Partie 7 - 🏆 Challenge - exploitation du tcache (4/4)

🏆 Challenge : exploitation du tcache (4/4)

En s’intéressant à un seul type de corbeille, vous avez pu constater la quantité importante d’informations qu’il convient de connaître pour comprendre le fonctionnement du tcache en fonction des multiples versions de la libc 🤯.

Il est désormais temps de passer à la pratique afin de ne pas oublier ces connaissances fraîchement acquises.

• ⬇️ Téléchargement : pwn-chall-tcache.zip
• 🔎 SHA256 & Analyse Virus Total : 6f8fde29b28a759f85ebb1639df9127521881fc48aea57897bd8f5694e551762
• 🎯 Objectif : modifier le contenu de la chaîne de caractères goal.

Ce challenge est plutôt à considérer comme un exercice de synthèse. Honnêtement, il n’est pas très compliqué et si vous avez saisi les bases du fonctionnement du tcache, vous devriez le réussir sans souci.

💻 Contexte d’exécution

Afin de se placer dans le contexte d’exécution prévu pour cet exercice, il est nécessaire de :

• activer l’ASLR ;
• atteindre l’objectif en dehors d’un débogueur ;
• utiliser la version de la glibc 2.31-0ubuntu9.16_amd64.

Cette version de la glibc est facilement téléchargeable avec glibc-all-in-one. N’hésitez pas à jeter un œil au chapitre Comment compiler et déboguer un programme avec une version spécifique de la libc si vous avez oublié comment faire.

Il est fortement recommandé de résoudre le challenge dans le conteneur Docker afin d’éviter d’avoir à télécharger la bonne version de la libc et afin de pouvoir obtenir un environnement d’exploitation correct pour la réalisation de ce challenge.

💫 Lancer le challenge

Ci-dessous les commandes permettant de lancer le challenge :

• construction du conteneur : docker build -t pwn-chall-tcache .;
• lancement du conteneur et du challenge :

docker run -it --rm -p 1234:1234 --cap-add=SYS_PTRACE --security-opt seccomp=unconfined pwn-chall-tcache

Le port accessible est le suivant :

• 1234 : port qu’il est possible d’utiliser pour déboguer à distance avec gdbserver.

🤓 Quelques conseils

• Analysez les différentes fonctionnalités du programme une par une
• En fonction de la version de la glibc et des protections en place, prenez le temps de réfléchir aux potentiels problèmes auxquels vous pourriez faire face ainsi qu’aux moyens de les contourner
• L’objectif à atteindre est plus facile que de devenir root. Il s’agit simplement de mettre en œuvre ce que vous avez appris lors du précédent chapitre. Si vous n’arrivez pas à trouver comment exploiter le programme, n’hésitez pas à y refaire un tour 😉
• N’hésitez pas à ouvrir gdb dans votre script d’exploitation avec la commande ci-dessous, afin de voir ce qui est en train de se passer dans le tas :

gdb.attach(io, '''  
b *0xadresse   
''')

Astuce pwntools : Vous pouvez changer la version de gdb que pwntools utilise en créant un lien symbolique /usr/bin/pwntools-gdb.

Par exemple : sudo ln -s /usr/bin/gdb-gef++ /usr/bin/pwntools-gdb

💡 Indices

Vm9pY2kgcXVlbHF1ZXMgaW5kaWNlcyBxdWkgZGV2cmFpZW50IHZvdXMgcGVybWV0dHJlIGQnYXZhbmNlciBzaSB2b3VzIMOqdGVzIGJsb3F1w6lzIGV0IHF1ZSB2b3VzIG5lIHZveWV6IHBhcyBjb21tZW50IGFsbGVyIHBsdXMgbG9pbi4=

💡 Indice n°1

T8O5IGVzdCBsb2NhbGlzw6kgbGUgY29udGVudSBkZSBsYSB2YXJpYWJsZSBnbG9iYWxlIGBnb2FsYCA/IERhbnMgbGEgcGlsZSA/IERhbnMgbGUgdGFzID8gRGFucyBsYSBzZWN0aW9uIGRlIGRvbm7DqWVzID8gQXV0cmUgPw==

💡 Indice n°2

UHJlbmV6IGJpZW4gbGUgdGVtcHMgZGUgY29tcHJlbmRyZSBsZSBmb25jdGlvbm5lbWVudCBkZXMgZGlmZsOpcmVudGVzIGFjdGlvbnMgZHUgcHJvZ3JhbW1lLiBRdWVsbGVzIHNvbnQgbGVzIGRpZmbDqXJlbmNlcyBlbnRyZSBlbGxlcyA/IENvbW1lbnQgc29udCBnw6lyw6llcyBsZXMgZG9ubsOpZXMgPwoKWSBhLXQtaWwgdW5lIGRlcyBhY3Rpb25zIHF1aSBlc3QgcGx1cyB2dWxuw6lyYWJsZSBxdWUgbGVzIGF1dHJlcyA/

💡 Indice n°3

QXZlYyBsJyoqQVNMUioqLCBub3VzIG5lIHBvdXZvbnMgcGFzIGNvbm5hw650cmUgw6AgbCdhdmFuY2UgbGUgY29udGVudSBkZSBgZmRgLiBJbCBlc3QgcG9zc2libGUgZGUgbW9kaWZpZXIgY2VydGFpbnMgb2N0ZXRzIGRlIHBvaWRzIGZhaWJsZSBtYWlzLCBlbiByYWlzb24gZGUgbCcqKkFTTFIqKiwgdW4gcGV1IGRlIGZvcmNlIGJydXRlIHNlcmEgbsOpY2Vzc2FpcmUuCgpJbCBmYXVkcmFpdCB0cm91dmVyIHVuIG1veWVuIGQnb2J0ZW5pciB1biAqbGVhayogYWZpbiBkZSBwb3V2b2lyIG1vZGlmaWVyIGBmZGAgc2FucyBhdm9pciByZWNvdXJzIMOgIGxhIGZvcmNlIGJydXRlIC4uLg==

💡 Indice n°4

RW4gdXRpbGlzYW50IHVuZSBkZXMgdnVsbsOpcmFiaWxpdMOpcyBkdSBgdGNhY2hlYCBkdSBwcsOpY8OpZGVudCBjaGFwaXRyZSwgZXN0LWlsIHBvc3NpYmxlIGRlIGNvbnRyw7RsZXIgbGEgcHJvY2hhaW5lIGFsbG9jYXRpb24gPw==