trampoline 공격은 프로세스가 로드하는 dll중에서 call reg(조작할 수 있는 범위의.)의 주소를 찾아서 ret를 call reg의 주소로 덮어 씌우고 reg의 위치에 쉘코드를 심어서 trampoline 공격을 성공 시킬수 있다.
GlobalScapeFTP를 이용하여 트램폴린 공격을 수행해보자.
id : 123, pw : 123 으로 접속을 한 후 ftp 커맨드를 입력받는 부분에 임의의 문자를 2500개를 입력 하면
ftp server가 exception이 발생하여 예외처리를 Visual Studio Debugger로 넘긴 것을 볼 수 있다.
ftp 커맨드입력에 문자열을 많이 넣으면 프로그램이 터지는 것을 확인(ret에 대한 Access violation exception이다) 할 수 있었으나
몇번째의 문자가 ret를 덮는지 알 수 없다. ret의 위치는 Eugene Ching이 만든 exploitpattern.py를 사용하여 찾을 수 있다.
exploitpattern.py는 Aa0Aa1Aa2...이런식으로 대문자,소문자,숫자 조합으로 문자열을 만들어준다.
저런방식으로 만든 문자열은 어느 곳이든지 4개를 보면 어느 위치인지 알 수 있다.
이렇게 data를 변경하여 ftp를 공격해 보면
ret가 CQ1C로 덮여서 익셉션이 발생하는 것을 볼 수 있다. CQ1C를 이용하여 ret가 몇번째 인지 찾아보자.
입력한 패턴과는 다르게 CQ1C 대문자,대문자,숫자,대문자이다.
FTP 프로토콜은 모든 커맨드 명령어가 대문자로 정의 되있다(RFC 959). ftp 서버 프로그램이 소문자를 대문자로 바꾼 다는 걸 알 수 있다.
Cq1C를 exploitpatten.py로 찾아보면
2044부터 ret임을 확인 할 수 있다. ret확인을 해보기 위한 공격을 해보면
ret가 \x42\x42\x42\x42가 되도록 공격
ret에 BBBB가 들어가서 익셉션이 발생하였다. ret가 2044부터 시작한다.
ret를 변조 할 수 있게되었다. 하지만 스택의 주소가 계속 바뀌기 때문에 ret에 쉘코드가 들어있는 주소를 직접 넣지는 못한다.
trampoline공격을 하기위해 레지스터를 보니 익셉션이 발생할 때의 ecx가 바로 밑의 스택의 주소를 갖고있다.
이제 ftp가 로딩한 dll들을 뒤져서 call ecx가 있는 주소를 찾아야한다.
msfpescan이 라는 가젯을 찾아주는 프로그램을 사용하여 call ecx의 주소를 찾을 수 있었다.
ecx가 가리키는 주소에 쉘코드를 심고 ret를 call ecx(0x165095e5)로 덮으면 공격에 성공 할 수 있다.
call ecx에 의해서 eip가 쉘코드가 있는 스택의 위치로 이동하여 쉘코드가 실행된다.
0 개의 댓글:
댓글 쓰기