[Pwnable] 시스템콜(syscall), 셸, 커널모드 vs 유저모드

오늘 다룰 내용은 다음과 같다.

• 커널 모드와 유저 모드
• 시스템콜(syscall)이란 무엇인가? (+syscall과 call과의 차이)
• 프로시저란?
• syscall의 원리 (x86,x86_64)

 

커널, 셸, 유저

운영체제는 컴퓨터에 연결된 모든 하드웨어와 소프트웨어에 접근할 수 있다. 이 권한은 매우 막강하기 때문에 컴퓨터는 해킹으로부터 이를 보호하기 위해 권한을 커널 모드와 유저 모드로 나눈다. 또한 모드마다 접근할 수 있는 메모리를 나누는데, 커널 모드에서는 커널 공간과 유저공간을, 유저모드에서는 유저 공간만 접근 할 수있다. 

 

커널(Kernel) 모드, 커널

• 커널은 유저가 직접할 수 없는 저수준의 작업(메모리 관리, 입출력, 파일 시스템, 네트워크 통신 등)을 실행
• 커널은 자원을 추상화하여 관리함

아래는 커널이 관리한 물리적 자원과, 이를 지칭하는 추상적 자원의 이름 간 대응 관계이다!

CPU -> 태스크(task)
메모리 -> 페이지(page), 세그먼트(segment)
디스크 -> 파일(file)
네트워크 -> 소켓(socket)

이외에도 외부장치(프린터, GPU 등)을 관리한다~

 

 

곧 모든 것을 할 수 있기 때문에 해커가 커널 모드까지 획득하게 되면 거의 무방비 상태라고해도 무방

커널은 즉 운영 체제의 핵심

예를 들어 커널은 어떤 프로세스가 어떤 자원을 요청할 때 권한에 따라 접근 제어를 함. 하지만 만약 커널 모드에서 코드를 막 조작해서 이를 우회할 수 있음

 

 

커널이 하는 일

핵심 기능	설명
프로세스 관리	프로세스에 CPU를 배분하고 작업에 필요한 제반 환경을 제공한다.
메모리 관리	프로세스에 작업 공간을 배치하고 실제 메모리보다 큰 가상공간을 제공한다.
파일 시스템 관리	데이터를 저장하고 접근할 수 있는 인터페이스를 제공한다.
입출력 관리	필요한 입력과 출력 서비스를 제공한다.
프로세스 간 통신 관리	공동 작업을 위한 각 프로세스 간 통신 환경을 지원한다.

 

유저모드

• 운영 체제가 사용자에게 부여하는 권한.

루트 유저의 권한도 유저 모드에 해당. 따라서 아무리 루트의 권한을 탈취했다고 해도 커널 모드의 막강한 권한을 실행하는 는 것은 막을 수 있음

 

32비트 아키텍쳐에서 커널과 사용자의 메모리 공간 분리

 

64비트 아키텍처에서 커널과 사용자의 메모리 공간 분리

 

위 그림에서처럼 커널 모드일때 접근할 수 있는 공간과 유저 모드일 때 접근할 수 있는 공간이 달라지게 된다.

 

셸

• 명령어와 커널이 대화를 할 수 있게 도와주는 일종의 인터페이스
• 명령어 해석기라고 봐도됨

유저가 셸(명령어 해석기)에 명령을 전달하면 셸이 커널한테 부탁하고, 커널이 내부적인 작업을 실행한 후 이 결과를 다시 셸을 통해 유저에게로 전달

 

셸(shell)은 껍질이라는 뜻으로 커널을 감싸고 있어서 그런 이름이 되었다.

 

시스템 콜 (Syscall)이란?

유저가 컴퓨터 내부에 접근하고 싶을 때 커널을 부르는(call) 명령어.

왜냐하면 위에 말했듯이 유저는 임의로 커널 모드에 진입할 수 없음. 따라서 저수준의 작업을 하기 위해서는 커널의 도움이 필요함. 이때 커널에게 도움을 요청하는 명령어가 syscall이 되는 것임.

 

예를들어 우리가 cat tmp.text라는 명령어를 실행하고 싶다고 하자. 우리는 그러나 직접 파일 시스템에 접근할 수 없다. 따라서 커널의 도움을 받아야한다.

이렇게 우리가 syscall을 통해 커널에게 부탁하면, 커널은 파일 시스템에 직접 접근하여 결과를 우리에게 전달해준다.

이처럼 커널에게 도움을 요청할 때 syscall을 사용한다.

 

시스템 콜 동작 과정

 

또한 사용자나 응용 프로그램이 컴퓨터에 자원에 직접 접근할 경우 모든 과정을 직접 핸들링을 해야 함.

하지만 이때 부주의로 인해 컴퓨터 시스템 자체를 파괴할 수 있는 위험이 있음.

하지만 시스템콜만을 사용한다면 요청만 하고 결과만 기다리면 되므로 컴퓨터의 시스템이 파괴되는 일을 막을 수 있음

 

x64 시스템 콜 (Syscall)의 동작 원리

시스템 콜은 함수이다. 따라서 인자를 우리가 전달해 주어야한다. x64아키텍쳐에서는 레지스터로 인자를 전달한다. 또한 rax로 무슨 행동을 실행할 것인지 알려준다. 

 

요청: rax

인자 순서: rdi → rsi → rdx → rcx → r8 → r9 → stack

 

이해를 위해 아래 코드를 봐보자.

 

[Register] 
rax = 0x1   //write이라는 함수 실행해줘
rdi = 0x1   //write의 첫 번째 인자
rsi = 0x401000  //write의 두 번째 인자
rdx = 0xb   //write의 세 번째 인자

[Memory]
0x401000 | "Hello Wo"   
0x401008 | "rld"    

[Code]  
syscall //이걸 호출했으므로 rax, rdi, rsi, rdx에 있는 정보로 함수 write(0x1, 0x401000, 0xb)실행

------------
[결과]
Hello World

 

x64 syscall 테이블

syscall	rax	arg0 (rdi)	arg1 (rsi)	arg2 (rdx)
read	0x00	unsigned int fd	char *buf	size_t count
write	0x01	unsigned int fd	const char *buf	size_t count
open	0x02	const char *filename	int flags	umode_t mode
close	0x03	unsigned int fd
mprotect	0x0a	unsigned long start	size_t len	unsigned long prot
connect	0x2a	int sockfd	struct sockaddr * addr	int addrlen
execve	0x3b	const char *filename	const char *const *argv	const char *const *envp

 

간단하게 파일을 open 하는 코드는 다음과 같다. 우리는 다음에 파일을 ORW(Open, Read, Write)하는 코드를 작성해볼 것이다.

push 0x67
mov rax, 0x616c662f706d742f ; 파일 이름
push rax
mov rdi, rsp    ; rdi = "/tmp/flag" 가리킴
xor rsi, rsi    ; rsi = 0 ; RD_ONLY
xor rdx, rdx    ; rdx = 0
mov rax, 2      ; rax = 2 ; syscall_open
syscall         ; open("/tmp/flag", RD_ONLY, NULL)

 

x86 시스템 콜의 동작 원리

x86의 cdecl에서는 보통 syscall 말고 int 0x80으로 대신한다. 둘은 거의 비슷한 역할을 한다!

int는 interrupt의 약자, 0x80은 "system call interrupt"을 의미한다. int 0x80을 실행하면 OS에서 위에서 레지스터로 전달해준 인자들에 맞는 시스템콜을 한다.

 

x86도 x64와 동일하게 시스템 콜을 할 때는 레지스터로 인자를 전달하는데, 사용하는 레지스터가 다르다!

(참고로 함수 호출 규약에서 call할 때는 인자를 레지스터가 아닌 스택에 push한다!! 주의!)

 

요청 : eax

인자 순서 : ebx -> ecx -> edx -> esi -> edi -> ebp

 

테이블 정보 : Linux system call table 정리(32bit, 64bit) (tistory.com)

 

프로시저

프로시저는 함수처럼 어떤 일정한 동작을 하는 코드 조각을 의미한다. 이때 프로시저를 호출할 때 우리는 call 명령어를 사용한다. (syscall은 커널 부르는 명령어) 함수 호출 규약에 쓰이는 call이 이 call 이다.

프로시저도 이름을 붙일 수 있다.

 

시스템 콜 익스플로잇 관점

그렇다면 시스템콜에서는 어떤 취약점이 있는지를 찾아보자. 시스템콜의 흐름을 간단하게 요약해보면 아래와 같다.

1. 프로세서에 시스템콜 명령어 전달
2. 프로세서가 커널 모드에 진입함 + 커널개발자가 지정한 진입 코드(Entry Point)를 실행 
3. entry point에서는 원래 코드흐름으로 돌아갈 수 있게 프로세서 상태를 저장하는 역할을 함 (함수 프롤로그처럼)
4. 이후 실행이 끝나면 저장해놨던 상태를 꺼내서 원래의 흐름으로 돌아감

여기서 entry point는 사용자 모드와 커널 모드가 교차되는 지점이기 때문에 중요한 공격 대상임!

 

x86-64 시스템콜 흐름도

x86 시스템콜 흐름도

❗entry point에서는 원래 코드흐름으로 돌아갈 수 있게 "프로세서 상태를 저장"하는 역할을 함 (함수 프롤로그처럼) 

리눅스 커널 보호 기법

• SMEP(Supervisor Mode Execution Protection) : 커널 모드에서 사용자 모드의 코드의 실행을 막는 기법 (NX랑 유사)
• SMAP(Supervisor Mode Access Protection) : 몇몇 예외를 제외하고는 커널모드에서 사용자 공간의 접근 자체를 막는 기법

 

 

references

드림핵 x86 Assembly🤖: Essential Part(2)   

드림핵 https://dreamhack.io/lecture/courses/36