매번 pwnable 문제를 풀때 그러지만 엄한데서 삽질을 하며 시간을 날렸습니다...허허

역시 풀이의 방향성을 잡는게 가장 어렵고 중요한것같습니다.

2018.8.25.

어렵다 어려워

+ [Grotesque] aeg

+ [Grotesque] sudoku

+ [Grotesque] rootkit

+ [Grotesque] dos4fun

+ [Hacker's Secret] exploitable

+ [Rookiss] loveletter

몇달 전에 풀던 문젠데 로컬 환경에선 쉘 다 띄워놓고  일이 바빠서 문제 마무리를 못하고 있었네요.

풀면서 어려웠던 점(?)은 'Hacker's secret 문젠데 어떤 어려운 기법을 써야할까?'라는 생각때문에 문제를 어렵게 꼬아서 생각했던 것일까요

한문제 한문제 겨우겨우 풀고 있습니다...허허

이번 문제 풀이를 위한 의식의 흐름은

- DOSBox를 이용한 동적디버깅환경 구축

- 다양한 삽질? 을 통한 취약점 확인

- Dos opcode 분석을 통한 쉘코드 작성(사실 작성이라기보다 코드 재활용이라고 해야겠습니다)

인 것 같네요.

월요병을 물리치고 한 문제를 풀어서 기분이 좋습니다.

문제 풀이의 거의 한 80%는 라이브러리 덕이지만 

어쨋든 오늘 문제 풀이의 골자는 복잡한 문제 풀이를 위한 알고리즘 구현은 어렵지만 똑똑한 사람들이 라이브러리를 만들어놨고 그냥 잘쓰면 된다? 이겠네요.

막상 풀고 나서 보니까 별거 없는데 풀때는 왜그렇게 어려운지 모르겠습니다.

몇주만에 푼건지...

대충 정리해보자면

1. 생성된 바이너리 address 및 중요값 추출.

2. ANGR을 이용해 키값 확인

3. EIP 컨트롤, 취약점 공격...인데 아무래도 쓸 수 있는 버퍼의 크기가 크다보니 payload를 맘대로 구성하기 좋음

4. 실행권한 부여

5. /bin/sh 실행

이런거였겠죠?

Heap에서 발생할 수 있는 취약점에 대해 간단하게 내맘대로 정리해보자

1. Heap overflow

-    Heap 영역에 할당된 공간보다 큰 사이즈를 입력받아 발생할 수 있음

-    발생 예제

buf = malloc(100)

...

int size;

scanf("%d", &size);

read(0, buf, size);

-    활용방법

다음 chunk의 헤더 부분을 덮을 수 있는 경우, prev, next pointer를 조작해 free 시 임의 메모리 쓰기 발생 시킬 수 있음

(free 메커니즘에 의존, 제한적)

2.  Double free 

- heap overflow와 나누기 이상하기는 하지만 활용에 있어서 다르기 때문에 나눔

- 기본적으로 heap overflow 취약점을 가져야 함

- 활용방법

Heap chunk 헤더 내의 flag(정확히 표현하면 현재 chunk size의 하위 3비트) 값을 조작함으로써 할당된 chunk를 free된 것으로 인식하게 함

조작된 chunk 이전의 chunk가 free될 시 병합과정에서 위 1.과 유사하게 임의 메모리 쓰기 가능

3. fastbin dup into stack

-    참고(http://www.blackhat.com/presentations/bh-usa-07/Ferguson/Whitepaper/bh-usa-07-ferguson-WP.pdf)

-    allocation된 chunk를 free하면 재사용을 위해 free된 chunk를 linked list로 관리하고 이를 bin이라고 함

-    chunk의 사이즈가 작을 경우(기본 최대 60바이트, 설정하면 최대 80바이트) fastbin 이라는 free list를 통해 관리되며 다음과 같은 특징을 가짐

sorting이 되지 않음

singly linked list

LIFO

-    아무튼 작은 사이즈의 chunk를 할당하고 free 하는 경우

4. The house of force

-    Heap overflow를 이용해 top chunk를 덮음

-    이를 통해 할당할 수 있는 chunk size의 제한이 없어짐

5. Use after free(UAF)

-    free된 메모리 공간의 포인터에 접근할 수 있는 경우

나중에 내용 더 추가하자

pwnable.kr AEG 문제를 보던 중 푸는데에 ANGR을 사용해보면 좋을 것 같아 이 참에 찾아보았다.

구글링 등 예제 코드를 보고 내가 대충 작성한 코드는 다음과 같았는데

(문제 바이너리를 local 로 다운로드 받았다고 치고 시작)

mine.py 

위와 같이 코드를 작성하고 실행할 경우 문제는 원하는 방향으로 풀리고 Hex 값을 return 해주지만 실행시간이 약 60초 걸렸다.

문제에서 주어진 시간은 10초로 angr 돌리는데에만 터무니없이 긴 시간이 걸렸음.

시간을 줄이기 위해 avoid 조건을 이용해 이것 저것 넣어봤는데 효과는 미비했다.

구글링 중 github에 aeg 문제풀이 코드가 나와있는 것을 찾았고 여기서 angr 부분만 참고했다.

(출처 : https://github.com/rot256/Wargames/blob/master/pwnable/aeg/attack.py)

원본 코드는 위 URL에서 확인할 수 있으며 밑에는 테스트에 필요한 코드만 추출, 조작함

attack.py

위 스크립트 실행 시 약 6-7s 정도 시간 소요로 답을 구할 수 있었다.

결국 차이점은

1) 적절한 바이너리의 start state 설정

2) avoid 조건

으로 필요한 연산만 하도록해 state를 줄여줄 수 있는 것으로 보인다.

조금 더 공부해봅시다.

최근 pwnable.kr Grotesque 문제들이 너무 어려워서 스트레스... 였는데 간만에 재밌게 풀었습니다.

취약점은 리버싱해보면 비교적 쉽게 발견할 수 있고, 바이너리 내에 system(/bin/sh) 함수도 있으니 취약점까지 가는 길만 찾으면 되겠습니다

===============================================================================================

참고자료 1. (출처:https://wikidocs.net/64)

3.5. 축약함수(Lambda)

lambda 인자 : 표현식

>>> def hap(x, y):
...   return x + y
...
>>> hap(10, 20)
30

>>> (lambda x,y: x + y)(10, 20)
30

참고자료 2. (https://en.wikipedia.org/wiki/Block_cipher_mode_of_operation#Cipher_Block_Chaining_.28CBC.29)

암호 블록 체인 방식 (CBC)[편집]

암호 블록 체인 (cipher-block chaining, CBC) 방식은 1976년 IBM에 의해 개발되었다.^[4] 각 블록은 암호화되기 전에 이전 블록의 암호화 결과와 XOR되며, 첫 블록의 경우에는 초기화 벡터가 사용된다. 초기화 벡터가 같은 경우 출력 결과가 항상 같기 때문에, 매 암호화마다 다른 초기화 벡터를 사용해야 한다.

CBC 방식은 현재 널리 사용되는 운용 방식 중 하나이다. CBC는 암호화 입력 값이 이전 결과에 의존하기 때문에 병렬화가 불가능하지만, 복호화의 경우 각 블록을 복호화한 다음 이전 암호화 블록과 XOR하여 복구할 수 있기 때문에 병렬화가 가능하다.