들어가기 앞서
system hacking에서 FSOP(File Stream Oriented Programming)이라는 기법이 존재한다는 것을 알았으며, 해당 취약점은 FS(File Stream)을 공격하여 libc 주소를 leak 하거나 vtable을 변조하여 원하는 함수를 실행하는 기법이다.
C에서 파일에 데이터를 저장하거나 불러오는 방식
C에서 파일을 어떻게 처리하는지 알 기 위해서 파일을 저장하는 구조체와 해당 구조체를 사용하는 함수를 뜯어보면 알 수 있다.
C에서 파일을 다루는 구조체는 FILE 구조체이며, 파일과 관련된 함수는 fopen, fread, fwrite, fclose등등이 존재한다.
이러한 파일을 다루는 함수와 구조체를 분석하여 File Stream을 공격하여 원하는 함수를 어떻게 실행할 수 있는지 분석을 진행할 것이다.
환경
일단 glibc 2.39 버전의 source code를 분석할 것이기 때문에 아래의 사이트에서 소스코드를 다운받았다.
glibc 분석을 진행하는 것이 처음이라 실수가 많을 수 있으며, 엉뚱한 이야기가 있을 수도 있습니다. 그 부분을 감안해서 너그러이 봐주시면 감사하겠습니다.
FILE Struct
Example Code
아래의 소스 코드를 가지고 직접 디버깅을 진행하면서 분석을 진행한다.
//gcc -o file_struct file_struct.c
#include <stdio.h>
int main(){
printf("File Structure Debugging\n");
read(0, stdin, 0x100);
puts("Hello World!");
return 1;
}
C
복사
struct _IO_FILE
FILE.h에 선언되어 있는 원형을 보면 _IO_FILE와 동일한 것을 확인할 수 있다.
#ifndef __FILE_defined
#define __FILE_defined 1
struct _IO_FILE;
/* The opaque type of streams. This is the definition used elsewhere. */
typedef struct _IO_FILE FILE;
#endif
C
복사
그럼 다시 파고 들어가서 _IO_FILE 구조체를 확인하면 내부를 알아낼 수 있다.
struct _IO_FILE
{
int _flags; /* High-order word is _IO_MAGIC; rest is flags. */
/* The following pointers correspond to the C++ streambuf protocol. */
char *_IO_read_ptr; /* Current read pointer */
char *_IO_read_end; /* End of get area. */
char *_IO_read_base; /* Start of putback+get area. */
char *_IO_write_base; /* Start of put area. */
char *_IO_write_ptr; /* Current put pointer. */
char *_IO_write_end; /* End of put area. */
char *_IO_buf_base; /* Start of reserve area. */
char *_IO_buf_end; /* End of reserve area. */
/* The following fields are used to support backing up and undo. */
char *_IO_save_base; /* Pointer to start of non-current get area. */
char *_IO_backup_base; /* Pointer to first valid character of backup area */
char *_IO_save_end; /* Pointer to end of non-current get area. */
struct _IO_marker *_markers;
struct _IO_FILE *_chain;
int _fileno;
int _flags2;
__off_t _old_offset; /* This used to be _offset but it's too small. */
/* 1+column number of pbase(); 0 is unknown. */
unsigned short _cur_column;
signed char _vtable_offset;
char _shortbuf[1];
_IO_lock_t *_lock;
#ifdef _IO_USE_OLD_IO_FILE
};
struct _IO_FILE_complete
{
struct _IO_FILE _file;
#endif
__off64_t _offset;
/* Wide character stream stuff. */
struct _IO_codecvt *_codecvt;
struct _IO_wide_data *_wide_data;
struct _IO_FILE *_freeres_list;
void *_freeres_buf;
size_t __pad5;
int _mode;
/* Make sure we don't get into trouble again. */
char _unused2[15 * sizeof (int) - 4 * sizeof (void *) - sizeof (size_t)];
};
C
복사
여기서 다른 부분들도 모두 중요하지만 일단 _flag를 먼저 보면 _flag에 들어가는 상위 word는 _IO_MAGIC이며, 나머지 bit는 flags를 나타내는 것을 주석으로 확인할 수 있다.
_IO_MAGIC && flags
/* Magic number and bits for the _flags field. The magic number is
mostly vestigial, but preserved for compatibility. It occupies the
high 16 bits of _flags; the low 16 bits are actual flag bits. */
#define _IO_MAGIC 0xFBAD0000 /* Magic number */
#define _IO_MAGIC_MASK 0xFFFF0000
#define _IO_USER_BUF 0x0001 /* Don't deallocate buffer on close. */
#define _IO_UNBUFFERED 0x0002
#define _IO_NO_READS 0x0004 /* Reading not allowed. */
#define _IO_NO_WRITES 0x0008 /* Writing not allowed. */
#define _IO_EOF_SEEN 0x0010
#define _IO_ERR_SEEN 0x0020
#define _IO_DELETE_DONT_CLOSE 0x0040 /* Don't call close(_fileno) on close. */
#define _IO_LINKED 0x0080 /* In the list of all open files. */
#define _IO_IN_BACKUP 0x0100
#define _IO_LINE_BUF 0x0200
#define _IO_TIED_PUT_GET 0x0400 /* Put and get pointer move in unison. */
#define _IO_CURRENTLY_PUTTING 0x0800
#define _IO_IS_APPENDING 0x1000
#define _IO_IS_FILEBUF 0x2000
/* 0x4000 No longer used, reserved for compat. */
#define _IO_USER_LOCK 0x8000
C
복사
위 내용을 확인하여 _IO_MAGIC은 0xFBAD0000인 것을 확인할 수 있다.
Debugging
위에 Example Code를 기준으로 설명한다.
gef➤ disas main
Dump of assembler code for function main:
0x000060b66f697169 <+0>: endbr64
0x000060b66f69716d <+4>: push rbp
0x000060b66f69716e <+5>: mov rbp,rsp
0x000060b66f697171 <+8>: lea rax,[rip+0xe8c] # 0x60b66f698004
0x000060b66f697178 <+15>: mov rdi,rax
0x000060b66f69717b <+18>: call 0x60b66f697060 <puts@plt>
0x000060b66f697180 <+23>: mov rax,QWORD PTR [rip+0x2e89] # 0x60b66f69a010 <stdin@GLIBC_2.2.5>
0x000060b66f697187 <+30>: mov edx,0x100
0x000060b66f69718c <+35>: mov rsi,rax
0x000060b66f69718f <+38>: mov edi,0x0
0x000060b66f697194 <+43>: mov eax,0x0
0x000060b66f697199 <+48>: call 0x60b66f697070 <read@plt>
0x000060b66f69719e <+53>: lea rax,[rip+0xe78] # 0x60b66f69801d
0x000060b66f6971a5 <+60>: mov rdi,rax
0x000060b66f6971a8 <+63>: call 0x60b66f697060 <puts@plt>
0x000060b66f6971ad <+68>: mov eax,0x1
0x000060b66f6971b2 <+73>: pop rbp
0x000060b66f6971b3 <+74>: ret
End of assembler dump.
Assembly
복사
아래의 명령어를 입력해서 디버깅을 진행한다.
b *main
p *stdin
Assembly
복사
p *stdin
_flags를 보면 0xfbad2088이 들어가있는 것을 확인할 수 있다.
#define _IO_MAGIC 0xFBAD0000 /* Magic number */
#define _IO_IS_FILEBUF 0x2000
#define _IO_LINKED 0x0080 /* In the list of all open files. */
#define _IO_NO_WRITES 0x0008 /* Writing not allowed. */
_flags = 0xfbad2088
_flags = _IO_MAGIC | _IO_IS_FILEBUF | _IO_LINKED | _IO_NO_WRITES
_flags = 0xFBAD0000 | 0x2000 | 0x0080 | 0x0008
C
복사
위에 내용을 기반으로 flags를 뽑아내면 아래의 플레그가 세팅된 것을 확인할 수 있다.
stdin은 스트림 파일 기반의 버퍼이며, 파일 스트림이 연결되어 있고, 값을 쓸 수 없음을 의미한다.
실제로 ptype 명령어를 통해서 실제 인스턴스의 타입을 보면 _IO_FILE 구조체임을 볼 수 있다.
ptype *stdin
C
복사
자 그럼 각자의 구조체를 분석해보자!
크게 중요하다고 생각되지 않는 구조체는 설명 따로 하지 않겠다.
struct _IO_marker *_markers
/* A streammarker remembers a position in a buffer. */
struct _IO_marker {
struct _IO_marker *_next;
FILE *_sbuf;
/* If _pos >= 0
it points to _buf->Gbase()+_pos. FIXME comment */
/* if _pos < 0, it points to _buf->eBptr()+_pos. FIXME comment */
int _pos;
};
C
복사
struct _IO_FILE *_chain
ptype struct _IO_FILE 에 존재하는 _chain에 대해서 알아보자
_chain 변수는 FILE 구조체를 연결하여 연결 리스트 형태로 관리하기 위해서 사용된다. 즉 FILE 구조체를 연결하여 오픈된 Stream을 순회 할 수 있도록 만들어준다.
여기서 연결 리스트라고 했는데 자료구조를 공부한 사람들이라면 연결 리스트라면 전역 변수인 head가 있을 것이라 예상할 수 있고 이 head 역할은 _IO_list_all올 통해서 관리를 한다.
아래와 같이 확인해보면 _IO_list_all에서 _IO_2_1_stderr을 가지고 있다.
연결되어 있는 상태를 확인해보면 아래와 같다.
•
_IO_list_all의 chain을 따라가니 stderr → stdout → stdin이 연결되어 있다.
struct _IO_codecvt *_codecvt
struct _IO_codecvt
{
_IO_iconv_t __cd_in;
_IO_iconv_t __cd_out;
};
C
복사
struct _IO_wide_data *_wide_data
struct _IO_wide_data
{
wchar_t *_IO_read_ptr; /* Current read pointer */
wchar_t *_IO_read_end; /* End of get area. */
wchar_t *_IO_read_base; /* Start of putback+get area. */
wchar_t *_IO_write_base; /* Start of put area. */
wchar_t *_IO_write_ptr; /* Current put pointer. */
wchar_t *_IO_write_end; /* End of put area. */
wchar_t *_IO_buf_base; /* Start of reserve area. */
wchar_t *_IO_buf_end; /* End of reserve area. */
/* The following fields are used to support backing up and undo. */
wchar_t *_IO_save_base; /* Pointer to start of non-current get area. */
wchar_t *_IO_backup_base; /* Pointer to first valid character of
backup area */
wchar_t *_IO_save_end; /* Pointer to end of non-current get area. */
__mbstate_t _IO_state;
__mbstate_t _IO_last_state;
struct _IO_codecvt _codecvt;
wchar_t _shortbuf[1];
const struct _IO_jump_t *_wide_vtable;
};
C
복사
vtable이 존재하는 것을 보아 함수 테이블을 가지고 있다고 볼 수 있다.
해당 부분을 잘 조진다면 exploit에 활용할 수 있다는 것 까지만 알고 일단 넘어가자 추후 계속 글을 작성하니까…
char *_IO_…
자 이제 해당 변수들의 역할을 알아보자 사실 다 외워야할 필요는 없다 exploit 할 때 호출하는 함수의 상황에 따라서 맞춰서 변경해주면 된다.
그래도 알고 exploit을 하는 것과 모르고 exploit을 진행하는 것은 다르기 때문에 한번쯤 보고 가자
1.
char *_IO_read_ptr
읽기 버퍼 안에서 다음에 읽을 문자
2.
char *_IO_read_end
읽기 버퍼의 끝
3.
char *_IO_read_base
읽기 버퍼의 시작 지점
4.
char *_IO_write_base
쓰기 버퍼의 시작 지점
5.
char *_IO_write_ptr
쓰기 버퍼의 위치를 가짐, 문자를 쓸. 해당 포인터를 증가시키며, 쓰기가 끝난 위치
6.
char *_IO_write_end
쓰기 버퍼의 끝
7.
char *_IO_buf_base
스트림에서 사용하는 전체 버퍼(Read, Write 모두 포함)의 시작 주소
8.
char *_IO_buf_end
스트림에서 사용하는 전체 버퍼의 끝
9.
char *_IO_save_base
현재 버퍼 상태를 임시 저장할 때 사용
10.
char *_IO_backup_base
백업 용도로 사용
11.
char *_IO_save_end
_IO_save_base의 끝 지점
그냥 간단하게 이런 용도구나 하고 넘어가도 된다. 나중에 자세히 설명할 것이기 때문에 일단 1차적인 FILE 구조체에 대한 설명은 여가까지 진행하겠다.
