'🌇│System_Study/📕│Dreamhack_Hacking' 카테고리의 글 목록

basic_rop_x64

2022.12.06

basic_rop_x64 WriteUp 문제 풀이 NX와 Partial RELRO가 걸려있네요 다행인 점은 Canary가 없기에 그 부분은 생략해도 된다.. 닉값할거니까 ROP로 풀어야겠네요 코드를 보시면 이전 내용이랑 유사한 방법이네요 read()함수에 bof가 발생하니까요 그럼 실제로 어떤 식으로 메모리를 할당되었는지도 확인해봅시다. buf에선 0x40이지만 read에선 0x400이나 받기에 bof가 발생합니다. 다만 보호기법을 고려해서 NX이므로 외부 쉘 코드 실행 X, 그렇다고 여기서 system같은 함수도 코드에 존재 X이므로 Return Overwrite Programming을 해야겠네요(다행이 Lazy Binding이니까...) 그럼 해당 함수를 받기위해 해당 lib인 libc.so.6에 대..

🌇│System_Study/📕│Dreamhack_Hacking

Background: PIE

2022.11.28

서론 ASLR이 적용되면 바이너리가 실행될 때마다 스택, 힙, 공유 라이브러리 등이 무작위 주소에 매핑되므로, 공격자가 이 영역들을 공격에 활용하기 어렵습니다. 그러나 지난 코스의 실습 addr을 떠올려 보면, 다른 영역의 주소는 계속 변화하는데 main함수의 주소는 매번 같았습니다. Mitigation: NX & ASLR 시스템 보안은 지난 수년간 발전해온 공격 기법과 보호 기법의 발전 양상을 보시면.. 어떤 보호 기법이 등장하면 우회 기술도 등장합니다.. 이렇게 어떤 공격이 올지 모르기에 시스템 개발자들 dystopia050119.tistory.com 이런 특징을 이용해 공격자는 고정된 주소의 코드 가젯을 활용한 ROP를 수행할 수 있습니다. Position-Independent Executable(..

🌇│System_Study/📕│Dreamhack_Hacking

Overwrite _rtld_global

2022.11.13

Overwrite _rtld_global 프로그램에서 리턴 명령어를 수행하면 lib와 로더에서 다양한 함수 호출! HTML 삽입 미리보기할 수 없는 소스 모든 보호기법이 적용된 모습 아무래도 로더를 우회하여 실행해봐야겠네요 exploit 설계 lib 및 loder base addr 계산 예제에서 제공한 stdout 주소를 통해 lib_base를 구하고 "/lib64/ld-linux-x86-64.so.2"가 맵핑된 로더의 베이스 주소를 알아봅시다. 라이브러리와 로더가 맵핑된 주소의 간격은 일정하기 때문에 디버깅을 통해 간격을 알아내고 오프셋을 계산해 알아봅시다. _rtld_global 구조체 계산 로더의 베이스 주소를 알아냈다면, rtld_global 구조체의 심볼 주소를 더해 해당 구조체의 주소를 알아내..

🌇│System_Study/📕│Dreamhack_Hacking

rtld

2022.11.13

참고로 rtld는 return to LD library 라고 추측하시는 분이 있으시더라고요 저도 어느정도 그러지 않을까?(여기 로되리안처럼 ㅎ) rtld HTML 삽입 미리보기할 수 없는 소스 stdout이 출력되니까 lib_base를 구하며, 임의 주소 쓰기 취약점이 존재합니다. get_shell()함수가 있으므로.. stdout이 출력되니까 lib_base를 구하며, 임의 주소 쓰기 취약점(전에 했던)이 존재 get_shell() 함수가 있으므로 NX도 우회되고 나머지 취약점은 인자로 하니까 ㅇㅋ 즉, 임의 주소 쓰기 취약점을 이용 dl_rtld_lock_recursive를 get_shell()로 덮어 쉘을 따면 셸을 획득할 수 있겠습니다. 아니면 Partial RELRO니까 GOT Overwrite..

🌇│System_Study/📕│Dreamhack_Hacking

Background: _rtld_global

2022.11.13

_rtld_global 리눅스 프로그램을 실행하면 프로그램에 명시된 코드의 결과값이 우리에게 출력됩니다. 프로그램이 실행되어 프로세스로 등록 시 프로그램에 명시된 코드뿐만 아닌 프로그램에서 사용되는 변수 관리를 위한 여역을 할당하는 등의 다양한 코드가 로더에 의해 실행됩니다. 프로세스가 등록되거나 종료 시 쓰이는 변수와 영역을 알 수 있다면 다양한 방식의 공격 기법 개발! 그러므로 저희 보안쪽에선 이런 구조와 구동을 이해해야합니다 같이 알아봅시다. HTML 삽입 미리보기할 수 없는 소스 __GI_exit 앞서 예제 코드를 보시면 별다른 코드를 실행X 프로그램을 종료합니다. 종료시에 우리가 모르는 많은 코드들이 내부적으로 실행되는데, 한번 살펴봅시다. 일단 main 함수 내 리턴하는 명령어에 브포를 설정 ..

🌇│System_Study/📕│Dreamhack_Hacking

send_sig

2022.11.13

send_sig 음.. 내 뭐 setvbuf 부분과 5-7까지는 1번째 인자 1이니까 write인듯 싶네요 그리고 11번째 코드가 signal을 write해서 read을 1024byte만큼 하는 걸로 보입니다. 또한 v3가 이제 buf인 듯 싶기에 v3[8]이구나.. 이를 이용해 NX가 걸려 있으므로 SROP를 합시다(Partial RELRO 우회) 여기서 전 문제처럼 gadget이 없기에.. 일단 execve의 함수나 binsh같은 문자열이 있는지 확인을 해봅시다. PIE가 안 걸려있으므로 사용이 쉽게 가능합니다. 해서 bss 영역으로 read 해서 할 필요가 없어요 편해졌네요 나이스 익스 설계 sigreturn 호출 SROP를 하기 위해 sigreturn 시스콜을 호출해야죠 그리고 앞에서 대충 sig..

🌇│System_Study/📕│Dreamhack_Hacking

SigReturn-Oriented Programming

2022.11.13

SigReturn-Oriented Programming 이건.. gadget??이 있고 signal의 활용한 sigreturn이 존재하네요 Partial RELRO로 ROP 느낌 나죠 gadget(NX 우회)함수를 사용하여 read는 1024byte만큼 받기에 bof 시스콜을 호출 레지스터 조작 셸 획득으로 갈 수 있습니다. 익스 설계 sigreturn 호출 SROP를 하기 위해 sigreturn 시스콜을 호출해야죠 예젠 임의 시스콜을 호출할 수 있도록 gadget 함수를 제공합니다. 해당 함수 내부 코드 가젯 주소를 알아내고 시스콜 번호(sig_id?)와 syscall을 통해 sigreturn을 호출합니다. execve 호출 sigreturn은 스택 영역의 값을 레지스터로 복사합니다. 따라서 1024 ..

🌇│System_Study/📕│Dreamhack_Hacking

__environ

2022.11.13

Exploit Tech: __environ 프로그램에서 리턴 명령어를 수행하면 lib와 인자에서 다양한 함수 호출! HTML 삽입 미리보기할 수 없는 소스 프로세스는 환경 변수 정보를 저장하고, 필요할 때마다 불러와 사용합니다. 이번엔 lib 함수에서 참조하는 환경 변수 포인터와 관련된 공격을 실습합시다. /etc/passwd 파일의 내용을 읽고 스택 버퍼에 저장하는군요 메인 함수에서는 stdout 라이브러리 주소를 출력하고, 반복해 임의 주소에 있는 값을 읽을 수 있는 취약점이 존재합니다. 환경 변수 모든 보호기법이 존재하기에 모든 OS가 사용하는 환경변수(environment ariable)는 매번 변할 수 있는 동적인 값들의 모임으로, 시스템의 정보를 갖고 있는 변수입니다. 이는 사용자가 직접 추가..

🌇│System_Study/📕│Dreamhack_Hacking

Background: SigReturn-Oriented Programming

2022.11.13

들어가며.. 바이너리 보호 기법 개념 자체가 없을 때에는 셸코드를 통해 다양한 시스템 콜을 호출해 임의 명령어를 실행하였습니다. 이 기법을 이용한 위헙이 계속되자 셸코드의 실행 방지를 위한 NX 등장 그러나 얼마가지 않아 셸코들르 실행하지 않고 lib 함수를 호출해 보호기법을 우회하는 RTL! 프로그램의 콛를 재활용해 임의 함수를 연속해 호출할 수 있는 ROP도 등장하였습니다. 서로 다른 프로그램에서 같은 종류의 취약점이 있다해도 공격 대상의 보호 기법 또는 실행 코드에 따라 공격하는 방법이 다르기에 이를 고려하여 계속 보호기법이 추가됩니다 이번엔 2014년 발표한 SROP를 알아보기 위해 시그널(Signal)을 알아봅시다. Signal [리눅스 / 유닉스 ] 시그널이란? 시그널(SIGNAL) 종류, 상..

🌇│System_Study/📕│Dreamhack_Hacking

Master Canary

2022.11.13

Master Canary 마스터 카나리를 스택 버퍼와 확인하는 법! HTML 삽입 미리보기할 수 없는 소스 위 코드가 핵심인듯 싶으며, 보시면.. 1번 옵션으로 쓰레드를 생성/2번은 size를 입력 해당 입력 size만큼 입력을 받네요 즉, bof가 발생되겠죠? 마지막은 read 함수로 1024바이트만큼 입력 받기 Master canary를 이용할 것이기에(Partial RELRO, Canary)를 우회가 가능합니다. 또한 위에 get_shell()의 함수가 존재하므로 NX도 우회가 가능합니다. 마스터 카나리는 로더에서 할당한 TLS 영역에 존재하고, 해당 페이지는 RW-로 존재합니다. 해당 영역을 이해하기 위해서는 아래 링크에 대하여 자세히 알 필요가 있습니다. 대충 시나리오를 설계하자면.. 1번으로 ..

티스토리툴바