[Socket] Socketpair 및 sendmsg, recvmsg

Socketpair

  일반적으로 socket() 함수를 사용하면 인자로 준 특정 프로토콜에 대해서 1개의 소켓만을 생성한다. socketpair를 이용하면 한 번에 서로가 연결된 소켓 쌍을 생성하는게 가능해진다. 흔히 AF_UNIX를 사용하여 로컬 내부에서 도메인 소켓을 사용하고자 할 때, 외부 네트워크로부터 데이터를 받아 도메인 소켓으로 특정 프로그램에 내용을 전달하는 방식으로 사용한다. 

int sock;
int sock_pair[2];
int result;
 
// generally
sock = socket(AF_INET, SOCK_STREAM, IPPROTO_TCP);
 
// socketpair
result = socketpair(AF_INET, SOCK_STREAM, IPPROTO_TCP, &sock_pair);

sendmsg, recvmsg

int fd;             // = socket(AF_INET, SOCK_STREAM, IPPROTO_TCP);
char buf[MAX_BUF];
struct msghdr msg;    // basic msg header
struct iovec iov;    // i/o vercor (about buffer information)
cmsg_fd cmsg;        // control message
 
// register buffer
iov.iov_base = buf;
iov.iov_len  = MAX_BUF;
 
// configure msg
msg.msg_name       = NULL; // optional address (= sockaddr_in)
msg.msg_namelen    = 0;    // address size
msg.msg_iov        = &iov; // iov that registered buffer
msg.msg_control    = &cmsg;
msg.msg_controllen = sizeof(cmsg);
msg.msg_flags      = 0;
 
// configure control msg
struct cmsghdr* cptr(CMSG_FIRSTHDR(&msg));
cptr->cmsg_len   = CMSG_LEN(sizeof(int));
cptr->cmsg_level = SOL_SOCKET;
cptr->cmsg_type  = SCM_RIGHTS;
 
memcpy(CMSG_DATA(cptr), &fd, sizeof(int));
if(sendmsg(sockfd, &msg, 0) < 0) {
    perror("[-] Failed sendmsg()");
    exit(-1);
}

msghdr, iovec 구조체

/*
 * [XSI] Message header for recvmsg and sendmsg calls.
 * Used value-result for recvmsg, value only for sendmsg.
 */
struct msghdr {
        void            *msg_name;      /* [XSI] optional address */
        socklen_t       msg_namelen;    /* [XSI] size of address */
        struct          iovec *msg_iov; /* [XSI] scatter/gather array */
        int             msg_iovlen;     /* [XSI] # elements in msg_iov */
        void            *msg_control;   /* [XSI] ancillary data, see below */
        socklen_t       msg_controllen; /* [XSI] ancillary data buffer len */
        int             msg_flags;      /* [XSI] flags on received message */
};
 
/* Define to have the same layout as a WSABUF */
#ifndef STRUCT_IOVEC_DEFINED
#define STRUCT_IOVEC_DEFINED 1
struct iovec {
    long iov_len;
    char *iov_base;
};
#endif
#else
struct iovec;                                /* Defined in OS headers */
#endif
 
/*
 * Header for ancillary data objects in msg_control buffer.
 * Used for additional information with/about a datagram
 * not expressible by flags.  The format is a sequence
 * of message elements headed by cmsghdr structures.
 */
struct cmsghdr {
        socklen_t       cmsg_len;       /* [XSI] data byte count, including hdr */
        int             cmsg_level;     /* [XSI] originating protocol */
        int             cmsg_type;      /* [XSI] protocol-specific type */
/* followed by  unsigned char  cmsg_data[]; */
};

리버싱할 때 분석 방법

  우선 리버싱을 할 때, 입출력이 되는 부분인 sendmsg와 recvmsg 함수를 찾는다. 해당 함수는 총 3개의 인자를 가지며, 1번째 인자는 socket, 2번째 인자는 struct msghdr인 msg의 주소, 3번째 인자는 flags이다. 현재 중요한건 buffer이기 때문에 msg의 주소를 확인하고 struct msghdr의 구조체에 내용을 따라 값 부분을 확인하고 정의하면 된다. 다음은 IDA로 분석했을 때, 정의된 모습이다.

/*
    C code that is converted from Assembly code

    var_38 = unk_5B3944;
    var_34 = 0x5DC;
    var_30 = 0;
    var_2C = 0;
    var_28 = var_38;
    var_24 = 1;
    var_20 = dword_5B3844;
    var_1C = 0x100;
    var_18 = 0;

    recvmsg(sock, &var_30, 0);
*/
 
// var_38 = struct iovec
var_38.iov_base = unk_5B3944;
var_34.iov_len = 0x5DC;
 
// var_30 = struct msghdr
var_30.msg_name = NULL;
var_30.msg_name_len = 0;
var_30.msg_iov = &var_38;
var_30.msg_iovlen = 1;
var_30.msg_control = dword_5B3844;
var_30.msg_controllen = 0x100;
var_30.msg_flags = 0;

  msg의 주소를 확인하면 msg의 주소 + 8의 위치에서 iov의 주소를 얻는게 가능하다. iov의 주소를 얻으면 내부에 저장된 buffer의 주소와 buffer의 크기까지 획득할 수 있다.

참고

• cmsghdr 관련 : http://pracon.tistory.com/135