Stack Canary🐤...

Main : Stack Canary

1. 학습 목표

   • 카나리 보호 기법을 이해한다.

2. 서론

   • Stack Canary : 함수의 프롤로그에서 스택 버퍼와 반환 주소 사이에 임의의 값을 삽입하고, 함수의 에필로그에서 해당 값의 변조를 확인하는 보호 기법
     - 카나리 값이 변조되면 프로세스를 강제로 종료시킴
     

3. 카나리 작동 원리

   • // canary.c
     // compile - no_canary : gcc -o no_canary canary.c -fno-stack-protector
     // compile - canary : gcc -o canary canary.c
     #include <unistd.h>
     
     int main(){
         char buf[8];
         read(0,buf,32);
         return 0;
     }

     • no_canary vs canary : canary에 추가로 작성된 코드

       Prologue:
       0x00000000000006b2 <+8>:     mov    rax,QWORD PTR fs:0x28 #1
       0x00000000000006bb <+17>:    mov    QWORD PTR [rbp-0x8],rax #2
       0x00000000000006bf <+21>:    xor    eax,eax
       #fs와 gs : 목적 명시되지 않아 운영체제가 임의로 사용할 수 있는 레지스터
       #리눅스에서는 fs를 Thread Local Storage 가리키는 포인터로 사용
       Epilogue:
       0x00000000000006dc <+50>:    mov    rcx,QWORD PTR [rbp-0x8] #3
       0x00000000000006e0 <+54>:    xor    rcx,QWORD PTR fs:0x28 #4
       0x00000000000006e9 <+63>:    je     0x6f0 <main+70> #5
       0x00000000000006eb <+65>:    call   0x570 <__stack_chk_fail@plt>

       --프롤로그--

       1. 프로세스 시작 시 fs:0x28에 8바이트(Qword) 형식으로 랜덤 값 저장 (카나리 역할)

       2. 생성한 랜덤값은 main+17의 코드에서 8바이트 형식으로 rbp-0x8에 복사 저장

       --에필로그--

       3. rbp-0x8에 있는 복사된 카나리 값(변조 가능성 있음)을 rcx에 저장

       4. fs:0x28에 있는 순수한 카나리 값이랑 rcx에 있는 변조 가능성 있는 값이랑 비교

       5. [4]에서 두 값이 동일하면 xor계산으로 값이 0이 됨 - je 조건 만족 - 정상종료

       6. 값이 0이 아닐경우 sbof 의심 - __stack_chk_fail 호출로 인해 강제종료

4. 카나리🐤 생성 과정

   1. TLS 주소 파악

      • fs 값은 특정 시스템콜을 사용해야만 rw 가능

      • arch_prctl(int code, unsigned long addr) 시스템 콜 중단점 설정하여 조사 가능

        gdb 명령어 - catch : 특정 이벤트 발생 시 프로세스 중지

        $ gdb -q ./canary
        pwndbg> catch syscall arch_prctl # arch_prctl 캐치포인트 설정
        Catchpoint 1 (syscall 'arch_prctl' [158])
        pwndbg> run

        catchpoint에서 rdi 값이 0x1002 -> ARCH_SET_FS의 상수값

   2. 카나리 값 설정

      • rsi 값 0x7ffff7fed4c0이므로
        

      TLS는 rsi + 0x28에 저장될 것, fs는 이를 가리키는 포인터가 됨

      아직 바꾸는 코드에 도달하지 않아 설정되지 않음 -> gdb watch로 잡을 수 있음

      gdb 명령어 - watch : 특정 주소에 저장된 값이 변경되면 프로세스 중단

      pwndbg> watch *(0x7ffff7fed4c0+0x28)
      Hardware watchpoint 4: *(0x7ffff7fed4c0+0x28)

      워치포인트 설정 후 프로그램 계속 실행시키면 security_init()에서 멈춤 - 바뀜

      여기서 TLS+0x28 값이 카나리 값임 - x/gx로 확인 가능

5. 카나리 우회

   1. 무차별 대입 - 불가능 (x64 -> 256^7, x32 -> 256^3)
   2. TLS 접근
      • 카나리는 TLS에 전역변수로 저장 - 함수마다 참조
      • 프로그램 실행 중 TLS 주소를 알아내고 RW 권한 주어지면 카나리 값을 읽거나 조작 가능
      • sbof를 수행할 때 알아낸 카나리 값 or 조작한 카나리 값으로 덮으면 카나리 검사 우회 가능