Big BOF를 이용하여 버퍼에 쉘코드를 넣고 RET를 쉘코드가 있는 위치로 덮어 씌우면 공격에 성공 할 수 있다. 하지만 스택의 주소가 같지 않기 때문에 나온 방법이 trampoline공격이다.
trampoline 공격은 프로세스가 로드하는 dll중에서 call reg(조작할 수 있는 범위의.)의 주소를 찾아서 ret를 call reg의 주소로 덮어 씌우고 reg의 위치에 쉘코드를 심어서 trampoline 공격을 성공 시킬수 있다.
GlobalScapeFTP를 이용하여 트램폴린 공격을 수행해보자.
id : 123, pw : 123 으로 접속을 한 후 ftp 커맨드를 입력받는 부분에 임의의 문자를 2500개를 입력 하면
ftp server가 exception이 발생하여 예외처리를 Visual Studio Debugger로 넘긴 것을 볼 수 있다.
ftp 커맨드입력에 문자열을 많이 넣으면 프로그램이 터지는 것을 확인(ret에 대한 Access violation exception이다) 할 수 있었으나
몇번째의 문자가 ret를 덮는지 알 수 없다. ret의 위치는 Eugene Ching이 만든 exploitpattern.py를 사용하여 찾을 수 있다.
exploitpattern.py는 Aa0Aa1Aa2...이런식으로 대문자,소문자,숫자 조합으로 문자열을 만들어준다.
저런방식으로 만든 문자열은 어느 곳이든지 4개를 보면 어느 위치인지 알 수 있다.
이렇게 data를 변경하여 ftp를 공격해 보면
ret가 CQ1C로 덮여서 익셉션이 발생하는 것을 볼 수 있다. CQ1C를 이용하여 ret가 몇번째 인지 찾아보자.
입력한 패턴과는 다르게 CQ1C 대문자,대문자,숫자,대문자이다.
FTP 프로토콜은 모든 커맨드 명령어가 대문자로 정의 되있다(RFC 959). ftp 서버 프로그램이 소문자를 대문자로 바꾼 다는 걸 알 수 있다.
Cq1C를 exploitpatten.py로 찾아보면
2044부터 ret임을 확인 할 수 있다. ret확인을 해보기 위한 공격을 해보면
ret가 \x42\x42\x42\x42가 되도록 공격
ret에 BBBB가 들어가서 익셉션이 발생하였다. ret가 2044부터 시작한다.
ret를 변조 할 수 있게되었다. 하지만 스택의 주소가 계속 바뀌기 때문에 ret에 쉘코드가 들어있는 주소를 직접 넣지는 못한다.
trampoline공격을 하기위해 레지스터를 보니 익셉션이 발생할 때의 ecx가 바로 밑의 스택의 주소를 갖고있다.
이제 ftp가 로딩한 dll들을 뒤져서 call ecx가 있는 주소를 찾아야한다.
msfpescan이 라는 가젯을 찾아주는 프로그램을 사용하여 call ecx의 주소를 찾을 수 있었다.
ecx가 가리키는 주소에 쉘코드를 심고 ret를 call ecx(0x165095e5)로 덮으면 공격에 성공 할 수 있다.
call ecx에 의해서 eip가 쉘코드가 있는 스택의 위치로 이동하여 쉘코드가 실행된다.
Categories
- programming (17)
- security (46)
- study (22)
- system (35)
Recent 7 Days Popular Posts
-
프로그램은 실행하면서 많은 함수를 호출한다. 함수가 호출되고 호출받은 함수가 실행되려면 레지스터와 스택을 사용해야 한다. 버퍼오버플로우 공격을 공부하면서 호출된 함수가 어떻게 esp (스택을 관리하는 레지스터)를 백업하는지 어떻게 스택을 독립적으로 ...
-
$(HOME)/.gdbinit을 생성하면 gdb가 실행될 때 .gdbinit을 불러옴으로 스크립트를 적용시킬 수 있다. ARM 어셈을 처음다루어 라인바이라인으로 분석해 보기위해 몇 가지 스크립트를 작성하였다. .gdbinit ...
-
진법 변환과 데이터의 표현 - 2 진수 (binary digit) – 숫자 0 과 1 만으로 모든 수를 나타내는 방법 10 진법 2 진법 기호 0 0 ...
-
포멧 스트링 버그, Format String Bug 저번 포스팅에서 포멧 스트링 버그를 이용해서 메모리 릭을 하는 방법과 %n 포멧스트링을 어떻게 사용하는지 까지 설명하였다. 이번 포스팅에서는 직접 원하는 메모리에 %n 포멧스트링을 이용하여 원하...
-
BOF redhat 원정대 zombie_assassin -> succubus succubus, succubus.c 코드를 보면 메모리도 초기화하고 RET검사도 하는 것으로 보아 위에 선언된 함수인 DO, GAE, GUL, YUT,...
0 개의 댓글:
댓글 쓰기