Study_IT

스택의 기본적인 메모리 구조는 다음과 같다. 

SFP는 Saved Frame Pointer 의 약자로 실행될 때 이전의 EBP값을 가지고 있다. EBP는 현재 스택의 가장 바닥을 가리키는 포인터로 새로운 함수가 호출되면 EBP 레지스터 값이 지금까지 사용하던 스택 꼭대기의 위에 위치하게 되며, 새로운 스택이 시작된다. EBP는 새로운 함수가 호출되거나 현재 실행중인 함수가 종료되어 리턴될 때 마다 값이 달라진다. 현재 함수가 끝나면 이전 함수의 EBP가 필요하게 되는데, 이 이전 함수의 EBP를 저장하는 공간이 SFP이다. 

SFP는 32bit에서는 4byte, 64bit에서는 8byte이다. 

RET는 pop eip 와 jmp eip를 수행하는데 다음 수행할 명령을 eip에 넣고 그 주소로 가서 실행하는 것이다. 따라서 버퍼 오버플로우에서 RET에 함수 주소나 쉘코드를 덮어쓰면 그 함수나 코드가 실행되는 것이다. 

RET도 32bit에서는 4byte, 64bit에서는 8byte이다.

버퍼는 지정된 크기의 메모리 공간이라는 뜻이다.

버퍼 오버플로우는 버퍼가 지정한 크기의 데이터 보다 더 많은 값이 저장되서 버퍼가 넘치는 취약점이다.

발생하는 위치에 따라 스택 버퍼 오버플로우, 힙 오버플로우 같이 구분된다.

pwntools는 리눅스에서 익스플로잇을 쉽게 짤 수 있도록 해주는 파이썬 라이브러리 이다.

리눅스에서 다음의 명령어들로 설치할 수 있다.

apt-get install python2.7-dev python-pip
pip install pwntools
apt-get install libcapstone-dev

파이썬에서 사용은 다음 코드로 시작한다.

from pwn import *

- NC

nc 서버는 remote("IP", port)의 형식으로 연결한다.

p = remote("100.100.100.100", 9000)

- Local

로컬의 프로그램에 연결할 때는 process(PATH)의 형식으로 사용한다.

p = process("./test")

- SSH

ssh로 연결할 때는 ssh(USERNAME, IP, PORT, PASSWORD)의 형식으로 연결한다.

p = ssh("test", "127.0.0.1", port=3000, password="test")

- recv

recv는 연결된 서버나 프로그램에서 출력하는 문자열을 받아오는 것이다.

recvline()은 출력되는 문자열 한 줄을 받아온다.

p.recvline() 와 같이 사용한다.

recvuntil(str)은 괄호 안에 지정한 문자열까지 받아온다. 

p.recvuntil("Hello")처럼 사용하면 서버에서 출력하는 문자열중에 Hello라는 문자열 까지 받아온다.

recv(int)는 int에 지정한 숫자만큼 문자열을 받아온다.

p.recv(2048) 처럼 사용한다.

- ELF

elf 바이너리를 넣어 elf파일에 적용되어있는 보호기법, plt, got, 아키텍쳐 등의 정보를 확인할 수 있다.

ELF(파일 이름)의 형식으로 사용한다.

.plt, .got 등으로 plt와 got 정보를 확인할 수 있다.

- send

send()는 괄호 안에 있는 값을 보낸다.

p.send("data")

sendline()은 괄호 안에 있는 값을 한 줄로 보낸다.

p.sendline("data")

- packing

p32()는 괄호 안의값을 32비트 리틀 엔디안 방식으로 패킹해준다.

p64()는 괄호 안의 값을 64비트 리틀 엔디안 방식으로 패킹해준다.

- interactive

remote 또는 process 등으로 생성한 연결에 쉽게 상호작용(명령어전달)을 할 수 있다.

p.interactive() 와 같이 사용한다.

- fmtstr_payload

fmtstr_payload()는 지정한 위치에 기존 함수 주소를 다른 함수 주소로 덮어 쓰는 payload를 자동으로 만들어준다.

fmtstr_payload(offset, {기존 함수 주소 : 덮어쓸 함수 주소}) 와 같은 형식으로 사용한다.

last update : 2021.03.20 (새로 알게되는 함수들이 있으면 추가할 예정)

문제 파일을 실행해 보면 다음과 같이 두번 입력을 받고 있다.

file 명령으로 파일을 확인해보면 32비트 리눅스 실행파일임을 확인할 수 있다.

이 프로그램에서 사용된 함수의 목록은 다음과 같다.

main 함수는 다음과 같다.

printf 함수로 Name: 과 input : 을 출력하고, 두 번의 입력 중 한 번은 read 함수로, 다른 한 번은 gets 함수로 입력을 받고 있는 것 같다.

main 함수를 IDA 헥스레이로 확인해보면 다음과 같다.

20크기의 배열이 선언되어 있고, gets 함수를 통해서 s에 값을 입력받는다. 입력받을 때 입력받는 값을 제한하지 않아서 bof 가 발생할 수 있다. 프로그램 내부에 시스템 함수가 없어서 쉘 코드를 넣어야 하는데 s는 크기가 20밖에 안되서 전역변수 name을 사용해야 할 것 같다.

전역변수 name의 주소는 0x804A060 이다.

name 변수에 쉘 코드를 넣고 배열 s 를 이용하여 name 변수의 쉘 코드를 실행해야 하는데, name 변수의 주소를 덮어 써서 쉘을 실행하려면 RET에 덮어써야 하므로 배열 s의 크기 20에 sfp 4byte를 더한 24byte를 채우고 name변수의 주소를 넣으면 된다.

쉘 코드는 shell-storm.org/shellcode 사이트에서 만들어진 쉘 코드를 사용할 수 있다.

다음과 같이 파이썬 코드를 짜고 실행하면 쉘을 딸 수 있다.

문제 이름으로 문제를 예상해 봤을 때 FSB취약점을 이용한 문제인 것 같아서 FSB 취약점에 대해 찾아보니 Format String Bug 라는 뜻으로 포맷 스트링을 사용하는 함수에서 %s 와 같은 포맷 스트링 문자를 사용자가 통제할 수 있을 때 발생하는 취약점이라 한다.

file 명령어를 통해 확인하면 리눅스 32비트 실행파일임을 확인할 수 있다.

gdb로 main 함수를 확인하면 다음과 같다.

스택에 eax(0x804a044) 값을 넣어주고, setvbuf 함수를 실행하고 있다.

setvbuf함수는 스트림의 버퍼링과 버퍼 크기를 모두 제어할 수 있는 함수이다.

이후 vuln 함수가 실행되고 있다.

vuln 함수를 확인해보면 다음과 같다.

해당 함수의 주소에 접근할 수 없다고 한다.

main 함수를 IDA 헥스레이로 보면 다음과 같다.

setvbuf 함수와 vuln 함수만 실행되고 있고, 어셈블리 코드에서 setvbuf 함수가 실행되기 전에 push 됬던 값들이 setvbuf 함수의 인자로 들어가고 있다.

vuln 함수는 다음과 같다.

vuln 함수에서 값을 입력받고, 입력받은 값을 출력해준다. 그리고 format 출력을 반환한다. snprintf는 버퍼 오버플로우를 막기 위해 두번째 인자로 문자열의 길이를 지정하는 함수라고 한다.

snpintf함수에서 입력받은 값을 format 버퍼에 저장하고 있고, 이후 printf함수에서 포맷 스트링 없이 format 변수를 그대로 출력하고 있다.

IDA로 프로그램을 봤을 때 flag 라는 함수도 있어서 이 함수도 확인해 봤다.

flag 함수에서 system 함수로 쉘을 실행하고 있고 결과적으로 이 함수를 실행시켜야 할 것 같다.

vuln 함수와 flag 함수의 주소는 다음같다.

vuln : 0x0804854b

flag : 0x080485b4

또한 다음과 같이 프로그램을 실행시키고 포맷 스트링을 입력하여 FSB 취약점이 있다는 것을 확인할 수 있다.

2번째 포맷스트링부터 입력한 AAAA가 들어가고 있다.

AAAA가 들어간 위치에 printf@got 주소를 넣고, %n으로 flag()함수 주소의 10진수 값에서 앞에서 입력한 4byte 만큼을 뺀 값(134514096)을 넣으면 flag 함수가 실행되서 쉘을 딸 수 있다.

file 명령어로 문제 파일을 확인해보면 리눅스 32비트 실행파일임을 확인할 수 있다.

gdb로 메인 함수를 보면 다음과 같다.

저번 문제와 다르게 main 함수에서 시스템 함수를 실행하고 있지 않고, fgets 함수로 입력값만 받고 있다.

info func로 이 프로그램에서 정의된 함수 목록을 확인하면 다음과 같다.

system 함수가 사용되고 있고, shell 이라는 함수가 정의되어 있다. shell 함수의 내용을 보면 다음과 같다.

shell 함수안에서 system 함수가 사용되고 있으므로 프로그램에서 shell 함수를 실행시키면 system 함수가 실행되서 쉘을 딸 수 있을 것 같다.

우선 main함수를 ida 헥스레이로 확인하면 다음과 같다.

128 크기의 배열을 선언하였고, v5라는 비어있는 포인터 변수가 선언되어 있다.

다시 main 함수의 어셈에서 한줄씩 실행하다 보면 main+59, call eax 를 실행했을 때 프로그램을 실행하고 값을 입력했을 경우 출력되는 문자열이 나온다. 이것이 main 함수 hex-ray에서 8번째 줄 v5(); 에 해당하는 값 같고, fgets 함수가 실행될 때 오버플로우를 발생시켜 v5에 저장된 값을 내가 원하는 값으로 덮으면 될 것 같다.

또한 shell 함수를 ida 헥스레이로 확인하면 다음과 같다.

시스템 함수로 dash 쉘을 실행시키고 있다. 따라서 v5의 값을 덮어서 shell() 함수를 실행시키도록 해야 할 것 같다. v5는 포인터 변수이기 때문에 v5에 shell 함수의 주소가 들어가면 v5(); 코드를 실행했을 때 shell 함수가 실행 될 것이다.

shell 함수의 주소는 info func를 통해 함수 정보에서 확인할 수 있고, 0x804849b 이다.

main 함수에서 call eax; 에 breakpoint를 걸고 실행하여 A를 130개 넣어보니 입력받는 문자열을 저장할 배열의 크기는 128이지만 변수의 범위를 넘어서서도 A로 덮이는 것을 확인할 수 있다.

따라서 A를 128개 채우고 이후에 shell 함수의 주소로 덮으면 v5 값이 shell 함수의 주소로 덮여서 v5();를 실행하면 shell 함수가 실행될 것이다.

다음과 같이 익스 코드를 짜면 플래그를 확인할 수 있다.