HTB Retired. Пишем эксплоит ROP + mprotect и используем переполнение буфера

Разведка

Сканирование портов

До­бав­ляем IP-адрес машины в /etc/hosts:

И запус­каем ска­ниро­вание пор­тов.

Что же мы наш­ли? Порт 22 — служ­ба OpenSSH 8.4p1, порт 80 — веб‑сер­вер Nginx. Так­же из резуль­татов ска­на Nmap видим редирект, в котором стра­ница переда­ется в качес­тве парамет­ра.

Точка входа

LFI

При таком зап­росе стра­ниц сай­та нуж­но сра­зу про­верить, получит­ся ли отоб­разить не тот файл, который был встав­лен раз­работ­чиком. Поп­робу­ем зап­росить /etc/passwd, вос­поль­зовав­шись обхо­дом катало­гов.

Уяз­вимость под­твержде­на, поэто­му перей­дем к экс­плу­ата­ции. Нам нуж­но знать, какие фай­лы читать, поэто­му поищем на сай­те скры­тые стра­ницы. Так как мы уже стол­кну­лись с фор­матами PHP и HTML, то такие стра­ницы и будем искать. Для это­го вос­поль­зуем­ся ска­нером ffuf.

Ко­ман­да сле­дующая:

Наш­ли все­го одну новую стра­ницу — beta.html.

На стра­нице нуж­но заг­ружать файл лицен­зии, который будет отправ­лен на сле­дующий адрес:

Пос­мотрим, что про­изой­дет с фай­лом даль­ше. Для это­го получим код най­ден­ного обра­бот­чика.

Та­ким обра­зом, заг­ружен­ный через фор­му файл будет отправ­лен при­ложе­нию, которое работа­ет на локаль­ном пор­те 1337. Поп­робу­ем выяс­нить, что это за при­ложе­ние, с помощью LFI. Я запус­тил Burp Intruder и передал ему спи­сок информа­тив­ных фай­лов из Unix.

В резуль­тате ска­ниро­вания узна­ем, что нам дос­тупен в том чис­ле и файл /proc/sched_debug, где и находим про­цесс activate_license и соот­ветс­тву­ющий ему иден­тифика­тор про­цес­са (PID) — 487.

Зная PID про­цес­са, мы можем получить пол­ную коман­дную стро­ку, что даст нам путь к фай­лу.

По­луча­ем пол­ный путь к фай­лу обра­бот­чика, а так­же видим, что порт для прос­лушива­ния переда­ется в качес­тве аргу­мен­та. Ска­чива­ем этот файл на локаль­ный хост для ана­лиза.

Точка опоры

Переполнение буфера

Те­перь перей­дем к ана­лизу при­ложе­ния. Каж­дый выбира­ет для себя более удоб­ный инс­тру­мент, но я оста­юсь при­вер­женцем IDA Pro. Закиды­ваем бинарь в деком­пилятор и ищем фун­кцию main.

Итак, при­ложе­ние стан­дар­тным спо­собом откры­вает порт, ожи­дает соеди­нения, и, если оно про­исхо­дит и если фун­кция fork выпол­нена успешно, оно запус­кает фун­кцию activate_license.

В фун­кции activate_license про­исхо­дит бес­кон­троль­ное чте­ние в буфера раз­мером 512 байт.

Та­ким обра­зом, мы наш­ли мес­то для перепол­нения буфера, оста­лось опре­делить­ся со сме­щени­ем наг­рузки и методом экс­плу­ата­ции. Для это­го нуж­но запус­тить прог­рамму в уда­лен­ном отладчи­ке, перепол­нить буфер и пос­мотреть, на каком сме­щении от начала буфера будет вер­шина сте­ка, ког­да прог­рамма упа­дет.

Но при отладке мы не попада­ем в фун­кцию activate_license, поэто­му мне приш­лось запат­чить инс­трук­цию условно­го перехо­да (jnz).

Те­перь сге­нери­руем пос­ледова­тель­ность де Брёй­на, которая поможет быс­тро опре­делить сме­щение.

От­прав­ляем эти дан­ные нашей прог­рамме и пос­ле ошиб­ки выпол­нения смот­рим дан­ные в регис­тре RBP.

Кон­верти­руем получен­ное зна­чение и вычис­ляем сме­щение — 520.

Вы­бирать метод дол­го не приш­лось. Мы можем получить дос­туп к области неис­полня­емой памяти.

Для успешной экс­плу­ата­ции мы отпра­вим вмес­те с дан­ными шелл‑код, с помощью ROP-цепочек сде­лаем этот сег­мент памяти исполня­емым и переда­дим управле­ние на шелл‑код.