Partie 17 - 🏆 Challenge - exploitation de la unsorted bin (4/4)

🏆 Challenge : exploitation de la unsorted bin (4/4)

Depuis plusieurs chapitres, nous avons eu l’occasion de rencontrer divers éléments utilisés dans le tas dont la unsorted bin. Il est temps de passer à un exercice un peu plus croustillant et réaliste qui consiste cette fois-ci à ouvrir un terminal en exploitant le tas.

• ⬇️ Téléchargement : pwn-chall-unsorted-bin.zip
• 🔎 SHA256 & Analyse Virus Total : 6949fb442f0245c25250dad08422ef26f0dd312e2094171a97afc2667b29ecbb
• 🎯 Objectif : réussir à ouvrir un terminal.
• 🌟 Objectif bonus pour les plus téméraires d’entre vous qui souhaitent aller plus loin :
  • ouvrir un terminal en tant que root

Bon courage !

💻 Contexte d’exécution

Afin de se placer dans le contexte d’exécution prévu pour cet exercice, il est nécessaire de :

• activer l’ASLR ;
• atteindre l’objectif en dehors d’un déboggeur ;
• la version de la glibc utilisée est 2.33-0ubuntu5_amd64

💫 Lancer le challenge

Ci-dessous les commandes permettant de lancer le challenge :

• construction du conteneur : docker build -t pwn-chall-unsorted-bin .;
• lancement du conteneur et du challenge :

docker run -it --rm -p 1234:1234 --cap-add=SYS_PTRACE --security-opt seccomp=unconfined pwn-chall-unsorted-bin

Le port accessible est le suivant :

• 1234 : port qu’il est possible d’utiliser pour déboguer à distance avec gdbserver.

🤓 Quelques conseils

• Ce challenge est un peu plus complexe que les précédents. Ainsi, si vous ne trouvez pas directement par quel bout le prendre ou comment atteindre l’objectif, c’est normal. En suivant une piste il est possible que vous fassiez face à des écueils qu’il va falloir contourner. Dans tous les cas, tout ce qui a été précédemment vu devrait vous permettre de réussir cet exercice. Plusieurs étapes seront nécessaires avant d’atteindre l’objectif.
• Prenez le temps de faire un bon coup de reverse afin de trouver les différentes structures utilisées.
• En fonction de la version de la glibc et des protections en place, réfléchissez aux potentiels problèmes auxquels vous devrez faire face et comment les contourner.
• N’oubliez pas de lister les potentielles pistes qui pourraient vous permettre d’atteindre l’objectif.
• N’hésitez pas à ouvrir gdb dans votre script d’exploitation avec la commande ci-dessous, afin de voir ce qui est en train de se passer dans le tas :

gdb.attach(io, '''  
b *0xadresse   
''')

💡 Indices

Encore une fois, s’il vous arrive d’être bloqué lors de certaines étapes, c’est normal. C’est le but du challenge : vous apprendre à investiguer les causes d’un dysfonctionnement lorsque l’on pense avoir pourtant fait ce qui est correct.

Si vous pensez être totalement bloqués et que vous n’arrivez pas à avancer même en ayant cherché la cause du dysfonctionnement, alors vous pouvez vous aider des indices. Sinon, essayez d’éviter d’utiliser les indices tant que vous n’avez pas assez cherché 😉.

💡 Indice n°1

TGUgZMOpdmVsb3BwZXVyIGR1IGNoYWxsZW5nZSBuJ2VzdCBwYXMgdHLDqHMgZG91w6ksIGlsIHNlIHBldXQgcXVlIGNlcnRhaW5lcyBmb25jdGlvbm5hbGl0w6lzIG5lIGZvbmN0aW9ubmVudCBwYXMgY29tbWUgYXR0ZW5kdS4gVGVudGV6IGQnaW52ZXN0aWd1ZXIgbGEgY2F1c2UgLi4u

💡 Indice n°2

SWwgbid5IGEgcGFzIGRlIHBvaW50ZXVyIGRlIGZvbmN0aW9uIHV0aWxpc8OpIGRpcmVjdGVtZW50IHBhciBsZSBwcm9ncmFtbWUuIElsIHZhIGRvbmMgZmFsbG9pciB0cm91dmVyIHVuIG1veWVuIGQnZXjDqWN1dGVyIGR1IGNvZGUgb3UgdW5lIGZvbmN0aW9uLgoKTGEgdmVyc2lvbiBkZSBsYSBsaWJjIGVzdCAyLjMzLCBxdWUgcGV1dC1vbiBlbiBkw6lkdWlyZSA/

💡 Indice n°3

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

💡 Indice n°4

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