Girls Meets Symbolic Execution: Assertion 2. Automated Exploit Generation

(C) K_atc 2018 All Rights Reserved
Girls Meets Symbolic Execution
Assertion 2.
Automated Exploit Generation
Tomori Nao (@K_atc)

View Slide

Girls Meets Symbolic Execution (2) by @K_atc
著者友利奈緒（ @K_atc @K-atc）
今春からセキュリティエンジニア。
これは趣味でやってる研究の一環。
趣味は、バイナリ、CTF、イラスト、デザインと多岐にわたる。
イラスト K_atc
イラスト歴6年。著者と同一人物。
TomoriNaoの同人誌のイラストを担当。
https://www.pixiv.net/member.php?id=4440209
2
プロフィール

View Slide

3
前回（Assertion 1）はこちら

View Slide

4
皆さんは道から外れるのが好きですか？
execve
(‘/bin/sh’, 0, 0)
… 正規の実行パス
攻撃
（エクスプロイト）
… 任意コード実行

View Slide

エクスプロイト自動生成――その甘美な響きに二人
の女の子が酔いしれていた。
葵は考えた。ファジングがうまくいけば、脆弱な箇
所が判明する、と。
双葉は考えた。シンボリック実行が、その脆弱性を
利用したエクスプロイトを自動化する、と。
――折しも、浮かれる二人の背後に黒い影がとうと
迫る。
5
あらすじ

View Slide

メインヒロイン
二木双葉（ふたきふたば）
高校2年生。17歳。
部屋着のレパートリーが多いらしい。
好きな食べ物：シュークリーム
好きな言葉：バイナリおいしい
6
登場人物紹介
ヒロイン
紗山葵（さやまあおい）
大学2年生。19歳。
猫のフード付きの部屋着を愛用。
好きな食べ物：寿司
好きな言葉：身から出たわさび

View Slide

☺イントロ
☺Day 1 無能エクスプロイト
☺Day 2 めげない葵と気まぐれファザー
☺Day 3 双葉とシンボリック実行、今すぐエクスプロイト
☺デモ／まとめ
☺双葉ちゃんからの宿題
7
目次

View Slide

イントロ
• シンボリック実行とは
• エクスプロイトとは
8

View Slide

シンボリック実行は、入力をシンボル化して実行することをいう。
シンボルとは数学でいう変数に相当し、一定の値に固定されない。
シンボリック実行では、レジスタ、スタック、メモリ、ファイル等、
実行環境がシンボル化される。
9
シンボリック実行とは
シンボル変数生成
逐次命令解釈
セマンティック構築
制約導出
実行パス選択
求解
次スライドから例示
図 Forward Symbolic Execution（FSE）における実行フロー
（FSEはシンボリック実行でよく採用される実行方式）

View Slide

void testme(int a, int b) {
int c = 0;
if (a * b == 6) {
c = 1;
if (a == 1) c = 3;
}
assert(a * b * c == 6);
}
シンボリック実行で下図の実行木*を作る過程を追う
ノードは、次の命令、メモリー、パス制約** の3つ組
10
実行木によるシンボリック実行の例
(o) (2. c = 0, {a ↦ α, b ↦ β}, true)
(4. c = 1, {a ↦ α, b ↦ β, c ↦ 0}, α × β = 6) (7. assert, {a ↦ α, b ↦ β, c ↦ 0}, α × β ≠ 6)
assert: fail (unsat)
(5. c = 3, {a↦α, b↦β, c↦1}, α × β = 6 ∧ α = 1) (7. assert, {a↦α, b↦β, c↦1}, α × β = 6 ∧ α ≠ 1)
(7. assert, {a↦α, b↦β, c↦3}, α × β = 6 ∧ α = 1)
assert: pass (α = 1, β = 2)
assert is assert(a * b * c == 6)
(a)
(b)
(c)
if-true if-false
if-true if-false
*実行木シンボリック実行を説明するための仮想的な木
**パス制約当該パスが実行されるためのシンボル変数に対する制約
▼実行対象

View Slide

1. 引数a, bをα, βでシンボル化
2. PCが指す命令は
必ず実行されるので、
パス制約は true
11
Step 1. 入力をシンボル化（Symbolize）
(o) (2. c = 0, {a ↦ α, b ↦ β}, true)
↦ α, b ↦ β, c ↦ 0}, α × β = 6) (7. assert, {a ↦ α, b ↦ β, c ↦ 0}, α × β
assert: fail
α × β = 6 ∧ α = 1) (7. assert, {a↦α, b↦β, c↦1}, α × β = 6 ∧ α ≠ 1)
(b)
(c)
if-true if-false
if-true if-false
int c = 0;
if (a * b == 6) {
c = 1;
if (a == 1) c = 3;
}
assert(a * b * c == 6);
}
PC
（次の命令）

View Slide

1. 分岐命令に対しては、
ジャンプ有無に分けて
実行を分岐する
12
Step 2. 分岐
(o) (2. c = 0, {a ↦ α, b ↦ β}, true)
↦ α, b ↦ β, c ↦ 0}, α × β = 6) (7. assert, {a ↦ α, b ↦ β, c ↦ 0}, α × β
assert: fail
α × β = 6 ∧ α = 1) (7. assert, {a↦α, b↦β, c↦1}, α × β = 6 ∧ α ≠ 1)
(b)
(c)
if-true if-false
if-true if-false
int c = 0;
if (a * b == 6) {
c = 1;
if (a == 1) c = 3;
}
assert(a * b * c == 6);
}

View Slide

1. cの値は0に更新済み《代入》
2. 今はthen節に入り、
パス制約を更新する
13
Step 3. セマンティック構築＆パス制約導出
(o) (2. c = 0, {a ↦ α, b ↦ β}, tr
(4. c = 1, {a ↦ α, b ↦ β, c ↦ 0}, α × β = 6) (7. asser
(5. c = 3, {a↦α, b↦β, c↦1}, α × β = 6 ∧ α = 1) (7. assert, {a↦α, b↦
(a)
if-true
if-true if-false
int c = 0;
if (a * b == 6) {
c = 1;
if (a == 1) c = 3;
}
assert(a * b * c == 6);
}

View Slide

(o) (2. c = 0, {a ↦ α, b ↦ β}, true)
↦ β, c ↦ 0}, α × β = 6) (7. assert, {a ↦ α, b ↦ β, c ↦ 0}, α × β ≠ 6)
assert: fail (unsa
= 6 ∧ α = 1) (7. assert, {a↦α, b↦β, c↦1}, α × β = 6 ∧ α ≠ 1)
= 6 ∧ α = 1)
ass (α = 1, β = 2)
assert is assert(a * b * c ==
(b)
(c)
if-true if-false
f-true if-false
1. cの値は1に更新済み《代入》
2. 今はif文を抜け（①→②）、
パス制約を更新する
14
Step 4. 以降繰り返し
int c = 0;
if (a * b == 6) {
c = 1;
if (a == 1) c = 3;
}
assert(a * b * c == 6);
}
①
②

View Slide

(o) (2. c = 0, {a ↦ α, b ↦ β}, true)
↦ β, c ↦ 0}, α × β = 6) (7. assert, {a ↦ α, b ↦ β, c ↦ 0}, α × β ≠ 6)
assert: fail (unsa
= 6 ∧ α = 1) (7. assert, {a↦α, b↦β, c↦1}, α × β = 6 ∧ α ≠ 1)
= 6 ∧ α = 1)
ass (α = 1, β = 2)
assert is assert(a * b * c ==
(b)
(c)
if-true if-false
f-true if-false
今のパスが実行される入力は？
パス制約
α × β = 6 ∧ α ≠ 1
を解いて、
α = 2, β = 3
int c = 0;
if (a * b == 6) {
c = 1;
if (a == 1) c = 3;
}
assert(a * b * c == 6);
}
15
Step 5. 求解（Constraint Solving）

View Slide

テストケース生成 [KLEE]
人手でソフトウェアテストするのは大変＞＜テスト自動化！
リバースエンジニアリング [S2E, Triton]
例）パス網羅、Deobfuscation
エクスプロイト生成（クラッシュ含む） [AEG, S2E, Driller]
例）Control Flow Hijack
16
シンボリック実行の用途（先行研究）
[KLEE] Cadar, C., Dunbar, D., and Engler, D. (2008). KLEE: Unassisted and automatic generation of high-
coverage tests for complex systems programs.
[S2E] Chipounov, V., Kuznetsov, V., and Candea, G. (2012). The S2E platform: Design, implementation,
and applications.
[Triton] https://github.com/JonathanSalwan/Tigress_protection
[AEG] T. Avgerinos, S. K. Cha, B. L. Tze Hao, and D. Brumley. (2011). AEG: Automatic Exploit Generation.
[Driller] Stephens, N., Grosen, J., Salls, C., Dutcher, A., Wang, R., Corbetta, J., Shoshitaishvili, Y., Kruegel,
C., and Vigna, G. (2016). Driller: Augmenting fuzzing through selective symbolic execution.
今回はこれ

View Slide

エクスプロイトコード
担当範囲
ソフトウェアの脆弱性を利用した攻撃
例）バッファオーバーフロー→シェル（/bin/sh）起動
エクスプロイトを達成するまでの道のり（一例）
17
エクスプロイト（Exploit）とは
クラッシュ
Information Leak
任意メモリ書き換え
PC乗っ取り
シェル起動
シェルコード起動
… SIGSEGV, SIGABRT, SIGBUS
… libc関数アドレスなどをリーク
… GOT Overwrite, UAFなど
… PCを、シェルコードの
先頭アドレスに向けるとか
はん雑！めんどい！

View Slide

i … 命令
I … プログラムへの入力
18
［参考］記号の定義

View Slide

無能エクスプロイト
双葉と葵の作戦会議
19
Day 1 Aoi Futaba

View Slide

20
双葉の無鉄砲な思いつき
シンボリック実行を使って

View Slide

シンボリック実行の限界
・パス爆発（Path Explosion） ➡ 一般的に網羅的探索は非現実的
・探索空間の指数的増大 O(2m)* ➡ 長い入力が苦手
21
双葉に立ちふさがる壁
* 入力長をmビットとする。プログラムの動作は入力に対して決定的なので、この問題はパス爆発と同値
シンボリック実行を使って

View Slide

エクスプロイト自動化に際し、
シンボリック実行の弱点を補ってくれる素敵な解決策は…？
22
願いを叶えるブラックボックス
? Exploit Code
Something Good
Symbolic
Execution
((o(´∀｀)o))
何かな？何かな？

View Slide

Fuzzing
(AFL)
Symbolic
Execution
(Triton)
23
素敵コラボ：葵×双葉（ファジング×シンボリック実行）

View Slide

予期しない入力を生成し、検査対象の異常な動作の有無を確認する
セキュリティテスト
24
［補足］ファジングとは
Fuzzer
Program
図ほのぼのとしたファジングの風景

View Slide

ゴール任意メモリ書き換え→Control Flow Hijack*
アイデア詳細
1. ファジングでクラッシュする入力 I を得る**
2. 入力 I で実行し、クラッシュ時の実行パス P を得る
3. パス P でControl Flow Hijack脆弱性を検出する***
4. 発現条件の解がエクスプロイトコードもどき
25
願いを叶えるホワイトボックス
Fuzzing
Symbolic
Execution
Exploit Code
Crash Input
Seed
Method
I
︙
To Detect Control Flow Hijack Vulnerability
*Control Flow Hijack PC（プログラムカウンタ）を乗っ取る攻撃
** Exploitableなクラッシュであるかどうかの検証もしたいところ。今回は人力で検証した。
*** 任意のクラッシュからこの脆弱性を導けるとは限らないよ
Day 2
Day 3

View Slide

Mechanical Phish @Cyber Grand Challenge
シンボリック実行×エクスプロイト→AEG (2011)
・ゴール：Control Flow Hijackするエクスプロイトコードの自動生成
・緩和した問題：探索空間の指数的増大
・アプローチ：Preconditioned Symbolic Execution（入力空間の制限）
ファジング×シンボリック実行→Driller (2016)
・ゴール：脆弱性検出の効率化
・緩和した問題：パス爆発
・アプローチ：シンボリック実行の欠点をファジングで補う
［参考］Cyber Reasoning System (CRS) における両者の位置づけ
26
［補足］エクスプロイト自動化に関する先行研究
Vulnerability
Detection
Exploit
Generation
Input
Generation
Automatic
Patching
Driller (CGC)
AEG (Stack BOF)

View Slide

ノートを管理する自作のLinux CUIアプリnotes
バッファオーバーフロー脆弱性により、ポインタが書き換わる
簡単のため、プログラムは既知アドレスにシェルコードを展開
27
今回のエクスプロイト対象（デモアプリ）について
Futaba% ./notes
---- [menu] ----
n: new note
u: update note
s: show notes
q: quit
input command: n
==== [note #0] ====
title: Futaki Futaba
content: I’m a high school student.
---- [menu] ----
... snipped ...
input command: s
note #0:Futaki Futaba
I’m a high school student.
typedef struct {
char* content;
char title[16];
} note;
note notes[8];
void update_note(unsigned int note_id) {
... snipped ...
_printf(“title: ");
_fgets(notes[note_id].title, 1024, stdin);
}
▼バッファオーバーフロー脆弱性の箇所
▼ノートの構造体定義
ポインタ書きかえ可能
BOF

View Slide

めげない葵と
気まぐれファザー
葵（AFL）パート
28
Day 2

View Slide

AFL（American Fuzzy Lop）はファジングを行うソフトウェア
AFLはOSSで、Michal Zalewski氏＠Googleがホスト
29
今回採用するAFLとは

View Slide

環境構築と準備は比較的容易。うまくいくかは場合による。
1. ファジング対象を用意
2. シード（入力の元になる値）を作成
3. ポチって待つ
4. クラッシュさせる入力が生成される
5. 検証：生成された入力でどのようにクラッシュするのかを確認
30
AFLによるファジングの流れ
afl-fuzz
Seed
Fuzz Target
(In binary form)
Crash Inputs
afl-gcc
Source Code
Instrumentation with afl-gcc is optional
(recommended)
(1)
(2)
(3)
(4)

View Slide

31
Let’s Fuzzing なのです (>ω<)/
afl-fuzz -i inputs/notes -o result ./notes
n
title
content
s
n
title 2
content!
s
u
3
n
title 3
content!!
s
q
① シード ② ファジング開始
③ ファジング中の様子
生成したクラッシュ入力の数

View Slide

32
ファジング結果を検証
wasabi% xxd result-notes/crashes/id:000004,sig:07,
src:000000,op:havoc,rep:32
00000000: 6ef8 5d69 74e9 6d0d 320a 730a 750a 330a
00000010: 6e6c 65ff 68ff ff6f 8121 212e 7a81 2121
00000020: 20d5 0a63 6e6e 2120 d50a 636e 6e66 adad
00000030: adad 66ad adad adad adad ad22 adad adad
00000040: adad ad9d adad adad 0d51 0a73 0a75 0a33
00000050: 0a6e 6c65 ff28 ffff 6f81 2121 20d5 0a63
00000060: 6e6e 6e6e 6e81 e16e 6e6e 6e6e 7e6e 6e6f
00000070: 6e21 ff00 730a 71
検証結果
操作可能な不正なメモリアクセス
によりクラッシュした！
Exploitableなクラッシュだ！！
➡双葉にバトンパッチ
下図クラッシュ入力（一部出力加工）
右図 gdbで動作確認した結果
③ このrbpは任意値にできそう
② 不正なメモリアクセスで落ちた
① 確かにクラッシュが再現した

View Slide

双葉とシンボリック実行、
今すぐエクスプロイト
双葉（Triton）パート
33
Day 3

View Slide

今回はTritonを採用！
要件
• Tracer：与入力に従う実行パスだけをシンボリック実行できる
• libc：libcを高速にシンボリック実行できること
34
双葉「どのシンボリック実行エンジンを使おうかな？」
Triton angr KLEE S2E
Published in 2015 2016 2008 2011
Usability Medium Easy Easy Medium Hard
User Script Python Python
command line,
C/C++
Lua, C++
Tracer Available Not Works N/A N/A
libc
Fully Symbolically
Executed
Replaced with
Symbolic Procedure 1)
Engine is written in C++ Python C++ C++
libcでクラッシュする場合に必要な要件
表シンボリック実行エンジンの比較
クラッシュする実行パスは分かっている
1) libc can be symbolically executed, but slow

View Slide

QuarkslabのJonathan Salwan氏*を
筆頭に開発されている
シンボリック実行エンジン**
外部（Intel Pinなど）で実行したと
きの命令トレースを与え、
当時の実行パスに従って
シンボリック実行することも可能
エミュレーターを実装して、
バイナリ全体をシンボリック実行す
ることも可能
35
［補足］Tritonについて
（画像は https://github.com/JonathanSalwan/Triton より）
* shellstormの人
** 正確には動的解析基盤（Dynamic Binary Analysis Framework）

View Slide

36
クラッシュする入力からエクスプロイトコードをどう作るか？
①クラッシュ入力生成
mov byte ptr [rbp], al
Invalid Memory Access
②任意メモリ書き換え
ネイティブ実行トレースしたパスに従い、
シンボリック実行
• パス制約
• メモリアクセス制約
mov byte ptr [symvar_rbp], symvar_al
クラッシュする時点の命令において、
メモリアドレスAに値aを書き込める
⇔symvar_rbp == A, symvar_al == a に解が存在
《➡宿題》
• クラッシュ
クラッシュ入力生成
PC乗っ取り
トレーサーが
①の入力に従い実行。
命令トレースを出力
※AFLの検証フェーズで説明済み
クラッシュ
入力
※AFLで生成

View Slide

37
クラッシュする入力からエクスプロイトコードをどう作るか？
クラッシュ入力生成
PC乗っ取り
GOT（Global Offset Table）には
libc関数のアドレスが入っている
GOT Overwriteにより、
libc関数のアドレスをアドレスXに上書きする（*A = X）
fputs()
fputs@libc()
Index Real Addr
fputs fputs@libc
GOT
lookup
call func
fputs()
X()
Index Real Addr
fputs X
GOT (Overwritten)
lookup
call func
④シェルコード起動
今回、バイナリ中にシェルを起動する関数が存在し、アドレスが既知と仮定。
そのアドレスをXとする
③PC乗っ取り（GOT Overwriteの場合）

View Slide

ここでは❶～ ❸について説明
• 標準入力のシンボル化とreadシステムコールのハンドル（❶）
• 任意メモリ書き換えを2段階で実現（❷）
• パス制約の解になぜか誤り→方針転換：与入力を修正
• Tritonのランタイムエラー（❸）
• SIGBUSでトレーサーがTritonと心中
• z3の例外で死ぬ
38
実装の苦労話

View Slide

標準入力のシンボル化をサポートしないシンボリック実行エンジン
では、sys_readをフックして自力でシンボル化するはめになる
Tritonはこれに該当
39
❶ 標準入力のシンボル化とreadシステムコールのハンドル
def syscallsEntry(threadId, std):
if getSyscallNumber(std) == SYSCALL64.READ: ### readシステムコールをフック
fd = getSyscallArgument(std, 0)
buff = getSyscallArgument(std, 1)
size = getSyscallArgument(std, 2)
if fd == 0: ### 標準入力だったら、読み込み先のバッファと読み込みの長さを控える
isRead = {'buff': buff, 'size': size}
return
def syscallsExit(threadId, std):
if isRead is not None:
size = isRead['size']
buff = isRead['buff']
for index in range(size):
### 書き込み先のバッファをシンボル化
Triton.convertMemoryToSymbolicVariable(MemoryAccess(buff+index, CPUSIZE.BYTE))
isRead = None
return

View Slide

クラッシュする入力をトレーサーに与えるとき、一度のシンボリッ
ク実行で「特定のメモリ書き換えを行うペイロード」の生成するの
が難しい《➡宿題》
双葉は、シンボリック実行を2回に分けた。
入力 I により命令 i でクラッシュするとして、
1. 入力Iを与え、命令iでメモリ書き込み先がA**という制約を解き、
ペイロードPを生成†
2. 入力Pを与え、命令iでアドレスAの中身がX**という制約を解き、
ペイロードP´を生成†
➡ P´がエクスプロイトコード相当
40
❷「困難は分割せよ」
† このとき、パス制約も満たすように生成する
* 今回、A はGOTのエントリー
** 今回、X はシュエル起動コードのアドレス
i : mov byte ptr [rbp], al

View Slide

以下の現象に遭遇した。プルリクエストを出して修正済み*
SIGBUSでトレーサーがTritonと心中
Tritonではトレーサーが原因のシグナルをハンドルできるが、
SIGBUSを無視するのでTritonを巻き込んで死ぬ
➡SIGBUSをハンドルするように修正
z3の例外で死ぬ
z3**は制約式がおかしいと例外（z3::exception）を投げる
Tritonがそれを拾わないので例外メッセージを出さずに死ぬ
➡ Tritonがそれを拾うように修正（Jonathan氏の手助けあり）
41
❸ Tritonのランタイムエラー
* 当該プルリク #695 はdev-v0.6ブランチにマージ済み。dev-v0.6は6/29にmasterにマージ
** z3は制約ソルバー。Tritonはz3をバックエンドで使用。

View Slide

デモ／まとめ
42

View Slide

43
デモっ！
https://asciinema.org/a/oex5uONOiUy5lNb41fgBQALtb
実行時間：3分。最大使用メモリ量：100 MB

View Slide

コード量約400行
コーディング時間 2～3週間
Tritonにハマりどころが多かったり、
非効率なソルバーを書くと1回の実行に30分かかったりして大変！
44
［参考］実装規模

View Slide

以下のアプローチでエクスプロイト自動生成に取り組んだ
1. クラッシュする入力をファジングにより生成
2. クラッシュする実行パスをシンボリック実行
3. 制約を解いてエクスプロイトコードを生成
今回実装したAEG：
https://github.com/macaron-et/wasabi-aeg
今後の課題
他の脆弱なアプリに対して本ツールを適用
エクスプロイトにつながるクラッシュをファジングでうまく発見
（CTFのpwnのバイナリだと、DoSに留まるクラッシュが見つかりがち）
45
まとめ
遊んでみてね～

View Slide

バイナリ萌えの彼女がシンボリック実行に恋着していますが、
制約に挑む幼気な表情が最高です！（１）
https://speakerdeck.com/katc/bainarimeng-efalsebi-nu-
gasinboritukushi-xing-nilian-zhao-sitemasuga-zhi-yue-nitiao-
muyou-qi-nabiao-qing-gazui-gao-desu-1
American Fuzzy Lop (AFL)
http://lcamtuf.coredump.cx/afl/
Triton
https://github.com/JonathanSalwan/Triton
46
参考資料

View Slide

双葉ちゃんからの宿題
ブログなどでご回答ください
マージはしませんが、プルリクを送る形でもいいです
47

View Slide

あるプログラムが、次のx86_64の命令 i においてrbpレジスタが任
意の値をとるとします。
mov byte ptr [rbp], al
ファジングにより、命令 i でセグメンテーションフォールト
（SEGV）する入力 I を得られました。
入力 I をトレーサーへの入力として与えるとき、一度のシンボリッ
ク実行で「特定のメモリに特定の8バイト値を書き込むペイロー
ド」を得ることが極めて難しいです。それはなぜでしょうか？
ヒント：トレーサーの性質
48
問1 （難易度：やや難）

View Slide

問1のプログラムに対して、ファジングの結果をうまく利用し、任
意メモリ書き換え脆弱性を効率的に検出する方法を考えます。
メモリアクセス毎にその脆弱性の有無を検証すると、制約ソルバー
*が何度も呼ばれることになり、実行速度が低下します。
制約ソルバーの呼び出しを最小にする検出方法を考えてください。
ヒント：想定回答は2つ。
49
問2 （難易度：易）
*制約ソルバー制約を解き、制約を満たす具体値を得るためのプログラム

View Slide

ある命令 i が実行されたときに、副作用の無い処理を追加します。
実際は、ASLR*のせいで実行時の命令 i のアドレスは不定です。
シンプルなASLR対策をお願いします＞＜
ヒント：ASLRの仕様。追加処理には副作用が無い。
50
問3 （難易度：易）
*ASLR (Address Space Layout Randomization) see Wikipedia

View Slide

Girls Meets Symbolic Execution: Assertion 2. Automated Exploit Generation

Girls Meets Symbolic Execution: Assertion 2. Automated Exploit Generation

友利奈緒（@K_atc）

More Decks by 友利奈緒（@K_atc）

Other Decks in Science

Featured

Transcript