🤔 이 자료형은 나한테 너무 좁아!

[12월 1주차]

2021. 11. 30.

🤔 이 자료형은 나한테 너무 좁아!

해킹 알려줄게

17화: Numeric Truncation Error

안녕하세요! 해킹 알려줄게입니다. 😎

오늘은 숫자에서 발생하는 Numeric Truncation Error를 가져왔어요. ✂️

숫자가 잘린다니! 😲 이게 도대체 어떻게 된 일이죠?

숫자에서 발생되는 문제점이요? Integer Overflow가 있었죠!

Integer Overflow 취약점 알려드린 것 기억나시나요? 🙂 (기억나시는 분은 저희 뉴스레터를 초창기부터 봐주신 50여 분 중에 한 분입니다...! 👏🏻 )

Integer Overflow 다시 보러 가기! 😎 👆🏻 👆🏻

Integer Overflow는 정수 자료형에 따라서 저장할 수 있는 범위가 정해져 있기 때문에 만약 1 바이트의 signed char인 127에서 1을 더하면 -128이 되는 취약점이었습니다. 이 취약점이 잘 기억이 안 나시거나, 왜 -128이 되는지 잘 이해가 안 되시면 다시 보고 오시는 것을 추천해 드려요!

그럼 이제 Numeric Truncation Error가 뭔지 알아보면서, 둘의 차이점을 확실히 알아보자구요!

📌 2진수는 앞의 0b를 붙여 표시합니다! 하지만 해당 글에서는 가독성을 위해 파란색으로 표시하였습니다.

(5 = 0b0101 = 0101)

Numeric Truncation Error가 뭐예요? 🤨

Numeric Truncation Error는 기본 요소가 더 작은 기본 요소로 변환되는 과정에서 데이터가 손실되어 원래 값과는 달리 예상하지 못한 값으로 저장될 때 발생합니다.

역시 말만 들어서는 조금 헷갈리죠? 🤔

16bit로 숫자 256은 00000001 00000000입니다. 하지만 8bit로 변환하게 되면 상위 8비트가 손실되어서 00000000만 남게 되는 거예요!

int의 범위는 32bit로 -2,147,483,648 ~ 2,147,483,647까지 표현 가능하고 short는 16bit로 -32,768 ~ 32,767까지 표현 가능합니다.

위 코드의 넷째 줄인 short_number = int_numer; 에서 int가 short로 변환되어 저장이 되기 때문에 해당 문제가 발생하게 됩니다.

2,147,483,647인 01111111 11111111 11111111 11111111가 16bit로 변환되면 상위 16bit가 손실되어 11111111 11111111이 남습니다. 따라서 shortPrimitive에 예상한 값이 아닌 -1이 저장됩니다.

왜 11111111 11111111가 -1인지 잘 모르겠다면 아래에 있는 해키피디아를 참고해주세요!

[해키피디아] Two's complement(2의 보수)

왜 Numeric Truncation Error가 중요한가요? 😐

Numberic Truncation Error는 Integer Overflow와 비슷해요. 프로그램의 실행 흐름을 바꾸는 등의 직접적인 Exploit에는 사용되지 않지만, 중요한 변수에서 예상하지 못한 값으로 Buffer / Heap Overflow, out-of-bounds, 권한 상승 등의 또 다른 취약점으로 이어지기 때문에 주의해야 합니다!!

어떻게 다른 취약점으로 이어지는지 보여드리기 위해 예시를 들어드릴게요. 😎

우선 최종 목표는 get_shell() 함수를 실행시켜서 system("/bin/sh"); 까지 실행시켜야 겠네요. buf의 사이즈는 32이고, buf의 사이즈인 len을 입력받아 해당 len만큼 buf에 입력받을 수 있어요.

여기까지 생각하면 buf의 사이즈를 무지막지하게 입력받아서 Stack Buffer Overflow를 일으키자! 🤔 생각이 들죠? 하지만 입력받은 len이 32를 넘어가면 Buffer Overflow를 탐지하고 종료시켜버리네요. 😞

하지만 중요한 것은! len이 32이상일 때만 종료시키지 0보다 크라는 법은 없잖아요? 😃 -65281(11111111 11111111 00000000 11111111)을 입력해보겠습니다.

if(len > 32)에서는 len의 값이 -65281이므로 종료되지 않고 실행을 이어가게 되고, short_len = len; 에서 바로 Numeric Truncation Error가 발생해 상위 16bit가 손실되어 00000000 11111111만 남아 255가 됩니다! 🤭

buf의 크기가 32이인데 255만큼 입력할 수 있게 되었군요. Stack Buffer Overflow가 발생하여 get_shell() 함수의 주소를 return address에 넣을 수 있게 되었습니다!

실제로 발생한 취약점이 궁금하신 분들은 하루한줄도 봐주시면 감사해요. 🥺 모두 64비트를 32비트로 변환하는 과정에서 해당 취약점이 발생하게 됩니다!

[하루한줄] CVE-2020-27194: eBPF verifier bug

[하루한줄] CVE-2021-31440: Linux Kernel eBPF verifier, incorrect bound check

[하루한줄] CVE-2021-3490: Kernel Pwning with eBPF: a Love Story

그렇다면 어떻게 해결할 수 있나요?

제일 좋은 방법은 역시 아예 더 큰 크기의 자료형에서 더 작은 크기의 자료형으로의 명시적 형변환이 발생하지 않도록 구현하는 것입니다. 하지만 항상 그럴 수는 없는 일이죠. 😑 싱거운 해결방안이지만 형변환 이전에 Numeric Truncation Error가 발생하지 않도록 최대한 검사해주는 것이 좋겠어요. 🙂

오늘의 해킹 알려줄게도 읽어주셔서 감사합니다. 😊

✏️ 해킹짹짹 뉴스레터에서 다루는 기술들은 오로지 교육적인 목적으로 사용되며, 이를 악용하여 발생하는 모든 책임은 본인에게 있습니다.

by y00n_nms

해킹짹짹 뉴스레터 후원하기(카카오페이)

지속해서 더 좋은 뉴스레터를 제공하기 위한 것으로 긍정적으로 생각해주시면 감사하겠습니다!

카카오뱅크 3333-21-5085994 ㅎㅅㅇ

오늘 전해드린 내용이 마음에 드셨나요?

주위 친구들에게 뉴스레터를 추천해주세요!

다음주에도 알찬 내용으로 돌아오겠습니다. 😙