Untitled

Comme vous le devinez surement les gadgets dont on aura besoin sont syscall; ret et mov eax,0xf; ret ! Maintenant passons à l’explication de comment l’exploitation se fera !

    Tout d’abord on va récuperer les addresses de nos gadgets.
    Ensuite on va leak l’addresse de buffer, pour le coup notre programme ne contient aucun leak (format string ou autre) mais le programme printf bien gentiment l’addresse de buffer !
    On va rendre le buffer executable, on va créer une “trame de signal” qui pourra faire le syscall MPROTECT sur l’addresse de buffer (vous allez voir pas d’inquietude si vous ne comprenez pas ! )
    On me un shellcode dans buffer et enfin on saute sur ce shellcode !

D’abord compilons notre programme: quasar@pwn:~/Bureau/pwn$ gcc -o sop sop.c -no-pie

Ensuite on va utiliser ROPgadget pour récuperer nos gadgets:
...
Où est notre ret ? Pour éviter tout problème on va utiliser pwndbg pour récuperer l’addresse de ce gadget:
...
Finalement l’addresse était totalement clean deuxième gadget: 0x000000000040060a : syscall
Deuxième chose, on n'a toujours pas calculé notre offset :’) :
...
on aurait pu faire de façon plus propre mais osef ¯_(ツ)_/¯
On peut commencer à écrire notre exploit:
...
Passons aux choses sérieuses ! Il faut rendre l’addresse de buffer exécutable, pour cela créons une trame de signal comme cela, merci pwntools !
...
Maintenant que vous êtes tous en mode “Hein ? C koi ça ? “ (fin à part si vous êtes là juste pour vérifier que je raconte pas de la merde et que vous maitrisez dejà la technique )

première ligne on crée une “fausse” trame de signal, on met rax à 10 qui est le nombre du syscall de MPROTECT, on met l’addresse de leak dans rdi, c’est là qu’on met l’addresse qui va être rendu executable, et enfin dans rip on met l’addresse de syscall evidemment on va donc exécuter mprotect avec ce qu’on a mit dans nos différents registres (on ne va pas s’attarder sur ça, voici la page manuel de mprotect)
...
Bon nos droits ne changent pas mais on n'avait pas donné de droits au binaire :)