[HackCTF] Register Write-up

이번에 풀어볼 문제는 64bit에서 진행되는 Register이다. 

또하나 교훈을 얻게되는 문제였다!!

* Thanks to Py0zz1 *

이 문제도 역시 NX와 Partial RELRO를 가지고 있다.

그러므로 stack, heap, .data 영역에 실행권한이 없으면서

Got Overwrite가 가능하다는 것을 알 수 있다.

문제를 실행시켜보도록 하겠다.

RAX, RDI... 등의 register에 값을 입력하는 것으로 보이는

Code가 보여진다. 또한 한 바퀴를 돌고나니까

다시 RAX부터 register 값을 입력받고 있었다.

이번에는 IDA를 이용하여 코드를 보도록 하자!!

< main >

main 함수의 경우 5초의 alarm 함수가 진행되었으며

build 함수를 호출하고 있는 것을 알 수 있었다.

< build >

 

build 함수의 경우 signal 함수가 호출되었으며

시그널 번호는 14번이며 이 14번 시그널을

handler(신호 핸들러)에서 처리하도록 되어있었다. 14번 시그널은

SIGALRM으로 알람에 의해 발생되는 시그널이다.

쉽게 말해서 14번 시그널 SIGARLM이 발생하면

신호핸들러인 handler가 동작한다는 의미이다.

< handler >

handler는 다시 exec_syscall_obj를 호출하고 있었으며

그러므로 main에 있는 알람 함수가 동작하면서 5초 뒤에

14번 시그널이 발생될 것이고 그 말은 즉, 5초 뒤에

handler가 동작하여 exec_syscall_obj가 진행된다는 의미가 된다.

< exec_syscall_obj >

이 함수에서는 syscall을 호출하고 있었다.

또한 build 함수에서는 get_obj를 호출하고 있었는데

< get_obj >

아까 우리가 보았던 register 이름들이 출력되었고

get_ll를 호출하고 있는 것으로 보아 입력을 받는 부분이 있을 것이다.

< get_ll >

해당 함수에는 get_inp가 호출되었고 인자로 넘겨진

nptr을 atol함수를 이용하여 문자열을 long형 정수로 바꿔주고 있었다.

< get_inp >

마지막으로 get_inp를 보니 역시 예상했던대로 입력을 받고 있었다.

다시 build를 보면 while문의 조건으로 validate_syscall_obj가 있고

종결조건인 validate_syscall_obj의 리턴값이 거짓이면 raise함수가 

14번 시그널을 실행 중인 프로그램에게 보내게된다. 그러므로

프로그램이 시작되고 5초 후에 alarm 함수로 인해 14번 시그널이

발생되고 syscall을 진행할 수 있게되며 다음 while문이 진행될 때

validate_syscall_obj가 거짓이 되면 다시 raise 함수로 인해

14번 시그널이 발생하게되는 로직이다. 이 점을 잘 이용해야한다.

< validate_syscall_obj >

build 함수의 모습을 어셈블리어 코드로 보게되면

validate_syscall_obj 함수의 실행 다음을 보면 jne로 비교해서

다르면 build+155로 jmp한다. 만약 같아서 다음으로 넘어가면 raise를

호출하게되고 build+38로 jmp해서 다시 입력을 받는다. 만약 위에서 처럼

달라서 build+155로 뛰더라도 다시 build+156에서 jmp를 만나서

build + 38로 뛰게되어있다. 결국 계속 입력을 받는다는 의미이다..

차이점은 raise 함수를 실행하냐 마느냐 이다.

test eax, eax의 의미는 함수의 return값이 저장되는 eax를

비교하여 그 값이 0인지 아닌지를 확인하는 것이다.

test는 두 값을 AND 연산하며 연산결과를 따로 저장하지 않는다.

대신 FLAG Register에 그 흔적을 남기게 된다. 값이 0인경우 ZF = 1이 된다.

참고 : https://p3ace.tistory.com/41

그렇다면 여기까지 진행했을 때 이 문제는 특정 메모리 leak을

할 필요가 없이 64bit syscall table을 보고 우리가 필요한 함수들을

syscall 해주면 될 것임을 알 수 있다. 그러면 간단하게 풀 수 있다.

Payload는 다음과 같이 구성하게 된다.

read 함수를 호출하기 위해 rax, rdi를 0으로 진행하고

고정주소영역의 버퍼를 rsi값으로 준다. 우리는 고정주소영역에

"/bin/sh\x00"을 저장할 것이기 때문에 rdx로 "/bin/sh\x00"의 길이

8을 줄 것이다. 그 다음으로는 "/bin/sh"을 실행하기위해 execute 함수를

호출할 것이다. 그러므로 rax는 59, rdi는 "/bin/sh\x00"이 저장된

고정주소 영역 나머지는 Null로 채워주면 쉘이 따질 것이다.

나는 고정주소 영역으로 .data영역을 사용하였다.

< Payload >

주의할 점은 해당 Payload대로 Syscall을 하기전에 

alarm 함수를 유의해야한다. 5초 이후에 알람 시그널(14)를

전송하기 때문에 Syscall이 일어나려면 시간을 잘 맞춰주어야한다.

나는 시간을 맞춰주기위해서 sleep(3)을 사용하였다.

* 또한 이렇게 반복되는 Payload의 경우 가독성을 위해 함수화하자 *

위의 Payload대로 진행을 하게되면~

짜잔~ FLAG를 볼 수 있었다!! 문제를 풀 때는 항상 함수들을 꼼꼼히 보도록하자!!

참고 : https://www.ibm.com/support/knowledgecenter/ko/ssw_ibm_i_73/rtref/raise.htm

http://forum.falinux.com/zbxe/index.php?document_srl=413254&mid=C_LIB

https://blockdmask.tistory.com/23