السلام عليكم ورحمة الله وبركاته
إن شاء الله تكونوا في تمام الصحة والعافية إخواني
سنتحدث في هذا الشرح عن مشكلة non executable stack لذلك فنحن نحتاج إلى مكان لتنفيذ الكود تبعنا.
تكمن الفكرة في استعمال وضائف مبرمجة مسبقا موجودة في ال libc وهي مكتبة سي تحتوي على وضائف مثل printf,system,scanf ..إلخ
بما أننا لا نستطيع تنفيذ الشيلكود في المكدس لذلك سنغير التكتيك تبعنا ونستدعي مباشرة الوظيفة system()
ونعطيها ك argument السلسلة النصية "bin/sh/"
لذلك يجب علينا فهم عمل المكدس وإعداده بعناية بحيث يتم إجراء الإستدعاء بشكل صحيح.
إذا قفزنا على هذه الوظيفة system وقمنا بتمرير ال arguments اللازمة لأداء عملها بشكل صحيح ،
فستقوم بعملها دون أن تتوانى وسيكون لدينا شيل
عند إستدعاء الوظيفة system فإنها تحتاج إلى اثنين arguments :
عنوان العودة الذي سيتم استخدامه بمجرد اكتماله
وخاصة الكومند الذي سيتم تنفيذها
فالبايلود تبعنا يشبه ما في الصورة التالية:
نتأكد من وقوف الحماية ASLR
كود PHP:
# echo 0 > /proc/sys/kernel/randomize_va_space
وعند الكومبايل نمحي دائما حماية ال canary مع -fno-stack-protector
وتحديد هذه المرة أن المكدس لايجب أن يكون executable
كود PHP:
gcc -m32 poc.c -o poc -fno-stack-protector
للإستغلال يجب علينا معرفة شيئين :
عنوان الوظيفة system()
عنوان السلسة التي تمثل الكومند التي سننفذها
عنوان ال ret تبع system ممكن يكون أي شيء
لكن نخشى أن نتحصل على segmentation fault بعد مغادرة الشيل
لأن eip ستحاول قرائته لذلك سندعوها لمغادرة الوظيفة حتى أنه بعد تنفيذ الشيل ،
سينتهي البرنامج دون أخطاء.
نبحث عن عنوان ال exit
بقي لنا عنوان الكومند bin/sh/
الآن لدينا كل مايلزم لهجمتنا ret2libc
ننفذ
bingoo تحصلنا على شيل لكن في تطبيقاب حقيقية ليس بالأمر الهين
في أمان الله
العرض العادي
