侧信道攻击,从喊666到入门之——Unicorn的环境构建

2019 年 9 月 18 日 小米安全中心

0x00 前言

Unicorn可以模拟多种指令集的代码,在很多安全研究领域有很强大的作用,但是由于需要从头自己布置栈空间,代码段等虚拟执行环境,阻碍了他的使用,本文将会分析一个实例,并介绍Unicorn虚拟运行环境的构建。

本文的例子是一个白盒实现的DES算法,在riscrue的文章Unboxing the white box[1]中介绍了白盒攻击的类侧信道和类错误注入方法,并用这个程序作为例子。在riscure的代码中,由于python2和3对于字符串和bytes关系的变化很大,代码基本不可用。让我们来从头分析这个程序并编写设计Unicorn的代码。

Unicorn虽然可以脱离平台执行,但是在程序虚拟运行环境的设计阶段,逆向甚至动态调试都是不可避免的,Unicorn的运行环境构建分为:

  • 代码与程序段加载

  • 栈配置

  • 特殊寄存器配置

  • 外部调用patch

  • Unicorn中调试

0x001 代码与程序段加载

在这个过程中,我们需要把代码像正常程序加载一样放进我们的虚拟内存中,一般的步骤是,首先实例化一个CPU对象出来:

1mu =Uc(UC_ARCH_X86, UC_MODE_32)

上面这句话就是实例化了一个x86架构32位的CPU出来,之后就可以开始代码的加载和其他初始化(其他架构的配置请参考Unicorn官方文档)。代码段的加载以及接下来内存栈的初始化都可以使用如下的模板:

1mu.mem_map(address, size)            #分配一个内存空间,起始地址位address,大小为size
2mu.mem_write(address, data)          #在内存地址为address的位置存入data

首先进行代码段的载入,我们需要扫描ELF文件,根据程序头找到其中的代码段并进行加载。

1elf =ELFFile(open("./wbDES",'rb'))
2for seg in elf.iter_segments():
3    if seg.header.p_type =="PT_LOAD":
4        data =seg.data()
5        mapsz =PAGE_SIZE*int((len(data) +PAGE_SIZE)/PAGE_SIZE)
6        addr =seg.header.p_vaddr -(seg.header.p_vaddr %PAGE_SIZE)
7        mu.mem_map(addr, mapsz)
8        mu.mem_write(seg.header.p_vaddr, data)

在进行内存分配的时候,要注意对齐,按内存页的最小值倍数进行分配。


0x002 栈配置

接下来需要对栈开始配置,在开始配置栈之前,我们需要动态调试确定一下指定函数调用之前,栈里有什么东西。使用gdb对main函数进行调试,在main函数的开始处 0x80484c4设置断点并输入参数,启动GDB:

我们可以看出,main函数的栈结构是这样的:

地址 数值 内容 备注
0xffffce8c----(esp) 0xf7c29637 RET
0xffffce90----(esp+4) 9 argc
0xffffce94----(esp+8) 0xffffcf24 argv 传入指针

我们继续查看0xffffcf24的内容:

1pwndbg> x/16sx 0xffffcf24
20xffffcf24:    0xffffd125  0xffffd137  0xffffd13a  0xffffd13d
30xffffcf34:    0xffffd140  0xffffd143  0xffffd146  0xffffd149
40xffffcf44:    0xffffd14c  0x00000000  0xffffd14f  0xffffd15a
50xffffcf54:    0xffffd16c  0xffffd19a  0xffffd1b0  0xffffd1bf

继续查看0xffffd125的内容,发现:

1pwndbg> x/16wx 0xffffd125
20xffffd125:    0x6d6f682f  0x696d2f65  0x2f62772f  0x45446277
30xffffd135:    0x32310053  0x00343300  0x37003635  0x62610038
40xffffd145:    0x00646300  0x31006665  0x44580066  0x54565f47
50xffffd155:    0x373d524e  0x47445800  0x5345535f  0x4e4f4953

如果不够直观,可以选择打印字符串:

1pwndbg> x/10s 0xffffd125
20xffffd125:    "/home/mi/wb/wbDES"
30xffffd137:    "12"
40xffffd13a:    "34"
50xffffd13d:    "56"
60xffffd140:    "78"
70xffffd143:    "ab"
80xffffd146:    "cd"
90xffffd149:    "ef"
100xffffd14c:    "1f"
110xffffd14f:    "XDG_VTNR=7"

到目前为止,我们可以确定栈空间是什么样子的。

首先,main函数有两个参数,一个是 argc9,另一个是一个指针,指向一个指针数组,指针数组的第一个指针指向的是字符串"/home/mi/wb/wbDES",第二个指向“12”,第三个指向“34”以此类推。接下来,根据分析所得的信息,开始进行栈空间参数的构建。

首先申请一段栈空间。

1STACK = 0xbfff0000
2STACK_SIZE = 0x10000
3mu.mem_map(STACK, STACK_SIZE)

栈的开始地址选择除了0x0附近之外的什么地方都可以,满足对齐即可,大小尽量大一些。

1SP = STACK +STACK_SIZE - 0x800

之后设置SP指针的位置,由于栈是向低地址增长的,所以我们有0x800大小的空间可以部署那些字符串参数。

1mu.reg_write(UC_X86_REG_ESP, SP)
2mu.reg_write(UC_X86_REG_EBP, SP)

设置ESP指针,有上图可知,EBP指针为0,表示函数中没有用到EBP寻址,为了安全起见设置程和ESP一样。

接下来开始布置值字符串,代码如下:

1start =0x100
2a = "./wbDES\x00"
3mu.mem_write(SP+start, a.encode())
4argv =[SP+start]
5start +=8
6for i in range(8):
7    argv.append(SP+start)
8    mu.mem_write(SP+start, b'ab')
9    start +=2
10    mu.mem_write(SP+start, bytes('\x00','utf-8'))
11    start +=1

之后开始布置指针数组:

1i =0
2for arg in argv:
3    mu.mem_write(SP+0x200+i*4, p32(arg))
4    i +=1       
5# NULL
6mu.mem_write(SP+0x200+i*4, p32(0))

最后开始布置函数参数那个区域的栈:

1RET = STACK
2mu.mem_write(SP+0x0, p32(RET)) # Return address @ sp
3mu.mem_write(SP+0x04, p32(len(argv))) # argc
4mu.mem_write(SP+0x08, p32(SP +0x200)) # argv

把返回地址写为栈顶的意义在于,在我们启动unicorn的时候,需要传入程序开始执行的位置和终止的位置,这样写实际上就是让函数返回到栈里,之后把栈顶的指针设置成结束位置,就不用去找函数终止的位置了。


0x003 Unicorn中调试

配置好了栈空间之后,我们还要看一下自己的配置对不对,和调试器中的值进行对比。可以使用:

1print(mu.mem_read(SP+0x100,64).hex())

打印出SP+0x100位置64个字节的值,与GDB进行对比。

现在我们来分别对比一下三个位置布置的对不对。

1print(mu.mem_read(SP+0x100,64).hex())#字符串
2print(mu.mem_read(SP+0x200,64).hex())#数组指针
3print(mu.mem_read(SP,64).hex()) #main参数

对应得到:

12e2f7762444553006162006162006162006162006162006162006162006162000000000000000000000000000000000000000000000000000000000000000000 #字符串
200f9ffbf08f9ffbf0bf9ffbf0ef9ffbf11f9ffbf14f9ffbf17f9ffbf1af9ffbf1df9ffbf00000000000000000000000000000000000000000000000000000000 #数组指针
30000ffbf0900000000faffbf00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 #main参数


1pwndbg> x/80xb 0xffffce8c
20xffffce8c:    0x37    0x96    0xc2    0xf7    0x09    0x00    0x00    0x00
30xffffce94:    0x24    0xcf    0xff    0xff    0x4c    0xcf    0xff    0xff
40xffffce9c:    0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00
50xffffcea4:    0x00    0x00    0x00    0x00    0x00    0x30    0xdc    0xf7
60xffffceac:    0x04    0xdc    0xff    0xf7    0x00    0xd0    0xff    0xf7
70xffffceb4:    0x00    0x00    0x00    0x00    0x00    0x30    0xdc    0xf7
80xffffcebc:    0x00    0x30    0xdc    0xf7    0x00    0x00    0x00    0x00
90xffffcec4:    0x67    0x1b    0x4d    0xc1    0x77    0xd5    0xfb    0xbb
100xffffcecc:    0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00
110xffffced4:    0x00    0x00    0x00    0x00    0x09    0x00    0x00    0x00
12#0000ffbf0900000000faffbf00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000


1pwndbg> x/80xb 0xffffcf24
20xffffcf24:    0x25    0xd1    0xff    0xff    0x37    0xd1    0xff    0xff
30xffffcf2c:    0x3a    0xd1    0xff    0xff    0x3d    0xd1    0xff    0xff
40xffffcf34:    0x40    0xd1    0xff    0xff    0x43    0xd1    0xff    0xff
50xffffcf3c:    0x46    0xd1    0xff    0xff    0x49    0xd1    0xff    0xff
60xffffcf44:    0x4c    0xd1    0xff    0xff    0x00    0x00    0x00    0x00
70xffffcf4c:    0x4f    0xd1    0xff    0xff    0x5a    0xd1    0xff    0xff
80xffffcf54:    0x6c    0xd1    0xff    0xff    0x9a    0xd1    0xff    0xff
90xffffcf5c:    0xb0    0xd1    0xff    0xff    0xbf    0xd1    0xff    0xff
100xffffcf64:    0xfd    0xd1    0xff    0xff    0x2c    0xd2    0xff    0xff
110xffffcf6c:    0x4e    0xd2    0xff    0xff    0x5f    0xd2    0xff    0xff
12#00f9ffbf08f9ffbf0bf9ffbf0ef9ffbf11f9ffbf14f9ffbf17f9ffbf1af9ffbf1df9ffbf00000000000000000000000000000000000000000000000000000000


1pwndbg> x/80xb 0xffffd125
20xffffd125:    0x2f    0x68    0x6f    0x6d    0x65    0x2f    0x6d    0x69
30xffffd12d:    0x2f    0x77    0x62    0x2f    0x77    0x62    0x44    0x45
40xffffd135:    0x53    0x00    0x31    0x32    0x00    0x33    0x34    0x00
50xffffd13d:    0x35    0x36    0x00    0x37    0x38    0x00    0x61    0x62
60xffffd145:    0x00    0x63    0x64    0x00    0x65    0x66    0x00    0x31
70xffffd14d:    0x66    0x00    0x58    0x44    0x47    0x5f    0x56    0x54
80xffffd155:    0x4e    0x52    0x3d    0x37    0x00    0x58    0x44    0x47
90xffffd15d:    0x5f    0x53    0x45    0x53    0x53    0x49    0x4f    0x4e
100xffffd165:    0x5f    0x49    0x44    0x3d    0x63    0x32    0x00    0x58
110xffffd16d:    0x44    0x47    0x5f    0x47    0x52    0x45    0x45    0x54
12#2e2f7762444553006162006162006162006162006162006162006162006162000000000000000000000000000000000000000000000000000000000000000000


对比之后发现正确,如果不正确,需要更改代码进行微调。

接下来,我们需要设置一个调试hook,该hook函数的callback会在每句指令执行之前执行,便于我们发现问题。

1def hook_code(mu, address, size, user_data):  
2    print('>>> Tracing instruction at 0x%x, instruction size = 0x%x' %(address, size)) 

之后注册hook:

1mu.hook_add(UC_HOOK_CODE, hook_code)

开始执行:

1mu.emu_start(entryRET)

很不幸,程序挂了,Unicorn给出里一个读取未分配空间的异常:

因为我们有调试,可以发现这个位置是在执行到0x80484e1的时候发生的,我们看下这个地址是什么指令。

发现是有关gs:0x14的操作,这个指令应该是栈cookie的操作,我们没分配的寄存器unicorn默认为0,所以我们需要在0x0空间给gs分配一个空间,这句话就可以跑过去了。

1mu.mem_map(0, 0x1000)

之后再运行:

发现程序好像跑飞了,往上翻,找到:

下断点调试,发现是跑到外部函数调用上去了:

分析之后发现,在main函数中有两处外部函数调用,我们直接patch掉他们的plt,让他们直接返回。

1mu.mem_write(0x80483BC, bytes('\xc3','utf-8'))
2mu.mem_write(0x80483EC, bytes('\xc3','utf-8'))

之后再运行就没有问题了。

我还针对栈的读取设置了hook,每次内存的写地址都会被记录,得到如下的图:

可以清楚的发现DES算法的轮结构,unicorn的调教到此完成,为下一步的研究做准备。


0x004 参考

[1]https://www.riscure.com/publication/unboxing-white-box/

[2]https://www.unicorn-engine.org/

[3]http://www.whiteboxcrypto.com/challenges.php


 (欢迎大家再在留言区或者公众号后台进行交流分享哦~)


MiSRC

MiSRC欢迎更多热爱安全、关注小米产品的安全专家和安全团队加入小米安全中心,共同保障国内外数亿小米用户的安全在线生活。我们承诺:每一份报告我们都会有专人进行评估和跟进,会给予白帽子与之匹配的利益。

登录查看更多
0

相关内容

白盒测试(也称为透明盒测试,玻璃盒测试,透明盒测试和结构测试)是一种软件测试方法,用于测试应用程序的内部结构或功能,而不是其功能(即黑盒测试)。在白盒测试中,系统的内部视角以及编程技能被用来设计测试用例。测试人员选择输入以遍历代码的路径并确定预期的输出。这类似于测试电路中的节点,在线测试(ICT)。白盒测试可以应用于软件测试过程的单元,集成和系统级别。尽管传统的测试人员倾向于将白盒测试视为在单元级别进行的,但如今它已越来越频繁地用于集成和系统测试。它可以测试单元内的路径,集成期间单元之间的路径以及系统级测试期间子系统之间的路径。
【实用书】学习用Python编写代码进行数据分析,103页pdf
专知会员服务
192+阅读 · 2020年6月29日
【干货书】高级应用深度学习,294页pdf
专知会员服务
151+阅读 · 2020年6月20日
【实用书】Python技术手册,第三版767页pdf
专知会员服务
234+阅读 · 2020年5月21日
斯坦福2020硬课《分布式算法与优化》
专知会员服务
118+阅读 · 2020年5月6日
【干货书】流畅Python,766页pdf,中英文版
专知会员服务
224+阅读 · 2020年3月22日
TensorFlow Lite指南实战《TensorFlow Lite A primer》,附48页PPT
专知会员服务
69+阅读 · 2020年1月17日
浅谈 Kubernetes 在生产环境中的架构
DevOps时代
11+阅读 · 2019年5月8日
R_leaflet包_最易上手地图教程(一)
R语言中文社区
10+阅读 · 2019年3月6日
React Native 分包哪家强?看这文就够了!
程序人生
13+阅读 · 2019年1月16日
实战 | 用Python做图像处理(三)
七月在线实验室
15+阅读 · 2018年5月29日
Python NLP入门教程
Python开发者
9+阅读 · 2017年11月19日
用 Scikit-Learn 和 Pandas 学习线性回归
Python开发者
9+阅读 · 2017年9月26日
码农日常工具推荐
架构文摘
4+阅读 · 2017年9月26日
Caffe 深度学习框架上手教程
黑龙江大学自然语言处理实验室
14+阅读 · 2016年6月12日
Arxiv
8+阅读 · 2018年5月21日
VIP会员
相关VIP内容
【实用书】学习用Python编写代码进行数据分析,103页pdf
专知会员服务
192+阅读 · 2020年6月29日
【干货书】高级应用深度学习,294页pdf
专知会员服务
151+阅读 · 2020年6月20日
【实用书】Python技术手册,第三版767页pdf
专知会员服务
234+阅读 · 2020年5月21日
斯坦福2020硬课《分布式算法与优化》
专知会员服务
118+阅读 · 2020年5月6日
【干货书】流畅Python,766页pdf,中英文版
专知会员服务
224+阅读 · 2020年3月22日
TensorFlow Lite指南实战《TensorFlow Lite A primer》,附48页PPT
专知会员服务
69+阅读 · 2020年1月17日
相关资讯
浅谈 Kubernetes 在生产环境中的架构
DevOps时代
11+阅读 · 2019年5月8日
R_leaflet包_最易上手地图教程(一)
R语言中文社区
10+阅读 · 2019年3月6日
React Native 分包哪家强?看这文就够了!
程序人生
13+阅读 · 2019年1月16日
实战 | 用Python做图像处理(三)
七月在线实验室
15+阅读 · 2018年5月29日
Python NLP入门教程
Python开发者
9+阅读 · 2017年11月19日
用 Scikit-Learn 和 Pandas 学习线性回归
Python开发者
9+阅读 · 2017年9月26日
码农日常工具推荐
架构文摘
4+阅读 · 2017年9月26日
Caffe 深度学习框架上手教程
黑龙江大学自然语言处理实验室
14+阅读 · 2016年6月12日
Top
微信扫码咨询专知VIP会员