junsoo STUDY

Hook Overwrite (2)

서론 Hook 은 갈고리라는 뜻이 있습니다. 컴퓨터 과학에서는 운영체제가 어떤 코드를 실행하려 할 때, 이를 낚아채어 다른 코드가 실행되게 하는 것을 Hooking(후킹)이라고 부르며, 이때 실행되는 코드를 Hook이라고 부릅니다. Hook Overwrite은 훅의 특징을 이용한 공격 기법입니다. Full RELRO가 적용되더라도 libc의 데이터 영역에는 쓰기가 가능하므로 Full RELRO 우회가 가능하다. malloc, free, realloc hook C언어에서 메모리의 동적 할당과 해제를 담당하는 함수로는 malloc, free, realloc이 대표적입니다. 각 함수는 libc.so에 구현되어 있습니다. libc 에는 이 함수들의 디버깅 편의를 위해 훅 변수가 정의되어 있습니다. 예를 들어, ..

_hook Overwrite

_hook Overwrite c 표준 라이브러리에서는 malloc, realloc, free와 같은 함수들의 동작을 수정할 수 있도록 __malloc_hook, __realloc_hook, __free_hook과 같은 변수를 제공합니다. 이러한 변수에 후킹 함수의 주소가 저장되어 있으면 함수가 호출될 때 기존의 함수가 아니라 후킹 함수가 호출됩니다. __int64 __fastcall malloc(__int64 a1, __int64 a2, __int64 a3) { if ( _malloc_hook ) return _malloc_hook(a1, retaddr); 이런 후킹 변수들은 라이브러리의 쓰기 가능한 영역에 존재하기 때문에 후킹 변수를 사용하는 함수가 있다면 익스플로잇 과정에서 이를 실행 흐름을 조작하는..

PIE (Position-Independent Executable)

Position-Independent Executable(PIE)은 ASLR이 코드 영역에도 적용되게 해주는 기술입니다. 이 기술은 보안성을 향상을 위해 도입된 것이 아니라서 엄밀하게 보호 기법은 아닙니다. 그러나 ASLR과 맞물려서 공격을 더욱 어렵게 만들었기에 여러 글에서 보호기법이라고 소개되기도 합니다. PIC 리눅스에서 ELF는 실행 파일(Executable)과 공유 오브젝트(Shared Object, SO)로 두 가지가 존재합니다. 실행 파일은 addr처럼 일반적인 실행 파일이 해당하고, 공유 오브젝트는 libc.so와 같은 라이브러리 파일이 해당합니다. 공유 오브젝트는 기본적으로 재배치(Relocation)가 가능하도록 설계되어 있습니다. 재배치가 가능하다는 것은 메모리의 어느 주소에 적재되어..

RELRO (RELocation Read-Only)

GOT에 값을 채우는 방식은 다양하다. 함수가 처음 호출될 때 함수의 주소를 구하고, 이를 GOT에 적는 방법을 → Lazy Binding Lazy Binding을 하는 바이너리는 실행 중에 GOT 테이블을 업데이트할 수 있어야 하므로 GOT에 쓰기 권한이 부여됩니다. 그런데 이는 바이너리를 취약하게 만드는 원인이 됩니다. 또한, ELF의 데이터 세그먼트에는 프로세스의 초기화 및 종료와 관련된 .init_array , .fini_array 가 있습니다. 이 영역들은 프로세스의 시작과 종료에 실행할 함수들의 주소를 저장하고 있는데, 여기에 공격자가 임의로 값을 쓸 수 있다면, 프로세스의 실행 흐름이 조작될 수 있습니다. 이로 인해, 프로세스의 데이터 세그먼트를 보호하는 RELocation Read-Only..

basic_rop_x86 (ret2main + bss 쓰기)

#include #include #include #include void alarm_handler() { puts("TIME OUT"); exit(-1); } void initialize() { setvbuf(stdin, NULL, _IONBF, 0); setvbuf(stdout, NULL, _IONBF, 0); signal(SIGALRM, alarm_handler); alarm(30); } int main(int argc, char *argv[]) { char buf[0x40] = {}; initialize(); read(0, buf, 0x400); write(1, buf, sizeof(buf)); return 0; } 이번에는 ret2main 기법을 사용하고 "/bin/sh" 문자열을 bss 영역에 ..

basic_rop_x86 (GOT Overwrite)

#include #include #include #include void alarm_handler() { puts("TIME OUT"); exit(-1); } void initialize() { setvbuf(stdin, NULL, _IONBF, 0); setvbuf(stdout, NULL, _IONBF, 0); signal(SIGALRM, alarm_handler); alarm(30); } int main(int argc, char *argv[]) { char buf[0x40] = {}; initialize(); read(0, buf, 0x400); write(1, buf, sizeof(buf)); return 0; } 32bit라는 것만 제외하고 코드는 basic_rop_x64와 동일하다. 32bit..

basic_rop_x64 (ret2main)

#include #include #include #include void alarm_handler() { puts("TIME OUT"); exit(-1); } void initialize() { setvbuf(stdin, NULL, _IONBF, 0); setvbuf(stdout, NULL, _IONBF, 0); signal(SIGALRM, alarm_handler); alarm(30); } int main(int argc, char *argv[]) { char buf[0x40] = {}; initialize(); read(0, buf, 0x400); write(1, buf, sizeof(buf)); return 0; } basic_rop_x64 문제를 ret2main 기법으로 풀어보자 ret2main ..

basic_rop_x64 (GOT Overwrite)

#include #include #include #include void alarm_handler() { puts("TIME OUT"); exit(-1); } void initialize() { setvbuf(stdin, NULL, _IONBF, 0); setvbuf(stdout, NULL, _IONBF, 0); signal(SIGALRM, alarm_handler); alarm(30); } int main(int argc, char *argv[]) { char buf[0x40] = {}; initialize(); read(0, buf, 0x400); write(1, buf, sizeof(buf)); return 0; } 오잉? 카나리가 없다. ㄷㄷ 코드를 보면 buf 크기는 0x40인데 read에서 b..