt es einige gute Artikel drüber im netz, aber achte auf DEP und ASLR

Anzeige

- Anzeige -

Inliferty · 09.06.11, 13:22

Stichwort für Exploits:
ROP - return oriented programming
DEP kannst du damit umgehen.
ASLR teilweise (wenn man Glück hat mit dem Modul in dem sich das Exploit befindet)

Dieses Paper fand ich imho sehr gut zu diesem Thema:
http://www.ece.cmu.edu/~dbrumley/cou.../docs/aslr.pdf

MfG
Inliferty

[Edit]
Argh, glaub ich hab die Frage falsch verstanden, trotzdem lass ich den Beitrag mal stehen.

Zer0c00l · 09.06.11, 16:28

Gut endlich mal jemand mit dem man sich unterhalten kann darüber und der auch versteh worum es geht.

Also ok das mit dem Overflow war mir ja schon klar. Ich dachte den ASLR kann ich schon mit der methode umgehen das ich die letzte return anweisung überschreibe. ASLR war doch nur zuständig für den wechselnden Speicher? Das problem was ich jetzt habe ist doch das NX-Bit oder??
Ja ich habe es mit der Holzhammermethode versucht nur er sagt wie gesagt immer wenn er auf mein script scpringt speicherzugriffsverletzung.

xrayn · 09.06.11, 16:51

Die Speicherzugriffsverletzung deutet darauf hin, dass du in einem nicht ausführbaren Speicher Code auszuführen versuchst. Heute umgeht man DEP so, dass man in dem Zielprogramm ein Modul X sucht, welches kein ASLR benutzt. Anschließend manipuliert man den Stack (/Stackpointer) so, dass man Code von X ausführen kann (aka ROP) und so DEP für einen bestimmten Speicherbereich deaktiviert (dafür werden von Windows Funktionen bereitgestellt) und dort sein eigentliches Payload ausführt. Das ganze ist natürlich nur möglich, wenn DEP für diesen Prozess auf OptIn gesetzt ist, bei AlwaysOn muss man mit reinem ROP vorlieb nehmen.

Zer0c00l · 09.06.11, 21:58

Ok das ist ja schonmal verständlich für mich.

Mir geht es jetzt in erster linie nicht darum fremden code zu unterwandern, sondern erstmal ein testcode von mir.

Code:

#include <stdio.h>

int main(int argc, char *argv[]) {
   char buffer[50];

   printf("buffer is at %p\n", &buffer);

   if(argc > 1)
      strcpy(buffer, argv[1]);

   return 1;
}

so wenn ich da die return funktion überschreibe mit einer root-shell bekomme ich den fehler.

wie sieht den code aus der ohne ASLR geht, ich dachte das ist eine Kernel option. und gillt für den ganzen code?

Nur so zur info ich bin in linux kernel 2.6.38

Zer0c00l · 15.06.11, 13:06

Sodas mit dem ROT hab ich glaube ich schonmal mit der Hammermethode hinbekommen. zumindesten kommt bei jeden 10 versuch mal nicht speicherzugriffsverletzung sondern gleich der prompt.
Nur ich glaube ich setzte die Rücksprungadresse falsch. vorallem was mich wundert normalerweise sollt es doch einbezug von buffer(für overflow) und der return adress geben. aber das variert um arsch viel mal negativ mal positiv, da findeich keine beziehnung zuanander?? laut den tutorialssollte es doch immer den selben wert schwanken.

Anzeige

- Anzeige -

08.06.11, 21:29	#1 (permalink)
Zer0c00l Registriert seit: 08.06.11 Likes: 0	Shellcode geht nicht?! Anzeige So den Code habe ich mittlerweile zum laufen gebracht, nur wie macht man es das ich ihn in eine executable stack einschleuse?hat jemand ein tipp oder ein link für mich Geändert von Zer0c00l (09.06.11 um 08:00 Uhr)

09.06.11, 09:26	#2 (permalink)
ChiefWiggum Registriert seit: 09.10.07 Likes: 11	per Buffer-overflow da gibt es einige gute Artikel drüber im netz, aber achte auf DEP und ASLR __________________ Be the source always with you.

09.06.11, 21:58	#6 (permalink)
Zer0c00l Themenstarter Registriert seit: 08.06.11 Likes: 0	Ok das ist ja schonmal verständlich für mich. Mir geht es jetzt in erster linie nicht darum fremden code zu unterwandern, sondern erstmal ein testcode von mir. Code: #include <stdio.h> int main(int argc, char *argv[]) { char buffer[50]; printf("buffer is at %p\n", &buffer); if(argc > 1) strcpy(buffer, argv[1]); return 1; } so wenn ich da die return funktion überschreibe mit einer root-shell bekomme ich den fehler. wie sieht den code aus der ohne ASLR geht, ich dachte das ist eine Kernel option. und gillt für den ganzen code? Nur so zur info ich bin in linux kernel 2.6.38

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

09.06.11, 13:22	#3 (permalink)
Inliferty Registriert seit: 05.10.05 Likes: 5	Stichwort für Exploits: ROP - return oriented programming DEP kannst du damit umgehen. ASLR teilweise (wenn man Glück hat mit dem Modul in dem sich das Exploit befindet) Dieses Paper fand ich imho sehr gut zu diesem Thema: http://www.ece.cmu.edu/~dbrumley/cou.../docs/aslr.pdf MfG Inliferty [Edit] Argh, glaub ich hab die Frage falsch verstanden, trotzdem lass ich den Beitrag mal stehen.

09.06.11, 16:28	#4 (permalink)
Zer0c00l Themenstarter Registriert seit: 08.06.11 Likes: 0	Gut endlich mal jemand mit dem man sich unterhalten kann darüber und der auch versteh worum es geht. Also ok das mit dem Overflow war mir ja schon klar. Ich dachte den ASLR kann ich schon mit der methode umgehen das ich die letzte return anweisung überschreibe. ASLR war doch nur zuständig für den wechselnden Speicher? Das problem was ich jetzt habe ist doch das NX-Bit oder?? Ja ich habe es mit der Holzhammermethode versucht nur er sagt wie gesagt immer wenn er auf mein script scpringt speicherzugriffsverletzung.

09.06.11, 16:51	#5 (permalink)
xrayn Member of Honour Registriert seit: 05.03.08 Likes: 246	Die Speicherzugriffsverletzung deutet darauf hin, dass du in einem nicht ausführbaren Speicher Code auszuführen versuchst. Heute umgeht man DEP so, dass man in dem Zielprogramm ein Modul X sucht, welches kein ASLR benutzt. Anschließend manipuliert man den Stack (/Stackpointer) so, dass man Code von X ausführen kann (aka ROP) und so DEP für einen bestimmten Speicherbereich deaktiviert (dafür werden von Windows Funktionen bereitgestellt) und dort sein eigentliches Payload ausführt. Das ganze ist natürlich nur möglich, wenn DEP für diesen Prozess auf OptIn gesetzt ist, bei AlwaysOn muss man mit reinem ROP vorlieb nehmen.

15.06.11, 13:06	#7 (permalink)
Zer0c00l Themenstarter Registriert seit: 08.06.11 Likes: 0	Sodas mit dem ROT hab ich glaube ich schonmal mit der Hammermethode hinbekommen. zumindesten kommt bei jeden 10 versuch mal nicht speicherzugriffsverletzung sondern gleich der prompt. Nur ich glaube ich setzte die Rücksprungadresse falsch. vorallem was mich wundert normalerweise sollt es doch einbezug von buffer(für overflow) und der return adress geben. aber das variert um arsch viel mal negativ mal positiv, da findeich keine beziehnung zuanander?? laut den tutorialssollte es doch immer den selben wert schwanken.

[HaBo]

Shellcode geht nicht?!