/* http://beist.org */

제목 : dummy 크기 정확히 파악하기.

gcc 컴파일러의 버전이 점점 높아지면서 프로그램이 컴파일 될 때 생기는 
메모리 공간에 dummy 값이 생기는 것은 알고 계실 겁니다. (dummy 값이 
생기는 컴파일러 버전이 나온지는 꽤 오래 되었습니다.) 그런데 이 생성
되는 dummy 의 크기를 파악하는 것을 헷갈리시는 분들이 계시는 것 
같아서 이를 알 수 있는 간단한 방법을 알려드리겠습니다. 개념을 잡는데
도움이 되었으면 좋겠습니다. 참고로 dummy 에 대해서 hackerleon님이 
분석한 글이 있으니 다음 URL 에서 참조하시기 바랍니다.

http://hackerleon.cybersoldier.net/next-board/board.cgi?db=hack&mode=read&num=36



먼저 대략적으로 dummy의 범위를 유추할 수 있는 방법은 해당 프로시져에서
stack pointer를 얼마나 감소하였나 보시면 됩니다. 프로시져의 프롤로그에서
stack pointer를 감소하는 이유는 프로시져에서 사용할 지역 변수를 위해서
미리 할당을 하는 것입니다. 그러므로 sub 명령의 인자로 얼마만큼의 수치를
감소하였느냐에 따라서 사용한 버퍼의 크기를 짐작할 수 있습니다. 하지만
이 방법은 추측을 할 수 있는 것이지 정확한 크기를 알아낼 순 없습니다.


정확하게 파악을 하기 위해서는 디버깅을 해보는 방법이 가장 편합니다. 다음은
샘플 프로그램입니다. (참고로 테스트한 GCC 의 버전은 3.2.2 입니다.)


8byte.c

int main(int argc, char *argv[])
{
        char buf[8];

        strcpy(buf, argv[1]);
}
[root@localhost dummy]# gcc -o 8byte 8byte.c
[root@localhost dummy]# gdb 8byte
GNU gdb Red Hat Linux (5.3post-0.20021129.18rh)
Copyright 2003 Free Software Foundation, Inc.
GDB is free software, covered by the GNU General Public License, and you are
welcome to change it and/or distribute copies of it under certain conditions.
Type "show copying" to see the conditions.
There is absolutely no warranty for GDB.  Type "show warranty" for details.
This GDB was configured as "i386-redhat-linux-gnu"...
(gdb) disassemble main
Dump of assembler code for function main:
0x08048328 <main+0>:    push   %ebp
0x08048329 <main+1>:    mov    %esp,%ebp
0x0804832b <main+3>:    sub    $0x8,%esp
0x0804832e <main+6>:    and    $0xfffffff0,%esp
0x08048331 <main+9>:    mov    $0x0,%eax
0x08048336 <main+14>:   sub    %eax,%esp
0x08048338 <main+16>:   sub    $0x8,%esp
0x0804833b <main+19>:   mov    0xc(%ebp),%eax
0x0804833e <main+22>:   add    $0x4,%eax
0x08048341 <main+25>:   pushl  (%eax)
0x08048343 <main+27>:   lea    0xfffffff8(%ebp),%eax
0x08048346 <main+30>:   push   %eax
0x08048347 <main+31>:   call   0x8048268 <strcpy>
0x0804834c <main+36>:   add    $0x10,%esp
0x0804834f <main+39>:   leave
0x08048350 <main+40>:   ret
0x08048351 <main+41>:   nop
0x08048352 <main+42>:   nop
0x08048353 <main+43>:   nop
End of assembler dump.
(gdb) 

먼저 (1) 0x804832b 와 (2) 0x8048347 위치에 break point를 잡습니다. (1) 에 잡는
이유는 sfp 값을 알아보기 위함이고, (2) 에 잡는 이유는 buf 의 값을 알아보기 위함
입니다.

(gdb) b *0x804832b
Breakpoint 1 at 0x804832b
(gdb) b *0x8048347
Breakpoint 2 at 0x8048347
(gdb) r aaaa
Starting program: /root/dummy/8byte aaaa

Breakpoint 1, 0x0804832b in main ()
(gdb) x/x $ebp
0xbfffecd8:     0xbfffecf8
(gdb) c
Continuing.

Breakpoint 2, 0x08048347 in main ()
(gdb) x/x $eax
0xbfffecd0:     0x42130a14
(gdb)


첫번째 break point 를 잡고 프레임 포인터가 저장되어 있는 ebp 를 확인한 결과
0xbfffecd8 이 나왔습니다. 두번째, strcpy 전에 push 되는 eax 는 buf 의 주소입니다.
eax 를 확인한 결과 0xbfffecd0 으로 나왔습니다. stack 이 아래로 자라난다는 것을
생각하면 0xbfffecd8 - 0xbfffecd0 = 8 이란 값이 나오고, 이 것은 프로시져의 스택
포인터로부터 하위 8 바이트, 즉 buf 의 크기가 8 바이트가 할당되었다는 것을 알 수
있습니다.

이제 buf의 크기를 100바이트로 잡고 다시 확인을 해보겠습니다. 


100byte.c

int main(int argc, char *argv[])
{
        char buf[100];

        strcpy(buf, argv[1]);
}
[root@localhost dummy]# gcc -o 100byte 100byte.c
[root@localhost dummy]# gdb 100byte
GNU gdb Red Hat Linux (5.3post-0.20021129.18rh)
Copyright 2003 Free Software Foundation, Inc.
GDB is free software, covered by the GNU General Public License, and you are
welcome to change it and/or distribute copies of it under certain conditions.
Type "show copying" to see the conditions.
There is absolutely no warranty for GDB.  Type "show warranty" for details.
This GDB was configured as "i386-redhat-linux-gnu"...
(gdb) disassemble main
Dump of assembler code for function main:
0x08048328 <main+0>:    push   %ebp
0x08048329 <main+1>:    mov    %esp,%ebp
0x0804832b <main+3>:    sub    $0x78,%esp
0x0804832e <main+6>:    and    $0xfffffff0,%esp
0x08048331 <main+9>:    mov    $0x0,%eax
0x08048336 <main+14>:   sub    %eax,%esp
0x08048338 <main+16>:   sub    $0x8,%esp
0x0804833b <main+19>:   mov    0xc(%ebp),%eax
0x0804833e <main+22>:   add    $0x4,%eax
0x08048341 <main+25>:   pushl  (%eax)
0x08048343 <main+27>:   lea    0xffffff88(%ebp),%eax
0x08048346 <main+30>:   push   %eax
0x08048347 <main+31>:   call   0x8048268 <strcpy>
0x0804834c <main+36>:   add    $0x10,%esp
0x0804834f <main+39>:   leave
0x08048350 <main+40>:   ret
0x08048351 <main+41>:   nop
0x08048352 <main+42>:   nop
0x08048353 <main+43>:   nop
End of assembler dump.
(gdb) b *0x804832b
Breakpoint 1 at 0x804832b
(gdb) b *0x8048347
Breakpoint 2 at 0x8048347
(gdb) r aaaa
Starting program: /root/dummy/100byte aaaa

Breakpoint 1, 0x0804832b in main ()
(gdb) x/x $ebp
0xbfffe8d8:     0xbfffe8f8
(gdb) c
Continuing.

Breakpoint 2, 0x08048347 in main ()
(gdb) x/x $eax
0xbfffe860:     0x42130a14
(gdb)


break point 를 잡는 위치나 레지스터 값을 조사한 방법은 8byte.c 를 다룰 때와
동일합니다. 여기서 나온 ebp 의 주소는 0xbfffe8d8 이고 buf 의 주소는 0xbfffe860
인 것을 확인할 수 있습니다. 0xbfffe8d8 - 0xbfffe860 은 0x78 이고 0x78 은 10
진수로 120입니다. 계산을 해보면

[buf 100 byte] - [dummy 20 byte] - [sfp] - [ret]

와 같은 구조로 스택이 생성된 것을 알 수 있습니다.

즉, 실제로 overflow 시에 ret 를 덮어 쓰기 위해서는 100 + 20 + 4 + 4 = 128.
총 128 바이트를 사용해야 합니다.


그럼 이만~! 


- vangelis님 댓글

조금 더 추가하도록 하겠습니다.

word(4 byte) 단위로 데이터가 메모리에 적재된다는 것을 다들 알고 있을 겁니다.
gcc 2.96 버전 이후부터 스택의 정렬이 16 바이트를 유지합니다.
그래서 함수가 호출될 때 지역변수를 위한 공간에 할당되는 데이터의 양은 16 바이트를 채웁니다. 아래의 테스트 결과를 보시기 바랍니다.


----------------------------------------------------
int main(int argc, char *argv[])
{
        char buffer[n];
        strcpy(buffer, argv[1]);
}
----------------------------------------------------



위의 소스에서 buffer[n]에서 n의 크기와 할당되는 양은 다음과 같습니다.

---------------------------------------------
n의 크기    |          할당양  
---------------------------------------------
1 - 16      |                        24 바이트
17 - 32     |        40 바이트
33 - 48     |        56 바이트
49 - 64     |         72 바이트
65 - 80     |        88 바이트
81 - 96     |        104 바이트
97 -112     |         120 바이트
---------------------------------------------

위의 결과를 보면,

16+16(=32)+16(=48)+16(=64)+16(=80)+16(=96)+16(=112).......
24     40      56      72      88     104      120
    16  +  16  +   16   +  16  +  16   +   16.......

위의 것을 정리해보면 16씩 더해질 때 메모리의 할당양이 변화고 있습니다.
그러나 1-16 사이에는 불규칙함이 보입니다. 이것에 대한 것은 제일 아래 링크를 참고하시기 바랍니다.

예를 들면,

----------------------------------------------------
int main(int argc, char *argv[])
{
        char buffer[10];
        strcpy(buffer, argv[1]);
}
----------------------------------------------------

위의 소스는 2.96 버전 이하의 경우 다음과 같을 것입니다.

buffer(12) - sfp(4) - ret(4)

실제는 10바이트가 할당되어 있지만 word 단위로 할당되기 때문에 12바이트가 할당됩니다.



그러나 2.96버전 이상의 경우,

buffer(16) - sfp(4) - ret(4)
===========
24 byte(24-16=8, 8 바이트의 더미)


소스에서 buffer[10] 이 부분을 보면, 
2.96 이후 버전의 경우 16 바이트씩 alignment를 맞추기 때문에 전체 12바이트가 아니라
16 바이트가 할당됩니다. gdb를 이용해 확인해보면 prolog 부분은 다음과 같습니다.

0x80482f4 <main>:        push %ebp
0x80482f5 <main+1>:        mov  %esp,%ebp
0x80482f7 <main+3>:     sub  $0x18,%esp


16진수 0x18은 24입니다.
결국 buffer에 16바이트가 할당되므로, 8바이트의 더미가 발생하는 것입니다.



위에서 승진이가 제시한 소스를 보면, 

int main(int argc, char *argv[])
{
        char buf[100];

        strcpy(buf, argv[1]);
}

앞의 표에서 97-112까지는 120 byte가 할당되는 것을 보았습니다.
gdb의 결과도 다음과 같습니다. 
0x78은 십진수로 120 byte입니다.


0x08048328 <main+0>:    push   %ebp
0x08048329 <main+1>:    mov    %esp,%ebp
0x0804832b <main+3>:    sub    $0x78,%esp


이것을 도식화하면 다음과 같습니다.

buffer(100) - sfp(4) - ret(4)
============
120 byte(120-100=20, 20 바이트의 더미)


조금 더 자세한 것은(?) 저가 쓴 글 41-43 페이지까지 참고하시기 바랍니다.