1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 | #include <fcntl.h> #include <iostream> #include <cstring> #include <cstdlib> #include <unistd.h> using namespace std; class Human{ private: virtual void give_shell(){ system("/bin/sh"); } protected: int age; string name; public: virtual void introduce(){ cout << "My name is " << name << endl; cout << "I am " << age << " years old" << endl; } }; class Man: public Human{ public: Man(string name, int age){ this->name = name; this->age = age; } virtual void introduce(){ Human::introduce(); cout << "I am a nice guy!" << endl; } }; class Woman: public Human{ public: Woman(string name, int age){ this->name = name; this->age = age; } virtual void introduce(){ Human::introduce(); cout << "I am a cute girl!" << endl; } }; int main(int argc, char* argv[]){ Human* m = new Man("Jack", 25); Human* w = new Woman("Jill", 21); size_t len; char* data; unsigned int op; while(1){ cout << "1. use\n2. after\n3. free\n"; cin >> op; switch(op){ case 1: m->introduce(); w->introduce(); break; case 2: len = atoi(argv[1]); data = new char[len]; read(open(argv[2], O_RDONLY), data, len); cout << "your data is allocated" << endl; break; case 3: delete m; delete w; break; default: break; } } return 0; } | cs |
Use After Free 취약점은 Heap 영역의 Allocation/Free에서 발생할 수 있는 취약점입니다. 컴퓨터는 보통 실행 시간을 위해 객체를 Free하고 나더라도 메모리 상에서 객체가 점유하고있던 공간의 값을 없애버리지는 않습니다. 거기에 접근할 수 있는 포인터만 지웁니다. 즉 지워졌다고 생각한 정보가 사실은 지워졌지 않을 수 있습니다. 이것만으로도 안 좋은 상황을 만들어낼 수 있는데 한 술 더 떠 Reallocation을 할 때 만약 이전의 객체와 동일한 크기를 요구한다면 컴퓨터는 실행 시간을 위해 이전의 객체가 점유하던 메모리 영역을 그대로 넘겨줍니다. 즉 새로운 객체는 이전의 영역을 마음대로 조작할 수 있게 되고, 그 상황에서 새로운 객체가 동일한 메모리에 접근했음을 모르는 선량한 사용자가 메모리 값을 참조해 무언가를 실행할 경우 해킹의 가능성이 존재합니다.
위의 코드에서 저희는 introduce() 함수를 실행하거나, 내가 만든 임의의 파일의 값을 새로 생성한 data 객체에 쓰거나, m, w 객체를 제거하는 세 가지 행동을 할 수 있습니다. 공격 시나리오는 아래와 같을 것입니다.
1. free를 이용해 m, w 객체를 Free 시킨다. 이게 선행되지 않으면 객체 내의 값들을 마음대로 바꿀 수 없습니다.
2. after를 이용해 introduce() 함수를 실행할 때 give_shell() 함수가 실행되게끔 한다. 이를 위해서는 코드를 바꾸거나 introduce()를 가리키는 포인터의 값을 바꿔야하는데 딱 봐도 후자가 더 쉬울 것 같네요.
3. use를 통해 introduce() 함수(로 위장된 give_shell() 함수)를 실행한다.
그러면 이제 객체의 크기는 얼마인지, introduce()를 가리키는 포인터의 값은 어떻게 바꿀지 일단 readelf로 싹 긁어서 최대한 뽑을 수 있는 정보를 다 뽑고 부족한게 있다면 동적 분석을 해보겠습니다.
Symbol table '.symtab' contains 119 entries:
Num: Value Size Type Bind Vis Ndx Name
0: 0000000000000000 0 NOTYPE LOCAL DEFAULT UND
1: 0000000000400238 0 SECTION LOCAL DEFAULT 1
2: 0000000000400254 0 SECTION LOCAL DEFAULT 2
3: 0000000000400274 0 SECTION LOCAL DEFAULT 3
4: 0000000000400298 0 SECTION LOCAL DEFAULT 4
5: 00000000004002d8 0 SECTION LOCAL DEFAULT 5
6: 00000000004005f0 0 SECTION LOCAL DEFAULT 6
7: 00000000004008a6 0 SECTION LOCAL DEFAULT 7
8: 00000000004008e8 0 SECTION LOCAL DEFAULT 8
9: 0000000000400958 0 SECTION LOCAL DEFAULT 9
10: 00000000004009d0 0 SECTION LOCAL DEFAULT 10
11: 0000000000400c28 0 SECTION LOCAL DEFAULT 11
12: 0000000000400c40 0 SECTION LOCAL DEFAULT 12
13: 0000000000400de0 0 SECTION LOCAL DEFAULT 13
14: 0000000000401488 0 SECTION LOCAL DEFAULT 14
15: 00000000004014a0 0 SECTION LOCAL DEFAULT 15
16: 0000000000401600 0 SECTION LOCAL DEFAULT 16
17: 0000000000401680 0 SECTION LOCAL DEFAULT 17
18: 00000000004018a4 0 SECTION LOCAL DEFAULT 18
19: 0000000000601de0 0 SECTION LOCAL DEFAULT 19
20: 0000000000601de8 0 SECTION LOCAL DEFAULT 20
21: 0000000000601df8 0 SECTION LOCAL DEFAULT 21
22: 0000000000601e08 0 SECTION LOCAL DEFAULT 22
23: 0000000000601e10 0 SECTION LOCAL DEFAULT 23
24: 0000000000601fe0 0 SECTION LOCAL DEFAULT 24
25: 0000000000601fe8 0 SECTION LOCAL DEFAULT 25
26: 00000000006020c8 0 SECTION LOCAL DEFAULT 26
27: 00000000006020e0 0 SECTION LOCAL DEFAULT 27
28: 0000000000000000 0 SECTION LOCAL DEFAULT 28
29: 0000000000400e0c 0 FUNC LOCAL DEFAULT 13 call_gmon_start
30: 0000000000000000 0 FILE LOCAL DEFAULT ABS crtstuff.c
31: 0000000000601de8 0 OBJECT LOCAL DEFAULT 20 __CTOR_LIST__
32: 0000000000601df8 0 OBJECT LOCAL DEFAULT 21 __DTOR_LIST__
33: 0000000000601e08 0 OBJECT LOCAL DEFAULT 22 __JCR_LIST__
34: 0000000000400e30 0 FUNC LOCAL DEFAULT 13 __do_global_dtors_aux
35: 00000000006023d8 1 OBJECT LOCAL DEFAULT 27 completed.6531
36: 00000000006023e0 8 OBJECT LOCAL DEFAULT 27 dtor_idx.6533
37: 0000000000400ea0 0 FUNC LOCAL DEFAULT 13 frame_dummy
38: 0000000000000000 0 FILE LOCAL DEFAULT ABS crtstuff.c
39: 0000000000601df0 0 OBJECT LOCAL DEFAULT 20 __CTOR_END__
40: 00000000004018a0 0 OBJECT LOCAL DEFAULT 17 __FRAME_END__
41: 0000000000601e08 0 OBJECT LOCAL DEFAULT 22 __JCR_END__
42: 0000000000401450 0 FUNC LOCAL DEFAULT 13 __do_global_ctors_aux
43: 0000000000000000 0 FILE LOCAL DEFAULT ABS uaf.cpp
44: 00000000006023e8 1 OBJECT LOCAL DEFAULT 27 _ZStL8__ioinit
45: 0000000000401124 64 FUNC LOCAL DEFAULT 13 _Z41__static_initializati
46: 0000000000401164 21 FUNC LOCAL DEFAULT 13 _GLOBAL__sub_I_main
47: 0000000000401530 8 OBJECT LOCAL DEFAULT 15 _ZZL18__gthread_active_pv
48: 0000000000601fe8 0 OBJECT LOCAL DEFAULT 25 _GLOBAL_OFFSET_TABLE_
49: 0000000000601de8 0 NOTYPE LOCAL DEFAULT 19 __init_array_end
50: 0000000000601de0 0 NOTYPE LOCAL DEFAULT 19 __init_array_start
51: 0000000000601e10 0 OBJECT LOCAL DEFAULT 23 _DYNAMIC
52: 00000000006020c8 0 NOTYPE WEAK DEFAULT 26 data_start
53: 00000000006020e0 280 OBJECT GLOBAL DEFAULT 27 _ZSt3cin@@GLIBCXX_3.4
54: 0000000000000000 0 FUNC GLOBAL DEFAULT UND _ZNSsC1Ev@@GLIBCXX_3.4
55: 0000000000000000 0 FUNC GLOBAL DEFAULT UND _ZNSolsEi@@GLIBCXX_3.4
56: 0000000000401440 2 FUNC GLOBAL DEFAULT 13 __libc_csu_fini
57: 00000000004015d0 24 OBJECT WEAK DEFAULT 15 _ZTI3Man
58: 0000000000400de0 0 FUNC GLOBAL DEFAULT 13 _start
59: 0000000000401580 32 OBJECT WEAK DEFAULT 15 _ZTV5Human
60: 0000000000401192 125 FUNC WEAK DEFAULT 13 _ZN5Human9introduceEv
61: 0000000000000000 0 NOTYPE WEAK DEFAULT UND __gmon_start__
62: 0000000000000000 0 NOTYPE WEAK DEFAULT UND _Jv_RegisterClasses
63: 0000000000000000 0 FUNC GLOBAL DEFAULT UND _Znam@@GLIBCXX_3.4
64: 0000000000000000 0 FUNC GLOBAL DEFAULT UND _ZdlPv@@GLIBCXX_3.4
65: 0000000000401488 0 FUNC GLOBAL DEFAULT 14 _fini
66: 0000000000000000 0 FUNC GLOBAL DEFAULT UND _ZNSt8ios_base4InitC1Ev@@
67: 0000000000000000 0 FUNC GLOBAL DEFAULT UND read@@GLIBC_2.2.5
68: 0000000000000000 0 FUNC GLOBAL DEFAULT UND __libc_start_main@@GLIBC_
69: 0000000000000000 0 FUNC GLOBAL DEFAULT UND system@@GLIBC_2.2.5
70: 0000000000000000 0 FUNC GLOBAL DEFAULT UND __cxa_atexit@@GLIBC_2.2.5
71: 000000000040123a 41 FUNC WEAK DEFAULT 13 _ZN5HumanD1Ev
72: 0000000000400ce0 0 FUNC GLOBAL DEFAULT UND _ZNSt8ios_base4InitD1Ev@@
73: 00000000004015e8 7 OBJECT WEAK DEFAULT 15 _ZTS5Human
74: 0000000000000000 0 FUNC GLOBAL DEFAULT UND _ZStlsISt11char_traitsIcE
75: 0000000000401308 109 FUNC WEAK DEFAULT 13 _ZN5WomanC1ESsi
76: 00000000004014a0 4 OBJECT GLOBAL DEFAULT 15 _IO_stdin_used
77: 0000000000000000 0 FUNC GLOBAL DEFAULT UND _ZNSsD1Ev@@GLIBCXX_3.4
78: 00000000004015c8 5 OBJECT WEAK DEFAULT 15 _ZTS3Man
79: 00000000006020c8 0 NOTYPE GLOBAL DEFAULT 26 __data_start
80: 0000000000602200 88 OBJECT WEAK DEFAULT 27 _ZTVN10__cxxabiv117__clas
81: 00000000004015b0 24 OBJECT WEAK DEFAULT 15 _ZTI5Woman
82: 0000000000000000 0 FUNC GLOBAL DEFAULT UND _ZNSsC1EPKcRKSaIcE@@GLIBC
83: 0000000000401560 32 OBJECT WEAK DEFAULT 15 _ZTV3Man
84: 0000000000602260 272 OBJECT GLOBAL DEFAULT 27 _ZSt4cout@@GLIBCXX_3.4
85: 000000000040117a 24 FUNC WEAK DEFAULT 13 _ZN5Human10give_shellEv
86: 00000000006020d0 0 OBJECT GLOBAL HIDDEN 26 __dso_handle
87: 0000000000401376 54 FUNC WEAK DEFAULT 13 _ZN5Woman9introduceEv
88: 0000000000601e00 0 OBJECT GLOBAL HIDDEN 21 __DTOR_END__
89: 00000000004013b0 137 FUNC GLOBAL DEFAULT 13 __libc_csu_init
90: 0000000000000000 0 FUNC GLOBAL DEFAULT UND atoi@@GLIBC_2.2.5
91: 0000000000401210 41 FUNC WEAK DEFAULT 13 _ZN5HumanC2Ev
92: 0000000000401210 41 FUNC WEAK DEFAULT 13 _ZN5HumanC1Ev
93: 0000000000401540 32 OBJECT WEAK DEFAULT 15 _ZTV5Woman
94: 0000000000401264 109 FUNC WEAK DEFAULT 13 _ZN3ManC1ESsi
95: 00000000006020d8 0 NOTYPE GLOBAL DEFAULT ABS __bss_start
96: 0000000000602380 88 OBJECT WEAK DEFAULT 27 _ZTVN10__cxxabiv120__si_c
97: 0000000000000000 0 FUNC GLOBAL DEFAULT UND _ZStlsIcSt11char_traitsIc
98: 0000000000000000 0 FUNC GLOBAL DEFAULT UND _ZNSaIcED1Ev@@GLIBCXX_3.4
99: 0000000000401308 109 FUNC WEAK DEFAULT 13 _ZN5WomanC2ESsi
100: 0000000000401264 109 FUNC WEAK DEFAULT 13 _ZN3ManC2ESsi
101: 00000000004015f0 16 OBJECT WEAK DEFAULT 15 _ZTI5Human
102: 0000000000000000 0 NOTYPE WEAK DEFAULT UND pthread_cancel
103: 00000000006023f0 0 NOTYPE GLOBAL DEFAULT ABS _end
104: 0000000000000000 0 FUNC GLOBAL DEFAULT UND _ZNSolsEPFRSoS_E@@GLIBCXX
105: 00000000004015a0 7 OBJECT WEAK DEFAULT 15 _ZTS5Woman
106: 0000000000400d60 0 FUNC GLOBAL DEFAULT UND _ZSt4endlIcSt11char_trait
107: 00000000006020d8 0 NOTYPE GLOBAL DEFAULT ABS _edata
108: 0000000000000000 0 FUNC GLOBAL DEFAULT UND _ZNSaIcEC1Ev@@GLIBCXX_3.4
109: 0000000000400d80 0 FUNC GLOBAL DEFAULT UND __gxx_personality_v0@@CXX
110: 00000000004012d2 54 FUNC WEAK DEFAULT 13 _ZN3Man9introduceEv
111: 0000000000000000 0 FUNC GLOBAL DEFAULT UND _Znwm@@GLIBCXX_3.4
112: 0000000000000000 0 FUNC GLOBAL DEFAULT UND _Unwind_Resume@@GCC_3.0
113: 0000000000000000 0 FUNC GLOBAL DEFAULT UND _ZNSsaSERKSs@@GLIBCXX_3.4
114: 0000000000000000 0 FUNC GLOBAL DEFAULT UND open@@GLIBC_2.2.5
115: 0000000000400ec4 608 FUNC GLOBAL DEFAULT 13 main
116: 0000000000400c28 0 FUNC GLOBAL DEFAULT 11 _init
117: 0000000000000000 0 FUNC GLOBAL DEFAULT UND _ZNSirsERj@@GLIBCXX_3.4
118: 000000000040123a 41 FUNC WEAK DEFAULT 13 _ZN5HumanD2Ev
보고싶은 주소값들이 얼추 다 들어있네요. symbol이 제거가 안되서 편하네요.
이제 Woman->introduce()의 값이 어떻게 저장되는지만 확인하면 될 것 같습니다. gdb로 따라가면서 확인해보겠습니다.
disas main을 해보면 switch문 분기점으로 추정되는 부분을 알 수 있습니다. 이제 저희는 write하는 부분을 보고싶으니 case 2에 해당하는 *main+316에 breakpoint를 걸고 after를 선택해 진행해보겠습니다.
ing
'워게임 > Pwnable.kr' 카테고리의 다른 글
| [Pwnable.kr] cmd2 (0) | 2018.01.15 |
|---|---|
| [Pwnable.kr] cmd1 (0) | 2018.01.15 |
| [Pwnable.kr] lotto (0) | 2018.01.15 |
| [Pwnable.kr] blackjack (0) | 2018.01.15 |
| [Pwnable.kr] coin1 (3) | 2018.01.15 |
| [Pwnable.kr] shellshock (0) | 2018.01.15 |