시스템 해킹

1576,

1/79

in_reason

ftz level11번 문제에 대한 질문이 있습니다.

http://www.hackerschool.org/HS_Boards/zboard.php?AllArticle=true&no=1937 [복사]

ftz levvel11번에 대한 궁금즘이 있어 질문을 하게 되었습니다.
gdb를 통하여 level11의 attackme를 디버깅 해보면

Dump of assembler code for function main:
0x08048470 <main+0>:    push   ebp
0x08048471 <main+1>:    mov    ebp,esp
0x08048473 <main+3>:    sub    esp,0x108
0x08048479 <main+9>:    sub    esp,0x8
0x0804847c <main+12>:   push   0xc14
0x08048481 <main+17>:   push   0xc14
0x08048486 <main+22>:   call   0x804834c <setreuid>
0x0804848b <main+27>:   add    esp,0x10
0x0804848e <main+30>:   sub    esp,0x8
0x08048491 <main+33>:   mov    eax,DWORD PTR [ebp+12]
0x08048494 <main+36>:   add    eax,0x4
0x08048497 <main+39>:   push   DWORD PTR [eax]
0x08048499 <main+41>:   lea    eax,[ebp-264]
0x0804849f <main+47>:   push   eax
0x080484a0 <main+48>:   call   0x804835c <strcpy>
0x080484a5 <main+53>:   add    esp,0x10
0x080484a8 <main+56>:   sub    esp,0xc
0x080484ab <main+59>:   lea    eax,[ebp-264]
0x080484b1 <main+65>:   push   eax
0x080484b2 <main+66>:   call   0x804833c <printf>
0x080484b7 <main+71>:   add    esp,0x10
0x080484ba <main+74>:   leave
0x080484bb <main+75>:   ret
0x080484bc <main+76>:   nop
0x080484bd <main+77>:   nop
0x080484be <main+78>:   nop
0x080484bf <main+79>:   nop
End of assembler dump.

이렇게 뜨게 되는데, 여기서 다른 사람들의 글을 보면 main+30부분이 SFP와 RET를 각각 4byte만큼 선언해 준다고 나와있는데 SFP와 RET인지 어떻게 구분하는지 궁금합니다.

그리고 제가 아는 지식으로는 모든 함수는 사용할 때 ret를 선언하고 실행하는것으로 알고있는데 여기서 setreuid는 필요하고 strcpy는 그렇게 중요하지 않아서 strcpy의 ret값을 이용해서 쉘을 탈취하는건가요?

그렇다면 printf와 setreuid에도 SFP와 ret값이 선언되는건가요?

질문 정리
1. SFP와 RET인지 아니면 일반 sub인지 구분하는 방법
2. 모든 함수에 ret값이 있는지 없는지
    있다면 printf의 ret값에서도 쉘 탈취가 가능한지

고수님들의 답변이 필요합니다.

Hit : 2482 Date : 2018/09/10 11:40


gihacker	모든 함수를 실행할때는 스택에 ret를 푸쉬합니다 call 명령어는 사실 축약된 명령어구요	2018/09/10
dc4458	call 을 하면 ret 주소가 푸쉬되고 서브루틴안에서 sfp가 푸쉬됩니다. 말씀하신 sub는 그냥 공간확보인것 같네요. 문맥상으로는 setreuid가 ret 한뒤에 setreuid가 사용한 스택을 add 와 sub로 정리해준것 같습니다. 모든 서브루틴은 ret 합니다. 당연히 printf에도 ret명령어가 있구요 어떤 방법을 사용해서 ret 주소를 덮어씌운다면 원하는 코드를 실행시킬수가 있겠죠.	2018/09/27
dc4458	하지만 문제에서는 printf나 strcpy의 ret주소값을 덮어씌울 수 가 없습니다. 문자열이 카피될 공간의 주소가 먼저 선언되고 후에 함수들이 콜되기 때문에 위 함수들의 ret 값들은 문자열이 카피될 공간의 주소보다 항상 낮은 주소에 위치하게 되므로 어떤 문자열을 전달해줘도 ret값을 덮어씌울 수 가 없습니다. strcyp가 콜이 된 직후의 스택을 그리면 다음과 같습니다. strcpy의 ret주소 - strcpy의 인자1 - strcpy의 인자2 - 문자열이 카피될 공간 - 메인의 SFP - 메인의 ret주소 - 메인에 전달된 인자들... 순서기 때문에 문자열이 카피될공간에 어떤 문자열이 들어가도 뒤에 나오는 메인의 SFP 나 메인의 RET 주소들만 덮어 씌울 수 있습니다.	2018/09/27