Jastes

Exploit Tech: Return to Shellcode

2022.05.03

Return Address OverWrite 카나리 우회와 셸 코드를 이용해 셸을 획득하는 방법 // Name: r2s.c // Compile: gcc -o r2s r2s.c -zexecstack #include #include void init() { setvbuf(stdin, 0, 2, 0); setvbuf(stdout, 0, 2, 0); } int main() { char buf[0x50]; init(); printf("Address of the buf: %p\n", buf); printf("Distance between buf and $rbp: %ld\n", (char*)__builtin_frame_address(0) - buf); printf("[1] Leak the canary\n"); pri..

🌇│System_Study/📕│Dreamhack_Hacking

Mitigation: Stack Canary

2022.04.28

스택 카나리(Stack Canary) 스택 버퍼 오버플로우로부터 반환 주소를 보호하는 기법 함수의 프롤로그에서 스택 버퍼와 반환 주소 사이에 임의의 값을 삽입하고, 함수의 에필로그에서 해당 값의 변조를 확인하는 보호 기법입니다. 카나리 값의 변조가 확인되면 프로세스 강제 종료! BOF로 RET를 덮으려면 반드시 카나리를 먼저 덮어야하므로 카나리 값을 모르는 공격자는 반환 주소를 덮을 때 카나리 값을 변조하게 됩니다. 그러하다면 변조가 확인되어 공격자는 실행 흐름을 획득하지 못하게됩니다. TMI. 카나리라는 이름의 유래 카나리 보호 기법의 이름은 카나리아(Canary)라는 새에서 유래되었습니다. 19세기, 20세기에는 일산화탄소 농도의 측정 기술이 부족했고, 탄광에서 유출된 일산화탄소에 광부가 중독사하는 ..

🌇│System_Study/📕│Dreamhack_Hacking

basic_exploitation_001

2022.04.27

basic_exploitation_001 문제 풀이 자 들어가기 전에 문제가 발생했습니다.. 바로 NX가 적용된 코드라는 것이죠 참고로 32-little endian linux이고요 그럼 들어가기 앞써서 NX에 대해 알아봐야겠죠? NX(Bit | MS : DEP) NX-Bit(Never eXecute Bit; 실행 방지 비트) - 프로세스 명령어나 코드 또는 데이터 저장을 위한 메모리 영역 분리 CPU의 기술 - NX 특성으로 지정된 모든 메모리 구역은 데이터 저장을 위해서만 사용됨 - 프로세스 명령어가 그곳에 상주하지 않게 실행시켜줌 DEP(Data Execution Prevention) - MS windows OS에 포함된 보안 기능이며, 악의적 코드 실행 방지를 위한 메모리 확인 기술 - DEP는 ..

🌇│System_Study/📕│Dreamhack_Hacking

basic_exploitation_000

2022.04.27

basic_exploitation_000 문제풀이(pwntools와 shellcode) 밑에 링크는 앞으로 기재될 문제 풀이에서 큰 도움이 될거예요 추가로 필요한 정보는 차차 기재할께요 Memory Corruption: Stack Buffer Overflow 스택 버퍼 오버플로우(Stack Buffer Overflow) 세계 최초의 웜이라고 불리는 모리스 윔도 이 공격을 통해 전파됨 보안 공부를 모르는 개발자도 알만큼 유명하고 역사가 오래된 취약점입니다. 이렇게 dystopia050119.tistory.com //file name : basic_exploitation_000.c //Complie : gcc -o basic_exploitation_000 basic_exploitation_000.c #inc..

🌇│System_Study/📕│Dreamhack_Hacking

Exploit Tech: Return Address Overwrite

2022.04.27

서론 이제 스택 오버 플로우를 활용한 RET를 변조해 셸을 획득하는.. 그런 워게임을 해봅시다 아래는 예제예요 // Name: rao.c // Compile: gcc -o rao rao.c -fno-stack-protector -no-pie #include #include void init() { setvbuf(stdin, 0, 2, 0); setvbuf(stdout, 0, 2, 0); } void get_shell() { char *cmd = "/bin/sh"; char *args[] = {cmd, NULL}; execve(cmd, args, NULL); } int main() { char buf[0x28]; init(); printf("Input: "); scanf("%s", buf); return ..

🌇│System_Study/📕│Dreamhack_Hacking

Return Address Overwrite

2022.04.25

문제풀이 너무 지쳐서.. 문제 풀이는 하나만 할까요? get_shell 함수를 활용 // Name: rao.c // Compile: gcc -o rao rao.c -fno-stack-protector -no-pie #include #include void init() { setvbuf(stdin, 0, 2, 0); setvbuf(stdout, 0, 2, 0); } void get_shell() { char *cmd = "/bin/sh"; char *args[] = {cmd, NULL}; execve(cmd, args, NULL); } int main() { char buf[0x28]; init(); printf("Input: "); scanf("%s", buf); return 0; } 위 코드가 문제에서..

🌇│System_Study/📕│Dreamhack_Hacking

Memory Corruption: Stack Buffer Overflow

2022.04.21

스택 버퍼 오버플로우(Stack Buffer Overflow) 세계 최초의 웜이라고 불리는 모리스 윔도 이 공격을 통해 전파됨 보안 공부를 모르는 개발자도 알만큼 유명하고 역사가 오래된 취약점입니다. 이렇게 오랜 역사를 자랑하는 이 취약점은 아직도 많은 SW에서 발견됩니다. CVE details에 따르면 스택 버퍼 오버플로우를 포함한 오버플로우 취약점은 많이 높아요(4위) 그럼 스택 버퍼 오버플로우가 발생하는 원인이 무엇인지, 그리고 이 취약점이 어떤 문제로 이어질지 공부 ㄱ BOF에 필요한 용어 간단 정리 버퍼는 데이터가 저장되는 공간 sfp는 스택 베이스 값을 의미 - sfp는 스택 주소값을 계산할 때 현재 스택값의 기준 필요한 프레임 포인터 값 지정(4 or 8byte) rbp(or ebp)는 한 ..

🌇│System_Study/📕│Dreamhack_Hacking

Background: Calling Convention

2022.04.20

함수 호출 규약🤙 함수의 호출 및 반환의 약속 한 함수에서 다른 함수를 호출 시, 프로그램의 실행 흐름은 다른 함수로 이동합니다. 그리고 호출된 함수가 반환되면 다시 원래의 함수로 돌아와 기존의 실행 흐름을 이어가죠. 함수 호출 시 반환된 이후를 위해 호출자(Caller)의 상태(Stack frame) 및 반환 주소(Return Address)를 저장해야 함! 또한, 호출자는 피호출자(Callee)가 요구한 인자를 전달하며, 피호출자의 실행이 종료 시 반환 값을 전달 받아야함 함수 호출 규약 적용은 일반적으론 컴파일의 몫이며, 프로그래밍 언어에 맞게 호출 규약을 알맞게 적용에 컴파일합니다. 호출 규약은 여러가지가 있으며, 코드에 명시가 안되어 있다면 컴파일에서 지원하는 호출 규약 중 CUP의 아키텍처에 ..

전체 글

Exploit Tech: Return to Shellcode

Mitigation: Stack Canary

basic_exploitation_001

basic_exploitation_000

Exploit Tech: Return Address Overwrite

Return Address Overwrite

Memory Corruption: Stack Buffer Overflow

Background: Calling Convention

티스토리툴바