Background: Master Canary

🌇│System_Study/📕│Dreamhack_Hacking

Background: Master Canary

Jastes 2022. 11. 10. 12:00

Stack Smashing Protector(SSP)는 BOF로부터 ret 보호 기법으로써,
스택 버퍼가 존재하는 함수 내부에서 임의로 생성된 값을 버퍼 마지막에 삽입합니다.

SSP 보호 기법을 배울 때 스택 카나리의 값이 위치한 Thread Local Storage(TLS)에 대하 자세히 봅시다.

Thread Local Storage

스레드의 저장 공간

ELF 바이너리를 살펴보면, 각 목적을 가진 섹션에서 데이터를 관리합니다.
코드를 실행(.text), 초기화 X 전역 변수(.data) 등이 있겠습니다.

이와 달리 TLS 영역은 스레드의 전역 변수를 저장하기 위한 공간으로, 로더(Loader)에 의해 할당됨

로더에서 TLS 여역을 할당하고 초기화하는 함수인 init_tls 함수입니다.
코드를 살펴보면, _dl_allocate_tls_storage 함수에서 TLS 영역을 할당합니다.
이를 tcbp에 저장한 뒤 TLS_INIT_TP 메크로의 인자로 전달합니다.

SET_FS

dl_allocate_tls_storage에서 할당한 TLS 영역을 FS로 초기화 하는 TLS_INIT_TP 메크로이며,
어셈으로 구현하면, arch_prctl 시스템 콜의 첫 인자로 ARCH_SET_FS이며,
두번째 인자로 할당한 TLS 주소가 전달됨을 확인할 수 있습니다.

arch_prctl 시스템 콜의 ARCH_SET_FS는 프로세스의 FS 세그먼트 레지스터를 초기화하는 작업을 수행
따라서 FS 세그먼트 레지스터는 TLS 영역을 가르키게 됩니다.

Master Canary

스택 버퍼를 사용하는 모든 함수에서 같은 카나리 값을 사용합니다.
이런 특징 때문에 임의 함수에서 메모리 릭을 알아낸다면 다른 함수에 응용할 수 있습니다.

SSP 동작 원리를 되짚으면, 버퍼를 사용하는 함수의 프롤로그에서
FS:0x28에 위치한 값을 가져와 RBP 바로 앞에 삽입합니다

FS 세그먼트 레지스터는 앞서 arch_prctl 시스템 콜을 통해 _dl_allocate_tls_storage에서
할당한 주소로, 모든 함수가 해당 주소에서 값을 가져오기에 같은 카나리 값을 사용합니다.

이렇게 TLS 주소에 0x28 바이트만큼 떨어진 주소에 위치한 랜덤 값을 마스터 카나리(master Canary)!

이전에 할당한 TLS 영역에 랜덤한 카나리 값을 삽입하는 security_init 함수입니다.
_dl_setup_stack_chk_guard 함수는 커널에서 생성한 랜덤 값을 지닌
포인터 _dl_random을 인자로 카나리 생성함

카나리 값 생성

security_init 함수에서 처음 호출하는 _dl_setup_stack_chk_guard 함수입니다.
함수 코드를 보시면, 공용체 변수인 ret에 커널에서 생성한 랜덤한 값을
가진 dl_random의 데이터를 복사합니다.

이후 바이너리의 바이트 오더링(Byte Ordering)에 따라 AND 연산을 수행하는데,
리틀 엔디언의 경우 복사한 값의 첫 바이트를 NULL로 변환합니다.

바이트 오더링(Byte Ordering)

데이터가 저장되는 순서(little endian, big endian)
더 정확한 내용은 endian의 형식을 이해하므로 여기선 링크로 확인해주세요

코딩교육 티씨피스쿨

4차산업혁명, 코딩교육, 소프트웨어교육, 코딩기초, SW코딩, 기초코딩부터 자바 파이썬 등

tcpschool.com

카나리 값 삽입

_dl_setup_stack_chk_guard에서 카나리 값을 생성했다면, 해당 값을
THREAD_SET_STACK_GUARD 매크로의 인자로 전달해 호출합니다.

해당 매크로 선언부로, THREAD_SETMEM 매크로를 통해 두 번째 인자인
header.stack_guard 위치에 value를 삽입합니다.

할당한 TLS영역은 tcphead_t 구조체로 구성되어 있는데, stack_guard는
스택 카나리의 값을 가지는 멤버 변수입니다.

따라서 THREAD_SET_STACK_GUARD는 TLS+0x28 위치에
생성된 카나리 값을 삽입하는 매크로입니다.

디버깅

1
2
3
4
5
6
7
8
9
10 // Name: master_canary.c
// Compile: gcc -o master_canary master_canary.c -no-pie
#include <stdio.h>
#include <unistd.h>
 
int main(){
        char buf[256];
        read(0, buf, 256);
}
 
Colored by Color Scripter cs

위 코드를 컴파일하고 디버깅을 통해 마스터 카나리를 찾아봅시다.

gdb에선 fs 세그먼트 레지스터의 주소를 위와 같이 확인 할 수 있습니다.
이를 통해 TLS 주소에 있는 마스터 카나리를 확인할 수 있습니다

마치며

스택 카나리는 로더 내부에서 커널이 생성한 랜덤한 값을 가공하여 만들어진 값입니다.

이렇게 만들어진 카나리 값을 마스터 카나리라고 하며,
모든 함수에서 갖고올 수 있도록 TLS+0x28위치에 복사합니다.

Thread Local Storage (TLS)
: 스레드의 저장 공간을 의미
- 모든 스레드가 참조할 수 있는 전역 변수를 저장하는데에 쓰임
Master Canary
: TLS 주소에 0x28 바이트 만큼 떨어진 주소에 위치한 랜덤한 값,
- 모든 함수에서 해당 값을 스택 카나리로 사용함

참고 자료

Background: Master Canary

이번 코스에서는 Master Canary에 대해 설명합니다.

dreamhack.io

참고 이미지

저작자표시 비영리 변경금지