用 GDB 從組合語言角度觀察 Buffer Overflow

• CMU 15-213「Machine-Level Programming V: Advanced Topics」的課程筆記
• 使用課程提供的 buffer overflow 程式碼觀察實際執行情形，並：
  • 用 gdb 觀察 buffer overflow
  • 透過 buffer overflow 更改 return address
  • 觀察有/無使用 stack canary 的組合語言變化

事前準備

由於我的 MacBook 是 M3 的，是 ARM64 架構，所以 VirtualBox 的 Ubuntu 虛擬機也是裝 ARM64 版本的。

但我想觀察 x86-64 組合語言，所以若要能在 ARM64 的 Ubuntu 虛擬機編譯和執行 x86-64 的程式，要先安裝 x86-64 的 cross-compiler、QEMU 模擬器、以及 gdb-multiarch：

$ sudo apt -y install gcc-x86-64-linux-gnu qemu qemu-user gdb gdb-multiarch

課程提供的程式碼

以下是 CMU 15-213 課程提供觀察 buffer overflow 的程式碼：

/* bufdemo-nsp.c */
#include <stdio.h>

void echo() {
    char buf[4];
    gets(buf);
    puts(buf);
}

void call_echo() {
    echo();
}

int main() {

    call_echo();

    return 0;
}

以上程式碼，會要求使用者輸入 string，並將使用者輸入的 string 放到 buffer buf。

但有一個問題：這個程式用的是 gets 這個不安全的 C library function！

為什麼說 gets 是不安全的呢？

因為這個 function 不會做 bound checking，他不會檢查 buffer 是否已經被裝滿。他會從 terminal input 去 scan string，只要沒遇到 EOF 或 \n，他就會一直把 char 丟到 buffer 內。若已經超過 buffer 的容量，那多餘的 char 就會覆蓋到其他記憶體的資料，所以駭客就可以用這種方式把想要的東西丟進去。

以此例而言，若 gets 丟了超過 4 個 char 到 buffer，那其他記憶體位址所存放的資料就會被覆蓋掉。

其他同樣類似較不安全的 standard C library functions 包括 strcpy、strcat 等等，因為他們沒有做 bound checking。
為了安全起見，可以用比較安全的版本，像是 fgets、strncpy、strncat 等等。

編譯成 x86-64 執行檔

$ x86_64-linux-gnu-gcc -m64 -g -fno-stack-protector -z execstack -no-pie -static bufdemo-nsp.c -o bufdemo-x86

• -m64：指定產生 64-bit x86 code
• -g：可以用 gdb debug
• -fno-stack-protector：關掉 stack canary 保護機制
• -z execstack：允許執行位在 stack 的程式碼
• -no-pie：不要使用 position-independent executable，這樣才能讓記憶體位址固定，方便分析

將前述幾個保護措施關掉，才可以好好觀察 buffer overflow

用 QEMU 在 ARM64 架構的 Ubuntu 虛擬機執行 x86-64 執行檔

$ qemu-x86_64 ./bufdemo-x86

執行結果

我在我的虛擬機執行的結果，輸入 11 個 characters 沒事，但輸入 12 個 characters 就 segmentation fault，如下截圖：

反組譯後的 x86-64 組合語言

$ x86_64-linux-gnu-objdump -d bufdemo-x86 -M intel > disasm_x86-64_NASM.txt

使用 objdump 反組譯產生 x86-64 NASM 組合語言程式碼

• -d：disassemble 反組譯
• -M intel：使用 Intel/NASM 語法（預設是用 AT&T 語法，但因為個人比較習慣 Intel 語法，所以改成 Intel 語法）

以下是反組譯後得到的組合語言程式碼，後面會再做詳細的說明～

0000000000401905 <echo>:
  401905:   f3 0f 1e fa             endbr64
  401909:   55                      push   rbp              ; 將 rsp - 8，再將前一個 stack frame 的 base 的記憶體位址放進去這個位址
  40190a:   48 89 e5                mov    rbp,rsp          ; 將目前 rsp 的值傳給 rbp
  40190d:   48 83 ec 10             sub    rsp,0x10         ; 分配 16 bytes 給 local variable
  401911:   48 8d 45 fc             lea    rax,[rbp-0x4]    ; 計算 rbp-0x4，也就是 buf 的起始位址，並將這個得到的記憶體位址存到 rax
  401915:   48 89 c7                mov    rdi,rax          ; 將 rax 的值傳到 rdi，依據 calling convention，rdi 存放 function 的第一個參數，所以等下會被當作 gets 的參數使用
  401918:   b8 00 00 00 00          mov    eax,0x0
  40191d:   e8 8e 34 00 00          call   404db0 <_IO_gets>
  401922:   48 8d 45 fc             lea    rax,[rbp-0x4]
  401926:   48 89 c7                mov    rdi,rax
  401929:   e8 82 36 00 00          call   404fb0 <_IO_puts>
  40192e:   90                      nop
  40192f:   c9                      leave
  401930:   c3                      ret

0000000000401931 <call_echo>: 
  401931:   f3 0f 1e fa             endbr64 
  401935:   55                      push   rbp 
  401936:   48 89 e5                mov    rbp,rsp 
  401939:   b8 00 00 00 00          mov    eax,0x0 
  40193e:   e8 c2 ff ff ff          call   401905 <echo> 
  401943:   90                      nop 
  401944:   5d                      pop    rbp 
  401945:   c3                      ret 

0000000000401946 <main>:
  401946:   f3 0f 1e fa             endbr64
  40194a:   55                      push   rbp
  40194b:   48 89 e5                mov    rbp,rsp
  40194e:   b8 00 00 00 00          mov    eax,0x0
  401953:   e8 d9 ff ff ff          call   401931 <call_echo>
  401958:   b8 00 00 00 00          mov    eax,0x0
  40195d:   5d                      pop    rbp
  40195e:   c3                      ret
  40195f:   90                      nop

用 GDB 觀察 Buffer Overflow

前置作業

讓 qemu-x86_64 模式開啟 GDB 伺服器：

$ (echo "123456789012"; sleep 1) | qemu-x86_64 -g 1234 ./bufdemo-x86

開啟另一個 terminal，執行以下指令：

$ gdb-multiarch ./bufdemo-x86
(gdb) target remote localhost:1234

設置自訂的 gdb tui layout，可同時顯示 source code、組合語言、以及 registers 的值：

(gdb) tui new-layout mylayout {-horizontal src 2 asm 3 regs 3} 3 status 1 cmd 1

將 gdb 的組合語言語法設置為 Intel 語法（預設會顯示成 AT&T 語法）：

(gdb) set disassembly-flavor intel

開啟前述自定義的 gdb tui layout：

(gdb) layout mylayout

• 下半部是輸入 gdb command 的地方
• 上半部左側到時候會顯示目前在 source code 的位址、中間則會顯示組合語言、右側則是顯示當前 registers 的值

開始用 gdb 觀察

執行以下指令設置 break point：

(gdb) break main    /// 在 main 設置 break point
(gdb) break echo    /// 在 echo 設置 break point
(gdb) continue      /// 若是在原生 x86-64 環境，用 run 指令即可，但由於我的情況是跑在 ARM64 虛擬機，所以用 continue 指令

• 輸入 focus src、focus asm、focus regs 就會分別跳到程式碼、組合語言、registers 的畫面，這時可用上跟下來移動要看到的內容。
• 輸入 focus cmd 則會回到下半部輸入 command 的部分。

查看 rbp 和 rsp registers 的值，以得知目前 main 的 stack frame：

(gdb) info registers rbp rsp rip
rbp            0x2aaaab2aae30      0x2aaaab2aae30
rsp            0x2aaaab2aae30      0x2aaaab2aae30
rip            0x40194e            0x40194e <main+8>

• rbp：指向目前 stack frame 的 base
• rsp：指向目前 stack frame 的 top
• rip：目前 CPU 準備執行的指令的位址

可以看到目前 main 的 stack frame 就只有 0x2aaaab2aae30，因為沒有 local variable，所以就沒有分配額外的 stack 空間給 main。

接下來輸入 s 就會進入 call_echo()：

(gdb) s

此時的 rbp 和 rsp 都是 0x2aaaab2aae20，也就是 call_echo 的 stack frame 是 0x2aaaab2aae20。

接下來由於會涉及到組合語言層面的東西，所以用 si 指令，si 可以讓我們一個一個執行組合語言的指令。

輸入 si 之後，可以看到接下來即將要執行的指令是位在記憶體位址 0x40193e 的 call 0x401905 <echo> 指令。

輸入 si，就會執行 0x40193e <call_echo+13> call 0x401905 <echo> 這一個指令。

(gdb) info registers rbp rsp rip
rbp            0x2aaaab2aae20      0x2aaaab2aae20
rsp            0x2aaaab2aae18      0x2aaaab2aae18
rip            0x401905            0x401905 <echo>

• 可看到這時 rsp 的值從原本的 0x2aaaab2aae20 變成了 0x2aaaab2aae18，被扣掉 8 了。

用以下指令查看記憶體位址 0x2aaaab2aae18 存了什麼 data：

(gdb) x/1xg 0x2aaaab2aae18
0x2aaaab2aae18: 0x0000000000401943

• 可以看到存的是 0x0000000000401943，也就是 call_echo 的 call 指令的下一個指令的記憶體位址
• 也就是當要從 echo return 到 call_echo 時要執行的指令，也就是 return address
• 這時 call_echo 的 stack frame 範圍就變成 0x2aaaab2aae20（stack base）~ 0x2aaaab2aae18（stack top）

接下來即將被執行的組合語言指令是 0x401905 <echo> endbr64，輸入 si 到下一個指令。

接下來要被執行的指令是 push rbp，而 push rbp 和他的下一條指令 mov rbp,rsp 這兩條指令是所謂的 function prologue。

push    rbp
mov     rbp,rsp

輸入 si，就執行 0x401909 <echo+4> push rbp。

• 此時使用 info registers rbp rsp 查看 rsp 的值，可看到 rsp 的值從 0x2aaaab2aae18 變成 0x2aaaab2aae10。
• 使用 x/1xg 0x2aaaab2aae10 查看 0x2aaaab2aae10 這個記憶體位址裡面存了什麼東西，可以看到存的是 0x2aaaab2aae20，也就是前一個 stack frame 的 base。

接下來即將被執行的指令是 0x40190a <echo+5> mov rbp,rsp。輸入 si 執行這個指令。

可以看到 rbp 的值變成 0x2aaaab2aae10，也就是目前 echo 這個 function 的 stack frame 的 base。

下一個要被執行的指令是 0x40190d <echo+8> sub rsp,0x10，也就是將 rsp - 16，也就是分配給這個 function 的 stack 的空間。輸入 si 執行此指令。

可看到 rsp 從 0x2aaaab2aae10 變成 0x2aaaab2aae00。

接下來要執行的幾個指令是：

1. 0x401911 <echo+12> lea rax,[rbp-0x4]
   • 將 rbp - 4 後的值存放到 rax 裡面，而這個 rbp - 4 就是 char buf[4] 的起始位址
   • 用 print &buf 指令可看到 buf 的起始位址是 0x2aaaab2aae0c：
     
     
   • PS. lea 只會計算記憶體位址，不會去存取那個記憶體位址裡面存放的值
2. 0x401915 <echo+16> mov rdi,rax
   • 將 0x2aaaab2aae0c copy 到 rdi
   • x86-64 Linux 用的 calling convention 是 System V AMD64 ABI（https://en.wikipedia.org/wiki/X86_calling_conventions#System_V_AMD64_ABI ），rdi 會用來存放 function call 的第一個參數
   • 等下會呼叫 gets，而 gets 的唯一參數是 char *buf，所以就是將 buf 的記憶體起始位址放到 rdi 裡面
3. 0x401918 <echo+19> mov eax,0x0
   • 將 rax register 清空成 0
4. 0x40191d <echo+24> call 0x404db0 <gets>
   • 呼叫 gets

當正準備執行 0x40191d <echo+24> call 0x404db0 <gets> 時，也就是在上述截圖畫面時，先使用以下指令查看幾個記憶體位址內存的值：

接下來輸入 ni，讓他執行完 gets，gets 就會將前面輸入的 123456789012 從 buf 的起始位址開始將這 12 個 character 和一個 null terminator 放到 stack 裡面（所以總共放了 13 個 byte）。

用跟前面一樣的指令觀察被放了什麼東西到 stack 裡面，可看到：

從 buf 的起始位址 0x2aaaab2aae0c 查看：

• x/c：查看指定的記憶體位址存放的 character 是什麼，可看到是 '1'
• x/x：查看指定的記憶體位址一個 byte 的資料，並以 16 進位顯示，可看到是 0x31，也就是 character '1' 的 ASCII 編號
• x/s：從指定的記憶體位址查看 string，直到 null terminator 為止，可看到是 123456789012

這個例子總共輸入了 12 個 characters 加一個 null terminator，所以總共存了 13 個 characters，就從 buf 的起始位址查看連續 13 個 bytes 的資料，即可看到以上截圖的結果。

下一個要執行的指令只是在設定 puts 的參數，也就是將 buf 的起始位址存放到 rdi，然後呼叫 puts：

1. 0x401922 <echo+29> lea rax,[rbp-0x4]
2. 0x401926 <echo+33> mov rdi,rax
3. 0x401929 <echo+36> call 0x404fb0 <puts>

這裡連續輸入 4 個 ni，直到準備執行 0x40192f <echo+42> leave。

先記錄一下此時的 rbp、rsp、和 rip：

mov     rsp,rbp     ; 將 rbp 的值複製給 rsp
pop     rbp         ; 從 rsp 指向的位置取 8 bytes 放到 base pointer，然後 rsp += 8

輸入 si，執行 0x40192f <echo+42> leave。

可看到 rbp 跟 rsp 變得跟預期一樣。

接下來要執行的是 ret 指令，ret 會做的事：

1. 從 rsp 指向的位址取出 8 bytes 的資料，放入 rip
   此時 rsp 是 0x2aaaab2aae18，而這位址原本存放的是 0x401943，也就是 return 到 call_echo 後要執行的下一個指令的位址，但因為被輸入的 string 的 null terminator 覆蓋，而變成 0x401900
2. rsp += 8，所以會變成 0x2aaaab2aae20

輸入 si 執行 ret 後，查看 registers 的值：

可以看到：

• rsp 如預期的變成 0x2aaaab2aae20
• rip 也如預期的變成 0x401900，所以等下就會去執行位在 0x401900 這個記憶體位址的指令（接下來就會開始跳到不該過去的地方，最終造成 Segmentation fault）

位在 0x401900 記憶體位址的指令，他會 jmp 到記憶體位址 0x401850

跳到 0x401850 後，他會一路執行指令直到位在 0x401880 的 ret 指令

那 ret 做的事情是會將 rsp 指向的記憶體位址儲存的 data 放到 rip，也就是下一個要執行的指令的記憶體位址。

但此時 rsp 是 0x2aaaab2aae20，那裡面存的是 0x2aaaab2aae30，所以接下來就會去執行位在 0x2aaaab2aae30 的指令。

從以上截圖可看到位在 0x2aaaab2aae30 的指令是 0x2aaaab2aae30 shr BYTE PTR [rsi+0x2aaaab2a],1，一旦執行這個指令後就 Segmentation fault，如下截圖。

為什麼 shr BYTE PTR [rsi+0x2aaaab2a],1 在這裡會造成 Segmentation fault：

• 這是 right shift 指令
• 他會將 rsi 的值加上 0x2aaaab2a，然後去存取這個記憶體位址所存放的資料，再做 right shift 的動作
• 但此時 rsi 的值是 0x0，所以加上 0x2aaaab2a 還是 0x2aaaab2a，所以他實際是去存取 0x2aaaab2a 這個記憶體位址的資料
• 但我們無法存取 0x2aaaab2a 這個記憶體位址，所以就造成 Segmentation fault！
• 以下截圖就是用 gdb 檢視 0x2aaaab2a 這個記憶體位址的資料，可以看到他說 Cannot access memory at address 0x2aaaab2a
  
  
• 此外，0x2aaaab2aae30 這個記憶體位址存的資料其實也只是記憶體位址 0x2aaaab2aaed0（由下截圖可知），但因為這樣亂跳的結果導致 CPU 把它當成組合語言指令 shr BYTE PTR [rsi+0x2aaaab2a],1
  
  

圖文版本說明

以下是前述流程的圖文說明版本～

透過 Buffer Overflow 更改 Return Address

接下來做個小測試，想透過 buffer overflow 漏洞來更改 return address。

當要從 echo return 時，想要讓他回到 main 的 0x40194e 這個位址，所以要將 0x40194e 透過 buffer overflow 機制寫到存放 return address 的 0x2aaaab2aae18 這個記憶體位址。

那從前面的例子可以知道輸入 12 個 characters 後，是第 13 個 character，也就是 null terminator，會覆蓋到 return address。

所以要先輸入 12 個隨機的 characters（ex. AAAAAAAAAAAA），再接著將 0x40194e 這個記憶體位址送進去，那由於是 Little Endian，所以就是輸入 \x4e\x19\x40\x00\x00\x00\x00\x00。

所以將一開始的指令改成輸入以下指令：

$ ( printf 'AAAAAAAAAAAA\x4e\x19\x40\x00\x00\x00\x00\x00'; sleep 1 ) | qemu-x86_64 -g 1234 ./bufdemo-x86

當執行到以上截圖的步驟時，也就是已經將輸入的 data 都放到 buf 裡面了，這時來查看幾個記憶體位址裡面被放了什麼東西：

• 原本存放 return address 的位址 0x2aaaab2aae18，可看到他變成存放 0x40194e
• 從 buf 的起始位址 0x2aaaab2aae0c 可看到存入了 12 個 0x41，也就是 'A' 的 ASCII 編號
• 下圖就是目前 stack 內的狀況：

• 這時用 info symbol $pc 可知道目前在 echo + 43
• 輸入 si 之後再用 info symbol $pc，就變成是在 main + 8 in section .text
• 
  也可看到 rip 變成 0x40194e，也就是透過 buffer overflow 插入的 return address
• 繼續執行下去的話，他又會再進入 call_echo，然後又進入 echo 裡面

從組合語言角度觀察有/無使用 Stack Canary 的差異

Stack Canary

Stack canary（金絲雀）是一個用來偵測是否有 buffer overflow 事件的一種機制。

會在 buffer 的上方放一個值，也就是 canary。當把東西放到 buffer 後，會檢查 canary 的值有沒有被更改過。若有被更改，就代表有 buffer overflow 發生。

編譯出有 Stack Canary 保護機制的執行檔

現在的 GNU 編譯器預設都會加入 stack canary 這個保護機制。若要關閉這個機制，則編譯的指令要加入 -fno-stack-protector 這個 option。

前面的例子在編譯時，就有關閉 stack canary 這個保護機制。接下來要編譯出有使用 stack canary 的可執行檔：

$ 86_64-linux-gnu-gcc -m64 -g -z execstack -no-pie -static bufdemo-nsp.c -o bufdemo-x86_w_stack_canary

反組譯產生組合語言：

$ x86_64-linux-gnu-objdump -d bufdemo-x86_w_stack_canary -M intel > disasm_x86-64_NASM_w_stack_canary.txt

有/無 Stack Canary 的組合語言差異

觀察兩種版本組合語言到差異：

• 上圖左側是沒有使用 stack canary 機制的 echo 的組合語言程式碼
• 右側則是有使用 stack canary 的 echo 的組合語言程式碼，主要的差異用藍字標示起來

• 當執行完了 0x40191a 這個指令，也就是將 canary 放到 rbp-0x8 的位址後，用以上指令查看，可以看到這次的 canary 的值是 0xfa2ca19b4a74ec00
• 也可以用 x/gx $fs_base + 0x28 指令查看從系統中讀取到的 canary 值是多少～
• PS. 每次執行程式的 canary 值都是不一樣的喔！

上圖是此例有/無使用 stack canary 的記憶體空間示意圖。

若偵測到 canary 有被修改，程式就會結束，並且印出 stack smashing detected 的訊息。