PIE, RELRO

📌 PIC란?

PIC(Position-Independent Code) : 재배치가 가능한 코드
= 메모리의 어느 주소에 적재되어도 코드의 의미가 훼손되지 않는 코드

---

📌 PIC 적용과 미적용 차이

PIC를 적용하면 문자열 주소를 RIP + 0xa2와 같이 상대 주소로 참조한다. 그러나 PIC를 적용하지 않으면 0x4005a1과 같이 절대 주소로 문자열을 참조한다.

 push   rbp
 mov    rbp,rsp
-mov    rax,QWORD PTR [rip+0x200b3e]        # 0x601030 <data>
+mov    rax,QWORD PTR [rip+0x2009ab]        # 0x201010 <data>
 mov    rsi,rax
-mov    edi,0x4005a1
+lea    rdi,[rip+0xa2]        # 0x711
 mov    eax,0x0
-call   0x4003f0 <printf@plt>
+call   0x530 <printf@plt>
 mov    eax,0x0
 pop    rbp
 ret

- 부분이 Pic 없는 코드, + 부분이 Pic 있는 코드이다.

---

📌 PIE란?

PIE(Position-Independent Executable) : 재배치가 가능한 실행 파일
= 무작위 주소에 매핑돼도 실행 가능한 실행 파일

리눅스의 기본 실행 파일인 /bin/ls의 파일 헤더를 보면 아래와 같다.

~$ readelf -h /bin/ls
ELF Header:
  Magic:   7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 
  Class:                             ELF64
  Data:                              2's complement, little endian
  Version:                           1 (current)
  OS/ABI:                            UNIX - System V
  ABI Version:                       0
  Type:                              DYN (Position-Independent Executable file)
  Machine:                           Advanced Micro Devices X86-64
  Version:                           0x1
  Entry point address:               0x6aa0
  Start of program headers:          64 (bytes into file)
  Start of section headers:          136232 (bytes into file)
  Flags:                             0x0
  Size of this header:               64 (bytes)
  Size of program headers:           56 (bytes)
  Number of program headers:         13
  Size of section headers:           64 (bytes)
  Number of section headers:         31
  Section header string table index: 30

Type을 보면 DYN(Position-Independent Excutable File)이라고 적혀 있다. 이를 통해 PIE가 적용 되어 있음을 알 수 있다.

아니면 checksec 명령어를 이용하면 PIE가 적용되었는지 안되었는지 알 수 있다.

📢 PIE vs ASLR

PIE : 코드 영역에 무작위 주소에 매핑되는 기술
ASLR : 스택, 힙, 공유 라이브러리 등이 무작위 주소에 매핑되는 기술

---

📌 PIE 우회 기술

ASLR처럼 코드 영역의 가젯을 사용하거나, 데이터 영역에 접근하려면 바이너리가 적재된 주소를 알아야 한다. 이 주소를 PIE 베이스, 즉 코드 베이스라고 부르는데, 이 주소를 알아야 코드 영역의 임의 주소를 읽고, 오프셋으로 주소를 계산해야 한다.

• Partial Overwrite : ASLR의 특성 상, 코드 영역의 주소도 ASLR과 똑같이 하위 12비트 값은 항상 동일하다. 따라서 일부분(하위 한 바이트)만 다르면 이 값을 덮어써서 원하는 코드를 실행할 수 있다.

---

📌 RELRO란?

RELRO(RELocation Read-Only) : 쓰기 권한이 불필요한 데이터 세그먼트 영역의 쓰기 권한을 제거하는 기술

적용 범위에 따라 Full RELRO와 Partial RELRO로 나뉜다.

• Partial RELRO = 부분적으로 적용하는 기술
• Full RELRO = 가장 넓은 영역에 적용하는 기술

📢 RELRO 권한 확인 방법

1. gdb로 실행파일을 디버깅하고 vmmap으로 메모리의 권한을 확인하면 된다.

pwndbg> vmmap
LEGEND: STACK | HEAP | CODE | DATA | WX | RODATA
             Start                End Perm     Size Offset File
          0x400000           0x401000 r-xp     1000      0 /home/li-sh/Desktop/dreamhack/hookoverwrite/hook
          0x600000           0x601000 r--p     1000      0 /home/li-sh/Desktop/dreamhack/hookoverwrite/hook
          0x601000           0x602000 rw-p     1000   1000 /home/li-sh/Desktop/dreamhack/hookoverwrite/hook
          0x602000           0x623000 rw-p    21000      0 [heap]
    0x7ffff7c00000     0x7ffff7c28000 r--p    28000      0 /usr/lib/x86_64-linux-gnu/libc.so.6
    0x7ffff7c28000     0x7ffff7dbd000 r-xp   195000  28000 /usr/lib/x86_64-linux-gnu/libc.so.6
    0x7ffff7dbd000     0x7ffff7e15000 r--p    58000 1bd000 /usr/lib/x86_64-linux-gnu/libc.so.6
    0x7ffff7e15000     0x7ffff7e16000 ---p     1000 215000 /usr/lib/x86_64-linux-gnu/libc.so.6
    0x7ffff7e16000     0x7ffff7e1a000 r--p     4000 215000 /usr/lib/x86_64-linux-gnu/libc.so.6
    0x7ffff7e1a000     0x7ffff7e1c000 rw-p     2000 219000 /usr/lib/x86_64-linux-gnu/libc.so.6
    0x7ffff7e1c000     0x7ffff7e29000 rw-p     d000      0 [anon_7ffff7e1c]
    0x7ffff7fa8000     0x7ffff7fab000 rw-p     3000      0 [anon_7ffff7fa8]
    0x7ffff7fbb000     0x7ffff7fbd000 rw-p     2000      0 [anon_7ffff7fbb]
    0x7ffff7fbd000     0x7ffff7fc1000 r--p     4000      0 [vvar]
    0x7ffff7fc1000     0x7ffff7fc3000 r-xp     2000      0 [vdso]
    0x7ffff7fc3000     0x7ffff7fc5000 r--p     2000      0 /usr/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2
    0x7ffff7fc5000     0x7ffff7fef000 r-xp    2a000   2000 /usr/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2
    0x7ffff7fef000     0x7ffff7ffa000 r--p     b000  2c000 /usr/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2
    0x7ffff7ffb000     0x7ffff7ffd000 r--p     2000  37000 /usr/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2
    0x7ffff7ffd000     0x7ffff7fff000 rw-p     2000  39000 /usr/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2
    0x7ffffffde000     0x7ffffffff000 rw-p    21000      0 [stack]
0xffffffffff600000 0xffffffffff601000 --xp     1000      0 [vsyscall]

2. /proc/self/maps를 확인하면 메모리 맵을 확인 할 수 있다.

3. objdump 명령어를 이용하면 각 세그먼트가 어느 메모리에 할당 되어있는지 확인 할 수 있다.

$ objdump -h ./hook

./hook:     file format elf64-x86-64

Sections:
Idx Name          Size      VMA               LMA               File off  Algn
  0 .interp       0000001c  0000000000400238  0000000000400238  00000238  2**0
                  CONTENTS, ALLOC, LOAD, READONLY, DATA
  1 .note.ABI-tag 00000020  0000000000400254  0000000000400254  00000254  2**2
                  CONTENTS, ALLOC, LOAD, READONLY, DATA
  2 .note.gnu.build-id 00000024  0000000000400274  0000000000400274  00000274  2**2
                  CONTENTS, ALLOC, LOAD, READONLY, DATA
  3 .gnu.hash     00000068  0000000000400298  0000000000400298  00000298  2**3
                  CONTENTS, ALLOC, LOAD, READONLY, DATA
  4 .dynsym       00000198  0000000000400300  0000000000400300  00000300  2**3
                  CONTENTS, ALLOC, LOAD, READONLY, DATA
  5 .dynstr       000000b7  0000000000400498  0000000000400498  00000498  2**0
                  CONTENTS, ALLOC, LOAD, READONLY, DATA
  6 .gnu.version  00000022  0000000000400550  0000000000400550  00000550  2**1
                  CONTENTS, ALLOC, LOAD, READONLY, DATA
  7 .gnu.version_r 00000040  0000000000400578  0000000000400578  00000578  2**3
                  CONTENTS, ALLOC, LOAD, READONLY, DATA
  8 .rela.dyn     00000180  00000000004005b8  00000000004005b8  000005b8  2**3
                  CONTENTS, ALLOC, LOAD, READONLY, DATA
  9 .init         0000001a  0000000000400738  0000000000400738  00000738  2**2
                  CONTENTS, ALLOC, LOAD, READONLY, CODE
 10 .plt          00000010  0000000000400760  0000000000400760  00000760  2**4
                  CONTENTS, ALLOC, LOAD, READONLY, CODE
 11 .plt.got      00000070  0000000000400770  0000000000400770  00000770  2**3
                  CONTENTS, ALLOC, LOAD, READONLY, CODE
 12 .text         000002d2  00000000004007e0  00000000004007e0  000007e0  2**4
                  CONTENTS, ALLOC, LOAD, READONLY, CODE
 13 .fini         00000009  0000000000400ab4  0000000000400ab4  00000ab4  2**2
                  CONTENTS, ALLOC, LOAD, READONLY, CODE
 14 .rodata       00000033  0000000000400ac0  0000000000400ac0  00000ac0  2**2
                  CONTENTS, ALLOC, LOAD, READONLY, DATA
 15 .eh_frame_hdr 00000044  0000000000400af4  0000000000400af4  00000af4  2**2
                  CONTENTS, ALLOC, LOAD, READONLY, DATA
 16 .eh_frame     00000134  0000000000400b38  0000000000400b38  00000b38  2**3
                  CONTENTS, ALLOC, LOAD, READONLY, DATA
 17 .init_array   00000008  0000000000600da0  0000000000600da0  00000da0  2**3
                  CONTENTS, ALLOC, LOAD, DATA
 18 .fini_array   00000008  0000000000600da8  0000000000600da8  00000da8  2**3
                  CONTENTS, ALLOC, LOAD, DATA
 19 .jcr          00000008  0000000000600db0  0000000000600db0  00000db0  2**3
                  CONTENTS, ALLOC, LOAD, DATA
 20 .dynamic      000001c0  0000000000600db8  0000000000600db8  00000db8  2**3
                  CONTENTS, ALLOC, LOAD, DATA
 21 .got          00000088  0000000000600f78  0000000000600f78  00000f78  2**3
                  CONTENTS, ALLOC, LOAD, DATA
 22 .data         00000010  0000000000601000  0000000000601000  00001000  2**3
                  CONTENTS, ALLOC, LOAD, DATA
 23 .bss          00000020  0000000000601010  0000000000601010  00001010  2**4
                  ALLOC
 24 .comment      00000035  0000000000000000  0000000000000000  00001010  2**0
                  CONTENTS, READONLY

이 때 Partial RELRO는 .got와 .got.plt로 존재하는데 각각의 차이점은 아래와 같다.

• .got는 실행되는 시점에 Lazy Binding되는 변수가 위치하는 곳이다.
• .got.plt는 실행 중에 Lazy Binding되는 변수가 위치하는 곳이다.

---

📌 RELRO 우회 기법

1. Partial RELRO일 때
   .init_array와 .fini_array에 대한 권한이 제거되어 있지만, .got.plt 영역에 대한 쓰기 권한이 존재하므로 GOT Overwrite 공격을 활용할 수 있다.
2. Full RELRO일 때
   .init_array,.fini_array,.got 영역 모두 쓰기 권한이 제거되어 있기 때문에 hook 함수를 이용한다. __malloc_hook과 __free_hook이 대표적인 hook 함수로 이러한 hook을 사용하여 공격하는 기법을 Hook Overwrite라고 한다.

---

추가적으로 확인한 사항
Hook Overwrite 공격 기법은 hook 변수들은 멀티스레드 환경에서의 안전성 문제와 보안 취약점으로 인해 glibc 2.32 버전에서 사용이 권장되지 않게 되었으며, glibc 2.34 버전(2021년 8월 릴리스)부터는 완전히 제거되었다고 한다.

이러한 변화로 인해, 기존에 malloc hook을 사용하던 디버깅 기능들은 별도의 라이브러리인 libc_malloc_debug.so.0로 분리되었습니다. 따라서 glibc 2.34 버전 이후부터는 이 라이브러리를 명시적으로 로드하여야만 이전의 디버깅 기능을 사용할 수 있다고 한다.