How 2 heap - first_fit.c

System 2017.05.15 16:47

원문 : https://github.com/shellphish/how2heap/blob/master/first_fit.c 

#include 
#include 
#include 

int main()
{
	printf("이 파일은 POC는 아닙니다. 하지만 glibc's allocator의 본모습을 보여주게 될것입니다.\n");
	printf("glibc 비어있는 청크에서 최초적합 알고리즘을 사용하여 선택후, 가져옵니다.\n");
	printf("만약 청크가 비어있고 충분히 크다면, malloc은 그 청크를 선택하고 가져오겠죠.\n");
	printf("이는 Use-after-free 상황이며 공격 당할 수 있습니다\n");

	printf("2개의 버퍼를 할당합시다. fastbin이 아니도록 충분히 커야만 합니다.\n");
	char* a = malloc(512);
	char* b = malloc(256);
	char* c;

	printf("1st malloc(512): %p\n", a);
	printf("2nd malloc(256): %p\n", b);
	printf("우리는 여기에 더 할당 할 수 있습니다.\n");
	printf("문자열을 할당하여 읽을수 있게 합니다. \"this is A!\"를 버퍼에 넣도록 합시다.\n");
	strcpy(a, "this is A!");
	printf("첫 할당된 메모리 %p, 내용은 %s\n", a, a);

	printf("첫번째 것을 할당 해제 합시다.\n");
	free(a);

	printf("다시 다른것을 할당해제 할 필요는 없습니다. 512 보다 작게 할당하는 한, %p에서 그칠테니까요.\n", a);

	printf("그렇다면, 500 바이트를 할당 해 봅시다\n");
	c = malloc(500);
	printf("3rd malloc(500): %p\n", c);
	printf("여긴 다른 문자열을 넣도록 하죠.\"this is C!\" 이걸로.\n");
	strcpy(c, "this is C!");
	printf("세번째 할당된 메모리는 %p, 내용은 %s\n", c, c);
	printf("최초 할당된 메모리는 %p, 내용은 %s\n", a, a);
	printf("만약 첫번째 할당을 재사용하게 되면 3번째 할당에 사용된 데이터를 가지게 될겁니다.");
}

'System' 카테고리의 다른 글

How 2 heap - fastbin_dup.c  (0) 2017.05.16
How 2 heap - first_fit.c  (0) 2017.05.15
LLVM -3  (2) 2016.08.24
LLVM - 2  (0) 2016.08.17
LLVM - 1  (0) 2016.08.12
프로그램에서 일어날수 있는 레이스컨디션의 예제  (8) 2015.04.01
Posted by Maid:: IzayoiSakuya


주제 : Webhacking Study - no more BLIND
날짜 : 2017.04.18
작성자 :Sakuya Izayoi


1. 개요 및 목적
Lord Of SQL injection(이하 LOS) 의 문제를 통해 blind SQL injeciton을 알고, 이외의 방법으로 풀수 있는 방안에 대해 연구한다. blind 기법으로 풀어야 할 문제들을 다른 방법으로 접근하는 것으로, CTF 및 모의해킹의 수행시간을 단축함을 그 목적으로 한다.

2. 내용
이번 문서의 시작은 정도원(rubiya)의 페이스북 포스팅에서 시작한다. 포스팅의 내용은, 'LOS의 문제중 간단한 Blind SQL injection 기법을 사용하는 문제가 있었는데, 이 문제를 Blind 기법을 사용하지 않고 풀 수 있다' 라는 내용이다. 






이에 순수한 학문적 호기심이 생겼고, 이 방법을 찾아 mysql의 삽질을 시작하기로 했다.
아래는 이 연구에 사용한 작업환경이다

Mysql : 5.6.30-0ubuntu0.15.10.1
OS      :  Ubuntu 16.04



우선 테스트용 db와 table을 만들어 보자.
해당 테스트에서 사용하는 DB와 구조는 아래와 같다

create database Test_DB;
use Test_DB;
create table users(num int not null, id varchar(30) not null, password varchar(30) not null, primary key(num));
insert into users values(1, 'GUEST', 'GUEST');
insert into users values(2, 'Sakuya', 'admin_Paddword');
insert into users values(3, 'Izayoi', 'noadmin');


목적은 Sakuya의 Password를 가져오는것으로 하도록 하자.  문서의 취지에 맞게 Blind SQL 구문을 사용해서 가져오는 것으로만 한정 하도록 한다.
기본적인 쿼리문의 형태는 


SELECT * FROM users WHERE id='GUEST' and password='{$INPUT}'

를 사용한다.

3. Blind SQL injection
Blind SQL injection은 원하는 정보를 한번에 가져오는 SQL injection과 다르게, 원하는 정보를 1 byte 씩 들고와서 비교하는 기법이다.
1byte씩 비교하기 때문에 분기조건을 가진 구문 혹은 분기로 판단되는 근거를 잡는것이 가장 중요하다. 아래 내용에서는 그러한 분기 구문들, 분기로 판단할수 있는 근거를 체크하는 방법에 대해 설명한다. 해당 구문이 필터링에 걸릴때와 같은 특수한 경우는 제외하고 일반적인 상황에 중점을 둔다. 필터링과 같은 상황에 사용할수 있는 Cheat sheet나 전반적인 SQL injection에 대한 지식은 rubiya의 문서를 참고하면 좋다. 또한 상기의 문서들은 이 문서를 이해하는데 큰 도움을 줄 것이다.

-3.1 IF
if구문은 프로그래밍을 해본 사람이라면 누구나 알고 있을법한 단어이다. if구문의 사용법은 이하와 같다

if(Condition, TRUE, FALSE)

if 의 1번째 인자값인 Condition은 분기조건에 해당한다. 단순한 대소 비교부터 참,거짓 등등 원하는 값을 넣을수 있다.
if 의 2번째 인자값인 TRUE는 Condition의 분기조건이 TRUE(참) 일때 리턴할 값이 들어간다. 이곳엔 단순한 value 부터 Subquery의 결과물까지 여러가지 들어갈 수 있다.
if 의 3번째 인자값인 FALSE는 TRUE와 반대로 분기조건이 FALSE(거짓)일때 리턴할 값이 들어간다. 들어갈수 있는 값은 위에 서술한 TRUE에 들어갈수 있는 종류와 같다.
좀더 자세한 IF 구문의 사용법은 Mysql Reference 측을 참고하도록 하자.

해당 IF와 자주 엮이는 2개의 함수가 있는데, ascii와 substring이다.

-substring
substring 함수는 문자열을 자르는데 사용되는 함수이다. split과 달리 delim 기준이 아닌 순수한 문자열의 index 기준이다. 함수의 모형은 이하와 같다

substring(STRING, start_idx, count_idx)

STRING을 start_idx부터 count_idx만큼의 갯수를 세어 리턴한다.
아래는 substring의 예시이다



Blind SQL에서는 보통 3번째 인자값이 1로 고정 되는데, 1byte씩 비교해야 하는 Blind 기법의 특성때문이다.

-ascii
ascii 함수는 C언어의 atoi와 같다. 해당함수의 ascii값을 리턴해 준다. 이 ascii 함수를 통해 substring으로 가져온 문자열을 ascii로 변환하는 것이 일반적인 Blind sql injection의 과정이다.


이제 Condition에 들어갈만한 substring과 ascii 함수를 알아보았다.
이를 조합하여 IF구문을 완성하면 아래와 같은 형태가 될 가능성이 높다

if ( ascii(substring(password,1,1))=0,1,0 )

모의해킹 및 CTF 환경에 따라 IF 구문의 2,3번째 인자값은 바뀔수 있다.
=0 으로 비교하는 부분의 값도 효율성을 위해 Binary Search 를 적용할 수 있다.

해당 구문을 사용하여 Sakuya 계정의 패스워드를 가져와 보도록 하자.



password의 첫 글자를 가져왔을때 해당 문자의 ascii 값이 97일때는 TRUE를, 96일때는 FALSE를 돌려주었다. 이것이 실제 php application에 적용되었을때는 Login 성공/실패 혹은 검색결과 출력/미출력 등의 화면을 보여주는 형태가 될 확률이 높다. 이러한 과정은 많은 시도횟수를 요구하므로 주로 간단한 스크립트를 작성하거나 SQLmap과 같이 알려진 툴을 사용할 때가 많다.

3-2 CASE WHEN
CASE WHEN의 경우에도 if와 같은 동작을 한다.
개략적인 형태는 아래와 같다

CASE WHEN condition1 THEN true ELSE false END
THEN ~ ELSE 사이에 더 많은 THEN 구문을 넣을수 있지만, 여기선 참/거짓만 판단하도록 하나의 THEN~ ELSE만 넣었다.
이 역시 IF와 마찬가지로 condition1 이 TRUE라면 true에 적힌 값을, FALSE라면 false의 값을 리턴하도록 되어있다.
이 역시 자세한 구문은 Mysql Reference를 참고 하도록 하자.

IF와 큰 다른점이 없으므로 사용 예시만 살펴보자.




3-3 row()
row()는 함수라기보다 말 그대로 하나의 row를 표현해준다.
sql 쿼리를 요청했을때 우리에게 보여지는 row의 개념과 동일하다고 생각하면 좋다.
다소의 이해를 돕기위해 아래의 예제를 보자



select 1,2 의 결과와 row(1,2)의 결과는 같다.
하지만 row(1,1)의 결과와 select 1,2의 결과는 다르다.
이것을 통해서도 blind sql injection을 수행할 수 있다.
내가 가져올 계정의 ID가 Sakuya 인것을 알수 있고, password를 모른다고 가정했을때 공격은 아래와 같이 천천히 진행된다



like 구문을 통한 blind sql과 비슷한 양상이라고 생각하면 쉽다.
0x61????????? 값은 Sakuya 계정의 password 형식과 일치하지만
0x62???????? 값은 Sakuya 계정의 password와 일치하지 않고, 이 값은 사전적으로 admin_Paddword보다 뒤에 있으므로 True를 리턴하게 된 결과다.
해당 쿼리를 사용하며 주의할 점은 where 구문 대신 limit를 넣어야 한다는 점이다.
where구문을 통해 결과값을 돌려받기 전 컴파일 단계에서 row와 select의 결과를 미리 비교해 버려서 어떤값을 넣더라도 항상 참이 뜨는 경우를 볼 수 있다.




상기 기술한 내용 이외에도 많은 기법들이 있을수 있다. 하지만 이정도만 따라 올수 있어도 일반적인 Blind SQL injection은 잘 할수 있으리라 생각한다.

4. LOS - orge
해당 문제의 소스코드를 보도록 하자.


<?php 
  
include "./config.php"
  
login_chk(); 
  
dbconnect(); 
  if(
preg_match('/prob|_|\.|\(\)/i'$_GET[pw])) exit("No Hack ~_~"); 
  if(
preg_match('/or|and/i'$_GET[pw])) exit("HeHe"); 
  
$query "select id from prob_orge where id='guest' and pw='{$_GET[pw]}'"
  echo 
"<hr>query : <strong>{$query}</strong><hr><br>"
  
$result = @mysql_fetch_array(mysql_query($query)); 
  if(
$result['id']) echo "<h2>Hello {$result[id]}</h2>"
   
  
$_GET[pw] = addslashes($_GET[pw]); 
  
$query "select pw from prob_orge where id='admin' and pw='{$_GET[pw]}'"
  
$result = @mysql_fetch_array(mysql_query($query)); 
  if((
$result['pw']) && ($result['pw'] == $_GET['pw'])) solve("orge"); 
  
highlight_file(__FILE__); 
?>

Blind SQL을 막기 위해 열심히 필터링 한 흔적은 보이지 않는다. 단지 이 문제를 blind SQL이라고 짐작하게 하는 부분은

- 출력되는 값은 쿼리 결과에서의 ID 값 뿐인점
- pw 인자를 통해 공격하지만 최종 인증은 pw의 값을 알아야 한다는점
- 쿼리의 결과가 없으면 값이 출력되지 않는점

이 3가지를 들수 있다.

하지만 이 문제들을 blind 기법을 사용하지 않고 공격을 해 보도록 하자.
SQL injection에서 Blind 기법이 아니라면 union과 같이 임의의 출력을 보여줄수 있는 구문을 채용하거나
sleep()과 같은 side channel 을 사용하는것이 큰 부류라고 생각한다. 해당 문제에서 sleep() 을 사용하였을 경우 정확한 값을 측정하기까지 몇번의 시도가 있어야 하고 sleep()도 blind sql 의 갈래로 보는 경우가 많다.
따라서 이 문서에서는 union을 사용해서 공격하는 방법에 대해서 조금 설명하고자 한다.

mysql 또한 프로그래밍에서 말하는 변수라는 개념을 가지고 있다.
mysql에서 변수는 주로 오버헤드를 줄이기 위해서 채용하는 경우가 많다.
이 같은 내용은 기타 프로그래밍에서도 느낄수 있는 예제가 많이 있을것이다.


char* s_name = "Sakuya Izayoi";
for(int i =0; i < 0x99; i++)
  printf("NAME LENGTH : %d",strlen(s_name));

와 같은 코드가 있다면, strlen 함수를 0x99번을 부르게 될것이다. (물론, 컴파일러가 최적화 해줄것이라 생각한다.)
strlen(s_name)의 값을 변수에 넣어두고 그 값을 계속 부르면 오버헤드가 덜 할것이다.

db는 특히나 유저의 요청이 많고 많은 정보를 포함하고 있어서 이러한 최적화를 쿼리단계에서 해주는것도 상당히 중요하다.
여기서 사용하는 변수를 우리는 공격에 사용할 것이다.
우선 원하는 값을 변수에 담고, 그 값을 union을 통해 출력하도록 할 것이다.

우선 변수에 넣는 방법부터 알아보자
변수에 넣을 값을 출력해야 하므로 SELECT 구문에 대한 reference를 참고하면 좋을것 같다. SELECT ~ INTO OUTFILE(DUMPFILE) PATH 를 사용하면 파일로 출력할 수 있지만, var_name을 사용하면 해당 변수에 그 값을 담는것이 가능하다.


하지만 Reference를 보면 into 이후에 union구문을 사용할 수 없다고 되어있다.
실제로 사용하면 에러가 발생한다.

때문에 조금 다른방법으로 변수에 값을 대입하는 방법을 소개한다



해당 방법을 사용하면 변수에 값을 바로 대입하는것이 가능하다.
이를 통해 공격 쿼리문을 다시 구성해보면


공격이 성공한 것을 볼 수 있다.
이것을 응용해서 orge문제에 접근해 보도록 하자.


6c864dec 라는 값을 얻을수 있고, 이것은 admin의 password임을 확인 할 수 있다.
덧붙여서 @a:=pw 이전에 아무런 조건도 주지 않으면, 맨 마지막 row의 값을 들고와서 대입을 하게 되는데 이것은 아마 모든 row를 돌면서 값을 대입하기 때문이라 생각한다.




때문에 원하는 값을 정확히 얻고 싶다면 조건을 붙여주는것으로 쿼리문을 작성할 필요가 있다.

4. 결론
Blind SQL injeciton의 몇가지 기법과 이러한 기법을 우회하여 공격할 수 있는 방법에 대해 알아보았다. 오버헤드를 줄이기 위해서 사용해야 할 변수를 공격에도 사용할수 있음을 알고, DB와 연결되는 보안서비스에 대한 재 점검이 필요한 서버도 있지 않을까?


'Web' 카테고리의 다른 글

Webhacking Study - Query sniff  (2) 2018.04.06
Webhacking Study - no more BLIND  (6) 2017.04.18
Upload 코드의 흔한 실수  (2) 2016.03.07
Custom Webshell  (0) 2016.02.12
SQL Injection Study  (3) 2015.11.13
PHP web development tips and tricks  (0) 2015.11.13
Posted by Maid:: IzayoiSakuya

-출제후기-


문제를 내보는게 어떻겠냐는 처음 제의에 많이 망설였습니다.

코드게이트가 작은 대회도 아니고 제 실력으로 전세계의 짱짱한 해킹팀들을 테스트 하는 문제를 낸다는게 상당히 부담스럽고

코딩실수나 문제 설계 오류로 인해서 많은 팀들의 눈쌀을 찌푸리게 하진 않을까, 제의 해준 회사에 누가 되지는 않을까. 하고 말이죠


"팀당 한두시간 버틸 난이도로 내주세요" 라고 들으니 더더욱 부담이 컸습니다.
하지만 다른 웹문제 출제도 될테니.. 하고 아이디어를 찾기 시작하다가 평소에 생각해둔, 구현해보고 싶은것을 짜보기로 했습니다.

그게 이번 문제의 첫 단계로 지정된 oracle padding attack이었습니다.


이전에 출제됬던 codegate문제의 oracle padding attack과 크고작은 워게임의 oracle padding attack을 보면서 느낀점이

문제 유형이 하나의 블럭에 대해서만 암/복호화를 하는 유형으로 거의 고정되어 있다는걸 느꼈습니다.

이 부분에서 조금의 고민을 했죠. 왜 하나의 블럭만 암/복호화 하는지.


oracle padding attack 을 이해하기 위해서는 하나의 블럭만 암/복호화 해도 상관없다고 생각합니다만,

공격의 기본이 되는 CBC와 같은 원리에 대해서는 다소 도움이 되지 않을것이라 생각했습니다. 그래서 이것을 2개이상의 블럭이 나오도록

암호화 해보는건 어떨까? 라는게 첫 아이디어 였습니다.


하지만 세계급 대회인 만큼 하나의 아이디어로 문제를 내기엔 역부족이라 생각하였습니다. 그래서 복호화 된 평문을 기준으로 새로운

인증과정이 있으면 어떨까? 하는 생각이 났습니다

일반적인 로그인 과정을 보면 ID와 PW를 입력하듯이, 이 평문에는 그러한 정보가 있고 이 정보를 토대로 로그인을 하는 그런 문제를 만드는것이

어떨까? 하는 생각이 났습니다.


처음엔 단순한 sql injection을 넣을까? 하는 생각을 하다가 조금은 특별한 구문을 채용하기로 했습니다.

해당 구문은 특정상황에서 column name을 몰라도 해당 테이블의 정보유출이 가능한 구문으로, real world에선 거의 쓰일 일이 없지만,

여러분의 학문적인 흥미를 유발하기에 충분할 것이라 생각하고, 문제 풀이과정에 있는 도전자 분들에게는 상당히 많은 스트레스를 유발할수 있지만

문제를 풀어냈을때 쾌감과 함께 얻어가는 지식이 있을것이라 생각했습니다.


이 부분은 제가 BoB 과정에 있으면서 들은 조언중  '문제를 만들때는 항상 전달하고자 하는것이 있어야 한다.' 라는 모토와 부합한다고 생각했습니다.

그리하여, 한국시간 19시 50분 경, LC/BC 팀이 처음으로 이 문제를 풀어내고 IRC 닉네임 vos 라는 해커에게서 "정말 좋은 첼린지 였어!" 라는 말을 들었을때

출제하길 정말 잘했다 라는 생각이 들더군요. 


그 이후 몇몇팀이 풀기 시작하고 대학부에서도 한 팀이 풀어냈습니다. 물론, 질문은 대회가 끝나기 10분 전까지도 왔습니다만.. 그만큼 제 문제에 대해

많은 고민을 해 주신게 아닌가 하고 생각하니 그 동안 고생한 것에 대한 보람이 느껴졌습니다.


한편으로는 역시 padbuster와 같은 tool의 사용을 막기 위해서 조금 더 신경썼어야 했다, 문제를 좀더 어렵게 냈어야 했다 등등 마음속에서 다소의 아쉬움도 있었지만 그것들은 단순히 문제로 도전자를 괴롭히기 위한 하나의 심술에 지나지 않는다는 생각을 했습니다. 이 문제로 난 충분히 이야기 하고싶은것을 전달했고, 이에 대해 많은 분들께서 얻어가는게 있다면 이 문제, 코드게이트에서의 2D Life는 성공적인 문제라고 스스로 생각합니다.


대회도중, 대회가 끝나고도 이 문제에 대해 guessing 문제 라고 말씀하시는 분들이 있는걸 보면 아직 제 문제 출제 실력이 역시 미숙하다는것을 느낍니다. 가능한 자연스럽게 유도하는 문제가 되었어야 헀지만 그렇지 못한점, 이 후기를 통해 사과의 말씀 드리고 싶습니다.


첨부한 문서는 출제된 2D life 문제에 해당하는 제가 쓴 Write up 입니다. 어떻게 보면 제작자가 원하는 방향이라고 볼수도 있겠죠.

주변 지인에게서 받은 풀이방법들도 대부분 제가 의도한 구문들이 적혀있어서 다른 Writeup과 큰 차이는 없을수 있지만.. 



2D Life Write up_off the recode.pdf


Posted by Maid:: IzayoiSakuya