[exploit writing] 2_쉘코드로 점프 (3)

-

2.pop/ret

위에서 설명했듯이 Easy RM to MP3 예제에서 우리는 buffer를 임의로 변조했고, ESP가 직접 우리가 작성한 쉘코드를 가리키도록 만들었다. 그렇다면 쉘코드를 가리키는 레지스터가 단 하나도 없다면 어떻게 될까?

이러한 상황에서, 쉘코드를 가리키는 주소는 스택의 어딘가에 담겨 있을 것이다. ESP를 덤프할 때, 처음으로 나오는 주소들을 유의해서 보길 바란다. 만약 이 주소들이 공격자의 쉘코드(또는 제어 가능한 버퍼)를 가리키고 있다면, pop/ret 또는 pop/pop/ret 명령을 통해 다음과 같은 결과를 확인할 수 있을 것이다.

- 스택에서 주소를 가져옴 (또는 무시)
- 쉘코드로 연결되는 주소로 점프

'pop/ret' 기술은 ESP+offset이 이미 쉘코드를 가리키는 주소를 담고 있을 때만 사용이 가능하다. ESP를 덤프한 다음 쉘코드를 가리키는 녀석이 처음으로 보이는 주소들 중에 존재하는지 확인한 후, EIP로 향하도록 pop/ret (pop pop ... ret) 참조를 입력하도록 한다. 이를 통해 스택에서 주소를 가져오고, EIP 안으로 다음에 수행해야 할 주소를 입력시킬 수 있다. 만일 처음으로 보이는 주소들 중 하나라도 쉘코드를 가리키는 것이 있다면, 공격은 성공적으로 이루어질 수 있다.

'pop/ret' 기술을 사용하는 두 번째 방법도 존재한다. 만약 공격자가 EIP를 제어하려 하는데, 쉘코드를 가리키는 어떠한 레지스터도 존재하지 않지만 때마침 쉘코드가 ESP+8 의 위치에 존재한다고 가정해 보자. 이런 상황에서, 공격자는 ESP+8로 흐름이 가도록 EIP에 pop/pop/ret 명령을 주입 함으로써 공격을 성공시킬 수 있다. 만약 해당 위치에 JMP ESP로 가는 포인터를 삽입한다면, JMP ESP 포인터 바로 오른쪽에 위치한 쉘코드로 점프하게 될 것이다.

실습을 통해 알아보도록 하자. 우리는 EIP를 덮어 쓰기 이전에 26064 바이트를 채워 넣어야 한다는 것을 알고 있다. 또한 ESP가 우리가 의도한 정확한 위치를 가리키도록 하기 위해 4개의 추가 바이트가 필요하다는 사실도 알고 있다.

우리는 ESP+8 위치에서 테스트를 해 보겠다. 우리는 쉘코드를 가리키는 주소를 가지고 있다.

26064개의 'A' + 4개의 'XXXX' + break + 7개의 NOP + break + 추가 NOP 로 코드를 구성한다. 그리고 쉘코드를 두 번째 브레이크에서 시작한다고 가정해 보자. 우리의 목표는 첫 번째 브레이크를 뛰어 넘는 점프를 통해 두 번째 브레이크(ESP+8의 위치 = 0x000ff738)로 프로그램의 흐름을 제어하는 것이다.

/*esp+8을 이용하기 위해 사용하는 공격 코드*/

my $file= "test2.m3u";
my $junk= "A" x 26064;
my $eip = "BBBB"; # EIP를 'BBBB'로 채워 넣음
my $prependesp = "XXXX"; # ESP가 쉘코드의 시작을 가리키게 하기 위해 4바이트 채움
my $shellcode = "\xcc"; # 첫 번째 브레이크
$shellcode = $shellcode . "\x90" x 7; # 7 바이트를 NOP를 채움
$shellcode = $shellcode . "\xcc"; # 두 번째 브레이크
$shellcode = $shellcode . "\x90" x 500; # 실제 쉘코드
open($FILE,">$file");
print $FILE $junk.$eip.$prependesp.$shellcode;
close($FILE);
print "m3u File Created successfully\n";

위 공격 코드로 생성한 m3u 파일을 실행하면 다음과 같은 결과가 나온다. 먼저 스택 내용을 살펴보도록 하자. 애플리케이션은 버퍼 오버플로우로 인해 충돌이 발생한다. 우리는 그림4에서 EIP를 'BBBB'로 채워 넣었다. ESP는 0x000ff730을 가리키고 있고, 그 다음 7개의 NOP가 채워 진 다음 우리가 만든 쉘코드의 실제 시작 부분인 두 번째 브레이크 명령이 있다.


우리의 목적은 'ESP+8' 값을 EIP로 주입하는 것이다(현재는 '두 번째 브레이크=cc' 값을 가지고 있지만 이 값을 수정함으로써 쉘코드로 점프할 수 있게 된다). 우리는 'pop/ret' 기술과 'JMP ESP'를 혼합하여 쉘코드로 이동할 것이다. 하나의 pop 명령은 스택의 꼭대기에서 4 바이트를 꺼내는 일을 한다. 이렇게 되면 스택 포인터는 000ff734를 가리키게 된다. 추가로 pop 명령을 하나 더 수행하게 되면 4 바이트를 더 스택에서 꺼내게 된다. 결국 ESP가 000ff738을 가리키게 되는 것이다!

 'RET' 명령이 수행될 때, 현재 ESP에 들어 있는 값이 EIP로 주입되게 된다. 그래서 만약 000ff738에 위치한 명령이 JMP ESP 명령을 포함하고 있다면, EIP도 그 일을 수행하게 되는 것이다.

위에서 설명했듯이 우리에게 필요한 명령어 덩어리는 'pop/pop/ret' 이다. 그리고 명령어 덩어리의 첫 부분으로 EIP를 덮어쓰고, ESP+8부분을 쉘코드가 뒤따라 오도록 'JMP ESP'의 주소로 설정해야 한다.

댓글

댓글 쓰기

이 블로그의 인기 게시물

윈도우 설치에서 파티션 설정 오류(NTFS)

-
이미지
요즘 컴퓨터 OS를 갈아엎느라 시간가는 줄 모르게 컴퓨터를 해댔다. 다른 거 할 수도 없었다. 네트워크도 공부해야하는데 하지 못했다. 그래서 내가 포맷하고 OS 설치하면서 겪은 오류들을 적고자 한다. 처음 OS를 쓰다가 USB로 OS를 설치하다 보면 전에 쓰던 OS를 갈아엎는 경우가 있다. 밑의 그림처럼 나올 것이다. 그럼 주 하드디스크를 포맷버튼 누르고 OS를 설치하고 싶을 것이다. 하지만 대부분은 오류가 떠서 안될텐데..되면 말고.. (출처: http://digitaku.com/719) 윈도우를 NTFS로 포맷된 파티션에 설치해야하다는 오류가 뜬다면 (출처: http://caleb1783.tistory.com/362) 1. 우선 설치 시작화면으로 돌아가서 2. shift+f10 으로 cmd를 띄운다. 3. diskpart 명령어를 치고 enter을 누른다. 4. list disk 를 통해 디스크 목록을 본다. 5. 포맷하고 싶은 디스크를 확인한다. 6. 만약 disk0이면 select disk0 을 통해 disk0을 선택한다. 7. 그리고 가장 중요한 clean 명령어를 통해 깨끗히 지운다. 8. exit을 통해 나간다. 9. 다시 컴퓨터를 껐다가 usb 부팅을 통해 OS를 설치한다.
자세한 내용 보기

[exploit writing] 1_스택 기반 오버플로우 (1) First

-
이미지
Corelan가 쓴 Exploit Writing 을 통해 이제 뭔가 보안 공부의 첫 걸음을 시작하려 한다. 목표 윈도우 xp에서 의 취약점을 이용한 스택 오버 플로우 한다. 준비 프로그램 1. kali (가상 머신) 2. windows xp (가상 머신) 3. windows xp 에서 windbg 4. windows xp 에서 펄 스크립트를 사용하기 위한 액티브펄 5. windows xp 에서 펄 스크립트를 사용하기 위한 per dev kit 6. Easy RM to MP3 Converter 과정 1. 우선 xp에서 Easy RM to MP3 Converter를 설치한다. 2. 빈 윈도우 xp에서는 위에 쓴 준비물 중 펄 스크립트 파일을 실행시키기 위한 프로그램들을 설치한다. 3. 메모장에 밑의 코드를 작성하고 test.pl이라는 이름으로 저장한다. my $file = "crash.m3u"; my $junk = "\x41" x 10000; open($FILE, ">$file"); print $FILE "$junk"; close($FILE); print "m3u File Created Successfully \n"; 4. 그럼 밑의 그림처럼 아이콘들이 있을 것이다. 6. test 파일을 실행 시키면 위에서 봤듯이 crash.m3u 라는 파일이 생성될 것이다. (커맨드 라인을 이용해서 test 파일을 실행시키면 m3u File Created Successfully 문구가 나옴) 7. 이제 Easy RM to MP3 Converter를 실행시키고 crash 파일을 LOAD 하면  에러 메시지가 나온다. 이 수행결과는 converter 가 crash 되지 않고, 정상적인 에러 메시지를 출력함을 알 수 있다. 8....
자세한 내용 보기

하둡 설치 오류 정리

-
이미지
길고 긴 설치였다. 이틀동안 하둡 설치하는데 시간을 다 썼다. 이 때까지 오류 나왔던 것들을 다시 한 번 정리하는 의미에서 글을 쓰겠다. 이 게시글은 설치 가이드가 아닌 오류를 정리하는 글이다. 우선 나의 하둡 설치 환경에 대해 설명하자면, VirtualBox 에서 3개의 우분투 16.04버젼을 설치하고 컴퓨터의 이름은 hadoop1-VirtualBox hadoop2 hadoop3으로 하였다.  첫번째 로 만났던 고난은 리눅스의 계정 관리였다. 되도록이면 adduser을 통해 3개의 가상 머신에 hadoop이라는 계정을 만들어주는 걸 강력 추천한다. 그래야 나중에 혼동이 없고 configure 파일 수정할 때 편리하다. hadoop@hadoop1-VirtualMachine $ 위와 같이 써있으면 전자 hadoop은 계정이고 후자는 컴퓨터 이름이다.  두번째 는 ras_pub 이었다. 즉, ssh 연결할 때 비밀번호 없이 공개 키를 주어 접속할 수 있도록하는 방법이다. hadoop@hadoop1에서 hadoop@hadoop2로 ssh 접속을 하기 위해 전자에서 후자로 공개 키를 복사해서 주었을 것이다. 책에서는 이렇게 하면 끝이라고 했지만 후자에서 전자로 또 공개 키를 복사해주는 것이 좋다고 한다.  세번째 는 네트워크 접속 거부이다. 여기서 엄청 애 먹었다. iptables 나 netstat을 통해 이것저것 다 해봤다. 가장 효과적인 것은 gufw 를 apt-get install 해서 방화벽을 재설정했다. 나는 9000, 9001, 50070, 50090 포트를 모두 열어놨고 내부 네트워크에서 오는 접속은 모두 허용했다. 마지막으로 내가 생각하는 해결책은 /etc/hosts 에 있는 파일을 수정하는 것이다. 설치 가이드를 보면 이 파일을 수정하게 되는데 아래와 같이 되어 있었다. 127.0.0.1 localhost 127.0.1.1 hadoop1 두번째 있는 127.0.1.1 ...
자세한 내용 보기