leginwos

근황

leginwos — Sat, 22 Jun 2024 15:51:22 +0900

2024.04.15 ~ 2025.12.14

최근에(?) 해군 정보보호병으로 입대했습니다 :)

블로그 글은 시간이 되면 최대한 써보도록 하겠습니다.

확실한 날짜는 ¯\_(ツ)_/¯

필승

5. Fuzzing 101 - Exercise 5

leginwos — Thu, 4 Apr 2024 16:46:57 +0900

1. 환경설정 및 설치

대상(LibXML2) 다운로드
# 디렉토리 생성

cd $HOME
mkdir Fuzzing_libxml2 && cd Fuzzing_libxml2

# 다운로드 및 압축해제

wget http://xmlsoft.org/download/libxml2-2.9.4.tar.gz
tar xvf libxml2-2.9.4.tar.gz && cd libxml2-2.9.4/

LibXML2 빌드 및 설치
# Libxml2 빌드 및 설치

sudo apt-get install python-dev
CC=afl-clang-lto CXX=afl-clang-lto++ CFLAGS="-fsanitize=address" CXXFLAGS="-fsanitize=address" LDFLAGS="-fsanitize=address" ./configure --prefix="$HOME/Fuzzing_libxml2/libxml2-2.9.4/install" --disable-shared --without-debug --without-ftp --without-http --without-legacy --without-python LIBS='-ldl'
make -j$(nproc)
make install

CC=afl-clang-lto: C 컴파일러를 afl-clang-lto로 설정한다.
CXX=afl-clang-lto++: C++ 컴파일러를 afl-clang-lto++로 설정한다.
CFLAGS="-fsanitize=address": C 컴파일러게 ASAN을 활성화하도록 지시한다.
CXXFLAGS="-fsanitize=address": C++ 컴파일러에게 ASAN을 활성화하도록 지시한다.
=> C, C++ 코드를 컴파일 할 때, ASAN에 필요한 코드를 삽입한다.
LDFLAGS="-fsanitize=address": 링커에게 링크 과정에서 ASAN 라이브러리를 링크하도록 지시한다.
=> 프로그램을 실행할 때, ASAN 라이브러리를 링크해 ASAN과 함께 실행하도록 한다.
--prefix: 프로그램을 설치할 디렉토리를 지정한다.
--disable-shared: 공유 라이브러리 생성을 비활성화한다.
--without-debug: 디버그 정보 기능을 빌드에서 제외한다.
--without-ftp: FTP(File Transfer Protocol)기능을 빌드에서 제외한다.
--without-http: HTTP기능을 빌드에서 제외한다.
--without-legacy: 레거시(과거에 사용되던 기술, 소프트웨어, 시스템)기능을 빌드에서 제외한다.
--without-python: Python 관련 기능을 빌드에서 제외한다.
LIBS='-ldl': -ldl라이브러리를 링크한다.
+) '-ldl' 라이브러리는 프로그램이 실행 중에 동적으로 라이브러리를 로드하는 데 필요한 함수들을 사용할 수 있도록 한다.
make -j$(nproc): 현재 시스템의 프로세서 코어의 개수에 맞추어 병렬로 빌드를 실행하도록 한다.

Fuzzing101에서 제공하는 Seed corpus 사용
# Fuzzing101에서 제공한 SampleInput.xml 가져오기

mkdir afl_in && cd afl_in
wget https://raw.githubusercontent.com/antonio-morales/Fuzzing101/main/Exercise%205/SampleInput.xml
cd ..

Dictionary 다운로드
# Dictionary(xml.dict) 다운로드

mkdir dictionaries && cd dictionaries
wget https://raw.githubusercontent.com/AFLplusplus/AFLplusplus/stable/dictionaries/xml.dict
cd ..

- Dictionary는 text-based file format(ex) XML)을 Fuzzing할 때 사용되며, Fuzzer가 대상의 메모리 파일을 변형할 때 사용하는 단어나 값들의 집합을 의미한다.
- Dictionary는 주로 Override, Insert 작업에 사용된다.
- Override: 특정 위치를 Dictionary 길이만큼 다른 값으로 대체함으로써 파일의 구조와 문법을 변형한다.
- Insert: Dictionary 항목을 현재 파일 위치에 삽입함으로써 파일의 구조와 크기를 변형한다.

2. Fuzzing 단계

# 마스터 인스턴스 예시
./afl-fuzz -i afl_in -o afl_out -M Master -- ./program @@

# 노예 인스턴스 예시
./afl-fuzz -i afl_in -o afl_out -S Slave1 -- ./program @@
./afl-fuzz -i afl_in -o afl_out -S Slave2 -- ./program @@
...
./afl-fuzz -i afl_in -o afl_out -S SlaveN -- ./program @@

- 시스템에 여러 개의 CPU 코어가 있으면, 여러 개의 인스턴스를 사용해 병렬적으로 Fuzzing을 효율적이게 수행할 수 있다.

- 이러한 공유 인스턴스 방식은 마스터 인스턴스와 노예 인스턴스가 있는데, 각각의 인스턴스는 옵션을 통해 구분할 수 있다.

- ‘-M’로 마스터 인스턴스를 설정하고 ‘-S’로 노예 인스턴스를 설정할 수 있는데, 마스터 인스턴스는 모든 노예 인스턴스를 제어하고 작업을 관리하며, 노예 인스턴스는 독립적으로 각각 마스터 인스턴스로부터 받은 테스트케이스를 변형하고 Fuzzing을 수행한다.

- Fuzzing으로 해당 crash를 찾지 못해 crash를 다운받아 진행했습니다. 이점 참고해주시면 감사하겠습니다 :)

3. 결과 분석

ASAN crash

xmlValidateElementContent() :

// valid.c - xmlValidateElementContent()
#endif /* LIBXML_REGEXP_ENABLED */
    if ((warn) && ((ret != 1) && (ret != -3))) {
	if (ctxt != NULL) {
	    char expr[5000];
	    char list[5000];

	    expr[0] = 0;
	    xmlSnprintfElementContent(&expr[0], 5000, cont, 1);

- xmlValidateElementContent() 함수에서 호출한 xmlSnprintfElementContent() 함수에서 stack buffer overflow가 발생했다.

// DTD 구조
<?xml version="1.0"?>
<!DOCTYPE a [
<!ELEMENT a (ppppppp:llllllll)>
]>
<a/>

- 위와 같은 XML 문서의 구조를 정의하는 구조를 DTD(Document Type Definition)구조라고 하는데, 이러한 DTD 구조를 통해 새로운 문서 형식을 만들 수 있다.

- 여기서 ppppppp는 prefix를, lllllll은 name을 의미한다고 한다.

content 확인

// valid.c - xmlSnprintfElementContent()
void
xmlSnprintfElementContent(char *buf, int size, xmlElementContentPtr content, int englob) {
    int len;

    if (content == NULL) return;
    len = strlen(buf);
    if (size - len < 50) {
	if ((size - len > 4) && (buf[len - 1] != '.'))
	    strcat(buf, " ...");
	return;
    }
    if (englob) strcat(buf, "(");
    switch (content->type) {
        case XML_ELEMENT_CONTENT_PCDATA:
            strcat(buf, "#PCDATA");
	    break;	
	case XML_ELEMENT_CONTENT_ELEMENT:
	    if (content->prefix != NULL) {
		if (size - len < xmlStrlen(content->prefix) + 10) {
		    strcat(buf, " ...");
		    return;
		}
		strcat(buf, (char *) content->prefix);
		strcat(buf, ":");
	    }
	    if (size - len < xmlStrlen(content->name) + 10) {
		strcat(buf, " ...");
		return;
	    }
	    if (content->name != NULL)
		strcat(buf, (char *) content->name);
	    break;

- content를 gdb로 확인해 보면, XML_ELEMENT_CONTENT_ELEMENT을 충족하므로 위 코드의 switch (content->type) case 조건에 맞게 된다.

- 위 코드에서는 앞에서 보았던 prefix와 name을 strcat()을 통해 buf에 붙여주는데, 여기서 문제가 발생한다.

profix, name 길이 확인

// valid.c - xmlValidateElementContent()
#endif /* LIBXML_REGEXP_ENABLED */
    if ((warn) && ((ret != 1) && (ret != -3))) {
	if (ctxt != NULL) {
	    char expr[5000];
	    char list[5000];

	    expr[0] = 0;
	    xmlSnprintfElementContent(&expr[0], 5000, cont, 1);

- python으로 길이를 확인해 보면 6001로, 앞서 xmlSnprintfElementContent()에서 expr, list의 크기가 5000이기 때문에 문제가 발생할 수 있다.

- 그리고 이러한 취약점의 원인으로는 prefix, name을 xmlSnprintfElementContent()에서 크기를 검증하는 과정에 있다.

CVE-2017-9047

// valid.c - xmlSnprintfElementContent()
void
xmlSnprintfElementContent(char *buf, int size, xmlElementContentPtr content, int englob) {
    int len;

    if (content == NULL) return;
    len = strlen(buf);
    if (size - len < 50) {
	if ((size - len > 4) && (buf[len - 1] != '.'))
	    strcat(buf, " ...");
	return;
    }
    if (englob) strcat(buf, "(");
    switch (content->type) {
        case XML_ELEMENT_CONTENT_PCDATA:
            strcat(buf, "#PCDATA");
	    break;	
	case XML_ELEMENT_CONTENT_ELEMENT:
	    if (content->prefix != NULL) {
		if (size - len < xmlStrlen(content->prefix) + 10) {
		    strcat(buf, " ...");
		    return;
		}
		strcat(buf, (char *) content->prefix);
		strcat(buf, ":");
	    }
	    if (size - len < xmlStrlen(content->name) + 10) {
		strcat(buf, " ...");
		return;
	    }
	    if (content->name != NULL)
		strcat(buf, (char *) content->name);
	    break;

/**
 * xmlStrlen:
 * @str:  the xmlChar * array
 *
 * length of a xmlChar's string
 *
 * Returns the number of xmlChar contained in the ARRAY.
 */

int
xmlStrlen(const xmlChar *str) {
    int len = 0;

    if (str == NULL) return(0);
    while (*str != 0) { /* non input consuming */
        str++;
        len++;
    }
    return(len);
}

- 코드를 보면, xmlStrlen()은 단순히 문자열의 길이를 반환하는 함수임을 알 수 있다.

- 여기서 size(5000)를 단순히 prefix와 name을 각각 분리해서 비교하고, 업데이트가 안된 len을 strlen(buf) 대신 비교함으로써 prefix와 name의 크기 조건문을 통과시키면 stack buffer overflow가 발생하게 된다.

CVE-2017-9048

// xmlSnprintfElementContent() 이어서
    if (englob)
        strcat(buf, ")");
    switch (content->ocur) {
        case XML_ELEMENT_CONTENT_ONCE:
	    break;
        case XML_ELEMENT_CONTENT_OPT:
	    strcat(buf, "?");
	    break;
        case XML_ELEMENT_CONTENT_MULT:
	    strcat(buf, "*");
	    break;
        case XML_ELEMENT_CONTENT_PLUS:
	    strcat(buf, "+");
	    break;
    }

- 다음 코드는 CVE-2017-9047 이후에 바로 이어지는 코드이다.

- 여기서 buf에 최대 길이가 2인 문자가 들어갈 수 있기 때문에, 해당 코드에 도달하기 전에 미리 buf의 크기를 확인해야 한다.

- 만약 그렇지 않으면, 마찬가지로 overflow가 발생하게 된다.

4. 취약점 패치

CVE-2017-9047

CVE-2017-9047 패치

- prefix, name을 각자 비교하지 않고, 길이를 더해 한꺼번에 비교하도록 패치되었다.

CVE-2017-9048

CVE-2017-9048 패치

- overflow가 발생하는 로직 전에 buf의 크기가 3이상으로 충분한지 확인하도록 패치되었다.

4. Fuzzing 101 - Exercise 4

leginwos — Thu, 4 Apr 2024 16:00:25 +0900

1. 환경설정 및 설치

대상(LibTIFF) 다운로드
# 디렉토리 생성

cd $HOME
mkdir fuzzing_tiff && cd fuzzing_tiff/

# 다운로드 및 압축해제

wget https://download.osgeo.org/libtiff/tiff-4.0.6.tar.gz
tar -xzvf tiff-4.0.6.tar.gz

여러가지 빌드 방법 (default, code coverage, ASAN)
# 빌드 수정 시 사용

rm -r $HOME/fuzzing_tiff/install
cd $HOME/fuzzing_tiff/tiff-4.0.6/
make clean

# LibTIFF 빌드 (default)

cd tiff-4.0.6/
./configure --prefix="$HOME/fuzzing_tiff/install/" --disable-shared
make
make install

software matric 중 하나인 code coverage설정
# lcov 설치

sudo apt install lcov

# libtiff 빌드 (--coverage flag 사용)

CFLAGS="--coverage" LDFLAGS="--coverage" ./configure --prefix="$HOME/fuzzing_tiff/install/" --disable-shared
make
make install

# libtiff 빌드 (ASAN 사용)

export LLVM_CONFIG="llvm-config-11"
CC=afl-clang-lto ./configure --prefix="$HOME/fuzzing_tiff/install/" --disable-shared
AFL_USE_ASAN=1 make -j4
AFL_USE_ASAN=1 make install

--prefix: 빌드 된 프로그램, 라이브러리가 설치될 경로를 설정한다.
--disable-shared: 공유 라이브러리를 사용하지 않는다. (정적 라이브러리만 생성)
CFLAGS: 컴파일러에게 code coverage를 수집하도록 flag를 전달한다
LDFLAGS: 링커에게 code coverage를 수집하도록 flag를 전달한다.
--coverage: gcc, clang이 code coverage를 수집하도록 지시한다.
CC=afl-clang-lto: 컴파일러를 afl-clang-lto로 설정한다.
AFL_USE_ASAN=1: AFL에서 ASAN을 사용하도록 지시한다.
-j4: 4개의 작업을 병렬로 빌드하도록 make에 지시한다.

+) Code coverage 데이터 수집 예시

1 cd $HOME/fuzzing_tiff/tiff-4.0.6/
2 lcov --zerocounters --directory ./
3 lcov --capture --initial --directory ./ --output-file app.info
4 $HOME/fuzzing_tiff/install/bin/tiffinfo -D -j -c -r -s -w $HOME/fuzzing_tiff/tiff-5: 4.0.6/test/images/palette-1c-1b.tiff
5 lcov --no-checksum --directory ./ --capture --output-file app2.info

코드 설명:
- 2: 현재 디렉토리 coverage counter 초기화

- 3: 초기 coverage 정보를 app.info에 저장

- 4: 분석하려는 프로그램 이미지 실행
D: 디렉토리 정보
j: JPEG 태그 정보 - JPEG 이미지 설정, 품질, 색상 등
c: 컬러맵(이미지 색상정보를 저장하는 방식 중 하나) 정보
r: 래스터 데이터(이미지를 구성하는 데이터) 정보
s: 파일 및 스트립(strip) 정보
w: 파일 경로
- 5: 현재 coverage 상태를 app2.info에 저장

2. Fuzzing 단계

tiff fuzzing 결과

afl-fuzz -m none -i $HOME/fuzzing_tiff/tiff-4.0.6/test/images/ -o $HOME/fuzzing_tiff/out/ -s 123 -- $HOME/fuzzing_tiff/install/bin/tiffinfo -D -j -c -r -s -w @@

3. 결과 분석

ASAN crash

main :

// tiffinfo.c - main()
		tif = TIFFOpen(argv[optind], chopstrips ? "rC" : "rc");
		if (tif != NULL) {
			if (dirnum != -1) {
				if (TIFFSetDirectory(tif, (tdir_t) dirnum))
					tiffinfo(tif, order, flags, 1);
			} else if (diroff != 0) {
				if (TIFFSetSubDirectory(tif, diroff))
					tiffinfo(tif, order, flags, 1);
			} else {
do {
	toff_t offset=0;

	tiffinfo(tif, order, flags, 1);
	if (TIFFGetField(tif, TIFFTAG_EXIFIFD,
			 &offset)) {
		if (TIFFReadEXIFDirectory(tif, offset)) {
				tiffinfo(tif, order, flags, 0);
				}
			}
	}

- main()에서 인자로 TIFF 태그와 이 태그를 가져오는 IFD offset을 가지는데, 이 TIFFGetField() 함수는 TIFF 특정 태그의 ID를 가져온다.

- TIFFTAG_EXIFIFD() 함수는 EXIF 정보가 있는 디렉토리를 가리키고, 해당 TIFF 태그의 파일이 포함하는 데이터들의 정보를 저장한다.

TIFFPrintDirectory :

// tiffinfo.c - TIFFPrintDirectory()
static void
tiffinfo(TIFF* tif, uint16 order, long flags, int is_image)
{
	TIFFPrintDirectory(tif, stdout, flags);
	if (!readdata || !is_image)
		return;

TIFFPrintField :

// tif_print.c - _TIFFPrintField()
if (!_TIFFPrettyPrintField(tif, fip, fd, tag, value_count, raw_data))
	_TIFFPrintField(fd, fip, value_count, raw_data);

if(mem_alloc)
	_TIFFfree(raw_data);

- TIFFPrintDirectory() 함수는 이름에서 유추할 수 있듯이 가져온 offset에 해당하는 디렉토리를 읽고 추가적인 정보를 출력한다.

- TIFFPrintField() 함수는 TIFFField 구조체에 대한 포인터와 값의 수, 데이터 포인터를 인자로 가지는데, fip를 통해 필드의 형식을 파악하고, raw_data를 해당 형식에 따라서 fd에 출력한다.

// tif_print.c
else if(fip->field_type == TIFF_ASCII) {
	fprintf(fd, "%s", (char *) raw_data);
	break;
}

// tiff.h
typedef enum {
	TIFF_NOTYPE = 0,      /* placeholder */
	TIFF_BYTE = 1,        /* 8-bit unsigned integer */
	TIFF_ASCII = 2,       /* 8-bit bytes w/ last byte null */
	TIFF_SHORT = 3,       /* 16-bit unsigned integer */
	TIFF_LONG = 4,        /* 32-bit unsigned integer */

- 여기 TIFFPrintField() 함수에서 문제가 발생하는데, 해당 코드는 NULL byte가 나올 때까지 문자열을 출력한다.

- 마지막 byte가 NULL일 때까지 출력하기 때문에, 만약 데이터의 마지막 byte가 NULL이 아니게 되면, 의도하지 않은 부분을 출력할 수 있어 문제가 발생한다.

4. 취약점 패치

취약점 패치

- TIFF 파일을 읽을 때 ASCII이고 ASCII 타입의 필드 값을 다룰 때, 만약 마지막 byte가 NULL(‘\0’)로 끝나지 않으면 경고 메시지와 함께 강제로 마지막 byte에 NULL(‘\0’)을 삽입하도록 패치되었다.

3. Fuzzing 101 - Exercise 3

leginwos — Thu, 4 Apr 2024 15:27:31 +0900

1. 환경설정 및 설치

대상(tcpdump) 다운로드
# 디렉토리 생성

cd $HOME
mkdir fuzzing_tcpdump && cd fuzzing_tcpdump/

# 다운도르 및 압축해제

wget https://github.com/the-tcpdump-group/tcpdump/archive/refs/tags/tcpdump-4.9.1.tar.gz
tar -xzvf tcpdump-4.9.1.tar.gz

tcpdump를 사용하기 위한 libpcap 라이브러리 다운로드
# 다운로드 및 압축해제

wget https://github.com/the-tcpdump-group/libpcap/archive/refs/tags/libpcap-1.8.0.tar.gz
tar -xzvf libpcap-1.8.0.tar.gz

# tcpdump가 로컬 경로를 원활하게 찾기 위해 libpcap 이름 변경

mv libpcap-libpcap-1.8.0/ libpcap-1.8.0

libpcap, tcpdump 빌드 및 설치 (+ASAN)
# tcpdump는 libpcap을 사용해 네트워크 패킷을 분석하므로 libpcap이 먼저 빌드된다.
# libpacp 빌드 및 설치 (+ASAN)

cd $HOME/fuzzing_tcpdump/libpcap-1.8.0/
export LLVM_CONFIG="llvm-config-11"
CC=afl-clang-lto ./configure --enable-shared=no --prefix="$HOME/fuzzing_tcpdump/install/"
AFL_USE_ASAN=1 make

# tcpdump 빌드 및 설치 (+ASAN)

cd $HOME/fuzzing_tcpdump/tcpdump-tcpdump-4.9.1/
AFL_USE_ASAN=1 CC=afl-clang-lto ./configure --prefix="$HOME/fuzzing_tcpdump/install/"
AFL_USE_ASAN=1 make
AFL_USE_ASAN=1 make install

- Address Sanitizer(ASAN)은 메모리 오류를 감지하는 오픈소스 도구로써, version 3.1부터 LLVM 컴파일러에 통합되어 사용할 수 있다.
- AFL_USE_ASAN=1을 앞에 붙임으로써 ASAN을 사용해 AFL++을 빌드할 수 있다.

2. Fuzzing 단계

tcpdump fuzzing 결과

leginwos@leginwos:~/fuzzing_tcpdump/tcpdump-tcpdump-4.9.2$ afl-fuzz -m none -i $HOME/fuzzing_tcpdump/tcpdump-tcpdump-4.9.2/tests/ -o $HOME/fuzzing_tcpdump/out/ -s 123 -- $HOME/fuzzing_tcpdump/install/sbin/tcpdump -vvvvXX -ee -nn -r @@

3. 결과 분석

ASAN을 사용한 crash

- bootp_print에서 호출하는 EXTRACT_32BITS에서 heap buffer overflow가 발생했다.

bootp 구조

# bootp_print.c
ND_PRINT((ndo, ", Flags [%s]",
	bittok2str(bootp_flag_values, "none", EXTRACT_16BITS(&bp->bp_flags))));

# bootp_flag_values
static const struct tok bootp_flag_values[] = {
	{ 0x8000,	"Broadcast" },
	{ 0, NULL}
};

- ASAN으로 확인한 bootp_print.c를 자세히 보면, bootp_flag_values함수와 EXTRACT_16BITS 함수가 보인다.

- 여기서 EXTRACT_16BITS 함수는 이름 그대로 16비트만큼 추출하는 함수로 보인다.

- ND_PRINT는 출력하는 함수이고, bittok2str은 bit tocken을 문자로 바꾸는 함수이다.

- bootp_flag_values 함수는 flag값이 0x8000이면 Broadcast를, 0이면 아무것도 출력하지 않는다.

ndo 구조체

- ndo 구조체는 tcpdump의 packet에 있는 여러가지 값들을 가진다.

- 여기서 ndo_snapend는 이름 그대로 ndo 구조체의 snapshot의 끝주소를 가지고, 이 ndo_snapend는 아래와 같이 계산된다.

gdb로 caplen 확인

wireshark를 사용한 caplan 확인

# print.c
ndo->ndo_snapend = sp + h->caplen;

- gdb을 사용해서 caplen을 확인하면 0x35이고, wireshark에서는 0x53으로 gdb에서의 caplen이 더 작은 것을 확인할 수 있다.

- 그렇기 때문에, 데이터의 길이를 확인하지 않으면, out-of-bounds가 일어나 heap buffer overflow가 발생할 수 있게 된다.

4. 취약점 패치

취약점 패치

ND_TCHECK :

/* Bail if "var" was not captured */
#define ND_TCHECK(var) ND_TCHECK2(var, sizeof(var))

ND_TCHECK2 :

/* Bail if "l" bytes of "var" were not captured */
#define ND_TCHECK2(var, l) if (!ND_TTEST2(var, l)) goto trunc
trunc:
	ND_PRINT((ndo, "%s", tstr));
	return -1;

ND_TTEST2 :

#define ND_TTEST2(var, l) \
  (IS_NOT_NEGATIVE(l) && \
	((uintptr_t)ndo->ndo_snapend - (l) <= (uintptr_t)ndo->ndo_snapend && \
         (uintptr_t)&(var) <= (uintptr_t)ndo->ndo_snapend - (l)))

- ND_TCHECK 매크로를 사용해서 변수가 캡쳐되었는지 확인하고, 만약 아니라면 ND_TCHECK2 매크로를 호출한다.

- ND_TCHECK2 매크로는 변수의 1byte가 캡쳐되었는지 확인하고, 만약 아니라면 goto trunc로 오류 메세지를 호출하고 -1을 반환해 프로그램을 종료한다.

- ND_TTEST2 매크로는 데이터의 캡쳐 여부를 ndo_snapend로 확인해 해당 데이터의 주소가 유효한 범위 안에 있는지 확인한다.

2. Fuzzing 101 - Exercise 2

leginwos — Wed, 3 Apr 2024 18:34:49 +0900

1. 환경설정 및 설치

디렉토리 생성

cd $HOME
mkdir fuzzing_libexif && cd fuzzing_libexif/

libexif 0.6.14 다운로드, 압축 해제

wget https://github.com/libexif/libexif/archive/refs/tags/libexif-0_6_14-release.tar.gz
tar -xzvf libexif-0_6_14-release.tar.gz

빌드 및 설치

cd libexif-libexif-0_6_14-release/
sudo apt-get install autopoint libtool gettext libpopt-dev
autoreconf -fvi
./configure --enable-shared=no --prefix="$HOME/fuzzing_libexif/install/"
make

make install

autoreconf
- f: 이전의 파일을 지우고 새로 만든다.
- v: 과정을 자세하게 보여준다.
- i: 원래 없던 필요한 파일도 설치한다.
--enable-shared=no: 공유 라이브러리를 빌드하지 않도록 지시한다.
--prefix="$HOME/fuzzing_libexif/install/"는 설치될 경로를 지정한다.

Interface application 설치
- libexif는 라이브러리이므로 이를 실행하는 Interface application이 필요한데, 여기서는 exif command-line을 사용했다.

exif 다운로드 및 압축해제

cd $HOME/fuzzing_libexif
wget https://github.com/libexif/exif/archive/refs/tags/exif-0_6_15-release.tar.gz
tar -xzvf exif-0_6_15-release.tar.gz

빌드 및 설치

cd exif-exif-0_6_15-release/
autoreconf -fvi
./configure --enable-shared=no --prefix="$HOME/fuzzing_libexif/install/" PKG_CONFIG_PATH=$HOME/fuzzing_libexif/install/lib/pkgconfig
make
make install

PKG_CONFIG_PATH=$HOME/fuzzing_libexif/install/lib/pkgconfig
- 필요한 라이브러리의 위치를 지정한다.

Corpus 생성
- corpus는 Fuzzing시에 사용되는 데이터 셋을 의미하고, 여기서는 exif 이미지 샘플을 사용했다.

cd $HOME/fuzzing_libexif
wget https://github.com/ianare/exif-samples/archive/refs/heads/master.zip
unzip master.zip

afl-clang-lto를 사용한 libexif 빌드
- lto는 Link Time Optimization의 약자로써, link time에 최적화를 진행한다.
- AFL++은 컴파일 과정에서 block의 id를 랜덤으로 설정하는데, 이는 복잡할수록 edge에서 충돌이 많이 발생할 수 있음을 의미하고, 새로운 경로를 찾기 어려울 수 있다.
- 그렇기 때문에 컴파일 과정에서 link time에 instrumentation code를 삽입하고, 이러한 삽입 시에 위해 lto를 사용하고, 원래의 시스템 linker를사용하는 것이 아닌 afl-ld를 사용한다.
- 이러한 lto는 code coverage에서 충돌이 발생하지 않음으로써 속도는 증가하지만 컴파일 시간이 더 길어진다.

libexif 빌드

rm -r $HOME/fuzzing_libexif/install
cd $HOME/fuzzing_libexif/libexif-libexif-0_6_14-release/
make clean
export LLVM_CONFIG="llvm-config-11"
CC=afl-clang-lto ./configure --enable-shared=no --prefix="$HOME/fuzzing_libexif/install/"
make
make install

exif 빌드

cd $HOME/fuzzing_libexif/exif-exif-0_6_15-release
make clean
export LLVM_CONFIG="llvm-config-11"
CC=afl-clang-lto ./configure --enable-shared=no --prefix="$HOME/fuzzing_libexif/install/" PKG_CONFIG_PATH=$HOME/fuzzing_libexif/install/lib/pkgconfig
make
make install

export LLVM_CONFIG="llvm-config-11"
- LLVM_CONFIG'이라는 환경 변수에 "llvm-config-11"을 추가함으로써 llvm-config-11을 사용한다.

CC=afl-clang-lto
- C 언어 컴파일러로 'afl-clang-lto'를 사용하겠다는 것을 의미한다.

2. Fuzzing 단계

libexif Fuzzing 결과

afl-fuzz -i $HOME/fuzzing_libexif/exif-samples-master/jpg/ -o $HOME/fuzzing_libexif/out/ -s 123 -- $HOME/fuzzing_libexif/install/bin/exif @@

3. CVE-2012-2836

crash 확인

call stack(bt) 확인

- exif_get_sshort에서 Segmentation fault가 발생했다.

TIFF

EXIF 구조

- TIFF에서 처음 offset은 TIFF header의 0번째 IFD를 시작으로 가져온다.

- EXIF 구조에서 IFD 1은 IFD 0의 offset을 통해 구할 수 있음을 알 수 있다.

코드 분석

main :

// main.c
	if (args) {
		while (*args) {
			ExifLoader *l;

			/*
			 * Try to read EXIF data from the file. 
			 * If there is no EXIF data, exit.
			 */
			l = exif_loader_new ();
			exif_loader_log (l, log);
			exif_loader_write_file (l, *args);
			ed = exif_loader_get_data (l);
			exif_loader_unref (l);

exif_loader_get_data :

ExifData *
exif_loader_get_data (ExifLoader *loader)
{
	ExifData *ed;

	if (!loader) 
		return NULL;

	ed = exif_data_new_mem (loader->mem);
	exif_data_log (ed, loader->log);
	exif_data_load_data (ed, loader->buf, loader->bytes_read);

	return ed;
}

exif_data_load_data :

	/* IFD 0 offset */
	offset = exif_get_long (d + 10, data->priv->order);
	exif_log (data->priv->log, EXIF_LOG_CODE_DEBUG, "ExifData", 
		  "IFD 0 at %i.", (int) offset);

	/* Parse the actual exif data (usually offset 14 from start) */
	exif_data_load_data_content (data, EXIF_IFD_0, d + 6, ds - 6, offset, 0);

	/* IFD 1 offset */
	if (offset + 6 + 2 > ds) {
		return;
	}
	n = exif_get_short (d + 6 + offset, data->priv->order);
	if (offset + 6 + 2 + 12 * n + 4 > ds) {
		return;
	}

- main에서 exif_loader_get_data를 호출하고, exif_loader_get_data는 exif_data_load_data를 호출하는데 여기서 문제가 발생한다.
- 자세히 말하면 IFD 0의 offset을 구하는 과정에서 문제가 발생하는데, offset이 uint32_t이고, ds가 uint32_t이므로 4294967925 + 8 = 0이 되고, 이러면 원래 offset + 6 +2 > ds 조건이 0인 상황에서 조건문이 참이 되어 return되어야 한다.

- 하지만, overflow로 인한 0 으로 인해 조건을 만족하지 않게 되면서 해당 조건문은 거짓이 되고, 결국 잘못된 값이 통과되어 문제가 발생하게 된다.
- IFD 0의 offset이 0xfffffff8이상이면 unsigned data overflow가 발생한다.

exif_get_short :

ExifShort
exif_get_short (const unsigned char *buf, ExifByteOrder order)
{
	return (exif_get_sshort (buf, order) & 0xffff);
}

exif_get_sshort :

ExifSShort
exif_get_sshort (const unsigned char *buf, ExifByteOrder order)
{
	if (!buf) return 0;
        switch (order) {
        case EXIF_BYTE_ORDER_MOTOROLA:
                return ((buf[0] << 8) | buf[1]);
        case EXIF_BYTE_ORDER_INTEL:
                return ((buf[1] << 8) | buf[0]);
        }

	/* Won't be reached */
	return (0);
}

- IFD 0의 offset이 0xfffffff8이상이면 unsigned data overflow가 발생하는 이유는 위 코드를 통해 알 수 있다.
- exif_get_short에서 해당 데이터를 하위 2바이트로 변환하는데, 만약 이 함수에서 Offset 값이 0xfffffff8 이상인 경우, 이 값은 부호 있는 2바이트 데이터로 표현될 때 음수의 범위에 들어갈 수 있게 된다.
- 그렇게 음수가 되면, 원래 의도하지 않은 영역에 shift 연산을 함으로써 Segmentation fault가 발생하게 된다.

4. CVE-2009-3895

crash 실행 -> Segmentation fault

call stack(bt)

vmmap

- vmmap을 통해 buf(0x461000)가 heap영역을 벗어나 Heap buffer overflow가 일어났음을 확인할 수 있다.

libexif 문서의 exif_get_short 함수

- Parameters부분에서 b, order, value가 각각 어떤 값인지 나와있어서 이를 참고해서 코드 분석을 진행했다.

코드 분석

exif_get_short :

	case EXIF_TAG_SHARPNESS:
		switch (e->format) {
		case EXIF_FORMAT_LONG:
			if (!e->parent || !e->parent->parent) break;
			o = exif_data_get_byte_order (e->parent->parent);
			for (i = 0; i < e->components; i++)
				exif_set_short (
					e->data + i *
					exif_format_get_size (
					EXIF_FORMAT_SHORT), o,
					(ExifShort) exif_get_long (
					e->data + i *
					exif_format_get_size (
					EXIF_FORMAT_LONG), o));
			e->format = EXIF_FORMAT_SHORT;
			e->size = e->components *
				exif_format_get_size (e->format);
			e->data = exif_entry_realloc (e, e->data, e->size);
			exif_entry_log (e, EXIF_LOG_CODE_DEBUG,

- 인자로 b에 해당하는 data의 위치에 short형의 크기를 기준으로 인자를 전달하기 때문에 문제가 발생하게 된다.
- 정상이었다면 byte가 곱해져야 하지만, 위의 부분에서 short를 곱하게 되면서 자연스럽게 본래 의도하지 않았던 chunk 또는 영역을 참조하게 된다.
- 이러한 이유들로 결국 realloc에서 Segmentation fault가 발생하게 된다.

5. 취약점 패치

CVE-2012-2836 :

CVE-2012-2836 (1)

- 단순히 offset+8을 비교하는 것이 아닌, 추가로 offset와 ds를 비교함으로써 offset 자체의 값이 크면 바로 return되도록 패치되었다.

CVE-2012-2836 (2)

- JPEG APP1 section이 64KiB를 넘을 수 없게, 데이터 크기에 제한을 두도록 패치했다.

CVE-2009-3895 :

o = exif_data_get_byte_order(e- > parent- > parent);
newsize = e->components * exif_format_get_size(EXIF_FORMAT_SHORT);
newdata = exif_entry_alloc(e, newsize);
if(!newdata) {
    exif_entry_log(e, EXIF_LOG_CODE_NO_MEMORY, "Could not allocate %lu byte(s).", (unsigned long)newsize);
    break;
}

for (i = 0; i < e->components; i++)
	exif_set_short (
		newdata + i *
		exif_format_get_size (
		 EXIF_FORMAT_SHORT), o,
		 exif_get_short_convert (
		  e->data + i *
		  exif_format_get_size (e->format),
		  e->format, o));
          
exif_mem_free (e->priv->mem, e->data);

- realloc을 사용하지 않고, 미리 size를 short로 바꾼 다음에 참조하도록 패치했다.

1. Fuzzing 101 - Exercise 1

leginwos — Wed, 3 Apr 2024 13:00:40 +0900

1. 환경설정 및 설치

디렉토리 생성

cd $HOME
mkdir fuzzing_xpdf && cd fuzzing_xpdf/

build 도구 설치

sudo apt install build-essential

xpdf 다운로드 및 설치

wget https://dl.xpdfreader.com/old/xpdf-3.02.tar.gz
tar -xvzf xpdf-3.02.tar.gz
cd xpdf-3.02
sudo apt update && sudo apt install -y build-essential gcc
./configure --prefix="$HOME/fuzzing_xpdf/install/"
make
make install

pdf 예제 다운로드

cd $HOME/fuzzing_xpdf
mkdir pdf_examples && cd pdf_examples
wget https://github.com/mozilla/pdf.js-sample-files/raw/master/helloworld.pdf
wget http://www.africau.edu/images/default/sample.pdf
wget https://www.melbpc.org.au/wp-content/uploads/2017/10/small-example-pdf-file.pdf

afl-clang-fast 컴파일러를 사용한 xpdf 빌드

export LLVM_CONFIG="llvm-config-11"
CC=$HOME/AFLplusplus/afl-clang-fast CXX=$HOME/AFLplusplus/afl-clang-fast++ ./configure --prefix="$HOME/fuzzing_xpdf/install/"
make
make install

2. Fuzzing 단계

xpdf Fuzzing 결과

afl-fuzz -i $HOME/fuzzing_xpdf/pdf_examples/ -o $HOME/fuzzing_xpdf/out/ -s 123 -- $HOME/fuzzing_xpdf/install/bin/pdftotext @@ $HOME/fuzzing_xpdf/output

- 위 bash명령어를 사용해 AFL Fuzzer를 실행시켰고, 약 40분 뒤에 unique crash가 발생함을 확인할 수 있다.

3. 결과 분석 (gdb)

- 앞서 찾은 unique crash를 분석하기 위해서 gdb의 인자로 xpdf가 위치한 경로와 Fuzzing의 결과물인 crash 파일의 경로로 설정한다. $HOME/fuzzing_xpdf/out/ 디렉토리 내의 해당 crash를 넘겨준다.

gdb--args ~/fuzzing_xpdf/install/bin/pdftotext ./id:000000,sig:11,src:000002,time:2353550,op:flip4,pos:799

gdb를 사용한 crash 분석

- getObj 함수가 재귀적으로 계속 호출되어, 결국 Segmentation fault (SIGSEGV)가 발생했음을 확인할 수 있다.

4. 취약점 분석 및 패치

Parser::getObj :

// stream objects are not allowed inside content streams or
    // object streams
    if (allowStreams && buf2.isCmd("stream")) {
      if ((str = makeStream(obj, fileKey, encAlgorithm, keyLength,
			    objNum, objGen))) {
	obj->initStream(str);
      } else {

Parser::makeStream :

  // get length
  dict->dictLookup("Length", &obj);
  if (obj.isInt()) {
    length = (Guint)obj.getInt();
    obj.free();
} else {

Object::dictLookup :

inline Object *Object::dictLookup(char *key, Object *obj)
{ return dict->lookup(key, obj); }

Dict::lookup :

Object *Dict::lookup(char *key, Object *obj) {
  DictEntry *e;
  return (e = find(key)) ? e->val.fetch(xref, obj) : obj->initNull();
}

Object::fetch :

Object *Object::fetch(XRef *xref, Object *obj) {
  return (type == objRef && xref) ?
         xref->fetch(ref.num, ref.gen, obj) : copy(obj);
}

XRef::fetch :

delete parser;
      goto err;
    }
    parser->getObj(obj, encrypted ? fileKey : (Guchar *)NULL,
		   encAlgorithm, keyLength, num, gen);
    obj1.free();
    obj2.free();
    obj3.free();

- 위의 코드들에서 볼 수 있듯이, Parser::getObj -> Parser::makeStream -> Object::dictLookup -> Dict::lookup -> Object::fetch -> XRef::fetch -> Parser::getObj의 순서대로 실행흐름이 재귀된다.

취약점 패치 :

if (!simpleOnly && recursion < recursionLimit && buf1.isCmd("[")) {
    shift();
    obj->initArray(xref);
    while (!buf1.isCmd("]") && !buf1.isEOF())
      obj->arrayAdd(getObj(&obj2, gFalse, fileKey, encAlgorithm, keyLength,
			   objNum, objGen, recursion + 1));
    if (buf1.isEOF())
      error(errSyntaxError, getPos(), "End of file inside array");
    shift();

- 조건문을 사용해서 recursion, recursionLimit 변수를 추가해 재귀를 판단하고 처리하도록 패치했다.

[Hard] Operation RCity18

leginwos — Mon, 25 Dec 2023 04:35:30 +0900

"라쿤시티"는 레드라쿤에서 제공하는 해킹에 필요한 기초 리눅스 커맨드 및 시스템 해킹을 연습할 수 있는 워게임입니다.
라쿤시티: https://ctf.redraccoon.kr/
레드라쿤: https://www.redraccoon.kr/

git log로 log를 보면, 각각의 log에 문자열이 하나씩 있는 것을 확인할 수 있다.

흠

모의해킹을 처음 배우는 입장에서 처음보는 명령어들이 많아서 흥미롭다.

[Medium] Operation RCity17

leginwos — Mon, 25 Dec 2023 03:47:13 +0900

흠

git 명령어를 몰라서 헤맸다.

[Easy] Operation RCity16

leginwos — Fri, 22 Dec 2023 03:38:12 +0900

git log 딸깍

[Hard] Operation RCity15

leginwos — Fri, 22 Dec 2023 03:20:23 +0900

test.py

flag 글자수 맞추기

파이썬도 공부해야겠다.