시스템 해킹

1574,

4/79

hacker619

버퍼오버플로우 eggshell 에서 궁금한 점이 있습니다. (소스코드를 분석하던중...)

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_system&no=310 [복사]

버퍼오버플로우를 공부하고 있는데요...
초보라 이해가 가지 않는 부분이 있어서 ㅠ_ㅠ...
여러곳 찾아다녀봤지만 속시원히 답을 해놓은곳이 없었기에 여기에 올립니다 ^^
일단 한번 보시고... =_=
소스코드는 이러합니다.

#include <stdlib.h>

#define DEFAULT_OFFSET 0
#define DEFAULT_BUFFER_SIZE 512
#define DEFAULT_EGG_SIZE 2048
#define NOP 0x90

char shellcode[] = " " // 쉘코드 생략

unsigned long get_esp(void)
{
__asm__("movl %esp,%eax");
}

void main(int argc, char *argv[])
{
char *buff, *ptr, *egg;
long *addr_ptr, addr;
int offset=DEFAULT_OFFSET, bsize=DEFAULT_BUFFER_SIZE;
int i, eggsize=DEFAULT_EGG_SIZE;

if(argc > 1) bsize = atoi(argv[1]);
if(argc > 2) offset = atoi(argv[2]);
if(argc > 3) eggsize = atoi(argv[3]);
if(!(buff = malloc(bsize)((
{
printf("Can't allocate memory. \n");
exit(0);
}
if(!(egg = malloc(eggsize)))
{
printf("Can't allocate memory. \n");
exit(0);
}
addr = get_esp() - offset;
printf("Using address : 0x%x\n", addr);
.
.
.
.

대략 소스코드는 이러합니다 -_-a 다쓰기엔 너무 긴 코드라는 ㅠ_ㅠ...
제가 궁금한 곳은요...
get_esp 함수부분인데요...
함수이름을 보시면 알 수 있듯이 스택포인터를 얻어내는 것입니다.
addr = get_esp() - offset;
이 구문에서 분명 get_esp() 는 위와 같은 역할을 하도록 되어있는데요.
그치만 get_esp함수에는 movl 이란 어셈블리어만 있을뿐
리턴에 관한것은 아무것도 없는데 어떻게 스택포인터가 리턴이 되는지 모르겠습니다...
정리하면 eax레지스터로 esp레지스터에 있는 내용을 복사했을뿐인데
어떻게해서 이 값이 리턴될 수 있는지 모르겠습니다.
많은 관심 부탁드립니다 ㅠ_ㅠ;;

Hit : 5918 Date : 2004/10/20 03:56


indra	<a href=http://indra.linuxstudy.pe.kr/mydata/egg.txt, target=_blank>http://indra.linuxstudy.pe.kr/mydata/egg.txt,</a> <a href=http://indra.linuxstudy.pe.kr/mydata/egg-new.txt target=_blank>http://indra.linuxstudy.pe.kr/mydata/egg-new.txt</a>	2004/10/21
indra	아.. 비공개인데.. 쩝..-_-; 아까도 아는 후배가 물어봐서 대답해 줬는데요.. eax, ebx, ecx, edx 이상 네가지는 결과레지스터 입니다.	2004/10/21
indra	system call 동작구조의 특성상 eax 의 값이 return 값이 됩니다. 함수가 종료되면서 eax 레지스터의 값을 return 하게 됩니다.	2004/10/21
indra	ptrace exploit 의 경우도 getuid(), getpid(), 등의 함수의 경우 eax 레지스터에 ptrace() 로 접근하여 eax레지스터를 수정함으로 인해	2004/10/21
indra	함수의 반환값을 변경시킬 수 있다는것을 증명해 줄 수 있습니다.	2004/10/21
indra	위에 링크된 문서는.. 비공개 버전으로 만들어서 걸러지지 않은 말들이 있을겁니다.. 잘 걸러서 보세요..	2004/10/21
hacker619	인드라님 감사합니다 ^^ 여기저기에 있는 많은 문서들 고맙게 잘 보고있어요 ㅎㅎ 이번에도 많은 도움이 됐습니다 =_=	2004/10/21
...	indra님 위 소스에서 shellcode[]의 값은 어떻게 알아내는건가요? 알아내는 방향좀..부탁드립니다.	2004/10/25
indra	제가 질문을 잘 이해했는지는 모르겠습니다만, 질문하신 요지는.. shellcode 의 개략적인 설명을 원하시는것 같은데,	2004/10/25
indra	shellcode는 여러가지 형태로 존재합니다. 위의것은 execve("/bin/sh", "/bin/bash\0", NULL); 함수로 동작하는 shellcode 이며, 이 외에	2004/10/25
indra	remote exploit(외부공격)에 이용되는 socket 을 사용해 특정포트를 열어 명령을 실행시킬 수 있는 bind shellcode 도 있습니다.	2004/10/25
indra	보통은 배포된 shellcode 를 실행하기 위해 두가지 방법이 존재하는데 가장 많이 알려진 방법은 main() 함수 위의 리턴어드레스를 shellcode 의 주소로 변경해서 실행	2004/10/25
indra	하는 방법. 즉, int main() { int ret; ret = (int)&ret + 2; (*ret) = (int)shellcode; } 형태입니다.	2004/10/25
indra	나머지 제가 알고 있는 방법은 C의 함수포인터를 사용한 방법입니다.	2004/10/25
indra	후자의 함수포인터를 이용한 shellcode 를 짜는 방법은 아래의 주소로 가시면 제가 대략 정리해 놓은 글을 보실 수 있습니다.	2004/10/25
indra	<a href=http://indra.linuxstudy.pe.kr/mydata/Using target=_blank>http://indra.linuxstudy.pe.kr/mydata/Using</a> a pointer to a function to execute shellcode.txt	2004/10/25
indra	두번째 리플의 execve("/bin/sh", "/bin/bash\0", NULL); 를 execve("/bin/sh", "/bin/sh\0", NULL); 로 정정합니다.	2004/10/25
...	indra님 정성깃든 답변 너무 감사드립니다... 근데 제 질문의 요지는.... shellcode[]="\x31\xc9\..." 이부분에 대한...질문이었는데...	2004/10/28
...	위의 답변두 너무 좋은 정보네요. 감사합니다...(__)	2004/10/28