시스템 해킹

1574,

1/79

in_reason

ftz level11번 문제에 대한 질문이 있습니다.

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_system&no=1937 [복사]

ftz levvel11번에 대한 궁금즘이 있어 질문을 하게 되었습니다.
gdb를 통하여 level11의 attackme를 디버깅 해보면

Dump of assembler code for function main:
0x08048470 <main+0>:    push   ebp
0x08048471 <main+1>:    mov    ebp,esp
0x08048473 <main+3>:    sub    esp,0x108
0x08048479 <main+9>:    sub    esp,0x8
0x0804847c <main+12>:   push   0xc14
0x08048481 <main+17>:   push   0xc14
0x08048486 <main+22>:   call   0x804834c <setreuid>
0x0804848b <main+27>:   add    esp,0x10
0x0804848e <main+30>:   sub    esp,0x8
0x08048491 <main+33>:   mov    eax,DWORD PTR [ebp+12]
0x08048494 <main+36>:   add    eax,0x4
0x08048497 <main+39>:   push   DWORD PTR [eax]
0x08048499 <main+41>:   lea    eax,[ebp-264]
0x0804849f <main+47>:   push   eax
0x080484a0 <main+48>:   call   0x804835c <strcpy>
0x080484a5 <main+53>:   add    esp,0x10
0x080484a8 <main+56>:   sub    esp,0xc
0x080484ab <main+59>:   lea    eax,[ebp-264]
0x080484b1 <main+65>:   push   eax
0x080484b2 <main+66>:   call   0x804833c <printf>
0x080484b7 <main+71>:   add    esp,0x10
0x080484ba <main+74>:   leave
0x080484bb <main+75>:   ret
0x080484bc <main+76>:   nop
0x080484bd <main+77>:   nop
0x080484be <main+78>:   nop
0x080484bf <main+79>:   nop
End of assembler dump.

이렇게 뜨게 되는데, 여기서 다른 사람들의 글을 보면 main+30부분이 SFP와 RET를 각각 4byte만큼 선언해 준다고 나와있는데 SFP와 RET인지 어떻게 구분하는지 궁금합니다.

그리고 제가 아는 지식으로는 모든 함수는 사용할 때 ret를 선언하고 실행하는것으로 알고있는데 여기서 setreuid는 필요하고 strcpy는 그렇게 중요하지 않아서 strcpy의 ret값을 이용해서 쉘을 탈취하는건가요?

그렇다면 printf와 setreuid에도 SFP와 ret값이 선언되는건가요?

질문 정리
1. SFP와 RET인지 아니면 일반 sub인지 구분하는 방법
2. 모든 함수에 ret값이 있는지 없는지
    있다면 printf의 ret값에서도 쉘 탈취가 가능한지

고수님들의 답변이 필요합니다.

Hit : 1897 Date : 2018/09/10 11:40


gihacker	모든 함수를 실행할때는 스택에 ret를 푸쉬합니다 call 명령어는 사실 축약된 명령어구요	2018/09/10
dc4458	call 을 하면 ret 주소가 푸쉬되고 서브루틴안에서 sfp가 푸쉬됩니다. 말씀하신 sub는 그냥 공간확보인것 같네요. 문맥상으로는 setreuid가 ret 한뒤에 setreuid가 사용한 스택을 add 와 sub로 정리해준것 같습니다. 모든 서브루틴은 ret 합니다. 당연히 printf에도 ret명령어가 있구요 어떤 방법을 사용해서 ret 주소를 덮어씌운다면 원하는 코드를 실행시킬수가 있겠죠.	2018/09/27
dc4458	하지만 문제에서는 printf나 strcpy의 ret주소값을 덮어씌울 수 가 없습니다. 문자열이 카피될 공간의 주소가 먼저 선언되고 후에 함수들이 콜되기 때문에 위 함수들의 ret 값들은 문자열이 카피될 공간의 주소보다 항상 낮은 주소에 위치하게 되므로 어떤 문자열을 전달해줘도 ret값을 덮어씌울 수 가 없습니다. strcyp가 콜이 된 직후의 스택을 그리면 다음과 같습니다. strcpy의 ret주소 - strcpy의 인자1 - strcpy의 인자2 - 문자열이 카피될 공간 - 메인의 SFP - 메인의 ret주소 - 메인에 전달된 인자들... 순서기 때문에 문자열이 카피될공간에 어떤 문자열이 들어가도 뒤에 나오는 메인의 SFP 나 메인의 RET 주소들만 덮어 씌울 수 있습니다.	2018/09/27

1574

pwnable.kr echo1 질문2 (스포 주의)[2]

turttle2s

10/05

1234

1573

LOB GATE문제 풀면서 궁금한점[3]

hackxx123

08/24

928

1572

libc관련 - 2[5]

lMaxl04

08/24

879

1571

ASLR이 걸려있을때 ret에 ROP으로 jmp %esp을 사용한 경우.[3]

lMaxl04

06/29

1143

1570

리모트 환경에서의 스택 주소 확인 방법이 궁금합니다.[2]

lMaxl04

06/16

939

1569

해킹 프리서버 없어졌나요?[1]

terfkim

04/15

1719

1568

스택에 데이터 넣을 때 SIGSEGV[4]

turttle2s

02/04

1449

1567

pwnable.kr echo1 질문[2]

turttle2s

06/17

1724

1566

ROP strcpy 관련 질문입니다.[3]

heeyoung0511

06/16

1570

1565

Level2 -> Level3 에서 vi와 /usr/bin/Editor의 차이[2]

hyemin1826

07/18

1832

1564

Trainer3 ftz.hackerschool.org 호스트 접속 불가[1]

hyemin1826

07/18

3213

1563

dll인젝션 실험중 질문 드립니다.[1]

kkk477

05/31

1843

1562

패킷 복호화를 마스터 하려면 어떤 과정이 있어야하나요?

sa0814

04/01

1689

1561

사기[2]

jas08

03/31

1985

1560

시스템 콜이 가능한 메모리 영역과 불가능한 메모리 영역이 존재하나요?

ocal

03/30

1727

1559

pwntools 사용시와 기본 socket 모듈 이용시 차이?[4]

ocal

01/09

2266

1558

lob level19(nightmare) 관련질문[1]

dnjsdnwja

12/18

1739

1557

ftz level2 질문있습니다[1]

kihyun1998

12/13

1828

1556

ftz level2번 푸는데요 권한이...

kihyun1998

12/06

1704

1555

시스템해킹할때 [3]

thsrhkdwns

12/05

2186

1 [2][3][4][5][6][7][8][9][10]..[79]