시스템 해킹

1574,

3/79

in_reason

ftz level11번 문제에 대한 질문이 있습니다.

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_system&no=1937 [복사]

ftz levvel11번에 대한 궁금즘이 있어 질문을 하게 되었습니다.
gdb를 통하여 level11의 attackme를 디버깅 해보면

Dump of assembler code for function main:
0x08048470 <main+0>:    push   ebp
0x08048471 <main+1>:    mov    ebp,esp
0x08048473 <main+3>:    sub    esp,0x108
0x08048479 <main+9>:    sub    esp,0x8
0x0804847c <main+12>:   push   0xc14
0x08048481 <main+17>:   push   0xc14
0x08048486 <main+22>:   call   0x804834c <setreuid>
0x0804848b <main+27>:   add    esp,0x10
0x0804848e <main+30>:   sub    esp,0x8
0x08048491 <main+33>:   mov    eax,DWORD PTR [ebp+12]
0x08048494 <main+36>:   add    eax,0x4
0x08048497 <main+39>:   push   DWORD PTR [eax]
0x08048499 <main+41>:   lea    eax,[ebp-264]
0x0804849f <main+47>:   push   eax
0x080484a0 <main+48>:   call   0x804835c <strcpy>
0x080484a5 <main+53>:   add    esp,0x10
0x080484a8 <main+56>:   sub    esp,0xc
0x080484ab <main+59>:   lea    eax,[ebp-264]
0x080484b1 <main+65>:   push   eax
0x080484b2 <main+66>:   call   0x804833c <printf>
0x080484b7 <main+71>:   add    esp,0x10
0x080484ba <main+74>:   leave
0x080484bb <main+75>:   ret
0x080484bc <main+76>:   nop
0x080484bd <main+77>:   nop
0x080484be <main+78>:   nop
0x080484bf <main+79>:   nop
End of assembler dump.

이렇게 뜨게 되는데, 여기서 다른 사람들의 글을 보면 main+30부분이 SFP와 RET를 각각 4byte만큼 선언해 준다고 나와있는데 SFP와 RET인지 어떻게 구분하는지 궁금합니다.

그리고 제가 아는 지식으로는 모든 함수는 사용할 때 ret를 선언하고 실행하는것으로 알고있는데 여기서 setreuid는 필요하고 strcpy는 그렇게 중요하지 않아서 strcpy의 ret값을 이용해서 쉘을 탈취하는건가요?

그렇다면 printf와 setreuid에도 SFP와 ret값이 선언되는건가요?

질문 정리
1. SFP와 RET인지 아니면 일반 sub인지 구분하는 방법
2. 모든 함수에 ret값이 있는지 없는지
    있다면 printf의 ret값에서도 쉘 탈취가 가능한지

고수님들의 답변이 필요합니다.

Hit : 1877 Date : 2018/09/10 11:40


gihacker	모든 함수를 실행할때는 스택에 ret를 푸쉬합니다 call 명령어는 사실 축약된 명령어구요	2018/09/10
dc4458	call 을 하면 ret 주소가 푸쉬되고 서브루틴안에서 sfp가 푸쉬됩니다. 말씀하신 sub는 그냥 공간확보인것 같네요. 문맥상으로는 setreuid가 ret 한뒤에 setreuid가 사용한 스택을 add 와 sub로 정리해준것 같습니다. 모든 서브루틴은 ret 합니다. 당연히 printf에도 ret명령어가 있구요 어떤 방법을 사용해서 ret 주소를 덮어씌운다면 원하는 코드를 실행시킬수가 있겠죠.	2018/09/27
dc4458	하지만 문제에서는 printf나 strcpy의 ret주소값을 덮어씌울 수 가 없습니다. 문자열이 카피될 공간의 주소가 먼저 선언되고 후에 함수들이 콜되기 때문에 위 함수들의 ret 값들은 문자열이 카피될 공간의 주소보다 항상 낮은 주소에 위치하게 되므로 어떤 문자열을 전달해줘도 ret값을 덮어씌울 수 가 없습니다. strcyp가 콜이 된 직후의 스택을 그리면 다음과 같습니다. strcpy의 ret주소 - strcpy의 인자1 - strcpy의 인자2 - 문자열이 카피될 공간 - 메인의 SFP - 메인의 ret주소 - 메인에 전달된 인자들... 순서기 때문에 문자열이 카피될공간에 어떤 문자열이 들어가도 뒤에 나오는 메인의 SFP 나 메인의 RET 주소들만 덮어 씌울 수 있습니다.	2018/09/27

1534

shell code 작성[3]

turttle2s

12/22

1786

1533

시스템 해킹 포트포워딩 질문[5]

qwaszx587

12/20

2038

1532

'시스템 해킹' 이라는 용어에 대해서[2]

choboKing

12/15

2049

1531

pwnable.kr bof 문제!!![2]

hackxx123

12/12

2503

1530

툴키디 관련 질뮨[2]

qwaszx587

12/03

2038

1529

시스템 해킹 : 리눅스 기초편(아이피보는법)[1]

rjsdn1578

11/03

3341

1528

FTZ level4 질문[8]

turttle2s

11/02

1892

1527

RTL질문![1]

Sp4wn

10/20

2112

1526

LOB 세그먼트 디폴트 오류.. 좀 알려주세요 ㅠ[2]

qustkdrn

10/06

1676

1525

argv[2]의 주소를 알고 싶습니다.[2]

ka0r1

09/23

2336

1524

LOB 고블린 클리어 했습니다만 궁금한게 있네요.[3]

ka0r1

09/23

1911

1523

F.T.Z 14단계[4]

ka0r1

09/21

1961

1522

L.O.B goblin[1]

ka0r1

09/16

1939

1521

포맷스트링 취약점 질문[1]

bufferover

09/14

2794

ftz level11번 문제에 대한 질문이 있습니다.[3]

in_reason

09/10

1876

1519

ftz level4 파일이 안만들어집니다..[1]

m914

08/20

1781

1518

ftz level5 링크오류?

don1004

08/09

1849

1517

센토스에서 맥 원격접속

ig0102

07/21

1998

1516

FTZ level4번 문제 궁금한 점이 있어 질문 드립니다.

in_reason

07/18

1744

1515

ftz 맥으로 ssh 접속 [1]

bunggl

06/30

2363

[1][2] 3 [4][5][6][7][8][9][10]..[79]