스택 오버플로우 VS 스택 버퍼 오버플로우 스택 오버플로우 : 스택영역이 너무 많이 확장돼서 발생하는 버그 스택 버퍼 오버플로우 : 스택에 위치한 버퍼에 버퍼의 크기보다 많은 데이터가 입력되어 발생하는 버그 (스택의 버퍼에서 발생하는 오버플로우) 버퍼(buffer)란? 데이터가 목적지로 이동되기 전에 보관되는 임시 저장소 스택 버퍼 : 스택에 있는 지역변수 힙 버퍼 : 힙에 할당된 메모리 영역 Ex1) 데이터 변조 - 버퍼 오버플로우로 인해 뒤의 데이터 값을 변조시킬 수 있다. Ex2) 데이터 유출 c언어에서 문자열의 끝을 null로 인식하는데 버퍼 오버플로우를 통해 null을 없애주면 뒤의 데이터까지 함께 읽는 것이 가능해진다. Ex3) 실행흐름조작 예를 들면 함수의 ret에 자신이 실행하고 싶은 명령..

셸코드란? -> 익스플로잇을 위해 제작된 어셈블리 코드 조각 일반적으로 셸을 획득하는 것이 목적! 어셈블리어로 이루어져있음 Ex) 해커가 rip를 자신이 작성한 셸코드로 옮기면 해커가 원하는 어셈블리 코드를 실행할 수 있음 orw 셸코드 작성 - 파일을 열고 읽은 뒤 화면에 출력해주는 셸코드! /** * /tmp/flag를 읽는 셸코드 */ char buf[0x30]; int fd = open("/tmp/flag", RD_ONLY, NULL); read(fd, buf, 0x30); // 파일 읽고 buf에 저장 write(1, buf, 0x30); // buf 에 있는 값 write 위는 우리가 만들 셸 코드의 c언어 의사코드 1. int fd = open(“/tmp/flag”, O_RDONLY, NUL..

1. process & remote - process : 익스플로잇을 로컬 바이너리를 대상으로 할 때 사용하는 함수 (테스트 & 디버깅 용) - remote : 원격 서버를 대상으로 할 때 사용 (서버를 실제 공격하기 위함) from pwn import * p = process('./test') #로컬 바이너리 'test'를 대상으로 익스플로잇 수행 p = remote('example.com',31337) #'example.com'의 31337 포트에서 실행 중인 프로세스를 대상으로 익스플로잇 수행 2. send - send : 데이터를 프로세스에 전송하기위해 사용 from pwn import * p = process('./test') p.send('A') # ./test에 'A'를 입력 p.sendli..

gdb는 리눅스의 대표적인 디버거중 하나! ELF - 리눅스 실행 파일 형식 - 크게 헤더와 여러 형식으로 이루어짐 --> ELF 의 헤더에 진입점(EP) 필드 존재 (OS는 ELF를 실행할 때 EP부터 프로그램 실행) //해당 명령어를 통해 진입점 확인 가능 //entry point address readelf -h debugee(파일명) entry point address : 0x1060 gdb에서 start 명령어를 입력하면 진입점 주소를 rip가 가리키고 있는 것을 볼 수 있다. gdb (gdb) start 1. registers : 레지스터의 상태를 보여줌 2. disasm : rip부터 여러줄에 걸쳐 디스어셈블(기계어 -> 어셈블리)된 결과를 보여줌 3. stack : rsp부터 여러줄에 걸쳐..

dreamhack을 통해 공부한 내용을 정리한 포스트입니다. 피연산자 종류 - 상수 - 레지스터 - 메모리 (BYTE(1), WORD(2), DWORD(4), QWORD(8)) 데이터의 이동 - MOV a, b => b에 있는 값을 a에 대입 - LEA a,b => b의 주소값을 a에 대입 EX) mov eax, dword ptr ss:[ebp-4] 의 경우에는 [ebp-4]가 하나의 주소로 해당 주소의 값을 eax에 대입한다. lea eax, dword ptr ss:[ebp-4] 의 경우에는 mov eax, ebp 후에 sub eax,4 를 하는 것과 같다. +) [ ] 기호는 주소의 참조값을 의미하며 [ ] 안에서 주소의 사칙 연산이 이루어진다. 산술연산 - add a,b => a= a+b - sub..

프롤로그(시작 부분) 1. main()에서 함수를 호출하면 복귀주소, 즉 RET를 스택에 저장한다. 2. 이전 함수의 스택의 시작점(ebp)를 스택에 저장한다. 통상적으로 SFP 라고 많이 불린다. 이는 함수가 끝나고 다시 돌아갈 떄 스택을 온전히 복구하기 위함이다. 3. ebp를 esp가 있는 위치로 이동시킨다. 4. 지역변수 할당 등 스택의 기능 수행 에필로그 1. esp를 ebp위치로 보낸다. (지역변수 삭제/pop) 2. pop ebp => 스택의 꼭대기 값을 ebp에 집어넣는다. => 이전 함수의 ebp 3. pop eip => 프로그램의 흐름을 RET로 넘긴다. (eip는 다음 실행할 명령어를 담는 레지스터) 참고: ARGOS 시스템해킹 교육자료

rax rbx rcx rdx rsi rdi rbp r8 r9 r10 r11 r12 r13 r14 r15 rsp rip 범용 레지스터 용도가 특별하게 정해지지 않은 레지스터로, 변수와 같은 역할을 한다. 용도가 정해져 있지 않지만 때에 따라 그 쓰임새가 정해져 있는 경우도 존재 (rax는 함수 리턴값 rsi는 함수 파라메터) 함수 호출 규약 함수가 실행될 때 필요한 인자들을 저장하는 레지스터도 존재한다. (rdi rsi rcx rdx ...) 스택포인터 스택의 가장 위쪽을 가리킨다. 스택은 함수가 사용할 지역 변수들을 저장하기 위해 준비해놓은 공간이다. (rsp) 프로그램 카운터 rip는 프로그램카운터의 역할을 한다. 프로그램 카운터는 다음에 실행될 명령어가 위치한 주소를 가리킨다. mov a, b b를 ..

이번엔 동아리 교육에서 버퍼오버플로우에 대해 배웠다. 기본 메모리 구조 주어진 영역을 넘어 값을 더 넣을 수 있게 되는 취약점 Ex) gets함수는 입력값을 계속해서 받을 수 있고 각각의 변수들은 연속된 메모리에 저장되어있기 때문에 bof에 대한 입력을 크기 4이상으로 입력했을때 target의 값으로 침범하게 된다. 이것이 바로 버퍼오버플로우이다. (변수들은 연속된 메모리 공간에 할당되는데 이 순서는 바이트 크기순인가??) 참고: ARGOS 시스템해킹 교육자료

어셈블리어 기계어와 일대일 대응되는 언어. 실행파일만 있어도 어셈블리 코드를 볼 수 있다. 이진수로 된 기계어를 "디컴파일러" 를 이용하여 어셈블리어로 된 코드를 얻어내고, 이를 분석한다. 디버거 GDB(GNU Debugger) C, C++ 등으로 만들어진 실행 파일을 디버깅하는 도구 1. 시작/종료 시작: gdb [프로그램명] 종료: quit or q 2. 문법 변경 set disassembly-flavor intel 3. 분석 해당 함수 코드: disas [함수이름] 실행 : run or r 브레이크 포인트 : b [지점] 브레이크 포인트 걸린 위치 코드 : disas 브레이크 포인트 다 지우기: d or dis 다음 명령어 : ni 진행 : c 강제 점프 : jump [위치] -> 함수, 행, 메모..