2017 Incognito에서 진행된 '시스템 해킹 기법 정리' (이지혜님, 박현준님, 공승현님) 발표자료 입니다.

1. March 12, 2017
시스템 해킹 기법 정리
이지혜 박현준 공승현

2. 2
소개
2017-03-12
시스템 해킹 기법 정리
Buffer Overflow에
입문하는 분들을 위해
만들어짐
입문
실력 향상
개념 정리
문서를 작성하면서
확실히 배운다
몰랐던 기법도 정리하면서
실력 향상

3. 3
목차
▪ 버퍼 안 쉘코드
▪ 버퍼 밖 쉘코드
▪ FPO (Frame Pointer Overwrite)
▪ FSB (Format String Bug)
▪ RTL (Return to libc)
▪ ROP (Return-Oriented Programming)
2017-03-12
시스템 해킹 기법 정리

4. 4
버퍼 안의 쉘코드 [LOB gate → gremlin]
2017-03-12
시스템 해킹 기법 정리
쉘코드의 시작 주소 삽입
실제 쉘코드가 있는 자리
(버퍼 안)

5. 5
버퍼 밖의 쉘코드 [LOB gremlin → cobolt]
2017-03-12
시스템 해킹 기법 정리
실제 쉘코드가 있는 자리
(버퍼 밖)
쉘코드의 시작 주소 삽입

6. March 12, 2017
FPO(Frame Pointer Overwrite)

7. 7
FPO (Frame Pointer Overwrite) [LOB golem → darkknight]
2017-03-12
시스템 해킹 기법 정리
int main(){
int main = 1;
…..
A();
…..
…..
}
void A(){
int a = 2;
…..
B();
…..
…..
}
void B(){
int b = 3;
…..
}
main
A
B
A
main

8. 8
FPO (Frame Pointer Overwrite) [LOB golem → darkknight]
2017-03-12
시스템 해킹 기법 정리
RET
SFP
1
RET
SFP
2
RET
SFP
3
RET
SFP
1
RET
SFP
2
RET
SFP
3
H
L

9. 9
FPO (Frame Pointer Overwrite) [LOB golem → darkknight]
2017-03-12
시스템 해킹 기법 정리
void problem_child(char *src)
{
char buffer[40];
strncpy(buffer, src, 41);
printf("%sn", buffer);
}
main(int argc, char *argv[])
{
if(argc<2){
printf("argv errorn");
exit(0);
}
problem_child(argv[1]);
}

10. 10
FPO (Frame Pointer Overwrite) [LOB golem → darkknight]
2017-03-12
시스템 해킹 기법 정리
void problem_child(char *src)
{
char buffer[40];
strncpy(buffer, src, 41);
printf("%sn", buffer);
}
main(int argc, char *argv[])
{
if(argc<2){
printf("argv errorn");
exit(0);
}
problem_child(argv[1]);
}

11. 11
FPO (Frame Pointer Overwrite) [LOB golem → darkknight]
2017-03-12
시스템 해킹 기법 정리
problem_child_leave
→ mov esp,ebp
→ pop ebp

12. 12
FPO (Frame Pointer Overwrite) [LOB golem → darkknight]
2017-03-12
시스템 해킹 기법 정리
problem_child_ret
→ pop eip와 같은 의미
다음 명령어 실행
→ ebp + 4

13. 13
FPO (Frame Pointer Overwrite) [LOB golem → darkknight]
2017-03-12
시스템 해킹 기법 정리
Main_leave
→ mov esp,ebp
→ pop ebp

14. 14
FPO (Frame Pointer Overwrite) [LOB golem → darkknight]
2017-03-12
시스템 해킹 기법 정리
Main_ret
→ pop eip와 같은 의미
다음 명령어 실행
→ ebp + 4

15. March 12, 2017
FSB(Format String Bug)

16. 16
FSB (Format String Bug) [pwnable.kr fsb]
Format String Bug의 약자로 C언어 printf() 함수 취약점
printf() 함수에 서식 문자(%~)를 지정하지 않고 배열을 그대로 넘겨줬을 때의 결과
하지만 이 때 buf 배열에 서식 문자가 들어있다면?

17. 17
FSB (Format String Bug) [pwnable.kr fsb]
하지만 이 때 buf 배열에 서식 문자가 들어있다면?
배열 안에 서식문자가 들어가니 서식 문자에 맞는 16진수(%x) 10진수(%d)가 찍혀 나온다

18. 18
FSB (Format String Bug) [pwnable.kr fsb]
서식 문자를 많이 넣어보자
A를 의미하는 41이 출력된다

19. 19
FSB (Format String Bug) [pwnable.kr fsb]
정상적으로 printf() 함수를 사용했을 때의 결과
컴파일러의 경고도 없고 buf 배열 안에 서식 문자가 있음에도 문자열로 취급한다.

20. 20
FSB (Format String Bug) [pwnable.kr fsb]
기본적인 포맷 스트링 버그 공격은 %n을 이용
%n은 이 서식 문자를 만날 때 까지 총 출력된 값(바이트 수,글자 수,공백 포함)를
계산한 값을 그 다음 메모리 값의 위치(포인터로 값을 한 번 참조)에 넣는 기능을
한다
예)
printf(“%3735928559d%n”, &ptr) 의 의미:
0xdeadbeef의 10진수 값 >> ptr에 저장

21. 21
FSB (Format String Bug) [pwnable.kr fsb]
2017-03-12
시스템 해킹 기법 정리

22. 22
FSB (Format String Bug) [pwnable.kr fsb]

23. 23
0x08048534 <+0>: push ebp
0x08048535 <+1>: mov ebp,esp
0x08048537 <+3>: sub esp,0x48
0x0804853a <+6>: mov DWORD PTR [ebp-0x24],0x8048870
0x08048541 <+13>: mov DWORD PTR [ebp-0x20],0x0
0x08048548 <+20>: lea eax,[ebp+0x8]
0x0804854b <+23>: mov DWORD PTR [ebp-0x10],eax
FSB (Format String Bug) [pwnable.kr fsb]

24. 24
argv = ebp + 0x8
(72+8)/4 bytes = 20th offset
pargv = ebp-0x10
(72-16)/4 bytes = 14th offset
FSB (Format String Bug) [pwnable.kr fsb]

25. 25
FSB (Format String Bug) [pwnable.kr fsb]
키의 주소 0x804a060의 10진수 값
%134520928d%14$n
// 키의 주소값을 14번째 자리(pargv)가 갖는
값을 참조해서 그 자리에(argv) 넣는다.
%20$n
//아무것도 출력을 안하고 20번째 자리(argv)가
갖는 값을 참조해 출력한 개수 값인 (0)으로
덮는다.

26. 26
FSB (Format String Bug) [pwnable.kr fsb]
%134520932d%14$n
//키의 나머지 4바이트 주소로 한 번 더 덮는다
%20$n

27. 27
FSB (Format String Bug) [pwnable.kr fsb]
key

28. March 12, 2017
RTL(Return to libc)

29. 29
RTL (Return to libc) [LOB darkknight → bugbear]
2017-03-12
시스템 해킹 기법 정리
동적 컴파일시 갖는 공유 라이브러리로 리턴
NX bit(Never Executable bit)
기법 우회
→ 윈도우 DEP(Data Execution
Prevention)
→ 쉘코드를 실행하지 못하게 함
RTL

30. 30
RTL (Return to libc) [LOB darkknight → bugbear]
2017-03-12
시스템 해킹 기법 정리
PLT
GOT
Procedure Linkage Table
→ 함수(프로시저)를 나열한 테이블
→ 외부 라이브러리 함수 사용 시 PLT를 참조
Global Offset Table
→ 실제 함수(프로시저)의 주소를 갖는 테이블
→ GOT 참조로 함수의 실제 주소로 접근해 실행
@got.plt
PLT
0x80483e0
libc의 함수 주소
GOT
0x804a018
함수 실행
libc
libc의 함수 주소

31. 31
RTL (Return to libc) [LOB darkknight → bugbear]
2017-03-12
시스템 해킹 기법 정리
main(int argc, char *argv[])
{
char buffer[40];
int i;
if(argc < 2){
printf("argv errorn");
exit(0);
}
if(argv[1][47] == 'xbf')
{
printf("stack betrayed you!!n”);
exit(0);
}
strcpy(buffer, argv[1]);
printf("%sn", buffer);
}
param
dummy
RET
SFP
buffer[40]

32. 32
RTL (Return to libc) [LOB darkknight → bugbear]
2017-03-12
시스템 해킹 기법 정리
param
dummy
RET
SFP
buffer[40]
A*44
x90*44
system()의 주소
문자열 “/bin/sh”의 주소
AAAA

33. 33
RTL (Return to libc) [LOB darkknight → bugbear]
2017-03-12
시스템 해킹 기법 정리
1. 정적인 환경에서 주소 구하기
2. 동적인 환경에서 주소 구하기

34. 34
RTL (Return to libc) [LOB darkknight → bugbear]
2017-03-12
시스템 해킹 기법 정리
a
dummy
RET
SFP
buffer[40]
%d
calling convention(호출 규약)
매개변수 전달, 값 반환, 스택 정리
→_stdcall
→_cdecl
→ _fastcall
→ _thiscall
매개변수를 오른쪽부터 전달함
printf(“%d”,a);

35. March 12, 2017
ROP(Return-Oriented
Programming)

36. 36
ROP (Return-Oriented Programming)
2017-03-12
시스템 해킹 기법 정리
ASLR
→ 주소 공간 랜덤화
→ 스택, 힙 주소를
랜덤화해서 주소를 예측할
수 없음
NX bit (DEP)
→ 데이터 실행 방지
→ 설정되어 있는 메모리
공간에서는 명령어
실행되지 않음
ASCII-armor
→ 공유 라이브러리 영역
상위 주소에 0x00(NULL)
을 넣어 공격자의 접근을
막음

37. 37
ROP (Return-Oriented Programming)
2017-03-12
시스템 해킹 기법 정리
Gadget, 가젯 원래 프로그램 안에 있는 (기계) 명령어 조각

38. 38
ROP (Return-Oriented Programming)
2017-03-12
시스템 해킹 기법 정리
GOT Overwrite
libc의 함수 주소0x804a018
함수 실행
libc
임의의 함수 주소
임의의 함수 주소
변조

39. 39
ROP (Return-Oriented Programming)
2017-03-12
시스템 해킹 기법 정리
GOT Overwrite
offset = strcpy - printf
strcpy = 0x8048350
printf = 0x8048370
offset = 0x0000020
printf() → strcpy()?
strcpy = printf + offset
printf@plt
add 연산 가젯
printf@got → strcpy()

40. 40
ROP (Return-Oriented Programming)
2017-03-12
시스템 해킹 기법 정리
RTL chain
RET2
parameter
pop ;ret
RET
SFP
RET2
parameter2
pop pop ;ret
RET
SFP
parameter1
parameter

41. 41
ROP (Return-Oriented Programming)
2017-03-12
시스템 해킹 기법 정리
ropasaurusrex
main()
{
input();
return write(1, “WINn”, 4u);
}
input()
{
char buf[136];
return read(0, &buf, 0x100u);
}
RET
SFP
BUF[136]

42. 42
ROP (Return-Oriented Programming)
2017-03-12시스템 해킹 기법 정리
ropasaurusrex-
시나리오1
RET
SFP
BUF[136]A*136
write()의 주소
AAAA
POP3RETPOP*3 + RET의 주소
1
4
write_got
input()_addr
write()의 인자들
취약한 함수 다시
호출

43. 43
ROP (Return-Oriented Programming)
2017-03-12시스템 해킹 기법 정리
ropasaurusrex-
시나리오2
RET
SFP
BUF[136]A*136
read()의 주소
AAAA
POP3RETPOP*3 + RET의 주소
0
10
bss
input()_addr
read()의 인자들
취약한 함수 다시
호출

44. 44
ROP (Return-Oriented Programming)
2017-03-12시스템 해킹 기법 정리
ropasaurusrex-
시나리오3
RET
SFP
BUF[136]A*136
system()의 주소
AAAA
Dummy
&“/bin/sh”

45. 2017-03-12 동아리이름