[angr] fauxware

💡예제

angr-doc/examples/fauxware at master · angr/angr-doc

GitHub - angr/angr-doc: Documentation for the angr suite

 

💡 angr 환경구축

dependancy

sudo apt-get install python3-dev libffi-dev build-essential virtualenvwrapper

 

install angr

mkvirtualenv --python=$(which python3) angr && pip install angr

virtualenvwrapper에서 python 가상머신을 만들고 거기에 angr를 설치해서 사용해도 되고, 그냥 pip install angr로 설치해서 사용해도 된다.

deactivate # exit
workon angr # execute

 

angr 사용

import angr

angr는 python으로 만들어졌기 때문에 python에서 angr를 import하면 angr API 등을 사용할 수 있다.

 

 

💡Code Analysis

faux firmware의 소스코드를 분석해보자.

main() 함수

int main(int argc, char **argv)
{
	char username[9];
	char password[9];
	int authed;

	username[8] = 0;
	password[8] = 0;

	printf("Username: \n");
	read(0, username, 8);
	read(0, &authed, 1);
	printf("Password: \n");
	read(0, password, 8);
	read(0, &authed, 1);

	authed = authenticate(username, password);
	if (authed) accepted();
	else rejected();
}

• 지역변수 username, password에 각각 이름과 패스워드를 입력받고 authed를 입력받는다.
• authenticate 함수 호출로 특정 작업 수행 후 결과를 authed에 저장하고, authed가 0이 아니면 accepted() 함수를, 0이면 rejected() 함수가 호출된다.

 

accepted() 함수, rejected() 함수

int accepted()
{
	printf("Welcome to the admin console, trusted user!\n");
}

int rejected()
{
	printf("Go away!");
	exit(1);
}

두 함수는 단순히 문자열을 출력해주는데, 두 함수 호출 후 종료된다.

 

authenticated() 함수

char *sneaky = "SOSNEAKY";

int authenticate(char *username, char *password)
{
	char stored_pw[9];
	stored_pw[8] = 0;
	int pwfile;

	// evil back d00r
	if (strcmp(password, sneaky) == 0) return 1;

	pwfile = open(username, O_RDONLY);
	read(pwfile, stored_pw, 8);

	if (strcmp(password, stored_pw) == 0) return 1;
	return 0;

}

• password와 sneaky를 비교해서 일치하면 1을 리턴한다.
• password가 sneaky와 다른 경우 username 파일을 읽기 전용으로 열어서 pwfile를 파일 포인터로 사용한다.
• 파일에서 stored_pw에 8바이트만큼 읽고 password가 stored_pw와 동일하면 정상으로 1을 리턴하고 그렇지 않으면 0을 리턴한다.

 

 

💡Exploit using angr

sneaky 값이 "SOSNEAKY"인걸 알기 때문에 임의의 사용자가 백도어인 sneaky를 통해 password가 인증되도록 만든다.

angr에 바이너리 로드하기

project = angr.Project('fauxware', auto_load_libs=False)

‘fauxware’ 바이너리 분석 위해 angr.Project() API 사용하여 angr Project를 생성한다.

 

state 생성

state = project.factory.entry_state()

바이너리 entrypoint에서 프로그램 상태를 SimState 객체로 리턴한다.

 

Simulation Managers 사용1

simulation manager는 상태들을 stash로 구성하고 filter, merge, move의 작업을 할 수 있다.

디폴트 stash는 active stash로, 새로운 simulation manager를 초기화하면 상태가 active stash로 들어간다.

simulation manager는 한 basic block에서 모든 상태를 처리하면 stash에 넣는다.

>>> simgr = proj.factory.simgr(state)
>>> simgr.run()
<SimulationManager with 3 deadended>

symbolic branch 조건인 상태가 발견되면, 두 분기에 대한 successor 상태가 stash에 들어가고 두 상태에 대해 실행을 진행할 수 있다. run() 메소드를 사용해서 더 이상 처리할 것이 없을 때까지 진행할 수도 있다.

 

>>> simgr.move(from_stash='deadended', to_stash='authenticated', filter_func=lambda s:b'Welcome' in s.posix.dumps(1))
<SimulationManager with 1 deadended, 2 authenticated>

deadended state는 exit 시스템콜 등으로 인해 상태가 successor를 만드는데 실패한 것으로 active stash에서 제거되고 deadended stash에 들어간다. 따라서 주어진 바이너리에서 정상 종료든 비정상 종료든 exit() 시스템콜이 호출되면서 종료되므로 두 상태 모두 deadended stash에 있을 것이다.

deadended stash에서 상태가 가지는 문자열들을 살펴보면, dumps(1)에 authenticated 조건일 때 출력되는 문자열 또는 authenticated가 아닐 때 출력되는 문자열이 있다. 따라서 deadended stash 내 상태 중에서 dumps(1)로 구한 문자열이 ‘Welcome’을 포함하면 authenticated stash로 옮긴다.

move() 메소드를 사용해서 출력에 주어진 문자열을 가지고 있으면 from_stash에서 to_stash로 상태를 옮길 수 있다.

3개의 deadended stash에 있는 상태 중 ‘Welcome’ 문자열을 출력에 포함하는 상태 2개가 authenticated stash로 이동시킨다.

 

>>> for s in simgr.deadended + simgr.authenticated:
...     print(hex(s.addr))
... 
0x746a70
0xa00058
0xa00058
>>> simgr.one_deadended
<SimState @ 0x746a70>
>>> simgr.mp_authenticated
MP([<SimState @ 0xa00058>, <SimState @ 0xa00058>])

one_을 stash 이름 앞에 사용하면 stash 내 첫 번째 state를 가져올 수 있다.

mp_을 stash 이름 앞에 사용하면 stash 내 모든 상태를 가져올 수 있다.

 

>>> simgr.mp_authenticated.posix.dumps(0)
MP([b'\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00SOSNEAKY\\x00', b'\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x01\\x04\\x10\\x10\\x80\\x80\\x80\\x00\\x00'])

stash 내 상태에 대한 내용을 구한다.

 

#!/usr/bin/python
import angr
 
# load binary into angr project
project = angr.Project('fauxware', auto_load_libs=False)

# program state in entrypoint
state = project.factory.entry_state()

# Create Simulation Manager
simgr = project.factory.simgr(state)

# step until nothing left to step
simgr.run()
print(simgr)
print(simgr.deadended)

for i in range(len(simgr.deadended)):
    str = simgr.deadended[i].posix.dumps(1)
    if b'Welcome' in str:
        print(simgr.deadended[i], end=' ')
        print(str)

 

Simulation Manager 사용2

>>> import angr
>>> p = angr.Project('fauxware')
>>> state=p.factory.entry_state()
>>> simgr=p.factory.simgr(state)
>>> simgr.run(until=lambda sm:len(sm.active) > 1)
<SimulationManager with 2 active>
>>> simgr.active[0].posix.dumps(1)
b'Username: \\nPassword: \\n'
>>> simgr.active[0].posix.dumps(2)
b''
>>> simgr.active[0].posix.dumps(0)
b'\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00SOSNEAKY\\x00'
>>> simgr.active[1].posix.dumps(0)
b'\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00@@\\x10@\\x01@\\x02\\x00\\x00'
>>> simgr.active[1].posix.dumps(1)
b'Username: \\nPassword: \\n'
>>> for i in range(len(simgr.active)):
...     if b'SOSNEAKY' in simgr.active[i].posix.dumps(0):
...             r = simgr.active[i].posix.dumps(0)
... 
>>> print(r)
b'\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00SOSNEAKY\\x00'
>>> assert b'SOSNEAKY' in simgr.active[1].posix.dumps(0)
Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
AssertionError
>>> import sys
>>> sys.stdout.buffer.write(simgr.active[0].posix.dumps(0))
SOSNEAKY18