[System Hacking] 1주차 Dreamhack stage 11

ptmalloc2

(리눅스 glibc 2.23 에서 힙 메모리 할당을 할 때, ptmalloc2 라는 메모리 할당자를 사용)

 

1. Use-After-Free

: 메모리 참조에 사용한 포인터를 메모리 해제 후에 적절히 초기화하지 않아서, 또는 해제한 메모리를 초기화하지 않고 다음 청크에 재할당해주면서 발생하는 취약점

​

Dangling Pointer

: 유효하지 않은 메모리 영역을 가리키는 포인터

- 프로그램이 예상치 못한 동작을 할 가능성을 키움

- 공격자에게 공격 수단으로 활용될 수도 있음

​

* malloc 함수는 할당한 메모리의 주소를 반환하는 함수

메모리를 동적 할당할 때에 포인터를 선언하고, 그 포인터에 malloc함수가

할당한 메모리의 주소를 저장 -> 접근

메모리를 해제할 땐 free함수 사용

​

free 함수는 청크를 ptmalloc에 반환하기만 하고 청크의 주소를 담고 있던 포인터는 초기화하지 않음

-> 따로 포인터를 초기화해주지 않으면 그 포인터는 해제된 청크를 가리키는 Dangling Pointer가 됨

​

※ chunk(청크) : malloc()으로 할당 받는 영역과 header를 포함한 영역

// Name: dangling_ptr.c
// Compile: gcc -o dangling_ptr dangling_ptr.c
#include <stdio.h>
#include <stdlib.h>
int main() {
  char *ptr = NULL;
  int idx;
  while (1) {
    printf("> ");
    scanf("%d", &idx);
    switch (idx) {
      case 1:
        if (ptr) {
          printf("Already allocated\n");
          break;
        }
        ptr = malloc(256);
        break;
      case 2:
        if (!ptr) {
          printf("Empty\n");
        }
        free(ptr);
        break;
      default:
        break;
    }
  }
}

 } }

위의 코드는 free호출 이후 초기화를 하지 않아서 Dangling Pointer의 위험성을 보이는 예제이다.

위 예제에서는 ptr변수를 해제하고 초기화하지 않는다.

따라서 컴파일을 해주고 청크를 할당(1)하고 해제(2)하면 ptr은 청크의 주소를 가리키는 Dangling Pointer가 된다.

ptr이 해제된 청크의 주소를 가리키고 있으므로 2를 다시 입력해서 해제할 수 있다.

=> Double Free Bug (소프트웨어 취약점)

​

​

​

​

​

Use After Free (UAF)

: 해제된 메모리에 접근할 수 있을 때 발생하는 취약점

- 이전 경우와 달리 새롭게 할당한 영역을 초기화하지 않고 사용하면서 발생하기도 함

 

// Name: uaf.c
// Compile: gcc -o uaf uaf.c -no-pie
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
struct NameTag {
  char team_name[16];
  char name[32];
  void (*func)();
};
struct Secret {
  char secret_name[16];
  char secret_info[32];
  long code;
};
int main() {
  int idx;
  struct NameTag *nametag;
  struct Secret *secret;
  secret = malloc(sizeof(struct Secret));          // secret구조체 먼저 할당
  strcpy(secret->secret_name, "ADMIN PASSWORD");   // secret_name, secret_info, code에 값을 입력
  strcpy(secret->secret_info, "P@ssw0rd!@#");
  secret->code = 0x1337;
  free(secret);                                     // 해제
  secret = NULL;                                    // 초기화
  nametag = malloc(sizeof(struct NameTag));         
  strcpy(nametag->team_name, "security team");      // team_name, name의 값을 입력
  memcpy(nametag->name, "S", 1);
  printf("Team Name: %s\n", nametag->team_name);
  printf("Name: %s\n", nametag->name);
  if (nametag->func) {                               // func가 NULL이 아니면 포인터가 가리키는 주소 출력, 함수 호출
    printf("Nametag function: %p\n", nametag->func);
    nametag->func();
  }
}

Name로 secret_info의 문자열이 출력되고, 값을 입력한 적 없는 함수 포인터가 0x1337을 가리킨다.

왤까?

​

​

​

uaf 동적 분석

ptmalloc2는 새로운 할당 요청이 들어왔을 때 요청된 크기와 비슷한 청크가 bin이나 tcache에 있는지 확인한 후, 있다면 해당 청크를 꺼내 재사용한다.

​

secret과 nametag는 같은 크기의 구조체이다.

--> secret을 해제하고 nametag를 할당하면 nametag는 secret과 같은 메모리 영역을 사용

-- free는 해제한 메모리의 데이터를 초기화하지 않기 때문에 nametag에는 secret의 값이 일부 남음

 

disassemble main

main+108에 브레이크포인트 설정

heap

heap - 할당 및 해제된 청크들의 정보를 조회하는 명령어이다.​

0x602250이후로 8byte 단위로 10개의 메모리 확인 / 0x602270의 메모리 확인

secret이 사용한 메모리 영역을 출력한 것이다. 

secret_name은 적절한 fd와 bk값으로 초기화됐지만 secret_info의 값은 그대로 남아있는 걸 확인할 수 있다.

​

​

다음으로 printf함수를 호출하는 시점에서 nametag 멤버 변수들의 값을 확인해보고자 한다.

disassemble main

printf 함수가 main+207에서 호출되는 걸 확인할 수 있다.

​

 main+207에 브레이크 포인트

0x602250이후로 8byte 단위로 10개의 메모리 확인 / 0x602270의 메모리 확인 / 0x602270의 메모리 확인 / 0x602290 8byte단위로 메모리 확인

 

nametag->team_name에는 "security team"이 그대로 입력되었으나,

nametag->name에는 초기화되지 않은 secret_info의 값이 존재하는 걸 확인할 수 있다.

또한 nametag->func위치에 secret->code에 대입했던 0x1337이 남아있는 걸 확인할 수 있다.

​

 

if (nametag->func) { 
	printf("Nametag function: %p\n", nametag->func); 
    nametag->func(); 
}

0x1337이 0이 아니기 때문에 위의 소스코드에서 nametag->func가 호출되고, Segmentation fault가 발생한다.