Memory Corruption: Stack Buffer Overflow

🌇│System_Study/📕│Dreamhack_Hacking

Memory Corruption: Stack Buffer Overflow

Jastes 2022. 4. 21. 11:15

스택 버퍼 오버플로우(Stack Buffer Overflow)

세계 최초의 웜이라고 불리는 모리스 윔도 이 공격을 통해 전파됨

보안 공부를 모르는 개발자도 알만큼 유명하고 역사가 오래된 취약점입니다.
이렇게 오랜 역사를 자랑하는 이 취약점은 아직도 많은 SW에서 발견됩니다.
CVE details에 따르면 스택 버퍼 오버플로우를 포함한 오버플로우 취약점은 많이 높아요(4위)

그럼 스택 버퍼 오버플로우가 발생하는 원인이 무엇인지, 그리고 이 취약점이 어떤 문제로 이어질지 공부 ㄱ

BOF에 필요한 용어 간단 정리

버퍼는 데이터가 저장되는 공간
sfp는 스택 베이스 값을 의미
- sfp는 스택 주소값을 계산할 때 현재 스택값의 기준 필요한
프레임 포인터 값 지정(4 or 8byte) rbp(or ebp)는 한 개라 함수 시작때마다 바뀌는데
그 전의 ebp값을 스택에 저장 때문에 필요
ret는 return address 약어
- 함수 반환 시 원래 흐름대로 가기 위해 필요 여기를 덮어버리면 자신이 원하는데로 가능해짐
그러기에 매우 중요하죠

스택 버퍼 오버플로우

스택의 버퍼에서 발생하는 오버 플로우를 뜻함

버퍼(Buffer)

일상에선 '완충 장치'라는 뜻
CS(Computer Science)에선 데이터가 목적지로 이동하기 전에 보관되는 임시 저장소

수신측과 송신측 사이에 버퍼라는 임시 저장소를 두고, 이를 통해 간접적으로 데이터를 전달함
송신측은 버퍼로 데이터를 전송하고, 수신측은 버퍼에서 데이터를 꺼내 사용함
이렇게하면 버퍼가 가득 찰 때까진 유실되는 데이터 없이 통신이 가능하기 때문입니다.

빠른 속도로 이동하던 데이터가 안정적으로 목적지에 도달할 수 있도록 완충 작용을 하는 것이 버퍼의 역할!
스택에 있는 지역 변수는 '스택 버퍼' / 힙에 할당된 메모리 영역은 '힙 버퍼'라고 불림

🦜버퍼링

이는 버퍼에서 유래된 단어로, 송신 측의 전송 속도가 느려서 수신 측의 버퍼가
채워질 때까지 대기하는 것을 의미합니다

버퍼 오버플로우(Buffer Overflow)

문자 그대로 버퍼가 넘치는 것을 의미하며, 버퍼는 제각기 크기를 지님
데이터 타입의 크기를 지니며, 그 크기를 넘는 데이터 값이 올때 버퍼 오버플로우 발생

일반적으로 버퍼는 메모리상에 연속해 할당되어 있으므로, 어떤 버퍼에서 오버플로우 발생하면,
뒤에 있는 버퍼들의 값이 조작될 위험이 있습니다.

버퍼 오버플로우는 보통의 경우 매우 심각한 보안 문제를 유발할 수 있습니다. 자세히 알아보죠

중요 데이터 변조

BOF(Buffer OverFlow)가 발생하는 버퍼 뒤에 주요 데이터가 있다면..
해당 데이터가 변조됨으로써 문제가 발생할 수 있습니다.

// Name: sbof_auth.c
// Compile: gcc -o sbof_auth sbof_auth.c -fno-stack-protector
 
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
 
int check_auth(char *password) {
    int auth = 0;
    char temp[16];
    
    strncpy(temp, password, strlen(password));
    
    if(!strcmp(temp, "SECRET_PASSWORD"))
        auth = 1;
    
    return auth;
}
 
int main(int argc, char *argv[]) {
    if (argc != 2) {
        printf("Usage: ./sbof_auth ADMIN_PASSWORD\n");
        exit(-1);
    }
    
    if (check_auth(argv[1]))
        printf("Hello Admin!\n");
    else
        printf("Access Denied!\n");
}

main 함수
- argv[1]을 check_auth 함수의 인자로 전달한 후, 반환 값을 받아옴
  - 반환 값이 0이 아니라면 "Hello Admin!"을, 0이면 "Access Denied!"라는 문자열 출력
check_auth 함수
- 16byte크기의 temp버퍼에 입력받은 패스워드 복사 후, 이를 "SECRET_PASSWORD" 문자열과 비교
  - 문자열이 같다면 auth를 1로 설정하고 반환함
- 🔑temp의 크기인 16byte가 아닌 인자로 전달 시 인자 그대로 복사
  - argv[1]에 16byte가 넘는 문자열이 전달 시 이들 모두 복사해 BOF 발생
- auth는 temp버퍼의 뒤에 존재하므로 temp버퍼에 BOF 발생 시 auth의 값이 임의값으로 변경됨
  - 실제 인증 여부와는 상관없이 main 함수의 if(check_auth(argv[1]))는 항상 참이 됨

밑에 이미지를 보며 다시 확인 합시다.

데이터 유출

C언어에서 정상적인 문자열은 null로 종결되며, 표준 문자열 출력 함수들은 널바이트를 문자열 끝으로 인식함
만약 어떤 버퍼에 오버플로우를 발생시켜 다른 버퍼와의 사이에 있는 널바이트를 모두 제거하면, 해당 버퍼를 출력시켜 다른 버퍼의 데이터를 읽는게 가능해집니다.

획득한 데이터는 각종 보호기법을 우회하는데 사용될 수 있으며, 해당 데이터 자체가 중요한 정보!!

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18 // Name: sbof_leak.c
// Compile: gcc -o sbof_leak sbof_leak.c -fno-stack-protector
 
#include <stdio.h>
#include <string.h>
#include <unistd.h>
 
int main(void) {
  char secret[16] = "secret message";
  char barrier[4] = {};
  char name[8] = {};
 
  memset(barrier, 0, 4);
 
  printf("Your name: ");
  read(0, name, 12);
  printf("Your name is %s.", name);
}
Colored by Color Scripter cs

8byte 크기의 name 버퍼에서 12바이트의 입력을 받고, 읽고자 하는 데이터인 secret버퍼와의 사이에 barrier라는 4byte의 널 배열이 존재하는데, 오버플로우 이용하여 널 바이트를 모두 다른 값으로 변경하면 secret을 읽을 수 있습니다.

실행 흐름 조작

Background: Calling Convention 의 내용을 되짚어 보면,
함수 호출 시 반환 주소를 스택에 쌓고 함수에서 반환 시 이를 꺼내어 원래 실행 흐름으로 돌아감
이를 다시 생각하면 '스택 BOF로 반환 주소(RET)를 조작하면 어떨까' 라고 생각하고 접근하면

실제로, 함수의 반환 주소를 조작하면 프로세스의 실행 흐름을 바꿀 수 있음!!

// Name: sbof_ret_overwrite.c
// Compile: gcc -o sbof_ret_overwrite sbof_ret_overwrite.c -fno-stack-protector
 
#include <stdio.h>
#include <stdlib.h>
 
int main(void) {
    char buf[8];
    printf("Overwrite return address with 0x4141414141414141: ");
 
    gets(buf);
    return 0;
}

그럼 main 함수의 반환 주소를 0x4141414141414141 로 변경해볼까요

마무리

BOF는 지정된 버퍼의 크기보다 많은 데이터가 입력되어 발생합니다
모든 메모리 영역에서 발생할 수 있으며, 이를 통해 데이터 변조/유출, 실행 흐름 조작 등이 가능!

스택 버퍼 오버플로우는 역사가 깊은 만큼 다양한 보호 기법이 나오고 우회하는 기법도 나왔죠
여기선 간단하게 보호 기법만 적고 차차 자세히 알아가봅시다. 나중에 자세히 정리해야할까요..?

방어 방식

해마다 진화 되는BOF를 억제하는 계획으로 크게 3가지로 나누면

발생한 BOF 탐지 및 악성코드의 명령어 포인터 리다이렉션을 방지
직접적으로 BOF 탐지 X, 악성코드가 스택에서 실행되는 것을 방지
실행 가능한 코드를 찾는 것을 신뢰하지 못하게 메모리 공간을 랜덤화

1. 스택 카나리(SFP와 RET 사이에 검증값 삽입)

버퍼 오버플로 보호 - 위키백과, 우리 모두의 백과사전

버퍼 오버플로 보호는 소프트웨어 개발 동안 스택에 할당된 변수들에 대한 버퍼 오버플로를 탐지하고 심각한 보안 취약점으로 사용되는 것을 막음으로써 실행 파일의 보안을 강화시키는 다양

ko.wikipedia.org

2. 실행 불가능 스택(권한 제어)
3. 랜덤화(ASLR; Address Space Layout Randomize 와 PIE;...)

스택 버퍼 오버플로 - 위키백과, 우리 모두의 백과사전

스택 버퍼 오버플로(stack buffer overflow)는 프로그램이 프로그램이 의도한 데이터 구조체의 메모리 주소(일반적으로 고정된 버퍼 길이를 갖는) 외부의 콜 스택에 쓸 때 발생하는 버그이다.[1][2] 스

ko.wikipedia.org

그러고 보면 인터넷에서 창과 방패 모두 상세하게 나와있더라고요 ㅎㅎ
위 내용은 나중에 상세하게 다시 정리할 순간이 오겠죠

참고 자료

Memory Corruption: Stack Buffer Overflow

스택 버퍼 오버플로우의 개념을 살펴보고, 이로 인해 발생할 수 있는 보안 위협을 인터렉티브 모듈을 이용하여 학습합니다.

dreamhack.io

CVE security vulnerability database. Security vulnerabilities, exploits, references and more

www.cvedetails.com provides an easy to use web interface to CVE vulnerability data. You can browse for vendors, products and versions and view cve entries, vulnerabilities, related to them. You can view statistics about vendors, products and versions of pr

www.cvedetails.com

Morris worm - Wikipedia

From Wikipedia, the free encyclopedia Jump to navigation Jump to search Late 1980s computer worm noted for being the first to gain wider media attention The Morris worm or Internet worm of November 2, 1988, was one of the oldest computer worms distributed

en.wikipedia.org

스택 버퍼 오버플로 - 위키백과, 우리 모두의 백과사전

ko.wikipedia.org

버퍼 오버플로 보호 - 위키백과, 우리 모두의 백과사전

ko.wikipedia.org

참고 이미지

Memory Corruption: Stack Buffer Overflow

스택 버퍼 오버플로우의 개념을 살펴보고, 이로 인해 발생할 수 있는 보안 위협을 인터렉티브 모듈을 이용하여 학습합니다.

dreamhack.io

Overflow free icons designed by kerismaker

Download now this vector icon in SVG, PSD, PNG, EPS format or as webfonts. Flaticon, the largest database of free icons.

www.flaticon.com

Vulnerability distribution of cve security vulnerabilities by types

www.cvedetails.com

스택 버퍼 오버플로 - 위키백과, 우리 모두의 백과사전

ko.wikipedia.org

저작자표시 비영리 변경금지