스택 카나리 (Stack canary)

오늘은 스택 카나리에 대해 공부를 할 것이다! 

 

스택카나리란?

- 스택 버퍼 오버플로우로부터 반환 주소를 보호하는 보호기법 

- 스택 카나리는 함수의 프롤로그에서 스택 버퍼와 반환 주소 사이에 임의의 값을 삽입하고, 함수의 에필로그에서 해당 값의 변조를 확인하는 보호 기법이다. 카나리 값의 변조가 확인되면 프로세스는 강제로 종료된다!@! 

 

fs? -> TLS(Thread Local Storage)에 카나리를 비롯하여 프로세스 실행에 필요한 여러 데이터가 저장된다고만 일단 알고 있자

Ex) 예를 들어 buf[8]을 read하는 함수에 대해 스택버퍼오버플로우 공격을 진행할 경우 

rbp-8 에 저장된 카나리와 fs:0x28 에 저장된 카나리를 xor해서 연산 결과가 0이면 je 성공으로 정상 반환!

결과가 다른 경우 __stack_chk_fail 호출되면서 프로그램 강제 종료!!  

 

카나리 생성 과정 

카나리 값은 프로세스가 시작될 때, TLS에 전역 변수로 저장되고, 각 함수마다 프롤로그와 에필로그에서 이 값을 참조

 

fs 는 TLS를 가리키므로 fs의 값을 알면 TLS의 주소를 알 수 있다.

fs는 p $fs 와 같은 gdb 명령어로 값을 알 수 없다. 즉, fs의 값을 설정할 떄 호출되는 arch_prctl(int code, unsigned long addr) 시스템 콜에 중단점을 설정하여 fs가 어떤 값으로 설정되는지 조사해야 한다. 

 

catch syscall arch_prctl
run
info r #rsi 주소값이 tls 저장되는 주소(즉 fs) 나의 경우 0x7fffffffdef0

watch *(0x7fffffffdef0+0x28) # 카나리 값이 들어갈 주소에 값 변경 확인을 위해 변경된 경우 프로세스 중단시키는 명령어 
c(continue)
x/gx 0x7fffffffdef0+0x28 # 카나리에 들어간 값

# security_init 함수에서 TLS에 랜덤 값으로 카나리를 설정하면, 매 함수에서 이를 참조하여 사용

32bit는 gs:0x14, 64bit는 QWORD PTR fs:0x28을 통해 canary를 얻어온다. 

 

그래서 카나리 우회 방법은?!!

1. 무차별 대입 (브르투포스)

- x64 아키텍처에서는 8바이트의 카나리, x86 아키텍처에서는 4바이트의 카나리 생성 

   각각의 카나리에는 NULL바이트가 포함되어 있어, 실제로는 7바이트와 3바이트의 랜덤한 값이 포함된다. 

   그러니 7바이트와 3바이트짜리를 전부 브르투포스로 연산해서 카나리를 알아내는 것은 불가능..

 

2. TLS 접근 

카나리는 TLS에 전역변수로 저장되며, 매 함수마다 이를 참조해서 사용한다.

TLS의 주소는 매 실행마다 바뀌지만 만약 실행중에 TLS의 주소를 알 수 있고, 임의의 주소에 대한 읽기 또는 쓰기가 가능하다면 TLS에 설정된 카나리 값을 읽거나, 이를 임의의 값으로 조작할 수 있다. 즉 카나리 값을 알아내거나 카나리 값을 조작해서 검사를 우회하자.

 

3. 스택 카나리 릭

함수의 프롤로그에서 스택에 카나리 값을 저장하므로, 이를 읽어낼 수 있으면 카나리를 우회할 수 있다.

가장 현실적인 카나리 우회기법

 

카나리 스택 구조 (x64)

Ex) 

memo[8], name[8] 읽어와야 하는 경우 (read)

buf(16) | canary(8) | sfp(8) | ret(8)

 

[출처]

dreamhack  

https://nekoplu5.tistory.com/206 [NekoPlus_]