만두만두

zsh plugin 오류

ch4rli3kop — Wed, 26 Apr 2023 14:49:41 +0900

zsh plugin 오류

zsh 설치하다가 다음과 같은 오류가 발생했는데, 해결방법에 대한 한국어 자료가 없는 것 같아서 정리한다.

ch4rli3kop in [~] 14:20:45 › zsh
[oh-my-zsh] plugin 'git,' not found
[oh-my-zsh] plugin 'zsh-autosuggestions,' not found
[oh-my-zsh] plugin 'zsh-syntax-highlighting,' not found

다음과 같이 .zshrc 파일에서 plugins이 ,를 사용해서 구분되면 위와 같은 오류가 발생한다.

# ~/.zshrc
plugins=(git, zsh-autosuggestions, autojump)

밑에처럼 수정하면 해결

# ~/.zshrc
plugins=(
	git
	zsh-autosuggestions
	autojump
)

[python] membership 관련

ch4rli3kop — Wed, 2 Nov 2022 22:09:23 +0900

[python] membership 관련

특정 타입들의 객체들만 처리할 일이 있었는데, 다른 사람들의 코드를 볼 때 내 경험 상 ()를 사용해서 tuple로 처리하거나, {}를 사용하여 집합으로 처리하는 두 가지 방법들을 사용했었다. [] 리스트도 가끔 있기는 했는데, 잘 사용하지 않았던 것 같다.

각각 어떤 장점이 있는지 궁금해서 찾아보았다.

https://towardsdatascience.com/python-tricks-check-multiple-variables-against-single-value-18a4d98d79f4

1. Tuple을 사용하는 경우

if a_type in (a_type, b_type, c_type):
 # do something

메모리 사용량이 셋 중에 가장 적다.

2. Set을 사용하는 경우

if a_type in {a_type, b_type, c_type}:
 # do something

상수 값들로 이루어진 집합이라면, 계산 복잡성이 가장 작다고 한다.

3. List를 사용하는 경우

리스트가 가장 비효율적이다. 쓰지 맙시다.

python exception 처리

ch4rli3kop — Fri, 21 Oct 2022 16:52:04 +0900

python exception 처리

이제까지 python 코드를 근본없이 작성하다가, 요즘 프로젝트를 하면서 파이썬 개발 디자인 모델이나 pythonic 하게 코드를 작성하는 팁을 찾아보고 있다.

요 글은 python의 exception을 어떻게 하면 좋게 처리할 수 있을까에 대해 나름 개인적으로 고민도 하고 서칭하면서 찾아본 내용을 간단하게 정리한 글이다. (반박시 그대의 말이 다 맞음)

case 1 : exception inheritance

exceptions.py

class dummyclass(Exception): 
 pass

class testException(dummyclass):
 def __str__(self) -> str:
   return f'testException'

class testException2(testException):
 def __str__(self) -> str:
   return f'testException2'

 def __repr__(self) -> str:
   return f'zzz'

main.py

from .exceptions import testException, testException2

if __name__ == '__main__':
 try:
   raise testException2
 except testException:
   print('zzz')
# zzz

상속관계에 있을 때, 하위 exception을 상위 exception으로 catch 할 수 있음.

case 2 : exception 클래스 비교

from .exceptions import testException, testException2

if __name__ == '__main__':
 try:
   raise testException2
 except testException as e:
   if e.__class__ is testException2:
     print('zzz')
# zzz

__class__ property를 사용하여 클래스 타입 비교를 할 수 있음. 상위 exception으로 catch 한 뒤에 하위 exception으로 비교.

case 3 : exception decorator

함수에 대해 exception 처리를 위해서 decorator를 사용하여 코드를 간결하게 할 수 있음.

python의 decorator는 함수의 실행 전, 실행 후 작업을 반복적으로 처리할 때 유용하게 사용할 수 있는 기능임. 아래 경우는 try-exception을 직접적으로 모든 함수에 적용하지 않고 decorator를 통해 간결하게 처리함.

단순 raise

exception이 발생했을 때, 단순히 raise 시키기 위한 decorator 함수

#!/usr/bin/python3

def testdecorate(function):
def wrapper(self, *args, **kwargs):
   try:
     return function(self, *args, **kwargs)
   except exception as e:
     raise e
 return wrapper

class TestClass:
 
 @testdecorate
 def testFunction(self):
   # do something

혹은 해당 클래스에 대한 사용자 정의 exception을 사용할 수도 있음.

from .exceptions import testException

def testdecorate(function):
def wrapper(self, *args, **kwargs):
   try:
     return function(self, *args, **kwargs)
   except exception as e:
     raise testException
 return wrapper

class TestClass:
 
 @testdecorate
 def testFunction(self):
   # do something

사용자 정의 exception raise

각 함수에 대해서 사용자 정의 exception을 인자로 줘서 raise 하고 싶을 때도 있을 수 있음. 이 경우 decorator에 exception을 인자로 넘겨줘야 해서 위와 조금 다르게 decorator를 작성해야 함.

from .exceptions import testException

def raiseExceptionDecorator(exception):
   def decorator(function):
       def wrapper(self, *args, **kwargs):
           try:
               return function(self, *args, **kwargs)
           except :
               raise exception
       return wrapper
   return decorator
 

class TestClass:
 
 @raiseExceptionDecorator(testException)
 def testFunction(self):
   # do something

인자로 사용자 정의 exception을 전달하면 해당 exception을 발생시킴.

exception handler 전달

exception에 대해서 따로 handler를 등록해서 처리하고 싶다면, 다음과 같이 사용할 수 있음. class 마다 method에서 발생한 exception을 처리하고자 하는 경우도 있을 수 있기 때문에, 다음과 같이 exception과 handler를 decorator의 인자로 전달하여 사용하면 됨.

from .exceptions import testException

def raiseExceptionDecorator(exception, handler):
   def decorator(function):
       def wrapper(self, *args, **kwargs):
           try:
               return function(self, *args, **kwargs)
           except :
               handler(exception)
       return wrapper
   return decorator
 
class TestClass:
 
 def exception_handler(self, e):
   print('eeee')
 
 @raiseExceptionDecorator(testException, exception_handler)
 def testFunction(self):
   # do something

Conclusion

exception handler와 exception 코드는 한 곳에 몰아넣는 것이 좋고 (ex. exceptions.py), 프로젝트 내의 모듈마다 작성하는게 좋을 듯하다. 데코레이터의 경우 위에서 단순히 raise를 하는 패턴, 인자를 전달하는 패턴 등 몇 가지를 나열했는데, 저 중 한가지 방법으로 통일해서 exception 처리를 하는게 깔끔할 것이다. 또한, exception을 어떻게 하느냐뿐만 아니라 어디서 하느냐도 중요한데, 이 부분은 추후에 파이썬 디자인 모델을 정리하면서 정리해야겠다.

Trouble shoot with installing gef

ch4rli3kop — Mon, 29 Aug 2022 18:35:17 +0900

Trouble shoot with installing gef

I installed gef in my docker container, and I found this error.

➜ ~ gdb
GNU gdb (Ubuntu 12.0.90-0ubuntu1) 12.0.90
Copyright (C) 2022 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Type "show copying" and "show warranty" for details.
This GDB was configured as "x86_64-linux-gnu".
Type "show configuration" for configuration details.
For bug reporting instructions, please see:
<https://www.gnu.org/software/gdb/bugs/>.
Find the GDB manual and other documentation resources online at:
  <http://www.gnu.org/software/gdb/documentation/>.

For help, type "help".
Type "apropos word" to search for commands related to "word".
Traceback (most recent call last):
File "/home/ch4rli3kop/.gdbinit-gef.py", line 10878, in <module>
  reset()
File "/home/ch4rli3kop/.gdbinit-gef.py", line 190, in reset
  gef.setup()
File "/home/ch4rli3kop/.gdbinit-gef.py", line 10809, in setup
  self.reinitialize_managers()
File "/home/ch4rli3kop/.gdbinit-gef.py", line 10804, in reinitialize_managers
  self.session = GefSessionManager()
File "/home/ch4rli3kop/.gdbinit-gef.py", line 10454, in __init__
  self.constants[constant] = which(constant)
File "/home/ch4rli3kop/.gdbinit-gef.py", line 1810, in which
  raise FileNotFoundError(f"Missing file `{program}`")
FileNotFoundError: Missing file `file`

I saw gef/gef.py, and I found the cause of the error.

class GefSessionManager(GefManager):
   """Class managing the runtime properties of GEF. """
  def __init__(self) -> None:
      ...
       for constant in ("python3", "readelf", "file", "ps"):
          self.constants[constant] = which(constant)
      return

The error occurred because there is no file command in my container.

Solutions

In my case, the file command didn't exist. We can resolve this error by installing that commands (python3, readelf, file, ps).

$ sudo apt install file -y

How to install binary ninja python API (in mac m1)

ch4rli3kop — Thu, 25 Aug 2022 18:35:12 +0900

How to install binary ninja python API (in mac m1)

Trouble

I have the payment of the binary ninja personal edition a month ago. But, when I use the python API of the binary ninja, there is some problem like the below.

ch4rli3kop in [~/code_snippets/BinaryNinja/binaryninja-api] 15:29:09 › python3
Python 3.8.9 (default, Oct 26 2021, 07:25:53)
[Clang 13.0.0 (clang-1300.0.29.30)] on darwin
Type "help", "copyright", "credits" or "license" for more information.
>>> from binaryninja import *
Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
ModuleNotFoundError: No module named 'binaryninja'

Solution

By running script /Applications/Binary Ninja.app/Contents/Resources/scripts/install_api.py, we can install python API easily.

ch4rli3kop in [/Applications/Binary Ninja.app/Contents/Resources/scripts] 18:01:18 › ls
install_api.py
ch4rli3kop in [/Applications/Binary Ninja.app/Contents/Resources/scripts] 17:58:12 › python3 install_api.py
Binary Ninja API already in the path

If the python path of the binary ninja is successfully added to the system python package path, we can import the binary ninja API on our python console.

ch4rli3kop in [/Applications/Binary Ninja.app/Contents/Resources/scripts] 17:58:16 › python3
Python 3.8.9 (default, Oct 26 2021, 07:25:53)
[Clang 13.0.0 (clang-1300.0.29.30)] on darwin
Type "help", "copyright", "credits" or "license" for more information.
>>> from binaryninja import *
>>> exit()

[+]
But... I found personal user doesn't use headless mode..!
personal license user can use python-api only in the python console of binary ninja... :(

WTF(WHAT THE FUZZ) TUTORIAL

ch4rli3kop — Fri, 3 Jun 2022 19:57:27 +0900

WTF(WHAT THE FUZZ) TUTORIAL

wtf(What The Fuzz) fuzzer가 실제로 취약점을 잘 찾을 수 있는지 궁금해서 테스트 프로그램으로 퍼징을 돌려보려고 한다.

Target Program

퍼징할 대상은 대충 다음과 같이 만들었다. fgets로 파일 데이터를 buf에 저장한 상태에서 snapshot을 찍고, 퍼저에서 해당 buf 메모리에 mutation 된 데이터를 직접 memory write 함으로써, 퍼징을 수행할 예정이다.

컴파일해서 vm 내에 넣어주면 되는데, 중요한 점은 Debug가 아니라 Release로 빌드해야 한다는 점이다. 분석을 쉽게하기 위해서 코드 최적화도 꺼놨다. (Debug 모드로 빌드할 시, vcruntime140.dll 에서 크래시를 탐지해서 crash_detection 코드를 추가해야 함) 위 프로그램을 컴파일해서 vm 내에 넣어준다.

#define _CRT_SECURE_NO_WARNINGS
#include <stdio.h>

char buf[0x1000];

void fuzzme ( char* buf ) {
  char localbuf[0x200] = {0, };
  if (buf[0] == 'A')
    memcpy(localbuf, buf, strlen(buf)); // <- here is vuln
  else
    memcpy(localbuf, buf, 0x10);
  
  printf("%s\n", localbuf);
}

int main(int argc, char* argv[]) {

  if (argc < 2) {
    fprintf(stderr, "no input file\n");
    exit(-1);
  }

  FILE* f = fopen(argv[1], "rb");
  fgets(buf, 0x1000, f);
  fuzzme(buf);
  return 0;
}

Kernel Debugging & Snapshot

이제 host에서는 kernel live debugging을 하면서 다음과 같이 입력한다.

kd> !gflag +ksl
Current NtGlobalFlag contents: 0x00040000
    ksl - Enable loading of kernel debugger symbols
kd> sxe ld test_wtf_harness.exe
kd> g

vm 내에서 다음과 같이 프로세스를 실행한다.

Microsoft Windows [Version 10.0.19044.1706]
(c) Microsoft Corporation. All rights reserved.

C:\Users\pch21\Desktop\Fuzz\test_wtf>.\test_wtf_harness.exe .\input.txt

host 에서는 대충 심볼 추가하고 main 시점에서 브포를 건다.

kd> .sympath+ C:\Users\Charlie\Desktop\fuzzing\test_wtf_harness\x64\Release
Symbol search path is: srv*;C:\Users\Charlie\Desktop\fuzzing\test_wtf_harness\x64\Release
Expanded Symbol search path is: cache*;SRV*https://msdl.microsoft.com/download/symbols;c:\users\charlie\desktop\fuzzing\test_wtf_harness\x64\Release

************* Path validation summary **************
Response                         Time (ms)     Location
Deferred                                       srv*
OK                                             C:\Users\Charlie\Desktop\fuzzing\test_wtf_harness\x64\Release
kd> bu test_wtf_harness!main
*** WARNING: Unable to verify checksum for test_wtf_harness.exe
kd> g
Breakpoint 0 hit
test_wtf_harness!main:
0033:00007ff6`f3271180 4889542410         mov     qword ptr [rsp+10h], rdx

main 코드를 살펴보면 다음과 같은데, 우선 wtf 를 사용하는데 중요한 점은 snapshot을 뜨는 것과 wtf backend breakpoint 지점을 결정해야 한다는 점이다. 이 예제의 경우 fuzzme 함수를 대상으로 퍼징을 수행할 것이기 때문에, 해당 함수 진입시점에서 snapshot을 뜰 것이며, 함수 종료 후 실행하는 명령어 주소를 breakpoint로 지정하여, 성공적으로 fuzzme 함수가 실행되었을 때 빠르게 종료하도록 퍼저를 작성할 것이다. fuzzme 함수와 main 함수의 주소는 다음과 같다.

test_wtf_harness!fuzzme:
0033:00007ff6`f32710d0 48894c2408           mov     qword ptr [rsp+8], rcx
0033:00007ff6`f32710d5 57                   push    rdi
0033:00007ff6`f32710d6 4881ec30020000       sub     rsp, 230h

...


test_wtf_harness!main:
0033:00007ff6`f3271180 4889542410         mov     qword ptr [rsp+10h], rdx
0033:00007ff6`f3271185 894c2408           mov     dword ptr [rsp+8], ecx
0033:00007ff6`f3271189 4883ec38           sub     rsp, 38h
0033:00007ff6`f327118d 488d0d703e0000     lea     rcx, 
...
0033:00007ff6`f32711fe 488d0d7b440000     lea     rcx, [test_wtf_harness!buf{[0]} (7ff6f3275680)]
0033:00007ff6`f3271205 ff15851f0000       call    qword ptr [test_wtf_harness!__imp_fgets (7ff6f3273190)]
0033:00007ff6`f327120b 488d0d6e440000     lea     rcx, [test_wtf_harness!buf{[0]} (7ff6f3275680)]
0033:00007ff6`f3271212 e8b9feffff         call    test_wtf_harness!fuzzme (7ff6f32710d0)
0033:00007ff6`f3271217 33c0               xor     eax, eax
0033:00007ff6`f3271219 4883c438           add     rsp, 38h
0033:00007ff6`f327121d c3                 ret

test_wtf_harness!fuzzme 에 bp를 걸어 해당 지점에서 break를 한다. 레지스터 정보를 살펴보면 다음과 같다.

kd> bu test_wtf_harness!fuzzme
kd> g

...

kd> r
rax=00007ff6f3275680 rbx=0000025f3cbc30c0 rcx=00007ff6f3275680
rdx=0000000000000000 rsi=0000000000000000 rdi=0000025f3cbc6de0
rip=00007ff6f32710d0 rsp=000000da4e8ffd08 rbp=0000000000000000
 r8=000000da4e8ffb18  r9=0000000000001000 r10=0000000000000000
r11=0000000000000246 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0         nv up ei pl nz na pe nc
cs=0033  ss=002b  ds=002b  es=002b  fs=0053  gs=002b
test_wtf_harness!fuzzme:
0033:00007ff6`f32710d0 48894c2408      mov     qword ptr [rsp+8],rcx ss:002b:000000da`4e8ffd10=0000025fffffffff

이 시점에서 bdump script를 이용하여 메모리 덤프를 수행한다.

kd> .scriptload D:\Tools\bdump-master\bdump.js
[bdump] Usage: !bdump "C:\\path\\to\\dump"
[bdump] Usage: !bdump_full "C:\\path\\to\\dump"
[bdump] Usage: !bdump_active_kernel "C:\\path\\to\\dump"
[bdump] This will create a dump directory and fill it with a memory and register files
[bdump] NOTE: you must include the quotes and escape the backslashes!
JavaScript script successfully loaded from 'D:\Tools\bdump-master\bdump.js'


kd> !bdump_full "D:\\Tools\\bdump-master\\state_full"
[bdump] creating dir...
[bdump] saving regs...
[bdump] register fixups...
[bdump] don't know how to get mxcsr_mask or fpop, setting to zero...
[bdump]
[bdump] don't know how to get avx registers, skipping...
[bdump]
[bdump] tr.base is not cannonical...
[bdump] old tr.base: 0x79f76000
[bdump] new tr.base: 0xfffff80579f76000
[bdump]
[bdump] rip and gs don't match kernel/user, swapping...
[bdump] rip: 0x7ff6f32710d0
[bdump] new gs.base: 0xda4e6a5000
[bdump] new kernel_gs_base: 0xfffff8057265f000
[bdump]
[bdump] non-zero IRQL in usermode, resetting to zero...
[bdump] saving mem, get a coffee or have a smoke, this will probably take around 10-15 minutes...
[bdump] Creating D:\Tools\bdump-master\state_full1\mem.dmp - Full kernel dump
[bdump] 0% written.
[bdump] 5% written. 42 sec remaining.
[bdump] 10% written. 41 sec remaining.
[bdump] 15% written. 37 sec remaining.
[bdump] 20% written. 37 sec remaining.
[bdump] 25% written. 34 sec remaining.
[bdump] 30% written. 31 sec remaining.
[bdump] 35% written. 28 sec remaining.
[bdump] 40% written. 27 sec remaining.
[bdump] 45% written. 24 sec remaining.
[bdump] 50% written. 21 sec remaining.
[bdump] 55% written. 20 sec remaining.
[bdump] 60% written. 16 sec remaining.
[bdump] 65% written. 9 sec remaining.
[bdump] 70% written. 7 sec remaining.
[bdump] 75% written. 6 sec remaining.
[bdump] 80% written. 10 sec remaining.
[bdump] 85% written. 6 sec remaining.
[bdump] 90% written. 4 sec remaining.
[bdump] 95% written. 2 sec remaining.
[bdump] Wrote 4.0 GB in 42 sec.
[bdump] The average transfer rate was 97.5 MB/s.
[bdump] Dump successfully written
[bdump] done!
@$bdump_full("D:\\Tools\\bdump-master\\state_full")

Write fuzzer code

이제 fuzzer를 작성해야 하는데, \src\wtf 디렉토리에 fuzzer_test_wtf.cpp 이름으로 파일을 하나 생성한 뒤, 다음과 같이 코드를 작성한다.

#include "backend.h"
#include "targets.h"
#include <fmt/format.h>
#include "crash_detection_umode.h"

namespace fs = std::filesystem;

namespace Test_wtf {

constexpr bool LoggingOn = false;

template <typename... Args_t>
void DebugPrint(const char *Format, const Args_t &...args) {
  if constexpr (LoggingOn) {
    fmt::print("Test WTF : ");
    fmt::print(fmt::runtime(Format), args...);
  }
}

bool InsertTestcase(const uint8_t *Buffer, const size_t BufferSize) {
  
  const Gva_t buf = Gva_t(g_Backend->Rcx());
  if (!g_Backend->VirtWriteDirty(buf, Buffer, BufferSize)){
        DebugPrint("VirtWriteDirty failed\n");
        return false;
  }
  

  return true;
}

bool Init(const Options_t &Opts, const CpuState_t &) {
  
  if (!g_Backend->SetBreakpoint(Gva_t(0x007ff6f327121d), [](Backend_t *Backend) {
        DebugPrint("fuzzme finish\n");
        Backend->Stop(Ok_t());
      })) {
    DebugPrint("Failed to SetBreakpoint main+0x9d\n");
    return false;
  }

  SetupUsermodeCrashDetectionHooks();

  return true;
}

//
// Register the target.
//

Target_t Test_wtf("test_wtf", Init, InsertTestcase);

}

하나 하나 자세히 살펴보면 다음과 같다.

Init

먼저 Init 함수의 경우, 빠른 프로세스 종료나 crash detection 동작을 수행하기 위해 backend의 breakpoint를 설정하는 부분이다. 그냥 적당히 fuzzme 호출 후, main 함수의 에필로그 주소를 대상으로 bp를 등록했다.

0033:00007ff6`f3271212 e8b9feffff         call    test_wtf_harness!fuzzme (7ff6f32710d0)
0033:00007ff6`f3271217 33c0               xor     eax, eax
0033:00007ff6`f3271219 4883c438           add     rsp, 38h
0033:00007ff6`f327121d c3                 ret

main의 에필로그 opcode의 주소인 0x0007ff6f327121d에 bp를 걸어 해당 주소의 명령어가 호출될 때, backend를 종료하도록 다음과 같이 작성했다. Ok_t()를 인자로 전달하여 코드가 정상적으로 수행되었음을 나타낼 수 있다. 또한, crash_detection_umode.h에 존재하는 SetupUsermodeCrashDetectionHooks를 호출하여 crash detection을 등록했다. 코드를 살펴보면, stack overflow 등으로 메모리 exception이 발생하면 dispatcher 함수가 호출되는데, 해당 함수들에 bp를 걸어 crash 처리를 하도록 했다.

bool Init(const Options_t &Opts, const CpuState_t &) {
  
  if (!g_Backend->SetBreakpoint(Gva_t(0x007ff6f327121d), [](Backend_t *Backend) {
        DebugPrint("fuzzme finish\n");
        Backend->Stop(Ok_t());
      })) {
    DebugPrint("Failed to SetBreakpoint main+0x9d\n");
    return false;
  }

  SetupUsermodeCrashDetectionHooks();

  return true;
}

InsertTestcase

앞서 설명했다시피, 이미 파일 데이터가 쓰인 buf 메모리에 mutation된 데이터를 덮어쓸 계획이다. fuzzme 함수의 첫 번째 인자를 살펴보면 다음과 같이 buf의 주소이며, ZXCV라는 파일 데이터가 들어있는 것을 확인할 수 있다.

kd> db @rcx
00007ff6`f3275680  5a 58 43 56 00 00 00 00-00 00 00 00 00 00 00 00  ZXCV............
00007ff6`f3275690  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00  ................
00007ff6`f32756a0  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00  ................
00007ff6`f32756b0  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00  ................
00007ff6`f32756c0  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00  ................
00007ff6`f32756d0  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00  ................
00007ff6`f32756e0  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00  ................
00007ff6`f32756f0  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00  ................

Windows x64 calling convention을 기준으로 함수의 첫 번째 인자는 rcx이기 때문에, rcx 값을 가져와서 buf의 주소를 얻고 해당 주소에 VirtWriteDirty 함수를 이용하여 mutation 된 데이터를 덮어쓴다.

bool InsertTestcase(const uint8_t *Buffer, const size_t BufferSize) {
  
  const Gva_t buf = Gva_t(g_Backend->Rcx());
  if (!g_Backend->VirtWriteDirty(buf, Buffer, BufferSize)){
        DebugPrint("VirtWriteDirty failed\n");
        return false;
  }
  

  return true;
}

Register

작성한 fuzzer를 wtf에 등록한다. 이 때 등록한 이름을 사용하여 wtf.exe를 실행할 때 퍼저를 특정하게 된다.

Target_t Test_wtf("test_wtf", Init, InsertTestcase);

아무튼 잘 빌드하면 된다.

Build fuzzer

Readme에 있는 것처럼 잘 빌드하면 된다.

D:\Tools\wtf\src\build_msvc>..\build\build-release-msvc.bat

D:\Tools\wtf\src\build_msvc>cmake ..
-- Selecting Windows SDK version 10.0.22000.0 to target Windows 10.0.19043.
-- Configuring done
-- Generating done
-- Build files have been written to: D:/Tools/wtf/src/build_msvc

D:\Tools\wtf\src\build_msvc>cmake --build . --config RelWithDebInfo
.NET Framework용 Microsoft (R) Build Engine 버전 16.11.2+f32259642
Copyright (C) Microsoft Corporation. All rights reserved.

  hevd_client.vcxproj -> D:\Tools\wtf\src\build_msvc\RelWithDebInfo\hevd_client.exe
  tlv_server.vcxproj -> D:\Tools\wtf\src\build_msvc\RelWithDebInfo\tlv_server.exe
  fuzzer_test_wtf.cc
  코드를 생성하고 있습니다.
  0 of 12308 functions ( 0.0%) were compiled, the rest were copied from previous compilation.
    0 functions were new in current compilation
    0 functions had inline decision re-evaluated but remain unchanged
  코드를 생성했습니다.
  wtf.vcxproj -> D:\Tools\wtf\src\build_msvc\RelWithDebInfo\wtf.exe

Run Fuzzer

wtf는 data mutation을 하는 server와 input를 전달하여 backend에서 실행하는 client로 이루어져 있다. 아래와 같이 실행하면 된다.

Server

D:\Tools\wtf\targets\test_wtf>..\..\src\build_msvc\RelWithDebInfo\wtf.exe master --max_len=2048 --runs=1000000 --target . --name test_wtf
Seeded with 5247091273893732672
Iterating through the corpus..
Sorting through the 1 entries..
Running server on tcp://localhost:31337..
#0 cov: 0 (+0) corp: 0 (0.0b) exec/s: 0.0 (0 nodes) lastcov: 14.0s crash: 0 timeout: 0 cr3: 0 uptime: 14.0s
#0 cov: 0 (+0) corp: 0 (0.0b) exec/s: -nan (1 nodes) lastcov: 14.0s crash: 0 timeout: 0 cr3: 0 uptime: 14.0s
Saving output in .\outputs\cr3-5934aa3139a87e36f522ee7f2ec452f4
Saving output in .\outputs\cr3-c743ac7cf4b00b1bc44786c765e874d0
Saving output in .\outputs\crash-39990eed0c80b9a4b266fd2cf2162606
Saving output in .\outputs\cr3-75711a754a442814ea3e048714639929
#7290 cov: 12194 (+12194) corp: 29 (3.7kb) exec/s: 729.0 (1 nodes) lastcov: 7.0s crash: 189 timeout: 0 cr3: 7101 uptime: 24.0s
#14127 cov: 12194 (+0) corp: 29 (3.7kb) exec/s: 706.4 (1 nodes) lastcov: 17.0s crash: 377 timeout: 0 cr3: 13750 uptime: 34.0s

Client

D:\Tools\wtf\targets\test_wtf>..\..\src\build_msvc\RelWithDebInfo\wtf.exe fuzz --backend=bochscpu --limit 100000 --target D:\Tools\wtf\targets\test_wtf --name test_wtf
Initializing the debugger instance.. (this takes a bit of time)
D:\Tools\wtf\targets\test_wtf\state\mem.dmpSetting debug register status to zero.
Setting debug register status to zero.
Could not set a breakpoint at hal!HalpPerfInterrupt.
Failed to set breakpoint on HalpPerfInterrupt, but ignoring..
Dialing to tcp://localhost:31337/..
#4710 cov: 12194 exec/s: 471.0 lastcov: 6.0s crash: 150 timeout: 0 cr3: 4560 uptime: 10.0s

Conclusion

실제 실행하면 타겟 프로그램 대상으로 금방 크래시를 찾는다. 다음 편은 이제 이걸로 실제 프로그램 퍼징하는 내용을 써야쥐.

Trouble Shoot

1. Error: Unable to create file [at bdump (line 296 col 5)]

kd> !bdump "D:\\Tools\\bdump-master\\state_normal"
[bdump] creating dir...
[bdump] saving regs...
[bdump] register fixups...
[bdump] don't know how to get mxcsr_mask or fpop, setting to zero...
[bdump]
[bdump] don't know how to get avx registers, skipping...
[bdump]
[bdump] tr.base is not cannonical...
[bdump] old tr.base: 0x79f76000
[bdump] new tr.base: 0xfffff80579f76000
[bdump]
[bdump] rip and gs don't match kernel/user, swapping...
[bdump] rip: 0x7ff6f32710d0
[bdump] new gs.base: 0xda4e6a5000
[bdump] new kernel_gs_base: 0xfffff8057265f000
[bdump]
[bdump] non-zero IRQL in usermode, resetting to zero...
Error: Unable to create file [at bdump (line 296 col 5)]
DBGHELP: test_wtf_harness is not source indexed

기존에 메모리 파일이 존재하는데, 덮어쓰기가 안돼서 발생하는 문제로, 새로운 디렉토리로 이름을 변경하거나 기존 dmp 파일을 삭제하면 해결할 수 있음.

2. OpenDumpFile(D:\Tools\wtf\targets\test_wtf\state\mem.dmp) failed with hr=-0x7ff8ffa9

# when running wtf.exe with fuzz mode
OpenDumpFile(D:\Tools\wtf\targets\test_wtf\state\mem.dmp) failed with hr=-0x7ff8ffa9

유저모드 프로세스를 대상으로 덤프할 때, 그냥 !bdump 로 덤프할 경우 가끔 발생하는 문제같음. 그냥 !bdump_full 명령어로 full 메모리 덤프하면 해결할 수 있음.

3. [bdump] could not recover fs!

kd> !bdump_active_kernel "D:\\Tools\\bdump-master\\state_kernel"
[bdump] creating dir...
[bdump] saving regs...
[bdump] could not recover fs!
Error: Unable to set property 'base' of undefined or null reference [at bdump (line 73 col 5)]
DBGHELP: test_wtf_harness is not source indexed
kd> dg cs
                                                    P Si Gr Pr Lo
Sel        Base              Limit          Type    l ze an es ng Flags
---- ----------------- ----------------- ---------- - -- -- -- -- --------
0033 00000000`00000000 00000000`00000000 Code RE Ac 3 Nb By P  Lo 000002fb

유저모드 프로세스 덤프할 때, 커널 메모리 덤프할 때 발생하는 문제같음. 유저모드 프로세스 대상으로 덤프할 때는 !bdump 나 !bdump_full을 사용해야 함.

커널 디버깅 중 USER-MODE 프로세스에 디버거 붙이기

ch4rli3kop — Fri, 27 May 2022 01:28:35 +0900

커널 디버깅 중 USER-MODE 프로세스에 디버거 붙이기

Windbg로 윈도우 커널 디버깅 중에 유저모드 프로세스를 디버깅하는 방법이 몇 가지 있는데, 일단 이 글에서는 다음과 같은 네 가지의 방법을 정리해볼까 한다.

실행 중인 프로세스에 붙기 (EPROCESS)
프로세스 실행하면서 붙기 (ntsd.exe)
프로세스 로드하면서 붙기 (sxe ld)
프로세스 생성할 때 붙기 (nt!PspInsertProcess)

0. Windbg kernel debugging Setting

https://docs.microsoft.com/ko-kr/windows-hardware/drivers/debugger/setting-up-a-network-debugging-connection-automatically

가장 먼저, 위의 msdn을 참고해서 커널 디버깅 환경 세팅한다.

내 경우에는 hyper-V 로 Windows 10 Version 10.0.19043.1706에 해당하는 wdk sdk 등을 설치했다.

hevd 드라이버에 간단한 ioctl을 보내는 프로그램을 예제로 사용할 타겟 프로그램으로 설정했다. 내 경우 host 환경에 예제 프로그램 빌드 환경을 구축해놓았다.

1. 실행 중인 프로세스에 붙기 (EPROCESS)

첫 번째 방법은 !process 명령어로 EPROCESS 주소를 확인하고 switch 하는 방법이다. 이미 실행 중인 프로세스에 붙는 방법이기 때문에, 다음의 예제 코드에 system("pause") 를 추가하여 프로세스가 유지되도록 진행했다.

...
  
int main() {
  printf("process start\n");
  system("pause");   //
  
  HANDLE H =
      CreateFileA("\\\\.\\HackSysExtremeVulnerableDriver",
                  GENERIC_READ | GENERIC_WRITE, 0, NULL, OPEN_EXISTING, 0, NULL);
  if (H == INVALID_HANDLE_VALUE) {
    printf("CreateFileA failed.\n");
    return EXIT_FAILURE;
  }

  ...
    
  return EXIT_SUCCESS;
}

프로그램을 빌드하고, 해당 exe 파일을 vm 에 집어넣고 실행한다.

C:\Users\pch21\Desktop\Fuzz\hevd>.\hevd_client.exe
process start
계속하려면 아무 키나 누르십시오 . . .

이제 vm 내에서 위와 같이 타겟 프로세스가 실행되면, 다음과 같이 host의 windbg에서 타겟 프로세스의 주소를 확인할 수 있다.

kd> !process 0 0 hevd_client.exe
PROCESS ffffcc899f14e080
    SessionId: 2  Cid: 1bc4    Peb: 1a47ad2000  ParentCid: 10a0
    DirBase: 11049000  ObjectTable: ffffb80469015a00  HandleCount:  45.
    Image: hevd_client.exe

이제 해당 Process로 switch 한다.

kd> .process /i /r /p ffffcc899f14e080
You need to continue execution (press 'g' <enter>) for the context
to be switched. When the debugger breaks in again, you will be in
the new process context.

타겟 프로세스의 pdb 심볼 파일이 존재하는 경우, sympath 명령어로 경로를 추가해준다. 내 경우에는 host 환경 내의 pdb 파일이 존재하는 디렉토리 경로를 추가했다.

kd> .sympath+ D:\Tools\wtf\src\build_msvc\RelWithDebInfo
DBGHELP: Symbol Search Path: cache*;SRV*https://msdl.microsoft.com/download/symbols;d:\tools\wtf\src\build_msvc\relwithdebinfo
SYMSRV:  BYINDEX: 0x2
         C:\ProgramData\Dbg\sym
         ntkrnlmp.pdb
         84A84F4D2218BC053913B1204942618D1
SYMSRV:  PATH: C:\ProgramData\Dbg\sym\ntkrnlmp.pdb\84A84F4D2218BC053913B1204942618D1\ntkrnlmp.pdb
SYMSRV:  RESULT: 0x00000000
DBGHELP: nt - public symbols  
        C:\ProgramData\Dbg\sym\ntkrnlmp.pdb\84A84F4D2218BC053913B1204942618D1\ntkrnlmp.pdb
Symbol search path is: srv*;D:\Tools\wtf\src\build_msvc\RelWithDebInfo
Expanded Symbol search path is: cache*;SRV*https://msdl.microsoft.com/download/symbols;d:\tools\wtf\src\build_msvc\relwithdebinfo

************* Path validation summary **************
Response                         Time (ms)     Location
Deferred                                       srv*
OK                                             D:\Tools\wtf\src\build_msvc\RelWithDebInfo

경로를 추가한 뒤 reload 명령어로 symbol 파일을 다시 로딩해준다. /f 옵션은 lazy 하지 않게 바로 로딩하는 옵션인데, 해당 옵션과 /user 옵션을 추가해주면 된다.

kd> .reload /f /user
Loading User Symbols
.SYMSRV:  BYINDEX: 0x4
         C:\ProgramData\Dbg\sym
         hevd_client.pdb
         ABF75D5451C74049864E0307D295930F6
SYMSRV:  UNC: C:\ProgramData\Dbg\sym\hevd_client.pdb\ABF75D5451C74049864E0307D295930F6\hevd_client.pdb - path not found
SYMSRV:  UNC: C:\ProgramData\Dbg\sym\hevd_client.pdb\ABF75D5451C74049864E0307D295930F6\hevd_client.pd_ - path not found
SYMSRV:  UNC: C:\ProgramData\Dbg\sym\hevd_client.pdb\ABF75D5451C74049864E0307D295930F6\file.ptr - path not found
SYMSRV:  RESULT: 0x80070003
SYMSRV:  BYINDEX: 0x5
         C:\ProgramData\Dbg\sym*https://msdl.microsoft.com/download/symbols
         hevd_client.pdb
         ABF75D5451C74049864E0307D295930F6
SYMSRV:  UNC: C:\ProgramData\Dbg\sym\hevd_client.pdb\ABF75D5451C74049864E0307D295930F6\hevd_client.pdb - path not found
SYMSRV:  UNC: C:\ProgramData\Dbg\sym\hevd_client.pdb\ABF75D5451C74049864E0307D295930F6\hevd_client.pd_ - path not found
SYMSRV:  UNC: C:\ProgramData\Dbg\sym\hevd_client.pdb\ABF75D5451C74049864E0307D295930F6\file.ptr - path not found
SYMSRV:  HTTPGET: /download/symbols/index2.txt
SYMSRV:  HttpQueryInfo: 80190194 - HTTP_STATUS_NOT_FOUND
SYMSRV:  HTTPGET: /download/symbols/hevd_client.pdb/ABF75D5451C74049864E0307D295930F6/hevd_client.pdb
SYMSRV:  HttpQueryInfo: 80190194 - HTTP_STATUS_NOT_FOUND
SYMSRV:  HTTPGET: /download/symbols/hevd_client.pdb/ABF75D5451C74049864E0307D295930F6/hevd_client.pd_
SYMSRV:  HttpQueryInfo: 80190194 - HTTP_STATUS_NOT_FOUND
SYMSRV:  HTTPGET: /download/symbols/hevd_client.pdb/ABF75D5451C74049864E0307D295930F6/file.ptr
SYMSRV:  HttpQueryInfo: 80190194 - HTTP_STATUS_NOT_FOUND
SYMSRV:  RESULT: 0x80190194
SYMSRV:  UNC: C:\ProgramData\Dbg\sym\hevd_client.pdb\ABF75D5451C74049864E0307D295930F6\hevd_client.pdb - path not found
SYMSRV:  UNC: C:\ProgramData\Dbg\sym\hevd_client.pdb\ABF75D5451C74049864E0307D295930F6\hevd_client.pd_ - path not found
SYMSRV:  UNC: C:\ProgramData\Dbg\sym\hevd_client.pdb\ABF75D5451C74049864E0307D295930F6\file.ptr - path not found
DBGHELP: d:\tools\wtf\src\build_msvc\relwithdebinfo\hevd_client.pdb cached to C:\ProgramData\Dbg\sym\hevd_client.pdb\ABF75D5451C74049864E0307D295930F6\hevd_client.pdb
*** WARNING: Unable to verify checksum for hevd_client.exe
DBGHELP: hevd_client - private symbols & lines 
        C:\ProgramData\Dbg\sym\hevd_client.pdb\ABF75D5451C74049864E0307D295930F6\hevd_client.pdb
.SYMSRV:  BYINDEX: 0x6
         C:\ProgramData\Dbg\sym

이제 lm 명령어로 확인해보면 hevd_client.exe 에 대한 심볼이 로드된 것을 확인할 수 있다.

kd> lm
start             end                 module name
00007ff7`47b00000 00007ff7`47b09000   hevd_client C (private pdb symbols)  C:\ProgramData\Dbg\sym\hevd_client.pdb\ABF75D5451C74049864E0307D295930F6\hevd_client.pdb
00007ffa`24380000 00007ffa`2439b000   VCRUNTIME140   (private pdb symbols)  C:\ProgramData\Dbg\sym\vcruntime140.amd64.pdb\1FE44F1573B246029EAFFD19C4B144671\vcruntime140.amd64.pdb
00007ffa`2b0f0000 00007ffa`2b0fc000   VCRUNTIME140_1   (private pdb symbols)  C:\ProgramData\Dbg\sym\vcruntime140_1.amd64.pdb\02D66622C7D04ADBB93F52B802FD3E001\vcruntime140_1.amd64.pdb
00007ffa`36b20000 00007ffa`36c20000   ucrtbase # (pdb symbols)          C:\ProgramData\Dbg\sym\ucrtbase.pdb\152B3C4F5E1CE0FE6BC36E9F0F2B10E61\ucrtbase.pdb
00007ffa`37000000 00007ffa`372cd000   KERNELBASE   (pdb symbols)          C:\ProgramData\Dbg\sym\kernelbase.pdb\BFA648CE3D974430D6F69BCCC300FC391\kernelbase.pdb
00007ffa`37400000 00007ffa`374bd000   KERNEL32 # (pdb symbols)          C:\ProgramData\Dbg\sym\kernel32.pdb\BF9567320871B7B8741ED4FF2369DC5C1\kernel32.pdb
00007ffa`37660000 00007ffa`37785000   RPCRT4   # (pdb symbols)          C:\ProgramData\Dbg\sym\rpcrt4.pdb\A381203AEB2EE18A33EC95033DA488A81\rpcrt4.pdb
00007ffa`38e70000 00007ffa`38f0c000   sechost  # (pdb symbols)          C:\ProgramData\Dbg\sym\sechost.pdb\F0CCAF8276CE8711A7E0E92AD742F0701\sechost.pdb
00007ffa`39390000 00007ffa`39585000   ntdll      (pdb symbols)          C:\ProgramData\Dbg\sym\ntdll.pdb\094B224BC5297445CF29F9C9BB588DC91\ntdll.pdb
fffff804`1aa00000 fffff804`1ba46000   nt         (pdb symbols)          C:\ProgramData\Dbg\sym\ntkrnlmp.pdb\84A84F4D2218BC053913B1204942618D1\ntkrnlmp.pdb

Unloaded modules:
fffff804`21130000 fffff804`21143000   IndirectKmd.sys

이제 bp를 걸고 실행하면 된다.

kd> bp hevd_client!main+0xaf
kd> g

2. 프로세스 실행하면서 붙기 (ntsd.exe)

실행하면서 붙기위해 ntsd.exe를 이용한다. 커널 디버깅 중에 vm 내에서 다음과 같이 ntsd를 실행시키면 새로운 window 에서 타겟 프로세스가 새로 spawn 되면서 host의 windbg에 붙게된다.

C:\Program Files (x86)\Windows Kits\10\Debuggers\x64>ntsd.exe -s -d  C:\Users\pch21\Desktop\Fuzz\hevd\hevd_client.exe

host의 windbg를 보면 다음과 같은 상태가 되는데, 앞서 시도했던 방법과 다르게 windbg에 kd> 가 아니라 Input> 이 되게 된다. 커널모드가 아니라 유저모드 상태로 붙기 때문이다. 다시 커널모드로 넘어가려면 .breakin 명령어를 사용하면 되는데, privilege 때문에 안된다면 break 버튼을 누르고 Input> .sleep 1000 명령어로 커널모드로 넘어가는 방법이 있다.

Microsoft (R) Windows Debugger Version 10.0.19041.685 AMD64
Copyright (c) Microsoft Corporation. All rights reserved.

CommandLine: C:\Users\pch21\Desktop\Fuzz\hevd\hevd_client.exe

************* Path validation summary **************
Response                         Time (ms)     Location
Deferred                                       srv*
Symbol search path is: srv*
Executable search path is: 
*** WARNING: Unable to verify checksum for hevd_client.exe
*** ERROR: Module load completed but symbols could not be loaded for hevd_client.exe
ModLoad: 00007ff6`a6d70000 00007ff6`a6d79000   hevd_client.exe
ModLoad: 00007ffa`39390000 00007ffa`39585000   ntdll.dll
ModLoad: 00007ffa`37400000 00007ffa`374bd000   C:\Windows\System32\KERNEL32.DLL
ModLoad: 00007ffa`37000000 00007ffa`372cd000   C:\Windows\System32\KERNELBASE.dll
ModLoad: 00007ffa`36b20000 00007ffa`36c20000   C:\Windows\System32\ucrtbase.dll
ModLoad: 00007ffa`2b0f0000 00007ffa`2b0fc000   C:\Windows\SYSTEM32\VCRUNTIME140_1.dll
ModLoad: 00007ffa`2aad0000 00007ffa`2aaeb000   C:\Windows\SYSTEM32\VCRUNTIME140.dll
(64.2228): Break instruction exception - code 80000003 (first chance)
ntdll!LdrpDoDebuggerBreak+0x30:
00007ffa`394606b0 cc              int     3

어쨋든 이 상태에서 심볼을 추가한다. 주의할 점은 이 경우 심볼 파일의 경로가 host 기준이 아니라, ntsd를 실행시킨 vm 기준으로 입력해야 한다는 점이다.

0:000> .sympath
NOTE: The symbol path for this ntsd is relative to where
ntsd.exe is running, not where kd.exe is running.
Symbol search path is: srv*
Expanded Symbol search path is: cache*;SRV*https://msdl.microsoft.com/download/symbols

************* Path validation summary **************
Response                         Time (ms)     Location
Deferred                                       srv*
0:000> .sympath+ C:\Users\pch21\Desktop\Fuzz\hevd\
NOTE: The symbol path for this ntsd is relative to where
ntsd.exe is running, not where kd.exe is running.
*** WARNING: Unable to verify checksum for hevd_client.exe
*** ERROR: Module load completed but symbols could not be loaded for C:\Windows\System32\ucrtbase.dll
*** ERROR: Module load completed but symbols could not be loaded for C:\Windows\System32\KERNEL32.DLL
*** ERROR: Module load completed but symbols could not be loaded for ntdll.dll
Symbol search path is: srv*;C:\Users\pch21\Desktop\Fuzz\hevd\
Expanded Symbol search path is: cache*;SRV*https://msdl.microsoft.com/download/symbols;c:\users\pch21\desktop\fuzz\hevd\

************* Path validation summary **************
Response                         Time (ms)     Location
Deferred                                       srv*
OK                                             C:\Users\pch21\Desktop\Fuzz\hevd\

.reload 후 lm으로 다시 살펴보면 심볼이 정상적으로 로드된 것을 확인할 수 있다.


0:000> .reload
Reloading current modules
.*** WARNING: Unable to verify checksum for hevd_client.exe
...*** ERROR: Module load completed but symbols could not be loaded for C:\Windows\System32\ucrtbase.dll
.*** ERROR: Module load completed but symbols could not be loaded for C:\Windows\System32\KERNELBASE.dll
.*** ERROR: Module load completed but symbols could not be loaded for C:\Windows\System32\KERNEL32.DLL
.*** ERROR: Module load completed but symbols could not be loaded for ntdll.dll


************* Symbol Loading Error Summary **************
Module name            Error
SharedUserData         No error - symbol load deferred

You can troubleshoot most symbol related issues by turning on symbol loading diagnostics (!sym noisy) and repeating the command that caused symbols to be loaded.
You should also verify that your symbol search path (.sympath) is correct.

0:000> lm
start             end                 module name
00007ff6`a6d70000 00007ff6`a6d79000   hevd_client M (private pdb symbols)  C:\ProgramData\dbg\sym\hevd_client.pdb\ABF75D5451C74049864E0307D295930F6\hevd_client.pdb
00007ffa`2d0c0000 00007ffa`2d0db000   VCRUNTIME140 M (private pdb symbols)  C:\ProgramData\dbg\sym\vcruntime140.amd64.pdb\1FE44F1573B246029EAFFD19C4B144671\vcruntime140.amd64.pdb
00007ffa`2f6e0000 00007ffa`2f6ec000   VCRUNTIME140_1 M (private pdb symbols)  C:\ProgramData\dbg\sym\vcruntime140_1.amd64.pdb\02D66622C7D04ADBB93F52B802FD3E001\vcruntime140_1.amd64.pdb
00007ffa`36b20000 00007ffa`36c20000   ucrtbase M (pdb symbols)          C:\ProgramData\dbg\sym\ucrtbase.pdb\152B3C4F5E1CE0FE6BC36E9F0F2B10E61\ucrtbase.pdb
00007ffa`37000000 00007ffa`372cd000   KERNELBASE M (pdb symbols)          C:\ProgramData\dbg\sym\kernelbase.pdb\BFA648CE3D974430D6F69BCCC300FC391\kernelbase.pdb
00007ffa`37400000 00007ffa`374bd000   KERNEL32 M (pdb symbols)          C:\ProgramData\dbg\sym\kernel32.pdb\BF9567320871B7B8741ED4FF2369DC5C1\kernel32.pdb
00007ffa`39390000 00007ffa`39585000   ntdll    M (pdb symbols)          C:\ProgramData\dbg\sym\ntdll.pdb\094B224BC5297445CF29F9C9BB588DC91\ntdll.pdb
0:000>

이제 브포를 걸고 실행하면 된다.

0:000> bp hevd_client!main
0:000> g
Breakpoint 0 hit
hevd_client!main:
00007ff6`a6d710c0 48895c2408      mov     qword ptr [rsp+8],rbx ss:0000002f`1b4ffde0=0000000000000000
0:000>

3. 실행파일 로드하면서 붙기 (sxe ld)

sxe ld 명령어를 이용해서 프로그램이 로드될 때, breakpoint를 걸 수 있다. 다만 sxe 자체가 첫 번째 로드시에만 적용이 되기 때문에, 로드 시 브포가 걸렸을 때 반드시 bu hevd_client!main 형태로 따로 브포를 걸어야 한다. ~~따로 또 브포를 걸지않으면 다시 브포를 걸기위해 OS를 껏다 켜야한다.~~ [+추가] 프로그램 del 했다가 ctrl^z 로 다시 복구해주면 다시 sxe ld 부분에 걸린다고 함.
그리고 sxe ld 전에 꼭 gflag로 커널 디버깅 심볼 로딩을 활성화시키자!

Microsoft (R) Windows Debugger Version 10.0.25111.1000 AMD64
Copyright (c) Microsoft Corporation. All rights reserved.

Using NET for debugging
Opened WinSock 2.0
Waiting to reconnect...
Connected to target 172.27.180.66 on port 50001 on local IP 172.27.176.1.
You can get the target MAC address by running .kdtargetmac command.
Connected to Windows 10 19041 x64 target at (Fri May 27 00:58:07.236 2022 (UTC + 9:00)), ptr64 TRUE
Kernel Debugger connection established.

************* Path validation summary **************
Response                         Time (ms)     Location
Deferred                                       srv*
OK                                             D:\Tools\wtf\src\build_msvc\RelWithDebInfo
Symbol search path is: srv*;D:\Tools\wtf\src\build_msvc\RelWithDebInfo
Executable search path is: 
Windows 10 Kernel Version 19041 MP (1 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS
Edition build lab: 19041.1.amd64fre.vb_release.191206-1406
Machine Name:
Kernel base = 0xfffff805`4b600000 PsLoadedModuleList = 0xfffff805`4c22a2b0
Debug session time: Fri May 27 00:58:04.486 2022 (UTC + 9:00)
System Uptime: 0 days 0:00:01.993
KDTARGET: Refreshing KD connection
Break instruction exception - code 80000003 (first chance)
*******************************************************************************
*                                                                             *
*   You are seeing this message because you pressed either                    *
*       CTRL+C (if you run console kernel debugger) or,                       *
*       CTRL+BREAK (if you run GUI kernel debugger),                          *
*   on your debugger machine's keyboard.                                      *
*                                                                             *
*                   THIS IS NOT A BUG OR A SYSTEM CRASH                       *
*                                                                             *
* If you did not intend to break into the debugger, press the "g" key, then   *
* press the "Enter" key now.  This message might immediately reappear.  If it *
* does, press "g" and "Enter" again.                                          *
*                                                                             *
*******************************************************************************
nt!DbgBreakPointWithStatus:
fffff805`4b9ffc00 cc              int     3

kd> !gflag +ksl
New NtGlobalFlag contents: 0x00040000
    ksl - Enable loading of kernel debugger symbols
kd> sxe ld hevd_client.exe
kd> g

이제 vm에서 타겟 프로그램을 실행시킨다.

C:\Users\pch21\Desktop\Fuzz\hevd>.\hevd_client.exe
process start
계속하려면 아무 키나 누르십시오 . . .

이제 브포가 걸린다. 미리 sympath에 pdb 경로를 추가해놨기 때문에, bu 명령어 시 pdb 심볼 파일이 로드된다.

kd> 
nt!DebugService2+0x5:
fffff805`4b9ffc55 cc              int     3
kd> bu hevd_client!main
*** WARNING: Unable to verify checksum for hevd_client.exe
kd> .sympath 
Symbol search path is: srv*;D:\Tools\wtf\src\build_msvc\RelWithDebInfo
Expanded Symbol search path is: cache*;SRV*https://msdl.microsoft.com/download/symbols;d:\tools\wtf\src\build_msvc\relwithdebinfo

************* Path validation summary **************
Response                         Time (ms)     Location
Deferred                                       srv*
OK                                             D:\Tools\wtf\src\build_msvc\RelWithDebInfo
kd> g
Breakpoint 0 hit
hevd_client!main:
0033:00007ff6`d12110c0 48895c2408      mov     qword ptr [rsp+8],rbx

이제 매 프로세스 시작마다 브포가 걸린다!

[+추가]

4. 프로세스 생성할 때 붙기 (nt!PspInsertProcess)

Reference : https://vimalshekar.github.io/walkthroughs/Activating-Windbg-on-process-launch

커널 라이브 디버깅 중이기 때문에, 프로세스 생성하는 함수에서부터 디버깅이 가능하다. 위 사이트를 참고했는데, 현재 windows 10 과는 offset이 조금 다르다.

우선, Windows 에서 프로세스 시작 시 동작을 간단히 설명하자면, 먼저 커널에서 프로세스의 정보가 담긴 _EPROCESS커널 오브젝트를 생성하고 이를 프로세스 연결리스트에 추가하여 관리한다. 유저모드에서는 프로세스 정보를 PEB 형태로 관리하다가 필요시 syscall을 통해 이 커널 오브젝트에 접근하여 추가 정보를 가져온다는 정도로 알면 될 것 같다.

아무튼, 생성한 커널 오브젝트를 프로세스 연결리스트에 추가할 때 nt!PspInsertProcess 함수를 호출한다. 이 함수의 첫 번째 매개변수가 _EPROCESS주소이며, 따라서 이 시점에서 첫 번째 매개변수를 살펴봄으로써 해당 커널 오브젝트의 실행 이미지 파일 이름, ImageBase 주소 등을 알 수 있다. 실제로 해당 함수 진입점에서 브포를 걸고 첫 번째 인자인 rcx 레지스터를 살펴보면 다음과 같다. 이번 경우의 타겟 프로세스는 "test_wtf_harness.exe"이다.

kd> dt nt!_EPROCESS @rcx
   +0x000 Pcb              : _KPROCESS
   +0x438 ProcessLock      : _EX_PUSH_LOCK
   +0x440 UniqueProcessId  : 0x00000000`00002060 Void
   +0x448 ActiveProcessLinks : _LIST_ENTRY [ 0x00000000`00000000 - 0x00000000`00000000 ]
   +0x458 RundownProtect   : _EX_RUNDOWN_REF
   +0x460 Flags2           : 0x5000
   +0x460 JobNotReallyActive : 0y0
   +0x460 AccountingFolded : 0y0
   +0x460 NewProcessReported : 0y0
   +0x460 ExitProcessReported : 0y0
   +0x460 ReportCommitChanges : 0y0
   +0x460 LastReportMemory : 0y0
   +0x460 ForceWakeCharge  : 0y0
   +0x460 CrossSessionCreate : 0y0
   +0x460 NeedsHandleRundown : 0y0
   +0x460 RefTraceEnabled  : 0y0
   +0x460 PicoCreated      : 0y0
   +0x460 EmptyJobEvaluated : 0y0
   +0x460 DefaultPagePriority : 0y101
   +0x460 PrimaryTokenFrozen : 0y0
   +0x460 ProcessVerifierTarget : 0y0
   +0x460 RestrictSetThreadContext : 0y0
   +0x460 AffinityPermanent : 0y0
   +0x460 AffinityUpdateEnable : 0y0
   +0x460 PropagateNode    : 0y0
   +0x460 ExplicitAffinity : 0y0
   +0x460 ProcessExecutionState : 0y00
   +0x460 EnableReadVmLogging : 0y0
   +0x460 EnableWriteVmLogging : 0y0
   +0x460 FatalAccessTerminationRequested : 0y0
   +0x460 DisableSystemAllowedCpuSet : 0y0
   +0x460 ProcessStateChangeRequest : 0y00
   +0x460 ProcessStateChangeInProgress : 0y0
   +0x460 InPrivate        : 0y0
   +0x464 Flags            : 0x10050c00
   +0x464 CreateReported   : 0y0
   +0x464 NoDebugInherit   : 0y0
   +0x464 ProcessExiting   : 0y0
   +0x464 ProcessDelete    : 0y0
   +0x464 ManageExecutableMemoryWrites : 0y0
   +0x464 VmDeleted        : 0y0
   +0x464 OutswapEnabled   : 0y0
   +0x464 Outswapped       : 0y0
   +0x464 FailFastOnCommitFail : 0y0
   +0x464 Wow64VaSpace4Gb  : 0y0
   +0x464 AddressSpaceInitialized : 0y11
   +0x464 SetTimerResolution : 0y0
   +0x464 BreakOnTermination : 0y0
   +0x464 DeprioritizeViews : 0y0
   +0x464 WriteWatch       : 0y0
   +0x464 ProcessInSession : 0y1
   +0x464 OverrideAddressSpace : 0y0
   +0x464 HasAddressSpace  : 0y1
   +0x464 LaunchPrefetched : 0y0
   +0x464 Background       : 0y0
   +0x464 VmTopDown        : 0y0
   +0x464 ImageNotifyDone  : 0y0
   +0x464 PdeUpdateNeeded  : 0y0
   +0x464 VdmAllowed       : 0y0
   +0x464 ProcessRundown   : 0y0
   +0x464 ProcessInserted  : 0y0
   +0x464 DefaultIoPriority : 0y010
   +0x464 ProcessSelfDelete : 0y0
   +0x464 SetTimerResolutionLink : 0y0
   +0x468 CreateTime       : _LARGE_INTEGER 0x01d87401`40966b6a
   +0x470 ProcessQuotaUsage : [2] 0x5d8
   +0x480 ProcessQuotaPeak : [2] 0x5d8
   +0x490 PeakVirtualSize  : 0x58f000
   +0x498 VirtualSize      : 0x58f000
   +0x4a0 SessionProcessLinks : _LIST_ENTRY [ 0xffff9081`87afe010 - 0xffffdc07`a39ae520 ]
   +0x4b0 ExceptionPortData : (null) 
   +0x4b0 ExceptionPortValue : 0
   +0x4b0 ExceptionPortState : 0y000
   +0x4b8 Token            : _EX_FAST_REF
   +0x4c0 MmReserved       : 0
   +0x4c8 AddressCreationLock : _EX_PUSH_LOCK
   +0x4d0 PageTableCommitmentLock : _EX_PUSH_LOCK
   +0x4d8 RotateInProgress : (null) 
   +0x4e0 ForkInProgress   : (null) 
   +0x4e8 CommitChargeJob  : (null) 
   +0x4f0 CloneRoot        : _RTL_AVL_TREE
   +0x4f8 NumberOfPrivatePages : 0x22
   +0x500 NumberOfLockedPages : 0
   +0x508 Win32Process     : (null) 
   +0x510 Job              : (null) 
   +0x518 SectionObject    : 0xffffa505`c91025d0 Void
   +0x520 SectionBaseAddress : 0x00007ff7`1fd20000 Void
   +0x528 Cookie           : 0
   +0x530 WorkingSetWatch  : (null) 
   +0x538 Win32WindowStation : (null) 
   +0x540 InheritedFromUniqueProcessId : 0x00000000`00001fcc Void
   +0x548 OwnerProcessId   : 0x1fcc
   +0x550 Peb              : 0x00000004`161ec000 _PEB
   +0x558 Session          : 0xffff9081`87afe000 _MM_SESSION_SPACE
   +0x560 Spare1           : (null) 
   +0x568 QuotaBlock       : 0xffffdc07`9ce09cc0 _EPROCESS_QUOTA_BLOCK
   +0x570 ObjectTable      : 0xffffa505`c9d05c80 _HANDLE_TABLE
   +0x578 DebugPort        : (null) 
   +0x580 WoW64Process     : (null) 
   +0x588 DeviceMap        : (null) 
   +0x590 EtwDataSource    : (null) 
   +0x598 PageDirectoryPte : 0
   +0x5a0 ImageFilePointer : 0xffffdc07`a4543500 _FILE_OBJECT
   +0x5a8 ImageFileName    : [15]  "test_wtf_harne"
   +0x5b7 PriorityClass    : 0x2 ''
   +0x5b8 SecurityPort     : (null) 
   +0x5c0 SeAuditProcessCreationInfo : _SE_AUDIT_PROCESS_CREATION_INFO
   +0x5c8 JobLinks         : _LIST_ENTRY [ 0x00000000`00000000 - 0x00000000`00000000 ]
   +0x5d8 HighestUserAddress : 0x00007fff`ffff0000 Void
   +0x5e0 ThreadListHead   : _LIST_ENTRY [ 0xffffdc07`a3ab66a0 - 0xffffdc07`a3ab66a0 ]
   +0x5f0 ActiveThreads    : 0
   +0x5f4 ImagePathHash    : 0
   +0x5f8 DefaultHardErrorProcessing : 1
   +0x5fc LastThreadExitStatus : 0n0
   +0x600 PrefetchTrace    : _EX_FAST_REF
   +0x608 LockedPagesList  : (null) 
   +0x610 ReadOperationCount : _LARGE_INTEGER 0x0
   +0x618 WriteOperationCount : _LARGE_INTEGER 0x0
   +0x620 OtherOperationCount : _LARGE_INTEGER 0x0
   +0x628 ReadTransferCount : _LARGE_INTEGER 0x0
   +0x630 WriteTransferCount : _LARGE_INTEGER 0x0
   +0x638 OtherTransferCount : _LARGE_INTEGER 0x0
   +0x640 CommitChargeLimit : 0
   +0x648 CommitCharge     : 0x6f
   +0x650 CommitChargePeak : 0x6f
   +0x680 Vm               : _MMSUPPORT_FULL
   +0x7c0 MmProcessLinks   : _LIST_ENTRY [ 0xfffff802`3704dc68 - 0xffffdc07`a39ae840 ]
   +0x7d0 ModifiedPageCount : 0
   +0x7d4 ExitStatus       : 0n259
   +0x7d8 VadRoot          : _RTL_AVL_TREE
   +0x7e0 VadHint          : 0xffffdc07`9e9cb890 Void
   +0x7e8 VadCount         : 0xa
   +0x7f0 VadPhysicalPages : 0
   +0x7f8 VadPhysicalPagesLimit : 0
   +0x800 AlpcContext      : _ALPC_PROCESS_CONTEXT
   +0x820 TimerResolutionLink : _LIST_ENTRY [ 0x00000000`00000000 - 0x00000000`00000000 ]
   +0x830 TimerResolutionStackRecord : (null) 
   +0x838 RequestedTimerResolution : 0
   +0x83c SmallestTimerResolution : 0
   +0x840 ExitTime         : _LARGE_INTEGER 0x0
   +0x848 InvertedFunctionTable : (null) 
   +0x850 InvertedFunctionTableLock : _EX_PUSH_LOCK
   +0x858 ActiveThreadsHighWatermark : 0
   +0x85c LargePrivateVadCount : 0
   +0x860 ThreadListLock   : _EX_PUSH_LOCK
   +0x868 WnfContext       : (null) 
   +0x870 ServerSilo       : (null) 
   +0x878 SignatureLevel   : 0 ''
   +0x879 SectionSignatureLevel : 0 ''
   +0x87a Protection       : _PS_PROTECTION
   +0x87b HangCount        : 0y000
   +0x87b GhostCount       : 0y000
   +0x87b PrefilterException : 0y0
   +0x87c Flags3           : 0
   +0x87c Minimal          : 0y0
   +0x87c ReplacingPageRoot : 0y0
   +0x87c Crashed          : 0y0
   +0x87c JobVadsAreTracked : 0y0
   +0x87c VadTrackingDisabled : 0y0
   +0x87c AuxiliaryProcess : 0y0
   +0x87c SubsystemProcess : 0y0
   +0x87c IndirectCpuSets  : 0y0
   +0x87c RelinquishedCommit : 0y0
   +0x87c HighGraphicsPriority : 0y0
   +0x87c CommitFailLogged : 0y0
   +0x87c ReserveFailLogged : 0y0
   +0x87c SystemProcess    : 0y0
   +0x87c HideImageBaseAddresses : 0y0
   +0x87c AddressPolicyFrozen : 0y0
   +0x87c ProcessFirstResume : 0y0
   +0x87c ForegroundExternal : 0y0
   +0x87c ForegroundSystem : 0y0
   +0x87c HighMemoryPriority : 0y0
   +0x87c EnableProcessSuspendResumeLogging : 0y0
   +0x87c EnableThreadSuspendResumeLogging : 0y0
   +0x87c SecurityDomainChanged : 0y0
   +0x87c SecurityFreezeComplete : 0y0
   +0x87c VmProcessorHost  : 0y0
   +0x87c VmProcessorHostTransition : 0y0
   +0x87c AltSyscall       : 0y0
   +0x87c TimerResolutionIgnore : 0y0
   +0x87c DisallowUserTerminate : 0y0
   +0x880 DeviceAsid       : 0n0
   +0x888 SvmData          : (null) 
   +0x890 SvmProcessLock   : _EX_PUSH_LOCK
   +0x898 SvmLock          : 0
   +0x8a0 SvmProcessDeviceListHead : _LIST_ENTRY [ 0xffffdc07`a3ab6960 - 0xffffdc07`a3ab6960 ]
   +0x8b0 LastFreezeInterruptTime : 0
   +0x8b8 DiskCounters     : 0xffffdc07`a3ab6b00 _PROCESS_DISK_COUNTERS
   +0x8c0 PicoContext      : (null) 
   +0x8c8 EnclaveTable     : (null) 
   +0x8d0 EnclaveNumber    : 0
   +0x8d8 EnclaveLock      : _EX_PUSH_LOCK
   +0x8e0 HighPriorityFaultsAllowed : 0
   +0x8e8 EnergyContext    : 0xffffdc07`a3ab6b28 _PO_PROCESS_ENERGY_CONTEXT
   +0x8f0 VmContext        : (null) 
   +0x8f8 SequenceNumber   : 0
   +0x900 CreateInterruptTime : 0x00000003`eca0dc41
   +0x908 CreateUnbiasedInterruptTime : 0x00000003`eca0dc41
   +0x910 TotalUnbiasedFrozenTime : 0
   +0x918 LastAppStateUpdateTime : 0x00000003`eca0dc41
   +0x920 LastAppStateUptime : 0y0000000000000000000000000000000000000000000000000000000000000 (0)
   +0x920 LastAppState     : 0y000
   +0x928 SharedCommitCharge : 0x51
   +0x930 SharedCommitLock : _EX_PUSH_LOCK
   +0x938 SharedCommitLinks : _LIST_ENTRY [ 0xffffa505`c7f48d68 - 0xffffa505`c7f49c18 ]
   +0x948 AllowedCpuSets   : 0
   +0x950 DefaultCpuSets   : 0
   +0x948 AllowedCpuSetsIndirect : (null) 
   +0x950 DefaultCpuSetsIndirect : (null) 
   +0x958 DiskIoAttribution : (null) 
   +0x960 DxgProcess       : (null) 
   +0x968 Win32KFilterSet  : 0
   +0x970 ProcessTimerDelay : _PS_INTERLOCKED_TIMER_DELAY_VALUES
   +0x978 KTimerSets       : 0
   +0x97c KTimer2Sets      : 0
   +0x980 ThreadTimerSets  : 0
   +0x988 VirtualTimerListLock : 0
   +0x990 VirtualTimerListHead : _LIST_ENTRY [ 0xffffdc07`a3ab6a50 - 0xffffdc07`a3ab6a50 ]
   +0x9a0 WakeChannel      : _WNF_STATE_NAME
   +0x9a0 WakeInfo         : _PS_PROCESS_WAKE_INFORMATION
   +0x9d0 MitigationFlags  : 0x20
   +0x9d0 MitigationFlagsValues : <anonymous-tag>
   +0x9d4 MitigationFlags2 : 0x40000000
   +0x9d4 MitigationFlags2Values : <anonymous-tag>
   +0x9d8 PartitionObject  : 0xffffdc07`9bcbbea0 Void
   +0x9e0 SecurityDomain   : 0x00000001`00000069
   +0x9e8 ParentSecurityDomain : 0x00000001`00000069
   +0x9f0 CoverageSamplerContext : (null) 
   +0x9f8 MmHotPatchContext : (null) 
   +0xa00 DynamicEHContinuationTargetsTree : _RTL_AVL_TREE
   +0xa08 DynamicEHContinuationTargetsLock : _EX_PUSH_LOCK
   +0xa10 DynamicEnforcedCetCompatibleRanges : _PS_DYNAMIC_ENFORCED_ADDRESS_RANGES
   +0xa20 DisabledComponentFlags : 0
   +0xa28 PathRedirectionHashes : (null) 

kd> db @rcx+0x5a8
ffffdc07`9e8a1668  74 65 73 74 5f 77 74 66-5f 68 61 72 6e 65 00 02  test_wtf_harne..
ffffdc07`9e8a1678  00 00 00 00 00 00 00 00-e0 1c 7d 9e 07 dc ff ff  ..........}.....
ffffdc07`9e8a1688  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00  ................
ffffdc07`9e8a1698  00 00 ff ff ff 7f 00 00-a0 16 8a 9e 07 dc ff ff  ................

rcx+0x5a8위치를 살펴보면 다음과 같이 ImageFileName이 존재하는 것을 확인할 수 있다.

+0x5a8 ImageFileName    : [15]  "test_wtf_harne"

OS 백그라운드 상에서 지속적으로 다양한 프로세스가 시작되기 때문에, 타겟 프로세스를 찾기위해 다음과 같은 스크립트를 이용하는 것이 신상에 이롭다.

Debugger.txt 이름으로 다음과 같은 스크립트를 생성한다. 간단히 내용을 살펴보면, 브레이크 포인트가 걸릴 때마다 rcx+0x5a8 주소에 있는 문자열을 가져와서 ImageName이라는 변수에 저장하고, 타겟 프로세스의 이름 "*test_wtf_har*"가 맞는지 비교하면서, 맞으면 콜 스택을 출력하고 틀리면 그냥 계속 실행하는 코드이다.

r $t0 = (rcx+0x5a8)
as /ma ${/v:ImageName} @$t0
.echo ${ImageName}
.if ($spat(@"${ImageName}", "*test_wtf_har*")) {kn; .echo "break at target process!"} .else { g }

다음과 같이 브레이크 포인트를 걸고 실행하고 vm 상에서 타켓 프로세스를 실행하면 된다.

kd> bp nt!PspInsertProcess "$$<C:\\Users\\Charlie\\Desktop\\fuzzing\\Debugger.txt"
kd> g

...

kd> r $t0 = (rcx+0x5a8)
kd> as /ma ${/v:ImageName} @$t0
kd> .echo ${ImageName}
test_wtf_harne
kd> .if ($spat(@"${ImageName}", "*test_wtf_har*")) {kn; .echo "break at target process!"} .else { g }
 # Child-SP          RetAddr               Call Site
00 ffff8e8d`4908adb8 fffff802`36affac8     nt!PspInsertProcess
01 ffff8e8d`4908adc0 fffff802`368096b5     nt!NtCreateUserProcess+0xd88
02 ffff8e8d`4908ba90 00007ff8`8922e634     nt!KiSystemServiceCopyEnd+0x25
SYMSRV:  BYINDEX: 0xA28
         C:\ProgramData\Dbg\sym
         ntdll.pdb
         094B224BC5297445CF29F9C9BB588DC91
SYMSRV:  PATH: C:\ProgramData\Dbg\sym\ntdll.pdb\094B224BC5297445CF29F9C9BB588DC91\ntdll.pdb
SYMSRV:  RESULT: 0x00000000
DBGHELP: ntdll - public symbols  
        C:\ProgramData\Dbg\sym\ntdll.pdb\094B224BC5297445CF29F9C9BB588DC91\ntdll.pdb
SYMSRV:  BYINDEX: 0xA29
         C:\ProgramData\Dbg\sym
         kernelbase.pdb
         BFA648CE3D974430D6F69BCCC300FC391
SYMSRV:  PATH: C:\ProgramData\Dbg\sym\kernelbase.pdb\BFA648CE3D974430D6F69BCCC300FC391\kernelbase.pdb
SYMSRV:  RESULT: 0x00000000
DBGHELP: KERNELBASE - public symbols  
        C:\ProgramData\Dbg\sym\kernelbase.pdb\BFA648CE3D974430D6F69BCCC300FC391\kernelbase.pdb
03 000000d4`6497d808 00007ff8`86b38e73     ntdll!NtCreateUserProcess+0x14
04 000000d4`6497d810 00007ff8`86b371a6     KERNELBASE!CreateProcessInternalW+0xfe3
SYMSRV:  BYINDEX: 0xA2A
         C:\ProgramData\Dbg\sym
         kernel32.pdb
         BF9567320871B7B8741ED4FF2369DC5C1
SYMSRV:  PATH: C:\ProgramData\Dbg\sym\kernel32.pdb\BF9567320871B7B8741ED4FF2369DC5C1\kernel32.pdb
SYMSRV:  RESULT: 0x00000000
DBGHELP: KERNEL32 - public symbols  
        C:\ProgramData\Dbg\sym\kernel32.pdb\BF9567320871B7B8741ED4FF2369DC5C1\kernel32.pdb
05 000000d4`6497ede0 00007ff8`87fecbb4     KERNELBASE!CreateProcessW+0x66
06 000000d4`6497ee50 00007ff7`a2a84486     KERNEL32!CreateProcessWStub+0x54
07 000000d4`6497eeb0 00000000`00000001     0x00007ff7`a2a84486
08 000000d4`6497eeb8 00000240`6c7e14d0     0x1
09 000000d4`6497eec0 00000240`6c7ec440     0x00000240`6c7e14d0
0a 000000d4`6497eec8 00000000`00000000     0x00000240`6c7ec440
break at target process!
nt!PspInsertProcess:
fffff802`36afd32c 488bc4          mov     rax,rsp

이 시점에서는 아직 연결리스트에 프로세스를 추가하지 않았기 때문에, !process 0 0 명령어로 프로세스를 확인할 수 없다. 따라서, 이제 bp nt!KiStartUserThread로 프로세스를 실행하기 직전 함수에 브포를 걸면 된다.

kd> bp nt!KiStartUserThread
kd> g

nt!KiStartUserThread 에서 멈추면 앞선 과정과 마찬가지로 다음과 같이 진행하면 된다.

kd> !process 0 0 test_wtf_harness.exe
PROCESS ffffcf01ccf6a080
    SessionId: 2  Cid: 1880    Peb: da4e6a4000  ParentCid: 0690
    DirBase: 6e9b7000  ObjectTable: ffffe2090870b780  HandleCount:  44.
    Image: test_wtf_harness.exe

kd> .process /i /r /p ffffcf01ccf6a080
kd> g

...

kd> .sympath+ "{symbol 경로}"
kd> .reload /f /d
kd> bu test_wtf_harness!main

...

kd> g

Hyper-v 로그인 화면 안 뜰 때

ch4rli3kop — Fri, 20 May 2022 23:30:02 +0900

Windows 로그인 옵션 중 Hello PIN 비활성화 및 제거

M1 Python package 환경구성

ch4rli3kop — Mon, 9 May 2022 20:03:55 +0900

M1 Python package 환경구성

MINIFORGE 설치하기

> brew install miniforge
> conda -V
> conda config --set auto_activate_base false
> conda create -n malfinder python=3.9
> conda activate malfinder
# (malfinder) > pip install jupyterlab # 이렇게 직접 설치할 수도 있지만 m1에서는 디펜던시 문제때문에 conda-forge를 사용해야 함
(malfinder) > conda deactivate


> conda search scikit-learn
# > conda install -n malfinder -c conda-forge scikit-learn=1.0.1=py39hef7049f_2 # 직접 버전 설정할 때는 이렇게
> conda install -n malfinder -c conda-forge scikit-learn
> conda install -n malfinder -c conda-forge jupyterlab
> conda install -n malfinder -c conda-forge pandas
> conda install -n malfinder -c conda-forge matplotlib

(malfinder) > conda deactivate

CONDA 환경 혹은 패키지 지우기

> conda env list # conda 환경 보기
> conda remove -n malfinder scikit-learn # scikit-learn 패키지 삭제
> conda remove -n malfinder --all # malfinder 환경 지우기

Breakout from the Seccomp Unconfined Container 정리

ch4rli3kop — Wed, 4 May 2022 23:48:32 +0900

Breakout from the Seccomp Unconfined Container 정리

Original Article : https://tbhaxor.com/breakout-from-seccomp-confined-container/

Keywords : AppArmor and Seccomp of Docker options

도커에서는 일반적으로 호스트 시스템 자원(네트워크, 커널 등)에 접근할 수 없지만, --privileged 옵션을 통해 컨테이너에서 호스트 시스템 자원에 접근이 가능하다.

문제의 컨셉은 다음과 같다. 일반적으로 docker container는 낮은 권한에서 사용할 수 없기 때문에, sudo docker ~ 로 sudo 를 이용하여 실행하거나, 사용자를 docker group에 추가하여 사용한다. 이 docker group은 높은 권한을 갖고 있기 때문에 시스템 자원에 접근이 가능한데, docker group에 부여된 권한을 이용하여 권한이 없는 사용자가 호스트의 시스템 자원 /root/flag에 접근하는 것이 목표이다. 일반적으로 docker firewall이 잘못된 접근을 막지만, 이 문제에서는 잘못된 firewall의 사용으로 firewall을 우회하여 시스템 자원에 접근한다.

다음과 같이 일반 사용자가 시스템 자원에 접근할 수 있는 컨테이너 생성은 Firewall에 의해 차단되는 것을 확인할 수 있다.

근데 docker 에서는 privileged 모드로 생성되지 않은 컨테이너에 docker exec 를 이용하여 privileged로 쉘을 생성할 수 있다. 문제의 Firewall은 해당 동작을 탐지하지 못한다. 먼저 해당 컨테이너 내에서 root 유저의 linux capabilities를 살펴보면 다음과 같다. 이 중 cap_sys_module 이 존재하므로 커널 모듈을 로드할 수 있다.

해당 컨테이너 내에서 리버스 쉘 모듈을 컴파일한다. 리버스쉘 c 코드와 make 파일은 다음과 같다.

이 상태로 insmod 를 이용하여 revershell.ko 모듈을 로드하면 될 것 같지만, 기본적으로 컨테이너를 생성할 때, seccomp가 걸려 system call 호출에 제약이 생긴다. 특히 finit_module system call 호출에 제약이 생기기 때문에, 컨테이너 생성 시 --security-opt seccomp=unconfined 옵션을 통해 seccomp 제약을 꺼야 정상적으로 리버스쉘 모듈을 로드할 수 있다.

stat("/root", {st_mode=S_IFDIR|0700, st_size=4096, ...}) = 0
stat("/root/reverse-shell.ko", {st_mode=S_IFREG|0644, st_size=4856, ...}) = 0
openat(AT_FDCWD, "/root/reverse-shell.ko", O_RDONLY|O_CLOEXEC) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=4856, ...}) = 0
mmap(NULL, 4856, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7f52a9aa8000
finit_module(3, "", 0)                  = -1 EPERM (Operation not permitted)

다음과 같이 unconfined 모드로 seccomp를 제약을 없앤 상태로 컨테이너를 생성하고 앞서 진행했던 리버스쉘 모듈을 insmod 명령어를 통해 로드하면, 사전에 실행해놨던 netcat 프로세스에 리버스쉘이 붙는 걸 확인할 수 있다.

이제 이 리버스쉘로 호스트 시스템 자원에 접근할 수 있다.

Conclusion

docker group에 할당된 권한을 이용하여, 사용자가 컨테이너를 통해 시스템 자원에 접근한다는 시나리오인데, 이 글을 읽어보면서 몇가지 재밌는 개념을 배웠다. docker 에서 사용하는 privileged 옵션이나 seccomp와 관련된 security-opt 옵션을 새로 알았고, 특히나 linux capabilities에 해당하는 개념을 새로 알게 된 게 컸다. Link (위에서 언급된 capabilities에 대한 man page) / Link Capabilties를 이용하여 프로세스의 권한같은 거를 검사한다고 하는데, permission denied 같은게 이거를 검사해서 발생하는 거라고 한다. 요부분은 나중에 따로 정리해야겠당. 암튼 흥미로운 글이었음.

만두만두

zsh plugin 오류

zsh plugin 오류

[python] membership 관련

[python] membership 관련

1. Tuple을 사용하는 경우

2. Set을 사용하는 경우

3. List를 사용하는 경우

python exception 처리

python exception 처리

case 1 : exception inheritance

case 2 : exception 클래스 비교

case 3 : exception decorator

단순 raise

사용자 정의 exception raise

exception handler 전달

Conclusion

Trouble shoot with installing gef

Trouble shoot with installing gef

Solutions

How to install binary ninja python API (in mac m1)

How to install binary ninja python API (in mac m1)

Trouble

Solution

WTF(WHAT THE FUZZ) TUTORIAL

WTF(WHAT THE FUZZ) TUTORIAL

Target Program

Kernel Debugging & Snapshot

Write fuzzer code

Init

InsertTestcase

Register

Build fuzzer

Run Fuzzer

Server

Client

Conclusion

Trouble Shoot

1. Error: Unable to create file [at bdump (line 296 col 5)]

2. OpenDumpFile(D:\Tools\wtf\targets\test_wtf\state\mem.dmp) failed with hr=-0x7ff8ffa9

3. [bdump] could not recover fs!

커널 디버깅 중 USER-MODE 프로세스에 디버거 붙이기

커널 디버깅 중 USER-MODE 프로세스에 디버거 붙이기

0. Windbg kernel debugging Setting

1. 실행 중인 프로세스에 붙기 (EPROCESS)

2. 프로세스 실행하면서 붙기 (ntsd.exe)

3. 실행파일 로드하면서 붙기 (sxe ld)

4. 프로세스 생성할 때 붙기 (nt!PspInsertProcess)

Hyper-v 로그인 화면 안 뜰 때

M1 Python package 환경구성

M1 Python package 환경구성

MINIFORGE 설치하기

CONDA 환경 혹은 패키지 지우기

Breakout from the Seccomp Unconfined Container 정리

Breakout from the Seccomp Unconfined Container 정리

Conclusion

References