| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |
- Python
- c++
- SWEA
- HTML
- hackctf
- BOJ
- 풀이
- The Loard of BOF
- 드림핵
- 기계학습
- 생활코딩
- BOJ Python
- Sookmyung Information Security Study
- lob
- CSS
- c
- hackerrank
- 파이썬
- PHP 웹페이지 만들기
- 자료구조 복습
- 웹페이지 만들기
- 머신러닝
- 백준
- XSS Game
- WarGame
- 숙명여자대학교 정보보안 동아리
- Javascript
- siss
- C언어
- 숙명여자대학교 정보보안동아리
- Today
- Total
혜랑's STORY
[System Hacking STAGE 7] Background: RELRO 본문
[System Hacking STAGE 7] Background: RELRO
hyerang0125 2022. 2. 9. 13:06서론
Background: Library 에서 ELF는 GOT를 활용하여 반복되는 라이브러리 함수의 호출 비용을 줄인다고 했다. 지난 코스에서는 함수가 처음 호출될 때 함수의 주소를 구하고, 이를 GOT에 적는 Lazy Binding을 배웠다.
Lazy binding을 하는 바이너리는 실행 중에 GOT 테이블을 업데이트할 수 있어야 하므로 GOT에 쓰기 권한이 부여된다. 그런데 이는 앞서 배워온 공격 기법들에서 알 수 있듯, 바이너리를 취약하게 만드는 원인이 된다.
또한 ELF의 데이터 세그먼트에는 프로세스의 초기화 및 종료와 관련된 .init_array, .fini_array가 있다. 이 영역들은 프로세스의 시작과 종료에 실행할 함수들의 주소를 저장하고 있는데, 여기에 공격자가 임의로 값을 쓸 수 있다면, 프로세스의 실행 흐름이 조작될 수 있다.
위와 같은 문제를 해결하고자 프로세스의 데이터 세그먼트를 보호하는 RELocation Read-Only(RELRO)가 등장하였고 RELRO는 쓰기 권한이 불필요한 데이터 세그먼트에 쓰기 권한을 제거한다. RELRO는 적용하는 범위에 따라 두 가지로 구분되는데 하나는 RELRO를 부분적으로 적용하는 Partial RELRO이고, 나머지는 가장 넓은 영역에 RELRO를 적용하는 FULL RELRO이다. 각각의 특징과 우회 방법을 알아보자.
Partial RELRO
사용할 예제 코드
// Name: relro.c
// Compile: gcc -o prelro relro.c -no-pie -fno-PIE
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
int main() {
FILE *fp;
char ch;
fp = fopen("/proc/self/maps", "r");
while (1) {
ch = fgetc(fp);
if (ch == EOF) break;
putchar(ch);
}
return 0;
}RELRO 검사
실습 환경의 gcc는 Full RELRO를 기본 적용하고, PIE를 해제하면 Partial RELRO를 적용한다. 바이너리의 RELRO 여부도 checksec으로 검사할 수 있다.
Partial RELRO 권한
prelro를 실행해보면 0x601000부터 0x602000까지의 주소에는 쓰기 권한이 있는 것을 확인할 수 있다. 아래 섹션 헤더를 참조해보면 해당 영역에는 .got.ple, .data, .bss가 할당되어 있다. 따라서 이 섹션들에는 쓰기가 가능하다.
반면, .init_array와 .fini_array는 각각 0x600e10과 0x600e18에 할당되어 쓰기가 불가능하다.
Partial RELRO가 적용된 바이너리는 got와 관련된 섹션이 .got와 .got.plt로 두 개가 존재한다. 전역 변수 중에서 실행되는 시점에 바인딩(now binding)되는 변수는 .got에 위치한다. 바이너리가 실행될 때는 이미 바인딩이 완료되어있으므로 이 영역에 쓰기 권한을 부여하지 않는다.
반면 실행 중에 바인딩(lazy binding)되는 변수는 .got.plt에 위치한다. 이 영역은 실행 중에 값이 써져야 하므로 쓰기 권한이 부여된다. Partial RELRO가 적용된 바이너리에서 대부분 함수들의 GOT 엔트리는 .got.plt에 저장된다.
Full RELRO
위에서 사용한 코드에서 옵션을 제거하고 컴파일하면 Full RELRO가 적용된 바이너리가 생성된다.
frelro를 실행하여 메모리 맵을 확인하고, 이를 섹션 헤더 정보와 종합해보면 got에는 쓰기 권한이 제거되어 있으며 data와 bss에만 쓰기 권한이 있다. Full RELRO가 적용되면 라이브러리 함수들의 주소가 바이너리의 로딩 시점에 모두 바인딩된다. 따라서 GOT에는 쓰기 권한이 부여되지 않는다.
RELRO 기법 우회
Partial RELRO의 경우, .init_array와 .fini_array에 대한 쓰기 권한이 제거되어 두 영역을 덮어쓰는 공격을 수행하기 어려워진다. 하지만, .got.plt 영역에 대한 쓰기 권한이 존재하므로 GOT Overwrite 공격을 활용할 수 있다.
Full RELRO의 경우, .init_array, .fini_array 뿐만 아니라 .got 영역에도 쓰기 권한이 제거되었다. 그래서 공격자들을 덮어쓸 수 있는 다른 함수 포인터를 찾다가 라이브러리에 위치한 hook을 찾아냈다. 라이브러리 함수의 대표적인 hook이 malloc hook과 free hook이다. 원해 이 함수 포인터는 동적 메모리의 할당과 해제 과정에서 발생하는 버그를 디버깅하기 쉽게 하려고 만들어졌다.
glibc malloc 소스 코드
void *
__libc_malloc (size_t bytes)
{
mstate ar_ptr;
void *victim;
void *(*hook) (size_t, const void *)
= atomic_forced_read (__malloc_hook); // read hook
if (__builtin_expect (hook != NULL, 0))
return (*hook)(bytes, RETURN_ADDRESS (0)); // call hook
#if USE_TCACHE
/* int_free also calls request2size, be careful to not pad twice. */
size_t tbytes;
checked_request2size (bytes, tbytes);
size_t tc_idx = csize2tidx (tbytes);
// ...malloc 함수의 코드를 살펴보면, 함수의 시작 부분에서 __malloc_hook이 존재하는지 검사하고, 존재하면 이를 호출한다. __malloc_hook은 libc.so에서 쓰기 가능한 영역에 위치한다. 따라서 공격자는 libc가 매핑된 주소를 알 때, 이 변수를 조작하고 malloc을 호출하여 실행 흐름을 조작할 수 있다. 이와 같은 공격 기법을 통틀어 Hook Overwrite라고 부른다.
'무지성 공부방 > Dreamhack SystemHacking' 카테고리의 다른 글
| [System Hacking STAGE 7] oneshot (0) | 2022.02.13 |
|---|---|
| [System Hacking STAGE 7] Exploit Tech: Hook Overwrite (0) | 2022.02.09 |
| [System Hacking STAGE 7] Background: PIE (0) | 2022.02.06 |
| [System Hacking STAGE 6] basic_rop_x86 (0) | 2022.02.06 |
| [System Hacking STAGE 6] basic_rop_x64 (0) | 2022.02.06 |
