å‰å›ž ã¯ã€CpawCTF ã®ç¶šãã§ã‚ã‚‹ CpawCTF2 を開始ã—ã¾ã—ãŸã€‚
今回ã¯ã€åŸºç¤ŽåŠ›ã‚’付ã‘ã‚‹ãŸã‚ã«ã‚‚ã€malloc関数ã¨free関数をç†è§£ã—ã¦ã„ãã¾ã™ã€‚脆弱性を見ã¤ã‘ãŸå¾Œã€å®Ÿéš›ã®ä¾µå…¥ã«ç¹‹ã’ã‚‹ã¨ãã«ã€malloc関数ã®ç†è§£ãŒæ±‚ã‚ã‚‰ã‚Œã‚‹å ´åˆãŒã‚ã‚Šã¾ã™ï¼ˆUse After Freeã¨ã‹ï¼‰ã€‚
実際ã«ä½¿ã‚ã‚Œã¦ã„ã‚‹ glibc ã® mallocã€free ã‚’èªã‚‚ã†ã¨ã—ãŸã®ã§ã™ãŒã€ã™ãã«æŒ«æŠ˜ã—ãŸï¼ˆç¬‘)ã®ã§ã€ã¾ãšã¯ã€åŸºæœ¬ã¨ãªã‚‹ K&R ã® malloc関数ã€free関数ã‹ã‚‰ç†è§£ã—ã¦ã„ããŸã„ã¨æ€ã„ã¾ã™ã€‚
ãã‚Œã§ã¯ã€ã‚„ã£ã¦ã„ãã¾ã™ã€‚
å‚考文献
ã¯ã˜ã‚ã«
「セã‚ュリティã€ã®è¨˜äº‹ä¸€è¦§ã§ã™ã€‚良ã‹ã£ãŸã‚‰å‚考ã«ã—ã¦ãã ã•ã„。
ã‚»ã‚ュリティã®è¨˜äº‹ä¸€è¦§
å‚考文献ã®ã€Œãƒ—ãƒã‚°ãƒ©ãƒŸãƒ³ã‚°è¨€èªžCアンサー・ブック 第2版ã€ã®åŽŸè‘—ã§ã‚る「C Programming Language (Prentice Hall Software)ã€ã¯ã€PDF ãŒãƒ€ã‚¦ãƒ³ãƒãƒ¼ãƒ‰ã§ãã¾ã™ã€‚
https://seriouscomputerist.atariverse.com/media/pdf/book/C%20Programming%20Language%20-%202nd%20Edition%20(OCR).pdf
ãã‚Œã§ã¯ã€ã‚„ã£ã¦ã„ãã¾ã™ã€‚
å‚考ã«ã•ã›ã¦ã‚‚らã£ãŸã‚µã‚¤ãƒˆ
ã„ãã¤ã‹å‚考ã«ãªã‚Šãã†ãªã‚µã‚¤ãƒˆã‚’見ã›ã¦ã‚‚らã„ã¾ã—ãŸãŒã€ã“ã“ãŒ1番詳ã—ã‹ã£ãŸã¨æ€ã„ã¾ã™ã€‚
Memory Allocator for embedded system (K & R Ritchie book)
gnuchops.wordpress.com
最åˆã®å–ã£æŽ›ã‹ã‚Šã¨ã—ã¦ã¯ã€ã„ã‹ã®ã‚µã‚¤ãƒˆãŒåˆ†ã‹ã‚Šã‚„ã™ã‹ã£ãŸã§ã™ã€‚
www.ei.fukui-nct.ac.jp
以下ã¯ã€glibc ã® malloc ã®è©±ãŒãƒ¡ã‚¤ãƒ³ã®ã‚ˆã†ã§ã™ãŒã€å…ˆé 㯠K&R ã® malloc ã®å†…容ãŒã‚ã‚Šã¾ã™ã€‚ã“ã®è³‡æ–™ã¯ã€éžå¸¸ã«æœ‰åãªè³‡æ–™ã‚‰ã—ã„ã§ã™ã€‚
www.slideshare.net
上ã®è³‡æ–™ã‚’書ã‹ã‚ŒãŸæ–¹ãŒã€ç™ºè¡¨ã—ã¦ã‚‹ YouTube ã‚‚ã‚ã‚Šã¾ã™ã€‚ã“れも有åらã—ã„ã§ã™ã€‚一応ã€å…¨ã¦è¦‹ã•ã›ã¦é ‚ãã¾ã—ãŸã€‚確ã‹ã«ã€glibc ã®æ·±ã„ã¨ã“ã‚ã¾ã§ã€åˆ†ã‹ã‚Šã‚„ã™ã解説ã—ã¦ãã‚Œã¦ã„ã‚‹ã®ã§å¿…見ã ã¨æ€ã„ã¾ã™ã€‚
www.youtube.com
å‹•ãソースコードを用æ„ã—ã¦ãƒ‡ãƒãƒƒã‚¬ã§è¿½ã„ã‹ã‘ã¦ç†è§£ã™ã‚‹
K&R ã® malloc関数ã¯ã€ã¨ã¦ã‚‚ソースコードé‡ãŒå°‘ãªã„ã§ã™ãŒã€ãã‚Œã§ã‚‚åˆè¦‹ã ã¨ã‹ãªã‚Šé›£ã—ã„ã§ã™ã€‚ソースコードã ã‘見るよりã€ãƒ‡ãƒãƒƒã‚¬ã§å‹•ã‹ã—ã¦ã€å¤‰æ•°ã®å€¤ã‚’見ãªãŒã‚‰ç†è§£ã‚’進ã‚ã‚‹æ–¹ãŒã€åŠ¹çŽ‡ãŒã„ã„ã¨æ€ã„ã¾ã™ã€‚
原著「C Programming Language (Prentice Hall Software)ã€ã® 8.7 Example - A Storage Allocator ã«ã€mallocã€free ã®ã‚½ãƒ¼ã‚¹ã‚³ãƒ¼ãƒ‰ãŒã‚ã‚Šã¾ã™ã€‚
C言語ã¨ã—ã¦ã€å°‘ã—書ãæ–¹ãŒå¤ã„ã¨ã„ã†ã“ã¨ã¨ã€ã‚¿ã‚¤ãƒ—ミスãŒã„ãã¤ã‹ã‚ã£ã¦ã€ã‚³ãƒ³ãƒ‘イルãŒé€šã‚‰ãªã„ã®ã§ã€ãã“ã‚’ä¿®æ£ã—ãŸã€å‹•ãソースコードを用æ„ã—ã¾ã—ãŸã€‚
https://github.com/dk0893/experiment/blob/main/c/k_and_r_org.cgithub.com
コンパイルã¨å®Ÿè¡Œæ–¹æ³•ã¯ä»¥ä¸‹ã§ã™ã€‚末尾ã«ã‚ã‚‹ main関数ã§ã€malloc/free関数をコールã—ã¦ã„ã¾ã™ã€‚ã“ã“ã‚’ã„ã‚ã„ã‚変ãˆã¦ã€malloc関数ã®ç†è§£ã‚’進ã‚ã¾ã™ã€‚
$ gcc -D DEBUG -o k_and_r_org.out k_and_r_org.c
$ ./k_and_r_org.out
0, 0
0, 0, 0, 0
0, 0, 0, 0, 0, 0
malloc関数ã¨free関数ã®ç†è§£
以é™ã¯ã€ç§ãŒç†è§£ã—ãŸå†…容を書ã„ã¦ã„ãã¾ã™ã€‚
å…ˆé ã®å®£è¨€ã€å®šç¾©éƒ¨åˆ†
unistd.h ã¯ã€sbrk関数を使ã†ã®ã§å¿…è¦ã§ã™ã€‚
Header ã«ã¯ã€æ¬¡ã®ãƒ–ãƒãƒƒã‚¯ã®ã‚¢ãƒ‰ãƒ¬ã‚¹ã¨ã“ã®ãƒ–ãƒãƒƒã‚¯ã®ã‚µã‚¤ã‚ºï¼ˆãƒ¦ãƒ‹ãƒƒãƒˆå˜ä½ï¼‰ãŒå…¥ã£ã¦ã„ã¾ã™ã€‚Align x ã¯ã€ã‚¢ãƒ©ã‚¤ãƒ¡ãƒ³ãƒˆã‚’強制ã™ã‚‹ãŸã‚ã«å®šç¾©ã•ã‚Œã¦ã„ã¦ã€å®Ÿéš›ã«ã¯ä½¿ã‚ã‚Œã¾ã›ã‚“。
#include <unistd.h>
typedef long Align;
union header
{
struct
{
union header *ptr;
unsigned size;
} s;
Align x;
};
typedef union header Header;
static Header base;
static Header* freep = NULL;
static Header *morecore(unsigned nu);
void myfree(void *ap);
malloc関数
標準関数ã¨åå‰ãŒã‹ã¶ã‚‹ã®ã§ã€é–¢æ•°åã‚’ malloc ã‹ã‚‰ mymalloc ã«å¤‰ãˆã¦ã„ã¾ã™ã€‚
最åˆã¯ãƒ•ãƒªãƒ¼ãƒªã‚¹ãƒˆãŒå˜åœ¨ã—ãªã„ã®ã§ã€ã‚°ãƒãƒ¼ãƒãƒ«å¤‰æ•°ã® base 㨠freep ã‚’åˆæœŸåŒ–ã—ã¾ã™ã€‚
ãã®å¾Œã® foræ–‡ã§ã¯ã€æœ€åˆã¯ãƒ¡ãƒ¢ãƒªãŒç„¡ã„ã®ã§ã€foræ–‡ã®æœ€åˆã®æ–¹ã¯å®Ÿè¡Œã•ã‚Œãšã€morecore関数をコールã—ã¾ã™ã€‚ã“ã®ä¸ã§ã€ã‚·ã‚¹ãƒ†ãƒ ã‹ã‚‰å¤§ãã‚ã®ãƒ¡ãƒ¢ãƒªã‚’確ä¿ã—ã¦ãã¾ã™ã€‚
foræ–‡ã®å…ˆé ã«æˆ»ã‚Šã€ãƒ•ãƒªãƒ¼ãƒªã‚¹ãƒˆã‹ã‚‰ç©ºãを探ã—ã¾ã™ã€‚空ã„ã¦ã‚‹ãƒ–ãƒãƒƒã‚¯ï¼ˆãƒ–ãƒãƒƒã‚¯ã¯é€£ç¶šã—ã¦ç©ºã„ã¦ã‚‹ãƒ¡ãƒ¢ãƒªã®ã“ã¨ï¼‰ã‚’見ã¤ã‘ãŸã‚‰ã€ãã®ãƒ–ãƒãƒƒã‚¯ã®æœ«å°¾ã‹ã‚‰å¿…è¦ãªé‡ã®ãƒ¡ãƒ¢ãƒªã‚’切り出ã—ã¦ä¸Šä½ã«å…ˆé アドレスを返ã—ã¾ã™ã€‚見ã¤ã‘ãŸãƒ–ãƒãƒƒã‚¯ã®ã‚µã‚¤ã‚ºãŒå¤‰ã‚ã‚‹ã®ã§ã€ã‚µã‚¤ã‚ºã‚’æ›´æ–°ã—ã¦ã„ã¾ã™ã€‚
void* mymalloc (unsigned nbytes)
{
Header* p;
Header* prevp;
unsigned nunits;
nunits = (nbytes + sizeof(Header) - 1) / sizeof(Header) + 1;
if ((prevp = freep) == NULL)
{
base.s.ptr = freep = prevp = &base;
base.s.size = 0;
}
for (p = prevp->s.ptr; ; prevp = p, p = p->s.ptr)
{
if (p->s.size >= nunits)
{
if (p->s.size == nunits)
prevp->s.ptr = p->s.ptr;
else
{
p->s.size -= nunits;
p += p->s.size;
p->s.size = nunits;
}
freep = prevp;
return (void *)(p + 1);
}
if (p == freep)
if ((p = morecore(nunits)) == NULL)
return NULL;
}
}
morecore関数
最åˆã¯ç©ºãメモリãŒç„¡ã„ã®ã§ã€ã¾ãšã€ã“ã®é–¢æ•°ãŒã‚³ãƒ¼ãƒ«ã•ã‚Œã¾ã™ã€‚大ãã‚ã®ãƒ¡ãƒ¢ãƒªï¼ˆ1024 * 16 = 16384 byte)ãŒç¢ºä¿ã•ã‚Œã¾ã™ã€‚ãã®å¾Œã€free関数を呼ã³å‡ºã—ã¾ã™ã€‚free関数を呼ã³å‡ºã™ã“ã¨ã§ã€ç¢ºä¿ã—ãŸãƒ¡ãƒ¢ãƒªã‚’フリーリストã«èªè˜ã•ã›ã¦ã€ä½¿ãˆã‚‹ã‚ˆã†ã«ã—ã¦ã„ã¾ã™ã€‚
#define NALLOC 1024
static Header *morecore(unsigned nu)
{
char *cp;
Header *up;
if (nu < NALLOC)
nu = NALLOC;
cp = sbrk(nu * sizeof(Header));
if (cp == (char *) -1)
return NULL;
up = (Header *) cp;
up->s.size = nu;
myfree((void *)(up + 1));
return freep;
}
free関数
標準関数ã¨åå‰ãŒã‹ã¶ã‚‹ã®ã§ã€é–¢æ•°åã‚’ free ã‹ã‚‰ myfree ã«å¤‰ãˆã¦ã„ã¾ã™ã€‚
free関数ã§ã™ã€‚最åˆã® foræ–‡ãŒã€ã¾ã ç†è§£ãŒä¸å分ã§ã™ãŒã€ãŠãらãã€ãƒ•ãƒªãƒ¼ãƒªã‚¹ãƒˆã‹ã‚‰ãƒªã‚¹ãƒˆã‚’ãŸã©ã£ã¦ï¼ˆp)ã€è§£æ”¾ã™ã‚‹é ˜åŸŸï¼ˆbp)ã®è¿‘ãã«è¨å®šã—(隣接ã•ã›ã¦ï¼‰ã€è§£æ”¾å¾Œã«ç©ºãメモリåŒå£«ã‚’連çµã•ã›ã‚‹ãŸã‚ã«ã‚ã‚‹ã‚“ã ã¨æ€ã„ã¾ã™ã€‚
void myfree(void *ap) {
Header *bp, *p;
bp = (Header *)ap - 1;
for (p = freep; !(bp > p && bp < p->s.ptr); p = p->s.ptr)
if (p >= p->s.ptr && (bp > p || bp < p->s.ptr))
break;
if (bp + bp->s.size == p->s.ptr) {
bp->s.size += p->s.ptr->s.size;
bp->s.ptr = p->s.ptr->s.ptr;
} else
bp->s.ptr = p->s.ptr;
if (p + p->s.size == bp) {
p->s.size += bp->s.size;
p->s.ptr = bp->s.ptr;
} else
p->s.ptr = bp;
freep = p;
}
main関数
最後ã«ã€main関数ã§ã™ã€‚ã„ã‚ã‚“ãªãƒ‘ターンã§ã€malloc関数㨠free関数をコールã™ã‚‹ãŸã‚ã«ç”¨æ„ã—ã¾ã—ãŸã€‚
#ifdef DEBUG
#include <stdio.h>
int main( int argc, char *argv[] )
{
char *p0, *p1, *p2;
p0 = (char *)mymalloc( 2 );
printf( "%d, %d\n", p0[0], p0[1] );
p1 = (char *)mymalloc( 4 );
printf( "%d, %d, %d, %d\n", p1[0], p1[1], p1[2], p1[3] );
p2 = (char *)mymalloc( 6 );
printf( "%d, %d, %d, %d, %d, %d\n", p1[0], p1[1], p1[2], p1[3], p1[4], p1[5] );
myfree( p1 );
myfree( p0 );
myfree( p2 );
}
#endif
ãŠã‚ã‚Šã«
今回ã¯ã€åŸºæœ¬ã® K&R ã® malloc関数㨠free関数ã«ã¤ã„ã¦ã€ãƒ‡ãƒãƒƒã‚¬ã§å®Ÿè¡Œã§ãるソースコードを用æ„ã—ã¦ã€ç†è§£ã‚’進ã‚ã¾ã—ãŸã€‚何度ã‹è¦‹ç›´ã—ã¦ç†è§£ãŒé€²ã‚“ã らã€glibc ã® malloc関数ã¨free関数ã®ç†è§£ã«é€²ã¿ãŸã„ã¨æ€ã„ã¾ã™ã€‚
最後ã«ãªã‚Šã¾ã—ãŸãŒã€ã‚¨ãƒ³ã‚¸ãƒ‹ã‚¢ã‚°ãƒ«ãƒ¼ãƒ—ã®ãƒ©ãƒ³ã‚ングã«å‚åŠ ä¸ã§ã™ã€‚
気楽ã«ãƒãƒãƒƒã¨ã‚ˆã‚ã—ããŠé¡˜ã„ã„ãŸã—ã¾ã™ðŸ™‡
今回ã¯ä»¥ä¸Šã§ã™ï¼
最後ã¾ã§ãŠèªã¿ã„ãŸã ãã€ã‚ã‚ŠãŒã¨ã†ã”ã–ã„ã¾ã—ãŸã€‚
