Passion

Windows에서 특정 프로그램을 실행할 때 로딩되는 라이브러리 목록과 

각 라이브러리들의 ASLR과 DEP flag 설정 여부를 보여준다.

원래는 누군가가 만든 툴처럼 여기에 gadget finder를 추가해서 windows 환경에서 exploit 만들 때 쓸려고 했었다.

mfc는 분석만 해보고 만져본적이 없어서 api로 만들었는데,

기능을 더 추가하면 ui 배치를 어떻게 할지가 고민도 되고 해서 걍 팽개침.

마저 해볼까 라는 생각에 또 버려둘까 두려워 이렇게 올려둠.

#include <Windows.h>
#include <stdio.h>
#include <TlHelp32.h>
#include <Psapi.h>
#include <time.h>
#include "resource.h"
#include <commctrl.h>
#include <time.h>

#pragma comment(lib, "psapi.lib")

#define ID_LISTBOX 100

LRESULT CALLBACK WndProc(HWND,UINT,WPARAM,LPARAM);
DWORD checkTarget(char *modName, int iNumber);

HINSTANCE g_hInst;                                     
HWND hList;
OPENFILENAME OFN;

const char* lpszClass="ASLR&DEP Viewer";

DWORD i;
LVCOLUMN COL;
LVITEM LI;

HMODULE hMod;
HMODULE hModules[1024] = {0};
HANDLE hProcess;
DWORD ProcArray[1024] = {0};
DWORD nBytes, NumProc, nPid, cbNeeded;

char szModName[MAX_PATH];

STARTUPINFO si;
PROCESS_INFORMATION pi;

char str[300];
char lpstrFile[MAX_PATH] = "";

int APIENTRY WinMain(HINSTANCE hInstance,HINSTANCE hPrevInstance,LPSTR lpszCmdParam,int nCmdShow)
{
	HWND hWnd;
	MSG Message;
	WNDCLASS WndClass;
	g_hInst=hInstance;
 
	WndClass.cbClsExtra=0;
	WndClass.cbWndExtra=0;
	WndClass.hbrBackground=(HBRUSH)GetStockObject(WHITE_BRUSH);
	WndClass.hCursor=LoadCursor(NULL,IDC_ARROW);
	WndClass.hIcon=LoadIcon(NULL,IDI_APPLICATION);
	WndClass.hInstance=hInstance;
	WndClass.lpfnWndProc=WndProc;
	WndClass.lpszClassName=lpszClass;
	WndClass.lpszMenuName=MAKEINTRESOURCE(IDR_MENU1);
	WndClass.style=CS_HREDRAW | CS_VREDRAW;

	RegisterClass(&WndClass);
	hWnd=CreateWindow(lpszClass,lpszClass,WS_OVERLAPPEDWINDOW|WS_VSCROLL,CW_USEDEFAULT,CW_USEDEFAULT,CW_USEDEFAULT,CW_USEDEFAULT,NULL,(HMENU)NULL,hInstance,NULL);
	ShowWindow(hWnd,nCmdShow);
 
	while (GetMessage(&Message,NULL,0,0)) {
		TranslateMessage(&Message);
		DispatchMessage(&Message);
	}

	return (int)Message.wParam;
}

void SetListViewStyle(HWND hList, DWORD dwView)
{
	DWORD dwStyle;

	dwStyle=GetWindowLong(hList, GWL_STYLE);
	if ((dwStyle & LVS_TYPEMASK) != dwView) {
		SetWindowLong(hList, GWL_STYLE, (dwStyle & ~LVS_TYPEMASK) | dwView);
	}
}

LRESULT CALLBACK WndProc(HWND hWnd,UINT iMessage,WPARAM wParam,LPARAM lParam)
{

	switch (iMessage) {
		case WM_CREATE:
			hList=CreateWindow(WC_LISTVIEW,NULL,WS_VISIBLE|WS_CHILD|WS_BORDER|LVS_REPORT,10,10,600,300,hWnd,NULL,g_hInst,NULL);

			COL.mask = LVCF_FMT | LVCF_WIDTH | LVCF_TEXT | LVCF_SUBITEM;
			COL.fmt = LVCFMT_LEFT;
			COL.cx=150;
			COL.pszText="Name";
			COL.iSubItem=0;
			ListView_InsertColumn(hList,0,&COL);

			COL.pszText="ASLR";
			COL.iSubItem=1;
			ListView_InsertColumn(hList,1,&COL);

			COL.pszText="DEP";
			COL.iSubItem=2;
			ListView_InsertColumn(hList,2,&COL);
			return 0;

		case WM_COMMAND:
			switch(LOWORD(wParam))
			{			
				case ID_FILE_OPEN1:
					memset(&OFN, 0, sizeof(OPENFILENAME));
					OFN.lStructSize = sizeof(OPENFILENAME);
					OFN.hwndOwner=hWnd;
					OFN.lpstrFilter="Exe file\0*.exe\0Dll file\0*.dll\0";
					OFN.lpstrFile=lpstrFile;
					OFN.nMaxFile=255;
					OFN.lpstrInitialDir="c:\\";
#if 1
					if (GetOpenFileName(&OFN)!=0) {
						//wsprintf(str,"You select %s .",OFN.lpstrFile);
						//MessageBox(hWnd,str,"Yeah",MB_OK);
					}
					else {
						MessageBox(hWnd, "You should select file.", "Error", MB_OK);
						return 0;
					}
#endif

					if( !CreateProcess( NULL,  
						lpstrFile,        
						NULL,           
						NULL,           
						FALSE,          
						//CREATE_NO_WINDOW|CREATE_SUSPENDED,              
						CREATE_NO_WINDOW,
						NULL,           
						NULL,           
						&si,            
						&pi )           
					) 
					{
						MessageBox(hWnd, "CreateProcess failed.", "Error", MB_OK);
					}

					hProcess = pi.hProcess;
					nPid = pi.dwProcessId;					
					
					Sleep(1000);

					if(EnumProcessModules(hProcess, hModules, sizeof(hModules), &cbNeeded))
					{
						

						for (i=0; i < (signed)(cbNeeded / sizeof(HMODULE)); i++)
						{
							if (GetModuleFileNameEx(hProcess, hModules[i], szModName, sizeof(szModName)/sizeof(char))&&i!=0)
							{
								checkTarget(szModName, i);
							}
						}
					}
					else
					{
						MessageBox(hWnd, "EnumProcessModule failed.", "Error", MB_OK);
					}
					break;
				case ID_FILE_EXIT1:
					break;
			}
			return 0;
		case WM_DESTROY:
			PostQuitMessage(0);
			return 0;
	}

	return(DefWindowProc(hWnd,iMessage,wParam,lParam));
}

DWORD error(const char* message){
	MessageBox(NULL,message,"ERROR",MB_OK);
	return 1;
}

DWORD checkTarget(char *modName, int iNumber){
	HANDLE h = CreateFileA(modName,GENERIC_READ,FILE_SHARE_READ,0,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL);
	if(h==INVALID_HANDLE_VALUE)
		return error("Cannot open file.");
	BYTE headers[1000];
	DWORD read;
	ReadFile(h,headers,1000,&read,NULL);

	IMAGE_DOS_HEADER* idh = (IMAGE_DOS_HEADER*)headers;
	if(read<sizeof(IMAGE_DOS_HEADER))
		return error("Invalid DOS header");
	IMAGE_NT_HEADERS* inh =(IMAGE_NT_HEADERS*)(headers+idh->e_lfanew);
	if(read < idh->e_lfanew + sizeof(IMAGE_NT_HEADERS))
		return error("Invalid NT header");
	if(inh->Signature!=0x00004550)
		return error("Invalid NT header");

	BOOL aslr = inh->OptionalHeader.DllCharacteristics & IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE;
	
	BOOL dep = inh->OptionalHeader.DllCharacteristics & IMAGE_DLLCHARACTERISTICS_NX_COMPAT;

	DWORD listNum = ListView_GetItemCount(hList);

	LI.mask = LVIF_TEXT;
	LI.state = 0;
	LI.stateMask = 0;

	LI.iSubItem=0;
	LI.iItem=iNumber;	
	LI.pszText = modName;
	ListView_InsertItem(hList, &LI);

	if (aslr) {
		ListView_SetItemText(hList,listNum,1,"ASLR");
	}
	else {
		ListView_SetItemText(hList, listNum, 1, "No ASLR");
	}
	if (dep) {
		ListView_SetItemText(hList, listNum, 2, "DEP");
	}
	else {
		ListView_SetItemText(hList, listNum, 2, "No DEP");
	}

	return 0;
}

서버가 열려있길래 다른 문제도 풀어봄.

read /home/singi1/key :p

ADDR : challenge.b10s.org

PORT : 8899

SSH INFO

id : agent

pw : agent

바이너리를 받아 헥스레이로 오픈.

코드를 분석해보면

1) argv[1] 만큼 메모리 할당. 

2) argv[3] 를 할당 받은 메모리로 복사. 

3) argv[2] 만큼 다시 메모리 할당

4) printf 출력. -> format string bug

처음엔 free 하고 나면 할당받은 메모리 자체가 날라가는 줄 알아서 고민했는데

디버깅을 해보니 free 이후에도 힙에 쓰여진 값은 계속 유지되고 있었으며, 

free() 이후에 다시 malloc을 호출하면 처음에 할당받은 address를 그대로 재할당 받음.

결국 argv[3]에 payload를 넣으면 printf()로 heap의 내용을 출력할 때 fsb가 터진다는 것이 포인트.

취약점을 알았으니 공격해보자. 

먼저 서버 환경.

보이는 것처럼 랜덤 스택 &힙 &라이브러리. 

원래는 free@got 를 system 함수 주소로 overwrite해서 원하는 명령어를 실행시키려고 했으나 

브루트포스가 필요해서 패스.

다른 방법이 없을까 고민하다 문제 바이너리의 디스어셈블 코드를 보니 다음과 같았다.

마지막 free()의 파라미터로 eax를 esp로 집어넣는다. 

이 eax는 malloc으로 재 할당 받은 메모리를 가리키는 포인터로,

argv[3], 즉 페이로드가 있는 주소를 의미한다. eax 호출할 수 있는 gadget을 찾아보니 이런 놈이 보인다. 

그렇다면 free@got (0x0804a004)를 0x080485db로 바꿔주고 argv[3]에 쉘코드를 넣어놓으면 실행될 것이다. 

그전에 heap에 실행권한이 있는지 확인. 

다행히도 실행권한이 있다. 오예.

페이로드를 만들다 보면 랜덤스택인지라 런타임 때마다 argv의 주소가 바뀌어서 공격하기가 까다로울 것이다. 

이것은 heap spray와 유사하게 타겟 주소를 잔뜩 뿌려놓으면 해결된다. 

payload 구성

argv[1] : malloc으로 할당되는 사이즈. 넉넉하게 준다.  

argv[2] : 재할당될 사이즈 + free@got adress 반복 

argv[2] : shellcode(execve) + format string 

최종 payload.

///home/singi1/singi1 `python -c 'print "100000"+" 100000"+"\x04\xa0\x04\x08\x06\xa0\x04\x08"*11250+" "+"\x90\x90\x90\x90\x31\xc9\x8d\x41\x17\xcd\x80\x52\x68\x6e\x2f\x73\x68\x68\x2f\x2f\x62\x69\x8d\x41\x0b\x89\xe3\xcd\x80"+"%2023c%5000$hn%32215c%5001$hn"'`

문제를 풀때마다 느끼지만 난 정말 fsb가 싫다.