💫[Dreamhack] Exploit Tech: Return Address Overwrite

beanii·2023년 11월 30일

Pwnable

목록 보기

2/2

드림핵 https://learn.dreamhack.io/58#1

1. 서론

실습 파일 다운로드

// Name: rao.c
// Compile: gcc -o rao rao.c -fno-stack-protector -no-pie

#include <stdio.h>
#include <unistd.h>

void init() {
  setvbuf(stdin, 0, 2, 0);
  setvbuf(stdout, 0, 2, 0);
}

void get_shell() {
  char *cmd = "/bin/sh";
  char *args[] = {cmd, NULL};

  execve(cmd, args, NULL);
}

int main() {
  char buf[0x28];

  init();

  printf("Input: ");
  scanf("%s", buf);

  return 0;
}

2. 분석

취약점 분석

위의 프로그램의 취약점은 `scanf("%s", buf)임!!

scanf 함수의 포맷 스트링 중 하나인 %s는 문자열을 입력받을 때 사용
- 입력의 길이 제한하지 않음 -> 오버플로우 발생 가능
- 공백 문자인 띄어쓰기, 탭, 개행 문자 등이 들어올 때까지 계속 입력을 받음
  -> %s 대신 %[n]s 사용해야 함

유사하게 버퍼의 길이를 다루지 않는 strcpy, strcat, sprintf 대신 strncpy, strncat, snprintf, fgets, memcpy 등을 사용해야 함

트리거🔫

트리거: 취약점을 발현시켜 확인하는 행위

A를 5개 입력했을 때 -> 프로그램 정상 종료
A를 64개 입력했을 때 -> Segmentation fault 에러 출력, 프로그램 비정상 종료
core dumped는 코어파일을 생성했다는 뜻으로, 프로그램 비정상 종료 시 디버깅을 위해 OS가 생성
- Ubuntu 20.04 버전 이상은 기본적으로 /var/lib/apport/coredump 디렉토리에 코어 파일 생성
- 코어 파일이 생기지 않을 경우, 생성해야 할 코어 코일의 크기가 제한되어 있기 때문에 위의 사진과 같이 unlimit -c unlimited 명령어를 입력하여 다시 실행

코어 파일 분석🔍

gdb에는 코어 파일 분석 기능 존재 -> 입력이 스택에 어떻게 저장됐는지 분석 및 셸을 획득하기 위한 계획 세우기
gdb rao -c core 명령어로 코어 파일 오픈
- 프로그램 종료 원인 및 오류 발생 주소 보여줌

디스어셈블리된 코드와 스택을 관찰하면, 프로그램이 main함수에서 반환하려고 하는데, 스택 최상단에 저장된 값이 입력값의 일부인 0x4141414141414141('AAAAAAAA')라는 것을 알 수 있음
-> 실행가능한 메모리의 주소가 아니어서 세그먼테이션 폴트 발생한 것
-> 이 값이 원하는 코드 주소가 되도록 적절한 입력을 주면 원하는 코드가 실행되도록 조작할 수 있을 것

3. 익스플로잇

스택 프레임 구조 파악

스택 버퍼에 오버플로우를 발생시켜서 반환주소를 덮으려면 해당 버퍼가 스택 프레임의 어디에 위치하는지 조사해야 함
아래는 main 함수의 어셈블리 코드(실습 시 강의와 다른 결과값이 나와서 강의자료로 대체)

(실습결과: nearpc 명령어 결과가 달라서 disassemble main 실행한 모습)

-> 의사 코드로 표현하면

scanf("%s", (rbp-0x30));

즉, 오버플로우를 발생시킬 버퍼는 rbp-0x30에 위치
아래 사진은 이를 반영하여 그린 스택 프레임
입력할 버퍼와 반환 주소 사이에 0x38만큼의 거리가 있음
-> 그만큼을 쓰레기 값(dummy data)으로 채우고, 실행하고자 하는 코드의 주소를 입력하여 실행 흐름 조작

get_shell() 주소 확인

실습 파일에는 셸을 실행해주는 get_shell() 함수가 있음
main 함수의 반환 주소를 이 함수의 주소로 덮어서 셸 획득하기

get_shell()의 주소는 0x401199 임

페이로드 구성

페이로드(Payload): 공격을 위해 프로그램에 전달하는 데이터

다음과 같이 페이로드 구성

엔디언 적용

엔디언: 메모리에서 데이터가 정렬되는 방식
- 주로 리틀 엔디언(Little-Endian, LE)과 빅 엔디언(Big-Endian, BE) 사용
- 리틀 엔디언에서는 데이터의 Most Significant Byte(MSB; 가장 왼쪽의 바이트)가 가장 높은 주소에 저장됨
- 빅 엔디언에서는 데이터의 MSB가 가장 낮은 주소에 저장됨
구성한 페이로드는 적절한 엔디언 적용해서 프로그램에 전달해야 함
get_shell()의 주소인 0x401199은 \x99\x11\x40\x00\x00\x00\x00\x00로 전달돼야 됨

익스플로잇

엔디언을 적용한 페이로드 작성 후 아래 사진과 같이 명령어를 입력하여 rao에 전달하면 셸 획득 가능
- 파이썬으로 출력한 페이로드를 rao의 입력으로 전달하는 과정

셸을 얻어야하는데,,,,왜안되지

참고

pwngdb 설치
https://eteo.tistory.com/290

이전 포스트

💫[Dreamhack] Tool: pwntools

0개의 댓글