시스템 해킹

1574,

7/79

vngkv123

리턴과 관련한 질문....

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_system&no=1840 [복사]

1) 일반적인 RTL시, 공유라이브러리 함수주소를 가져와서 ret에 넣고 하는데.... 일반적인 call호출과 ret에 함수주소를 가져왓을 때 exec*나 system같은 함수들이 ebp+8을 참조하게 되는데... 어떻게 진행이 되어서 ret에 ebp가 자리잡게되어서 거기로부터 참조를 하는건가요? 이럴 때 인자참조는 전부 +8을 기준으로 가져오나요?

2) 위와 같은 RTL을 막기위해 ASCII ARMOR가 고안된걸로 알고 있는데...
널바이트는 문자열의 끝으로 인식해서 더이상 진행ㅇ이 안되서 막히는걸로 알고 있네요ㅠ 근데 fake ebp나 다른 기법을 보면 상위1바이트가 널바이트인데도 뒤의 페1이로드가 그대로 진행이 되더라구요. 왜 그런거죠?

Hit : 1939 Date : 2017/03/30 11:08


pwnnnt	1. 스텍 에필로그가 끝나고 RET(pop eip, jmp eip)를 만날 때, 스택 최상단(esp)에는 해커가 바꿔놓은 함수 주소가 되어있겠죠. 그리고 함수 진입을 하며 프롤로그 과정을 마치면 새로운 스텍 프레임이 형성 됩니다. 만약 ret에 write의 plt 주소를 덮는다 가정하면 다음과 같습니다. payload = plt["write"] \| write함수의 RET(pop3ret) \| write(argv1) \| write(argv2) \| write(argv3) \| RTL될 함수 주소 \| RTL. ret \| ..... RET를 만나기전. Low High \| RET \| pop3ret \| argv1 \| argv2 \| argv3 \| RTL \| pop.... [ret] \| .... \|write.plt \| pop3ret \| argv1 \| argv2 \| argv3 \| RTL \| pop... [ret] \|.... RET를 만나 Write 함수를 진입하였을 때. Low High \| write() stack \| SFP \| pop3ret \| ebp+8 \| ebp + 12 \| ebp + 16 \| RTL \| pop ....[ret]\|.... \| write() stack \| SFP \| pop3ret \| argv1 \| argv2 \| argv3 \| ...... ㅣㅁㄴ우리암누린ㅁ 설명하기 힘드네요... 해쿨러님 기다리시면 될 듯 합니다..	2017/03/31
pwnnnt	RET를 만나고 write()함수로 진입했을 때 최상단의 값이 pop3ret이 였지만, 프롤로그 과정을 거치면서 새로운 스택 프레임이 생겨나고, ebp+8로 인자를 받아오는겁니다.	2017/03/31
pwnnnt	그리고 write()함수가 끝나면서 RET자리에 있는 pop3ret 을 만나 write 인자 3개를 pop으로 꺼내주고, 다음 실행 될 라이브러리 주소를 만나며 chain 이 되는겁니다.	2017/03/31
pwnnnt	(사실 이 지식은 100% 제 주관적인 생각이며, 틀릴 가능성이 농후합니다.) 정답은 해쿨러님이 ...꺆 >< 2번은 저도 궁금하군요, 좋은 질문인 것 같습니다.	2017/03/31
pwnnnt	제 경험상 read()함수 같은거는 크기로 받아들여서 \x00 바이트도 읽는 것 같습니다.	2017/03/31
vngkv123	ㅎㅎ 해쿨러님과 더불어 매번 답변 감사드립니다 ㅎㅎ	2017/03/31
pwnnnt	흐,,, 아닙니다. 저도 이제 막 포너블 시작해서 틀린 정보일 수도 있습니다 ㅜㅜㅜ 거기다 설명도 너무 못해서ㅋㅋㅋㅋㅋㅋㅋ부끄럽네요.	2017/03/31
vngkv123	혼자 맨땅에 헤딩중인데 재미있으면서도 힘드네요 ㅜ ㅋㅋㅋㅋ	2017/03/31
pwnnnt	열심히 하셔서 보기 좋네요 :D !!!!! 같이 힘내서 계속 공부해용 !	2017/03/31

1454

버퍼오버플로우 관련 질문..[1]

ewqqw

04/17

2320

1453

ubuntu 16.04 UAF버그..[10]

vngkv123

04/16

3096

1452

gdb 분석 disas[5]

ewqqw

04/16

2122

1451

pwntools 를 이용한 익스 질문[6]

tkakr7458

04/16

7234

1450

버퍼오버플로우 질문....[2]

ewqqw

04/16

2272

1449

IDA에서 소스코드를 복원했을때[5]

vngkv123

04/13

3516

1448

aslr 환경에서...[2]

vngkv123

04/12

2518

1447

asis CTF 문제풀다가....[4]

vngkv123

04/12

2233

1446

pwnable kr OTP문제...[2]

vngkv123

04/09

2755

1445

64bit elf파일 디버깅시[6]

vngkv123

04/08

2485

1444

gdb에서...[2]

vngkv123

04/05

2140

1443

문제 방향성...[11]

vngkv123

04/04

2405

1442

2013 plaid ctf rop ..[14]

vngkv123

04/02

2454

1441

python 페1이로드 작성시[1]

vngkv123

04/02

1895

1440

용어들 질문..[6]

vngkv123

04/01

2339

1439

stripped된 바이너리파일을 디버깅할때...[5]

vngkv123

04/01

2511

1438

fc10 fc14...[1]

vngkv123

04/01

2043

1437

gdb에서 call이후 브레이크를 걸었을때..[10]

vngkv123

03/31

2003

리턴과 관련한 질문....[9]

vngkv123

03/30

1938

1435

rop gadget찾을 때....[1]

vngkv123

03/30

2111

[1][2][3][4][5][6] 7 [8][9][10]..[79]