'분류 전체보기'에 해당되는 글 695건

( GS + SafeSEH 우회 익스플로잇 : http://5kyc1ad.tistory.com/312 )

SEH Overwrite에 대한 기초적인 내용은 http://5kyc1ad.tistory.com/308 여기와 위 링크를 참고하시기 바랍니다.

SEHOP : Linked-List 형태인 SEH 체인을 참조하여 마지막 SEH에 SEHRecord->pNextSEHRecord에는 0xFFFFFFFF, SEHRecord->pExceptionHandler에는 Ntdll!FinalExceptionHandler 함수 주소가 지정되어 있는지 확인하는 보호 기법.

 * 이하에서 익스플로잇에 사용한 프로그램에 스택 기반 BOF 및 SEH Overwrite 취약점이 존재하지만 NULL을 입력할 수 없는 문제가 있어 실습을 위해 메모리에 직접 수정을 가해서 입력되었다는 가정 하에 익스플로잇 실습을 진행했습니다. 해당 프로그램은 위 ‘GS + SafeSEH 우회 익스플로잇’에서 사용한 것과 동일합니다.

[정상적인 SEH 체인]

[비정상적인 SEH 체인]

 기존에 SafeSEH를 피해 SEH Overwrite를 했던 기법을 그대로 사용하면 pNextSEHRecord가 Relative Short JMP의 OPCode로 변조되어버리기 때문에 SEH 체인이 끊기고 SEHOP에 탐지되어 정상적으로 Exploit이 실행되지 않습니다.

GS + DEP + SafeSEH + SEHOP가 적용되어 있고 ASLR이 있다고 가정할 경우 공격 방법은 다음과 같습니다.

[덮어쓸 SEHRecord 주소와 값 확인]

 스택에서 덮어쓸 SEHRecord 주소와 pNextSEHRecord 값을 확인합니다. pNextSEHRecord는 0x18FA90이며 바로 밑에 다음 SEHRecord가 있는 것을 볼 수 있습니다. SEH 체인을 끝까지 다 따라가면서 덮어씌워주기는 힘드므로 저 두 번째 체인을 0xFFFFFFFF와 Ntdll!FinalExceptionHandler 함수 주소로 변조하여 정상적으로 보이는 SEH 체인을 만들어야 합니다. 

[마지막 SEHRecord 값]

 마지막 SEHRecord까지 계속 참조하여 Ntdll!FinalExceptinHandler 주소값이 0x772E7428인 것을 확인할 수 있습니다.

 여기까지를 페이로드로 작성하면 다음과 같습니다.

Dummy(0x54) + 0x18FA90 + ???? + Dummy(4) + 0xFFFFFFFF + 0x772E7428

[익셉션 발생 직후 Handler 함수]

 익셉션 발생으로 SEHRecord->pExceptionHandler가 호출된 직후의 ESP의 위치를 확인하기 위해 Handler 함수에 바로 BP를 걸고 강제로 익셉션을 발생시켜 ESP가 0x18F448에 위치하게 됨을 확인했습니다. 위에서 인위적으로 만든 종료 체인 이후 스택 주소가 0x18FA98 이므로 0x18FA98 - 0x18F448 = 0x650 이상 ESP를 POP 또는 ADD ESP로 옮긴 후 ret을 해야 원하는 대로 ROP 체인 구성이 가능합니다.

[Ollydbg Search for All Sequences]

 해당하는 가젯을 찾기 위해 Ollydbg CPU 창에서 우클릭 -> Search for -> All Sequences 창을 열고 위와 같이 와일드카드 문자 CONST와 R32를 이용하여 가젯을 검색했습니다. (pop 없이 해봤더니 적당한 가젯이 나오지 않았습니다)

[발견한 가젯]

 바이너리 내에서 해당 가젯을 찾아내었습니다. ADD ESP, 0x800에 POP 1번 후 ret을 하므로 총 0x804만큼 ESP가 움직이게 됩니다. 0x650 - 0x804 = -0x1b4 이므로 총 0x1b4개만큼 Dummy를 추가로 넣은 후 적당한 함수 주소를 넣어 주면 ROP가 가능할 것으로 보입니다.

여기까지 페이로드는 다음과 같습니다.

Dummy(0x54) + 0x18FA90 + 0x452336 + Dummy(4) + 0xFFFFFFFF + 0x772E7428 + Dummy(0x1b4) + ROP Chain

[익스플로잇 스택 구조도]

 실제 스택 주소 기반으로 페이로드가 들어가 익스플로잇된 스택 구조를 그려봤습니다. 익셉션이 터지는 순간 익셉션 처리 과정에서 스택이 추가로 늘어나고 0x18F448에 ESP가 위치하게 됩니다. 이후 &Gadget이 pExceptionHandler 위치이므로 이 가젯을 실행하게 되는데 여기에는 ADD ESP, 0x800과 POP, ret이 있으므로 ROP Chain이 존재하는 0x18FC4C에서 ret을 하게 되고, ROP Chain이 실행되어 익스플로잇에 성공하게 될 것입니다. ROP Chain 위의 Dummy 부분은 어차피 말 그대로 Dummy이므로 그곳에 문자열을 넣고 간단히 MessageBox를 호출하도록 짜서 돌려봤습니다.

[Exploit 1]

 익셉션 발생하기 직전의 샘플, EAX에 0x90909090이 들어 있는데 포인터 참조하여 익셉션이 발생하려고 하고 있고 pExceptionHandler는 이미 0x452336으로 변조된 상황입니다.

[Exploit 2]

익셉션이 발생하고 0x452336의 BP에서 멈춘 상태. ESP는 0x18F448까지 내려갔고, ADD ESP, 800과 Pop이후 ret이 실행되므로 0x18FC4C의 값이 ret 될 것으로 예상 가능합니다.

[Exploit 3]

정확히 0x18FC4C의 값을 ret하며, 그 밑에 두번째 인자로 0x1B4 크기의 Dummy에 넣은 문자열 “Exploited!!”가 들어가는 것을 볼 수 있습니다.

[Exploit 4]

해당 함수는 MessageBoxA 함수였으며, 넣은 값 그대로 출력 후 종료됩니다. POP~RET 가젯도 찾아두었으니 여기에 라이브러리 함수를 연결해서 돌리기만 하면 ROP 체인을 계속 연결해 나갈 수 있겠습니다.

 ASLR이 걸려있지 않았기 때문에 주소값 넣는 데에 지장이 없었지만 ASLR까지 걸려있다면 주소를 Leak할 수 있는 취약점이 없는 이상 익스플로잇은 어려워 보입니다.

 SEHOP는 SEH Chain의 Validation을 런타임에 검사하는 미티게이션으로, SafeSEH와는 달리 컴파일 시 별다른 옵션을 주지 않았더라도 OS단에서 검사하여 공격을 차단하고 응용 프로그램을 보호한다. Windows 7이나 Windows Vista의 경우 SEHOP를 지원하지만 일부 프로그램이 호환되지 않는 문제가 있어 자동으로 적용되지는 않고, 레지스트리를 편집하여 사용할 수 있도록 설정해 주어야 한다.

[regedit으로 레지스트리 수정]

1. 윈도우키 + R 또는 시작->실행을 열어 regedit 실행.

2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel 로 이동.

3. DisableExceptionChainValidation 항목이 없을 경우 DWORD 값으로 새로 만들고 0으로 설정한다. 거꾸로 끄고 싶을 경우에는 1로 설정해주면 된다.

4. 재부팅. ( 바로 적용이 되는지는 모르겠지만 직접 해봤을 때는 재부팅해야 적용됐다. )

이 레지스트리 설정을 변경할 경우 일부 응용 프로그램이 비정상적으로 동작할 수 있으므로 조심해야 한다.

[스택 오버플로우를 발생시키는 memcpy 루틴]

 실제 SEH Overwrite 취약점이 존재하는 상용 프로그램을 분석했습니다. 프로그램 종류나 제품명은 공개하지 않겠습니다. 정확히는 SafeSEH밖에 걸려있지 않지만 여기서의 방법을 이용하면 설령 Stack Canary가 있더라도 우회가 가능하기 때문에 제목에는 두 미티게이션 모두 적어두었습니다.

 문자열을 입력받는 루틴에서 길이 체크를 하지 않아 스택 기반 오버플로우가 발생합니다. 현재 명령을 보면 rep movsd 으로 ESI의 값을 EDI에 memcpy하게 되는데, 이들은 각각 덤프 1 탭과 스택에 나타나 있습니다. ESI에는 오버플로우용 NOP Sled와 쉘코드, SEH Overwrite 코드가 Input으로 들어와 있고 EDI는 부모 함수의 스택 프레임 내부 주소값입니다.

[오버플로우 전]

[오버플로우 후]

 rep movsd 명령이 수행되고 위에서 설명한대로 SEH가 변조되었음을 볼 수 있습니다.

[익셉션 발생]

 부모 함수의 스택 프레임을 수정하여 오버플로우를 일으켰기 때문에 원래 있던 함수에서는 정상적으로 리턴되고, 직후 EBP-10의 값을 EAX에 넣고 EAX에 포인터 참조 연산을 수행합니다. 여기서 EBP – 10은 아까 rep movsd 명령에 의해 NOP으로 채워졌기 때문에 잘못된 포인터(0x90909090) 참조로 함수 에필로그 이전에 익셉션이 발생합니다.

[SEH Overwrite 실행 과정]

 이 글에서 설명할 때 사용했던 그림으로 살펴보면 pExceptionHandler에 ppr 가젯의 주소가 들어가 있고, pExceptionHandler를 Call한 상태이므로 ESP는 스택 위쪽 어딘가에 있는 ret을 가리키고 있을 것입니다. ppr 가젯이 실행되면서 ret과 ExceptionRecord가 pop되고, EstablisherFrame이 ret되는데 해당 주소는 pNextSEHRecord이고 여기에는 미리 넣어둔 Short JMP인 EB AC 가 있어 현재 주소에서 -82만큼 점프하게 됩니다. 이는 NOP Sled + Shellcode의 주소이고, 따라서 쉘코드가 정상적으로 실행됩니다.

[쉘코드 실행 성공]

 NOP Sled를 타고 내려와 계산기를 실행시키는 간단한 쉘코드가 실행된 모습입니다.

 군대갔다오면서 한달동안 기타 놨더니 많이 까먹었다. Spread Clever도 몇부분 까먹었고 메이저 스케일이랑 펜타토닉 스케일도 상당 부분 잊어버렸다. 다시 연습하면서 외워야지... 앞으로 연습하고 계속 칠 곡들이나 리스트업해보자.

[Warak - Spread Clever]

[WANIMA - ともに]

[SPYAIR - Samurai Heart]

[KOTOKO - Loop The Loop]

 일단은 이정도

산업기능요원 군사훈련 후기 및 준비물

[육군훈련소]

 2018년 5월 31일 ~ 2018년 6월 28일로 총 4주간 군사훈련을 다녀왔습니다. 현역의 경우 5주간의 훈련을 받고 자대배치를 받지만 보충역이거나 산업기능요원/전문연구요원의 경우 4주 군사훈련 후 다시 사회로 복귀하여 병역을 계속합니다. 이틀 전에 군대에서 돌아온 관계로 기억이 비교적 선명할 때 후기를 써두려고 합니다. (글 쓰는 도중 3일 전이 되었다)

 저는 서울에서 논산에 있는 육군훈련소에 가기 위해서 센트럴시티터미널에서 연무대 터미널로 가는 버스를 탔습니다. 가는 데는 넉넉잡고 2시간 반~3시간정도를 생각하시면 되고, 연무대 터미널에서 버스나 택시를 타고 육군훈련소 앞까지 이동이 가능합니다. 택시를 타지는 않았지만 여기서는 고정요금으로 5,000원정도를 받고 현금으로 계산해야 한다고 하는데, 혹시 모르니 참고하시기 바랍니다. 버스는 여러 종류가 육군훈련소 앞까지 가지만 배차간격이 좀 긴 편이라 조금 일찍 출발하시는게 좋습니다. 

주의 : 위의 사진에서 보이는 육군훈련소 입구로 가는게 아니라, 조금 더 길을 따라 올라가서 육교 너머에 있는 입영심사대로 가야 합니다. 입영심사대는 육군훈련소를 정면으로 보고 오른쪽으로 길을 따라 올라가면 됩니다.

 연무대터미널 앞이나 육군훈련소부터 입영심사대까지 가는 길목에서 몇 미터 간격으로 장사판 펴놓고 입대시 필수품이라면서 시계나 위장크림 등을 판매하는 사람들이 많은데 노상에서 판매하는 물품들은 가격에 비해 질이 떨어지기도 하고 어딘가 하자가 있을 가능성도 높으므로 가능하면 미리 준비해서 다 챙겨가는 편이 좋습니다. 준비물은 밑에서 작성하겠습니다.

 우선 군사훈련의 일정에 대해 작성하겠습니다. 5주 훈련자(현역)는 매주 월요일에 입대하며 4주 훈련자(보충역/산업기능요원/전문연구요원)의 경우 목요일에 입대합니다. 4주 훈련 뒤 목요일에 수료식을 진행하며 점심때쯤 사회로 나가게 됩니다. 

위 일정의 경우 기본적으로는 이렇게 정해져 있지만 훈련기간동안 공휴일의 유무에 따라 변경되는 경우도 있습니다. 저의 경우 이틀의 공휴일이 껴있었기 때문에 수류탄 훈련을 사격보다 먼저 진행하기도 했습니다. 

 다음으로 훈련 및 중요한 과정들 각각의 후기입니다. 훈련 중 먼 훈련장까지 이동하는 경우 건강에 문제가 있거나 몸이 좋지 않은 인원에 대해 이동간 차등제라고 하여 먼저 출발하여 천천히 걸어가거나 버스를 통해 이동하기도 하며 건강상의 문제(알레르기 등)로 훈련장에 갈수는 있지만 훈련에 참가할 수 없는 경우 교육간 차등제라고 하여 참관방식으로 훈련을 지켜보기만 하고 주말에 보충을 받는 식으로 처리할수도 있습니다. 허리디스크 등이 있거나 다리를 다쳐 완전군장이 힘든 경우 단독군장으로 변경도 가능합니다.

  다음으로 챙겨갈만한 준비물과 그 이유입니다. 신분증 및 나라사랑카드, 입영통지서는 필수 수준이니 그냥 챙깁시다. 입영통지서가 없다고 해도 자신이 어느 지역 병무청 소속인지 알고 있다면 굳이 가져가지 않아도 되긴 합니다. 그래도 작은 종이 한장인데 혹시 모르니 그냥 챙겨갑시다. 휴지나 비누, 치약의 경우 부족한 사람도 있었지만 평범하게 아껴서 사용하면 잃어버리지 않는 한 전혀 부족하지는 않았습니다. 밑에 적어둔 준비물들은 못 가져가는 경우도 있지만 밑져야 본전이니 갖고 가는게 좋습니다. 어차피 4주훈련의 경우 잠깐 보관했다가 수료식날 다시 돌려줍니다.

 훈련소에서의 하루 일과는 완전히 틀에 박힌 것처럼 진행됩니다. 22시에 취침하여 6시에 기상^[각주:3]하며, 날이 괜찮을 경우 밖에 나가서 아침점호를 진행합니다. 입영 후 며칠간은 약식으로 하지만 며칠이 지난 후부터는 운동장에 연대 전체가 모여서 점호하며 뜀걸음이라고 하여 운동장 주변 도로로 1~2바퀴씩 뛰기도 합니다. 1바퀴에 대충 1km정도 되므로 날에 따라 2km정도를 뛰게 되기도 하는데, 뛰는 속도가 그렇게 빠르지는 않습니다. 뛰는 도중 계속 군가를 부르게 하는 경우가 있기 때문에 분대장에 따라 강도는 달라집니다. 아침점호 이후 아침식사를 하고, 이후 바로 일과를 시작하며 저녁밥을 먹은 후 일과가 끝납니다. 그 후 1~2시간 정도의 여유가 생기며 청소, 저녁점호 후 바로 취침합니다. 아침저녁 점호때마다 육군복무신조(우리의 결의!)와 병영생활 행동강령을 외게 하기 때문에 수료할때 쯤 되면 자연스럽게 전부 외우게 됩니다. 군가도 걸을 때나 식사 준비 등 틈날 때마다 불러대서 적어도 서너 곡은 자동으로 외워집니다. 군가 외 사회의 노래들은 가끔 분대장이 틀어주거나 종교활동에 갈 때를 제외하면 들을 일이 없습니다.

 훈련소에서 쓸만한 가장 좋은 팁은 '늦지만 늦지 않게 행동하라'라고 할 수 있습니다. 훈련소 특성상 수많은 인원이 한번에 모이고 움직여야 하기 때문에 변수가 많고 그만큼 변동사항이 많습니다. 예를 들어 전투복으로 환복하고 10분 뒤에 집합하라고 했다가 한 5분쯤 지났을 때 다시 방송으로 정정하여 생활복을 입고 집합하라고 하는 경우가 있습니다. 이럴 경우 미리 환복한 인원들은 다시 생활복으로 환복해야 하는 불편함이 있습니다. 이런 경우가 거의 매일같이 발생합니다. 즉, 정해진 시간에 늦지 않는 범위 내에서 준비는 최대한 늦게 하는 것이 불필요한 행동을 줄일 수 있는 최선의 수입니다. 

 원래 무척 많은 내용을 쓰려고 생각하고 있었는데 이만큼 작성하고 나니까 더이상 내용이 떠오르질 않네요. 나중에 더 생각나면 추가하도록 하겠습니다. 사회에 나와서 생활하니 며칠이 금방 지나가는데 훈련소에서는 정말 인생에서 가장 긴 4주를 보내고 왔습니다. 4주간 훈련을 가시는 모든 분들께 조금이나마 글이 도움이 되었으면 좋겠습니다.

 재작년, 그러니까 2016년 8월 1일에 입사해서 일하다가 작년, 2017년 3월에 신체검사를 받고 4급이 나왔고 바로 병특 시작이 가능했지만 회사에 알리는게 늦어 2017년 6월 1일부터 병특을 시작해서 내일인 2018년 5월 31일에 군사훈련을 받으러 갑니다. 아마 6월 28일에 돌아올 것 같고, 실제 병특이 끝나는건 2019년 8월이 되겠네요. 딱 2년 2개월이라고 치면 내년 8월 1일이 되겠습니다. 일단 위에 명시한 기간동안 열심히 운동하다 돌아오겠습니다~

SEH : Structured Exception Handling의 약자로, Windows를 위한 네이티브 예외 처리 메커니즘이다. 각 스레드마다 독립적으로 설치되고 처리된다.

 __try, __except, __finally 구문을 사용하여 SEH를 설치하고 해제할 수 있다. __try{} 선언은 컴파일러에서 정의된 EH_prolog 함수를 호출하는데, 이 함수는 스택에 _EXCEPTION_REGISTRATION_RECORD를 할당하고 SEH 링크드 리스트의 헤드에 레코드를 추가한다. (출처)

[SEH 설치 디스어셈블 모습]

 어셈블리 코드를 확인해 보면 익셉션 핸들러 함수 주소를 먼저 push하고, FS:[0x00]에 접근하여 그 값을 Push하는 것을 볼 수 있다. _EXCEPTION_REGISTRATION_RECORD는 다음과 같은 구조를 갖고 있다.

 Stack은 높은 주소에서 낮은 주소로 할당되므로 Handler 함수를 먼저 push하였고, 두번째로 push한 값은 Next 값이 되는데 이는 이 레코드에서 처리하지 못했을 경우 처리될 다음 _EXCEPTION_REGISTRATION_RECORD의 주소이다. 위에서 언급한 FS:[0x00]에는 TIB(Thread Information Block) 또는 TEB(Thread Environment Block)이라고 불리는 구조체가 존재한다.

[TIB 내용. 출처]

 그림과 같이 FS[0x00]에 할당된 TIB는 첫번째 인자로 현재 SEH 프레임의 주소, 즉 링크드 리스트의 헤더 주소를 갖고 있다.

[SEH Chain]

 _EXCEPTION_REGISTRATION_RECORD는 __try 문의 중첩 정도에 따라 그림과 같은 링크드 리스트 구조를 갖고 스택에 할당된다. 먼저 pExceptionHandler 함수가 호출되고, 해당 핸들러에서 익셉션을 처리하지 못할 경우 pNextSEHRecord를 참조하여 다음 핸들러를 호출한다. 이를 계속 반복하다가 pNextSEHRecord에 0xFFFFFFFF가 할당되어 있는 디폴트 핸들러인 UnhandledExceptionHandler까지 도달할 경우 해당 익셉션을 커널로 넘겨 프로세스를 재개하거나 종료시킨다. 

[SEH in Stack]

 함수가 Call 될 때 자동으로 스택에 저장되는 ret과 함수 프롤로그에서 자동으로 생성되는 SFP 이후에 함수 내부에서 __try 구문을 사용했다는 가정 하에 스택 프레임에는 위와 같은 구조로 _EXCEPTION_REGISTRATION_RECORD가 쌓일 것이다. Buffer에 원하는 만큼 데이터를 집어넣어서 BOF를 일으킬 수 있다면 가장 쉬운 공격 방법은 역시 ret을 덮어씌워서 공격하는 것이지만, 이는 보통 Stack cookie 또는 Stack canary라고 불리는 보호 기법에 의해 공격이 여의치 않다.

[Stack Canary]

 Stack Canary는 고전적인 BOF 방지 기법 중 하나로, ret과 SFP 뒤에 랜덤한 값을 생성하여 설정한 후 함수가 끝날 때 검사하여 값이 바뀌었을 경우 탐지하고 강제로 종료시켜버리는 보호 기법이다. 이런 상황에서는 Canary를 덮어쓰고도 공격이 가능하게 하기 위해 SEH Overwrite를 이용할 수 있다.

[Basic SEH Overwrite]

 가장 간단하게 SEH Overwrite를 사용하는 방법은 위와 같다. pExceptionHandler를 덮어쓰기 위해 Canary 값을 변경했으므로 함수 에필로그 직전에 Canary를 검사하는 루틴을 지나가는 순간 프로그램이 종료되어 버린다. 따라서 SEH Overwrite가 제대로 기능하도록 하기 위해서 Canary 검사가 진행되기 전에 다른 Exception이 발생하도록 만들어야 한다. 이 방법은 여러 가지가 있지만 대표적으로는 위 그림처럼 파라미터로 넘어온 포인터까지 Dummy 값으로 덮어씌우고 이를 사용했을 때 Exception이 발생하도록 할 수 있겠다.

 위처럼 단순하게 스택에서 _EXCEPTION_REGISTRATION_RECORD의 pExceptionHandler를 Shellcode의 주소로 덮어쓰는 방법을 쓸 수 있으면 좋겠지만, 이 방법은 Microsoft에서 SafeSEH라는 보호 기법을 도입하면서 불가능하게 되었다. 이 보호 기법은 pExceptionHandler 내부에 스택 주소가 들어가거나, MS에서 핸들러로 등록한 주소가 아닌데 kernel32.dll 등 MS에서 지정한 모듈 주소가 들어갈 경우 실행되지 않도록 한다. 따라서 이를 우회하기 위해서는 다른 방식을 사용해야 한다.

 위의 함수 정의부는 pExceptionHandler 함수의 프로토타입이다. SEH 처리가 시작되면 pExceptionHandler 주소를 위의 인자들과 함께 Call하게 되는 것인데, 여기서 중요한 부분은 두번째 인자인 EstablisherFrame이다. EstablisherFrame은 이 pExceptionHandler 함수를 호출한 _EXCEPTION_REGISTRATION_RECORD 구조체의 주소를 갖게 된다. 즉, 익셉션 발생 후 SEH 처리가 정상적으로 실행될 경우 다음과 같은 스택 상황이 만들어진다.

[정상적으로 실행된 SEH]

 여기서 주의 깊게 봐야 할 부분은 바로 ESP+8에 위치한 EstablisherFrame 값이 우리가 직접 변조 가능한 pNextSEHRecord를 가리키고 있다는 점이다. 만약 pExceptionHandler를 변조하여 Pop-Pop-Ret 가젯의 주소로 바꿔놓는다면 위 스택에서 ret이 먼저 Pop되고, ExceptionRecord가 Pop되고, EstablisherFrame이 ret되면서 자연스럽게 EIP가 스택의 pNextSEHRecord를 가리킬 것이다.

[변조된 SEH]