Exploiting System Mechanic Driver - VoidSec

https://voidsec.com/exploiting-system-mechanic-driver/?s=09

@reverseengine

Haunted-Zeroday/PE-XRay-EDR

https://github.com/haunted-zeroday/PE-XRay-EDR

@reverseengine

A Curated List of Resources to Analyse and Study Malware Techniques

https://github.com/fr0gger/Awesome_Malware_Techniques

@reverseengine

Windows Kernel Internals: Cache Manager

https://www.i.u-tokyo.ac.jp/edu/training/ss/lecture/new-documents/Lectures/15-CacheManager/CacheManager.pdf

@reverseengine

🎯 Week 77 — Zero-Day Review — Explore CMS XSS → ATO

🔹 Week: 77
🔹 CVE: Zero-Day (pending ID assignment)
🔹 Type: Reflected XSS → Account Takeover (ATO)
🔹 Impact: Session theft, privilege escalation, full admin compromise
🔹 Target: Explore CMS v1.1

#week_77 #Zero_Day

محافظ پشته

Stack Canary
یک مکانیزم محافظتیه که برای کاهش اکثر حملات بازنویسی پشته stack buffer overflow به‌ کار میره

مفهوم:
کامپایلر در زمان کامپایل یا هنگام ورود به تابع مقدار محافظی canary کنار داده‌ های محلی و آدرس برگشت قرار میده قبل از خروج از تابع مقدار ذخیره‌ شده با مقدار اصلی مقایسه میشه اگر تغییر داده شده باشه

تابع مخصوصی مثل __stack_chk_fail() فراخونی میشه و برنامه به طور امن تموم میشه به عبارت دیگه کانری حکم زنگ هشدار رو داره که هر گونه دستکاری پشته رو آشکار میکنه



مهاجم با بهره‌ برداری از بافرهای محلی میتونه داده‌ هایی رو فراتر از اندازه مشخص شده بنویسیم و در نتیجه آدرس بازگشت رو تغییر بده تا جریان اجرای برنامه رو به کنترل خودش دربیاره کانری این مسیر ساده سو‌ استفاده رو خیلی سخت میکنه چون برای تغییر آدرس برگشت لازمه کانری با مقدار درست بازنویسی بشه کاری که بدون دونستن مقدار اولیه سخت یا غیرممکنه

انواع Canary

Terminator canary:
شامل بایت‌های خاصی مثلا \x00, \n هست تا عملیات‌ های مبتنی بر رشته نتونن اون رو کامل بنویسن

Random canary: مقدار تصادفی تولید شده در زمان شروع برنامه رایج و موثره تا وقتی که مقدار لو نره

Random XOR-based canary:
مقدار تصادفی که با اطلاعات جلسه یا آدرس‌ها ترکیب شده تا حدس زدنش سخت‌ تر بشه


کامپایلرهای مدرن معمولا از canary تصادفی استفاده میکنن

چجوری کامپایلر اون رو پیاده‌سازی میکنه

با فعال‌سازی گزینه‌های محافظتی کامپایلر مانند -fstack-protector یا -fstack-protector-strong روند کلی به‌صورت زیره:

در prologue تابع مقدار canary که از مکانیزم تصادفی برنامه یا متغیری در bss. گرفته میشه روی پشته نوشته میشه


در epilogue و قبل از ret مقدار ذخیره‌ شده خونده و با مقدار مرجع مقایسه میشه


در صورت اختلاف __stack_chk_fail() فراخوانی و معمولا برنامه abort میشه یا عملیات ایمن‌ سازی دیگه ای اجرا میشه



فرق فلگ‌ها:

fstack-protector :
کانری رو برای توابعی که از آرایه‌ها یا buffer های محلی استفاده میکنه قرار میده

fstack-protector-strong :
پوشش خیلی بزرگ تر توابع بیشتری رو شامل میشه

fstack-protector-all :
از همه توابع محفاظت میکنه هزینه عملکردی بالاتر


محدودیت‌ها:

کانری جلوی همه تکنیک‌ ها رو نمیگیره اگر مهاجم بتونه مقدار canary رو به‌ دست بیاره info leak یا اون رو حدس بزنه محافظت از بین میره

حملاتی مانند ROP حملات مبتنی بر هیپ یا آسیب‌پذیری‌ های منطقی را کانری متوقف نمیکنه

کانری بخشی از یک ساز و کار دفاعی لایه‌ایه و باید همراه با ASLR، DEP/NX و سایر مکانیزم‌ ها استفاده بشه


Stack Guard

Stack Canary
A protection mechanism used to mitigate most stack buffer overflow attacks

Concept:
The compiler places a guarded canary value next to the local data and return address at compile time or when entering a function. Before exiting the function, the stored value is compared with the original value if it has been changed

A special function such as __stack_chk_fail() is called and the program ends safely. In other words, the canary acts as an alarm that reveals any manipulation of the stack

By exploiting local buffers, an attacker can write data beyond the specified size and thus change the return address to control the flow of program execution. The canary makes this simple path of abuse very difficult because to change the return address, the canary must be overwritten with the correct value, which is difficult or impossible without knowing the initial value

Types of Canary

Terminator canary:
Contains special bytes such as \x00, \n to String-based operations cannot write it completely

Random canary: A random value generated at program startup, effective until the value is leaked

Random XOR-based canary:
A random value that is combined with session information or addresses to make it harder to guess

Modern compilers often use random canaries

How the compiler implements it

By enabling compiler protection options such as -fstack-protector or -fstack-protector-strong, the general process is as follows:

In the prologue function, the canary value is derived from the program's randomization mechanism or a variable in the bss. It is taken and written to the stack

In the epilogue and before ret, the stored value is read and compared with the reference value

In case of a difference, __stack_chk_fail() is called and usually the program is aborted or some other security operation is performed

Difference flags:

fstack-protector :
Enables canary for functions that use arrays or local buffers

fstack-protector-strong :
Much larger coverage includes more functions

fstack-protector-all :
Protects all functions Higher performance cost

Limitations:

Canary does not prevent all techniques. If an attacker can obtain the canary value, info leak or guess it, the protection is lost

Canary does not stop attacks such as ROP attacks, heap-based attacks or logical vulnerabilities

Canary is part of a layered defense mechanism and should be used in conjunction with ASLR, DEP/NX and other mechanisms

@reverseengine

🔹 Red Zone

در سیستم‌ های x86-64 بر اساس ABI لینوکس پایین RSP اشاره‌گر استک یک محدوده‌ی 160 بایتی وجود داره که به اون Red Zone میگن

🔸 این فضا مخصوص برای چیه؟

کامپایلر اجازه داره بدون تغییر RSP از این 160 بایت برای ذخیره موقت متغیر ها استفاده کنه

🔸 چرا مهمه؟

اگر بخاید اکسپلویت بنویسید:

ممکنه داده‌ای پایین RSP قرار گرفته باشه اما هنوز با SUB RSP رزرو نشده باشه

اشتباه در فهمیدن Red Zone میتونه POC رو کرش کنه یا مانع نوشتن ROP Chain درست بشه


🔹 Red Zone

On x86-64 systems based on the Linux ABI, there is a 160-byte area below the RSP stack pointer called the Red Zone

🔸 What is this special space for?

The compiler is allowed to use these 160 bytes to temporarily store variables without changing the RSP

🔸 Why is it important?

If you want to write an exploit:

There may be data below the RSP that has not yet been reserved by the SUB RSP

A misunderstanding of the Red Zone can crash the POC or prevent the correct ROP Chain from being written

@reverseengine

Structs & Data Layout Assembly

مثال در C:

struct Point {
int x;
int y;
};

int getY(struct Point *p) {
return p->y;
}

معادل اسمبلی:

getY:
mov eax, DWORD PTR [rdi + 4] ; offset of y = 4 بایت
ret

دستورات:

rdi = آدرس ساختار (p)

x در offset 0 بایته ([rdi + 0])

y در offset 4 بایته ([rdi + 4])

پس اگر در اسمبلی ببینید [reg + 4] و ورودی rdi هست احتمالا در حال دسترسی به فیلد دوم یک struct هست


Structs & Data Layout Assembly

Example in C:

struct Point {
int x;
int y;
};

int getY(struct Point *p) {
return p->y;
}

Assembly equivalent:

getY:
mov eax, DWORD PTR [rdi + 4] ; offset of y = 4 bytes
ret

Commands:

rdi = address of structure (p)

x is at offset 0 bytes ([rdi + 0])

y is at offset 4 bytes ([rdi + 4])

So if you see [reg + 4] in assembly and the input is rdi, you are probably accessing the second field of a struct

@reverseengine

Collection of ATM Attacks

https://github.com/PT-CyberAnalytics/collection-of-ATM-attacks

@reverseengine

Reverse Engineering

https://github.com/wtsxDev/reverse-engineering

@reverseengine

ساختار دقیق Red Zone

از RSP رو به پایین: 160 بایت آزاد

تابع اجازه داره از اون استفاده کنه

تا زمانی که سیگنال / interrupt نیاد این فضا دست‌ نخورده میمونه

@reverseengine

Detailed structure of Red Zone

From RSP down: 160 bytes free

Function is allowed to use it

This space remains untouched until signal/interrupt arrives

@reverseengine

IDA Pro Plugins For Malware Reverse Engineering

https://www.youtube.com/watch?v=pfBA6y4VLwM

@reverseengine

zer0ptsCTF 2023 Reverse Engineering Writeups

https://fazect.github.io/zer0ptsctf2023-rev

@reverseengine

amateursCTF 2023 Reverse Engineering Writeups

https://fazect.github.io/amateursctf2023-rev

@reverseengine

لطفا تا جایی که میتونید پست ها رو فوروارد کنید تا کانال دیده بشه اینجوری به منم کمک بزرگی میکنید و محتواها رفته رفته بهتر و خفن تر میشه ممنون 🩶

Please forward as many posts as you can so that the channel can be seen. This way, you will be a great help to me and the content will gradually become better and more interesting. Thank you 🖤

IOS 26 Reversing Swift Like a Pro

https://hexai.re/blog/reversing-swift-like-a-pro

@reverseengine

Exploit Development: Building Your Own Fuzzer with Bash

https://hackers-arise.com/exploit-development-building-your-own-fuzzer-with-bash

@reverseengine