CTF문제 풀다 알게된 지식.

말그대로 공유 메모리이다.

OS : Windows 7 32bit

DWORD d_sharedM = 0x7ffe0800; // A User Address 유저 레벨 주소

DWORD d_sharedK = 0xffdf0800; // A Kernel Address 커널 레벨 주소

분명 0x7FFFFFFF 커널을 넘지않고 유저레벨 주소가 확실한데 메모리가 같다.

신기하게 Physical Address도 같다.

여기도 같다.

여기 까지.

Size : 0x1000

0xFFDF0000 ~ 0xFFDF1000

0x7FFE0000 ~ 0x7FFE1000

가 Shared Memory이다.

+다른 프로세스(모든 프로세스)도 값이 같다.

이전글

[Fuzzer] SeulFuzzer (for Themida)

이 퍼저의 디버거는 pydbg가 아닌 VEH을 이용한 방법을 사용한다.

PVOID WINAPI AddVectoredExceptionHandler(
  _In_ ULONG                       FirstHandler,
  _In_ PVECTORED_EXCEPTION_HANDLER VectoredHandler
); 

이 함수는 예외가 발생 할 때 처리해주는 핸들러(ExceptiinHandler)를 등록 한다.
프로그램에서 try except로 예외 처리를 해도 가장 먼저 등록한 핸들러로 넘어가기 때문에 모든 exception
을 컨트롤 할 수 있다.
그리고 웬만한 Anti-Debugging에 탐지 되지 않는다. 

그런데 ExceptionHandler에도 우선순위가 있다.

스택구조와 같은데 가장 최근에 등록한 핸들러가 가장 먼저 처리된다.

예를 들면

ExceptionFilter1

ExceptionFilter2

ExceptionFilter3

이렇게 등록했을때

ExceptionFilter3

ExceptionFilter2

ExceptionFilter1

순으로 처리 된다.

그래서 내가 등록한 후에 다른 핸들러가 등록되지 못하도록

xor eax, eax

ret 8 로

이렇게 무력화 시켰다.

보통 C로 디버거를 구현할때 DebugActiveProcess() 등 window api를 여러게 쓰면서 코딩하곤 한데
이 디버거 코드는 이 몇 줄이 끝이다.
dll injection을 이용하면 같은 프로세스 안에 상주하기때문에 정보도 얻기 쉽고 디버거도 짜기쉽다. 
그리고 저 핸들러내에서 minidumpwritedump 함수를 사용하여 덤프파일을 쉽게 생성 할 수 있다.

-단점
1. 데이터 공유가 어렵다. (python <> dll)
2. 불필요한 exception까지 잡힌다.
- 인젝션 한 모듈에서 exception이 일어나면 등록한 handler로 넘어간다. 그래서 내 바이너리 .text에서 발생한 
exception인지 판별해야한다. 
하지만 이 방법은 버그로 인해 저 범위내로 eip가 변조되면 제외되기 때문에 리포팅하지않아 유실되는 문제
가 발생할수있다. 그게 exploitable한 취약점이였다면 더 큰 문제...
(임시방편으로 해둔건데 다른 방법을 생각해봐야겠다....)


저는 이 방식이 편해서 사용한거니 꼭 VEH를 사용할 필요는 없습니다.  
Anti-Debugging api hook 하셔도되고 편한 방법을 찾으시길 바랍니다.

한 프로그램을 퍼징하려는데 

이런.. 나쁜 더미다 ㅠㅠ pydbg도 걸리고 cdb도 걸리고 attach 해도 프로세스가 죽는다.

window debug api 이용한 디버깅은 모두 탐지하는 것 같다.

그래서 살펴봤다.

콜스택을 보니 0056BE63주소에서 호출하고 있어 따라가봤다.

우웩... fucking themida..

이렇게 isDebuggerPresent API 를 손보면 되긴 하지만 난 멍청해서 퍼저를 수정할줄 모른다 ㅠㅠ

주변분들도 자신만의 퍼저를 하나쯤은 만드셨던데.. 그래서 나도 이참에 그냥 하나 만들어봤다ㅋ

처음엔 이름을 UpFuzzer(엎퍼져)로 지었는데 슬픈일이 많아서 '슬퍼져'로 바꿨다. (아! 슬프다!)

바이너리는 총 3(+1)개

py  ------------------- controller(manager)
exe ------------------- executor
dll  ------------------- debugger & handler & crash reporter

+

radamsa ------------- mutator

py  - 전체적인 흐름을 관리하고 컨트롤하는 매니저 역할 

mutate 된 파일을 넣고 실행, timeout시 프로세스를 종료,  crash 발생시 mutated 파일이나 crash 로그 파일을 정리. 등.

exe - 타겟 프로그램을 실행하고 dll inejection 을 수행한다.

dll - Crash가 발생할 경우 크래시 정보나 레지스터등 로그파일을 저장한다. minidumpwritedump api를 통해 덤프파일 생성이 쉽다.

Themida 2.3.2.0로 타겟 프로그램을 패킹했다.

크래시 파일은 이렇게 저장된다.

disasm 라이브러리를 사용하여 이름에 인스트럭션을 넣었다.

???.... exception이 펑펑 터졌다. 보아하니 더미다 코드에서 발생하는 예외다. delay를 주어서 더미다 initialize 가 끝날때 dll 을 인젝션해야한다. (-d 옵션)

펑펑

그럼 이렇게 깔끔하게 나온다 ㅎ

파일은 "파일이름_퍼징 카운트(몇 번째 퍼징인지).확장자" 형식으로 저장했다. 여기서 카운트는 3이다.

CRASH INFO

REGISTERS

INSTRUCTION

STACK DUMP

아직 구현하지 못한게 많다.

call stack이라던가
module list라던가

이런거 라던가

시험끝나면 짜야지..

[시연 영상]

바빠서 포스팅을 늦게했네요. (근데 다음주가 기말고사인데 바쁜게 맞나?)

디버거가 궁금하신 분은 다음 글을 참조해주세요.

[Fuzzer] Debugger with VEH

아직 Fuzzer를 많이 접해보지 못했고 처음이라 많이 서툴고 부족합니다.

지적, 조언 해주시면 감사하겠습니다.

HUST 2015.pdf

code_snippet

ShowMeTheMoney

ShowMeTheMoney.idb

풀이 방법이 2가지가 존재한다. 하나는 릭을 이용한 방법, 다른 하나는 uaf를 이용한 방법이다.

1. leak을 이용한 방법
enable에서 입력받은 패스워드 버퍼가 초기화되지않아 이상한 값들이 보인다. 무언가 수상하다.
 
sub_8048C30(0, &s2, 0x20, 10);  //문자열 입력 함수
저 함수에서 문자열을 입력받고 나서 NULL을 넣어주지 않아 leak이 발생한다.

그런데 밑에 패스워드 체크 부분에서 수상한 점이있었다.
 v4 = strcmp(password, v1);
  if ( v4 )
if(strcmp(..))으로 해도 되는데 굳이 지역 변수에 담아 체크한다.

그런데 위에 보면
char s2; // [sp+18h] [bp-34h]@2
int v4; // [sp+38h] [bp-14h]@3
입력받은 문자열에 strcmp리턴값이 붙어있다. 크기도 0x20으로 딱 맞다.
이제 리턴 값을 이용하여 패스워드를 알아내면 끝.

2. use-after-free

노드 흐름
*set 3 node
node    1    2    3
prev    0    1    2
next    1    3    0
0<1><2><3


*delete 1
node    1    2    3   
prev          0    2
next          3    0
0  <2><3

*delete 2
node    1    2    3   
prev                0
next                0
0     <3

*set 1
node    1    2    3   
prev    0    A...    0
next    0    B...    0


*uaf
일반적인 할당 흐름
free(i->value);
free(i->name);
free(i);

newvar = calloc(1u, 16u);
list.name = __strdup(name);
list_value = __strdup(value);

#할당 크기
alloc은 할당 크기에 따라 위치가 달라진다.
uaf시 같은 주소를 참조하기 위해서 할당 크기를 동일하게 해주어야한다.

calloc(1, 16) 노드 구조체 크기 16로 할당.
strdup은 문자열 클론을 만들어 주는함수인데 내부에서 malloc(문자열크기+1)을 호출한다.
16-1=15 크기로 할당하면 된다.

free(node[2]->value)
free(node[2]->name)
free(node[2])

//첫번째 노드는 calloc을 하지않음 -> free한 노드에 uaf 가능
node[1]->name = strdup('A'*16)
node[1]->value = strdup('B'*16)

*마지막으로 free한 곳이 2번째 노드이므로 strdup을 이용하여 2번째 노드 구조체에 원하는 값을 Write할수있다.
-> 노드의 next 주소를 password 주소로 조작해주면 show할때 password를 알아 낼수 있다.

SIGSEGV
EDI: 0x42424242 ('BBBB')
=> 0xf7e57fef <vfprintf+18767>:    repnz scas al,BYTE PTR es:[edi]

shitsco_c8b1aa31679e945ee64bde1bdb19d035.idb

지적 부탁드립니다.

Double Free Buf(DFB) 의 궁극적인 목적은 자신이 원하는 곳에 메모리를 라이팅 하는것(?) (처음 접해봤는데 매우 재미있는 기법이다ㅋ)

heap overflow 를 이용하여 이웃 chunk를 조작 (fake_chunk : PREV_INUSE, fd, bk)

-PREV_INUSE bit를 1로 만들어 기존 chunk 병합을 단절시키고 다음 free 시 fd bk 라이팅을 유도

틀린부분 지적해주시면 감사하겠습니다.

코게 공부하면서 포너블 시작했는데 너무 재밌다ㅋ 그래서인지 많이 미숙하다ㅜㅠ

integer overflow를 통하여 노래가 삭제한 후 포인터를 밀어 free한 포인터를 채워주는 루틴을 우회함.

-> 리스트에서 free된 노래 포인터가 삭제되지않음

modify를 통하여 다시 할당하여 라이팅

-> free된 곳에 재할당하여 임의로 메모리 라이팅 가능. (system_got)

0x0804b3f0 이 system 인자로 들어감

->심볼릭 링크를 이용하여 해결

kpop_music.idb

예전에 한글 깨져서 코딩하다가만 프로젝트를 다시 살렸다. 그 땐 3일이나 삽질했었는데 후..

자꾸 깨지길래 치트엔진으로 메모리를 보니 EB 00 ?? 00 ?? EC 00 ?? 00 ?? 00 이렇게 WideString으로 되어있었다.

EB????EC????인데.. IdHttp를 써보고 UTF8Encode/Decode MultiByte<>WideChar 함수 여러개를 써봐도 안됐다 ㅠㅠ

우연히 네이버 검색 url에 %E?%??%??을 보고 URL 디코딩을 하니 출력이 잘됬다. 

너무 기쁜마음에 바로 함수를 짰다.

uses 에 IdURL 라이브러리를 추가하고 사용하자.

Function HttpEncode(ResponseText : String) : String;

var

  i,Len :integer;

  ps :PAnsiChar;

  s :String;

begin

  ps := PAnsiChar(ResponseText);

  Len := Length(ResponseText);

  for i := 0 to Len do begin

    s := s + '%';

    s := s + IntToHex(PWORD(@ps[i*2])^,2);

  end;

  Result := String(TIdURI.URLDecode(s));

end

var

  WinHttp :IWinHttpRequest;

begin

  WinHttp := coWinHttpRequest.Create;

  WinHttp.Open('GET','http://www.naver.com',False);

  WinHttp.Send('');

  WinHttp.WaitForResponse('');

  sRecv := HttpEncode(WinHttp.ResponseText);

잘 출력된다.