[DreamHack] Stage 6 - (1) Stack Canary
# 서론
앞 실습에서는 스택의 반환 주소를 조작하여 실행 흐르을 획득하는 공격기법을 실습하였다.
이번에는 스택 버퍼 오버플로우로부터 반환 주소를 보호하는 스택 카나리(Stack Canart)를 알아보고자 한다.
스택 카나리란?
: 함수의 프롤로그에서 스택 버퍼와 반환 주소 사이에 임의의 값을 삽입하고 함수의 에필로그에서 해당값의 변조를 확인하는 보호기법이다. 카나리 값의 변조가 확인되면 프로세스는 강제로 종료된다.
: 스택 버퍼 오버플로우로 반환 주소를 덮으려면 반드시 카나리를 먼저 덮어야하므로 카나리 값을 모르는 공격자는 반환 주소를 덮을 때 카나리 값을 변조하게 된다.
# 카나리 작동원리
<카나리 정적 분석>
아래 코드는 스택 버퍼 오버플로우가 발생하는 코드
// Name: canary.c
#include <unistd.h>
int main() {
char buf[8];
read(0, buf, 32);
return 0;
}실습환경에서는 기본적으로 스택 카나리를 적용하여 바이너리를 컴파일한다.
컴파일 옵션은 gcc -o와 함께 -fno-stack-protector를 추가하면 카나리 없이 컴파일 할 수 있다.
$ gcc -o no_canary canary.c -fno-stack-protector를 이용해 컴파일을 하고 길이가 긴 입력을 주면 반환주소가 덮여서 Segmentation fault가 발생한다.
카나리를 적용하여 다시 컴파일하고 긴 입력을 준다면
위와 같이 stack smashing detected와 Aborted라는 에러가 발생한다. 이것은 스택 버퍼 오버 플로우가 탐지되어 프로세스가 강제 종료되었음을 의미한다.
no_canary와 디스어셈블 결과를 비교하면 main 함수의 프롤로그와 에필로그에 각각 아래와 같은 코드가 추가된다.
<카나리 저장> 이해안되기 시작함...
추가된 프롤로그의 코드에 중단점을 설정하고 바이너리를 실행시키면
main+8은 fs:0x28의 데이터를 읽어서 rax에 저장한다. fs는 세그먼트 레지스터의 일종으로, 리눅스는 프로세스가 시작될 때 fs:0x28에 랜덤 값을 저장한다. 따라서 main+8의 결과로 rax에는 리눅스가 생성한 랜덤 값이 저장된다.
코드를 한 줄 실행하면 rax에 첫 바이트가 널 바이트인 8 바이트가 저장되어 있다.
생성한 랜덤값은 main+17에서 rbp-0x8에 저장된다.
** fs **
Background: Computer Architecture 에 따르면, CPU에는 다양한 세그먼트 레지스터가 존재한다고 했다. 초기에는 세그먼트 레지스터로 code segment(cs), data segment(ds), extra segment(es)가 있었다. CPU 개발자들은 여기에 두 개의 세그먼트 레지스터를 추가하려고 했는데 이름을 고민하다가 c,d,e 다음에 있는 f와 g를 사용했다.
cs, ds, es는 CPU가 사용 목적을 명시한 레지스터인 반면, fs와 gs는 목적이 정해지지 않아 운영체제가 임의로 사용할 수 있는 레지스터이다. 리눅스는 fs를 Thread Local Storage(TLS)를 가리키는 포인터로 사용한다. 여기서는 TLS에 카나리를 비롯하여 프로세스 실행에 필요한 여러 데이터가 저장된다.
<카나리 검사>
추가된 에필로그의 코드에 중단점을 설정하고 바이너리를 계속 실행시킨다.
main+50은 rbp-8에 저장한 카나리를 rcx로 옮긴다.
그 뒤, main+54에서 rcx를 fs:0x28에 저장된 카나리와 xor한다.
두 값이 동일하면 연산 결과가 0이되면서 je의 조건을 만족하게 되고, main함수는 정상적으로 반환된다.
그러나 두 값이 동일하지 않으면 __stack_chk_fail이 호출되면서 프로그램이 강제로 종료된다.
드림핵 예제에서 16개의 H를 입력으로 카나리를 변조하고 실행흐름이 어떻게 되는지 파악해보면,
코드를 한 줄 실행시키면 rbp-0x8에 저장된 카나리값이 버퍼 오버플로우로 인해 “0x4848484848484848”로 된것을 확인할 수 있다.
main+54의 연산 결과가 0이 아니므로 main+63에서 main+70으로 분기하지 않고 main+65의 __stack_chk_fail을 실행하게 된다.
이러한 함수가 실행되면 다음의 메세지가 출력되며 프로세스가 강제로 종료된다.
<카나리 생성과정>
카나리 값은 프로세스가 시작될 때 TLS에 전역 변수로 저장되고 각 함수마다 프롤로그와 에필로그에서 이 값을 참조한다. 여기서는 TLS에 카나리 값이 저장되는 과정을 깊게 다룬다고 한다.
1) TLS의 구조 파악
fs는 TLS를 가리키므로 fs의 값을 알면 TLS의 주소를 알 수 있다. 하지만 리눅스에서 fs의 값은 특정 시스템 콜을 사용해야만 조회하거나 설정할 수 있다.
gdb에서 다른 레지스터의 값을 출력하듯 info register fs나 print$fs와 같은 방식으로는 값을 알 수 없다.
이 해결방안으로 fs의 값을 설정할 때 호출되는 arch_prctl(int code, unsigned long addr) 시스템 콜에 중단점을 설정하여 fs가 어떤 값으로 설정되는지 조사하면,
이 시스템 콜을 arch_prctl(ARCH_SET_FS, addr)의 형태로 호출하면 fs의 값은 addr로 설정된다
gdb에는 특정 이벤트가 발생했을 때, 프로세스를 중지시키는 catch라는 명령어가 있다. 이 명령어로 arch_prctl에 catchpoint를 설정하고 실습에 사용했던 canary를 실행하면 아래와 같다.
catchpoint에 도달했을 때, rdi의 값이 0x1002인데 이 값은 ARCH_SET_FS의 상숫값이다.
rsi의 값이 0x7ffff7fdb4c0이므로, 이 프로세스는 TLS를 0x7ffff7fdb4c0에 저장할 것이며, fs는 이를 가리키게 될 것이다.
카나리가 저장될 fs+0x28(0x7ffff7fdb4c0+0x28)의 값을 보면, 아직 어떠한 값도 설정되어 있지 않은 것을 알수 있음.
<카나리 값 설정>
TLS의 주소를 알았으므로, gdb의 watch 명령어로 TLS+0x28에 값을 쓸 때 프로세스를 중단시키겠습니다. watch는 특정 주소에 저장된 값이 변경되면 프로세스를 중단시키는 명령어.
watchpoint를 설정하고 프로세스를 계속 진행시키면 security_init함수에서 프로세스가 멈춘다.
여기서 TLS+0x28의 값을 조회하면 0x2f35207b8c368d00이 카나리로 설정된 것을 확인할 수 있다.
실제로 이 값이 main함수에서 사용하는 카나리값인지 확인하기 위해 main함수에 중단점을 설정하고, 계속 실행하자.
mov rax,QWORD PTR fs:0x28를 실행하고 rax 값을 확인해보면 security_init에서 설정한 값과 같은 것을 확인.
<카나리 우회방법>
1) 무차별 대입
x64 아키텍처에서는 8바이트의 카나리가 생성되며, x86 아키텍처에서는 4바이트의 카나리가 생성된다. 각각의 카나리에는 NULL 바이트가 포함되어 있으므로, 실제로는 7바이트와 3바이트의 랜덤한 값이 포함된다.
즉, 무차별 대입으로 x64 아키텍처의 카나리 값을 알아내려면 최대 256^7번, x86 에서는 최대 256^3 번의 연산이 필요하다. 연산량이 많아서 x64 아키텍처의 카나리는 무차별 대입으로 알아내는 것 자체가 현실적으로 어려우며, x86 아키텍처는 구할 순 있지만, 실제 서버를 대상으로 저정도 횟수의 무차별 대입을 시도하는 것은 불가능하다고 한다.
2) TLS 접근
카나리는 TLS에 전역변수로 저장되며, 매 함수마다 이를 참조해서 사용한다. TLS의 주소는 매 실행마다 바뀌지만 만약 실행중에 TLS의 주소를 알 수 있고, 임의 주소에 대한 읽기 또는 쓰기가 가능하다면 TLS에 설정된 카나리 값을 읽거나, 이를 임의의 값으로 조작할 수 있다.
그 뒤, 스택 버퍼 오버플로우를 수행할 때 알아낸 카나리 값 또는 조작한 카나리 값으로 스택 카나리를 덮으면 함수의 에필로그에 있는 카나리 검사를 우회할 수 있다.
3) 스택 카나리 릭
스택 카나리를 읽을 수 있는 취약점이 있다면 카나리 검사를 우회할 수 있다.
