Background: _rtld_global

_rtld_global

리눅스 프로그램을 실행하면 프로그램에 명시된 코드의 결과값이 우리에게 출력됩니다.
프로그램이 실행되어 프로세스로 등록 시 프로그램에 명시된 코드뿐만 아닌 프로그램에서
사용되는 변수 관리를 위한 여역을 할당하는 등의 다양한 코드가 로더에 의해 실행됩니다.

프로세스가 등록되거나 종료 시 쓰이는 변수와 영역을 알 수 있다면 다양한 방식의 공격 기법 개발!
그러므로 저희 보안쪽에선 이런 구조와 구동을 이해해야합니다 같이 알아봅시다.

// Name: rtld.c
// Compile: gcc -o rtld rtld.c
int main() {
  return 0;
}

---

__GI_exit

앞서 예제 코드를 보시면 별다른 코드를 실행X 프로그램을 종료합니다.
종료시에 우리가 모르는 많은 코드들이 내부적으로 실행되는데, 한번 살펴봅시다.

일단 main 함수 내 리턴하는 명령어에 브포를 설정 si를 통해 다음 코드를 살펴보면..
디버깅 결과엔 main 함수 내에서 리턴 명령어를 실행 시 스택 최상단에 있는 __lib_start_main+122의
코드가 실행되고, 내부엔 exit함수를 호출하는 것을 볼 수 있습니다.

저의 환경에선 이렇게 나오는데 Dreamhack에선 다르네요 ㅠ

위에 오른쪽에 exit함수의 내부 모습에, 또 다른 __run_exit_handlers함수가 등장합니다.
해당 함수는 코드의 크기가 크므로, lib코드를 통해 분석해봅시다.

---

__run_exit_handlers

이제부턴 Dreamhack의 코드를 참고합시다..(실습이 안되겠네요 ㅠ)

__run_exit_handlers 함수

void
attribute_hidden
__run_exit_handlers (int status, struct exit_function_list **listp,
             bool run_list_atexit, bool run_dtors)
{
      const struct exit_function *const f = &cur->fns[--cur->idx];
      switch (f->flavor)
        {
          void (*atfct) (void);
          void (*onfct) (int status, void *arg);
          void (*cxafct) (void *arg, int status);
        case ef_free:
        case ef_us:
          break;
        case ef_on:
          onfct = f->func.on.fn;
#ifdef PTR_DEMANGLE
          PTR_DEMANGLE (onfct);
#endif
          onfct (status, f->func.on.arg);
          break;
        case ef_at:
          atfct = f->func.at;
#ifdef PTR_DEMANGLE
          PTR_DEMANGLE (atfct);
#endif
          atfct ();
          break;
        case ef_cxa:
          cxafct = f->func.cxa.fn;
#ifdef PTR_DEMANGLE
          PTR_DEMANGLE (cxafct);
#endif
          cxafct (f->func.cxa.arg, status);
          break;
        }
    }

__run_exit_handlers 함수의 코드로, exit_function 구조체의 멤버 변수에 따른 함수 포인터를 호출
해당 구조체의 모습은 위와 같으며, _dl_fini 함수를 호출합니다.

exit_function 구조체

struct exit_function
{
/* `flavour' should be of type of the `enum' above but since we need
   this element in an atomic operation we have to use `long int'.  */
long int flavor;
union
  {
void (*at) (void);
struct
  {
    void (*fn) (int status, void *arg);
    void *arg;
  } on;
struct
{
    void (*fn) (void *arg, int status);
    void *arg;
    void *dso_handle;
  } cxa;
  } func;
};

---

__dl_fini

__dl_fini 함수

struct exit_function
{
/* `flavour' should be of type of the `enum' above but since we need
   this element in an atomic operation we have to use `long int'.  */
long int flavor;
union
  {
void (*at) (void);
struct
  {
    void (*fn) (int status, void *arg);
    void *arg;
  } on;
struct
{
    void (*fn) (void *arg, int status);
    void *arg;
    void *dso_handle;
  } cxa;
  } func;
};

_dl_fini 함수 코드의 일부입니다. 코드를 _dl_load_lock을 인자로 __rtld_lock_lock_recursive
함수를 호출하는 것을 볼 수 있습니다. 매크로를 화인해보면, 해당 함수가..
dl_rtld_lock_recursive라는 함수 포인터임을 알 수 있습니다.

해당 함수 포인터는 _rtld_global 구조체의 맴버 변수입니다.
해당 구조체는 매우 방대하기 때문에 함수 포인터와 전달되는 인자인 dl_load_lock만을 살펴보겠습니다.

---

_rtld_global

gdb에서 _rtld_global 구조체를 출력한 모습입니다.
구조체 내 _dl_rtld_lock_recursive 함수 포인터에는 rtld_lock_default_lock_recursive 함수 주소를 저장함
구조체의 함수 포인터가 저장된 영역은 rw-로써 덮어쓰는 것도 가능합니다.

_rtld_global 구조체

---

_rtld_global 초기화

_rtld_global 함수 포인터 초기화 코드

static void
dl_main (const ElfW(Phdr) *phdr,
     ElfW(Word) phnum,
     ElfW(Addr) *user_entry,
     ElfW(auxv_t) *auxv)
{
  GL(dl_init_static_tls) = &_dl_nothread_init_static_tls;
#if defined SHARED && defined _LIBC_REENTRANT \
    && defined __rtld_lock_default_lock_recursive
  GL(dl_rtld_lock_recursive) = rtld_lock_default_lock_recursive;
  GL(dl_rtld_unlock_recursive) = rtld_lock_default_unlock_recursive;

프로세스를 로드할 때 호출되는 dl_main 코드의 일부로, _rtld_global 구조체의
dl_rtld_lock_recursive 함수 포인터가 초기화되는 것을 확인할 수 있습니다.

---

마치며

리턴 명령어는 실제로 로더에서 다양한 함수를 호출해 프로그램을 종료하는 것을 알 수 있습니다.
호출하는 함수 중 _rtld_global 구조체 내 함수 포인터는 프로세스가 실행되면서 초기화되며,

이는 읽고 쓸 수 있는 영역에 위치하기 때문에 임의 주소에 값을 쓸 수 있는 취약점이 있다면
이를 덮어서 실행 흐름을 조작할 수 있습니다.

---

참고 자료

Background: _rtld_global

 

참고 이미지