bof기초+rtl+fake_ebp

1. 꺄륵>< 시스템 해킹을 해볼까요? 꺄르르륵><

2. 꺄륵>< #whoami 조우석

3. (OneTwo) 세종대학교

4. 정보보호학과

5. 2학년

6. SSG

7. (Sejong

8. Security

9. Group)

10. 부원

11. Inc0ginto

12. 운영진

13. 차세대보안리더양성프로그램

14. BoB

15. 5기

16. 교육생

17. blog.asdfasdf.kr

18. 원래

19. 개발했었지만....

20. 어느순간

21. 보안

22. 공부하고

23. 있네요 OneTwo

24. 꺄륵 • 시스템해킹 • BOF란? • BOF의 원리 • BOF를 활용해보자 • RTL • Fake EBP • 실습해볼까요? CONTENTS

25. 꺄륵 시스템 해킹 OS 또는 프로그램의 취약점 (관리자 권한 등 획득) 나쁜짓 하는 것! 뭐하는 것들일까... 펭귄 카와이

26. 꺄륵 Stack OverFlow Heap OverFlow Integer OverFlow Type Confusion Use Afer Free Format String Bug … 존나 많죠?ㅋ 시스템 해킹 OS 또는 프로그램의 취약점 (관리자 권한 등 획득) 나쁜짓 하는 것!

27. 꺄륵 시스템 해킹 Buffer Overflow!! 버퍼를 넘치게 하면 됩니다. 참 쉽죠? (stack)

28. 꺄륵 BOF란? Buffer? 데이터를 일시적으로 메모리 상에 저장하는 임시기억공간

29. 꺄륵 BOF란? Buffer? 데이터를 일시적으로 메모리 상에 저장하는 임시기억공간

30. 꺄륵 BOF란?

31. 꺄륵 BOF란? A를 1만번이나!!

32. 꺄륵 BOF란?

33. 꺄륵 BOF의 원리 프로그램 구동

34. 꺄륵 BOF의 원리 프로그램 구동

35. 꺄륵 BOF의 원리 프로그램 구동 스택입니다... 0xffffffff 0x00000000

36. 꺄륵 BOF의 원리 프로그램 구동 ret ebp 0x1 0x2 … … 4byte 4byte 8byte 0xffffffff 0x00000000

37. 꺄륵 BOF의 원리 프로그램 구동 ret ebp buf1 buf2 … … 4byte 4byte 8byte Buffer에 16byte의 값을 넣어주면? buffer가 사용자로부터 값을 입력 받을 때...

38. 꺄륵 BOF의 원리 BOF!! ret ebp buf1 buf2 … … 4byte 4byte 8byte A x 16

39. 꺄륵 BOF의 원리 0x41414141 0x41414141 0x41414141 0x41414141 … … 4byte 4byte 8byte Buffer Overflow!! BOF!!

40. 꺄륵 BOF의 원리 0x41414141 0x41414141 0x41414141 0x41414141 … … 4byte 4byte 8byte 특정 영역에 쉘코드 삽입 쉘코드의 주소를 ret에 덮여씌움 Buffer Overflow!! 쉘코드를 수행 Exploit!! BOF!!

41. 꺄륵 BOF의 원리 조건!! SetUID 파일이 실행되는 동안에 잠깐 파일 소유자의 권한을 빌려오고, 작업을 마친후에 다시 권한을 반한 passwd

42. 꺄륵 BOF의 원리 조건!! gremlin(상위 상위 레벨 계정) 프로그램 실행시 gremlin 계정 기반으로 프로세스 엑세스 권한 부여

43. 꺄륵 BOF의 원리 BOF!! 간단한 Buffer Overflow

44. 꺄륵 BOF의 원리 BOF!! 더미 X

45. 꺄륵 BOF의 원리 BOF!! ret sfp buffer … … 4byte 4byte 256byte 260byte의 값 4byte의 return주소

46. 꺄륵 BOF의 원리 BOF!! ret sfp buffer … … 4byte 260byte “x90”*100+”쉘코드”(25)+”x90”*135 buffer의 주소

47. 꺄륵 BOF의 원리 BOF!! buffer 0x90909090 0x90909090 0x90909090 0x90909090 0x90909090 … ShellCode … 0x90909090 0x90909090 0x90909090 0x90909090 buffer (256) ebp (4byte) ret (4byte)

48. 꺄륵 BOF의 원리 BOF!! 0xbffff8c8

49. 꺄륵 BOF의 원리 BOF!! ./gremlin `python -c 'print x90*100+x31xc0x50x68x2fx2fx73x68x68x2fx62x69x6e x89xe3x50x53x89xe1x89xc2xb0x0bxcdx80+x90*135+xc8xf8xffxbf'`

50. 꺄륵 BOF의 원리 BOF!!

51. 꺄륵 BOF를 활용해보자 과연 이것만으로 해킹 가능? 물론 가능하기는 합니다. ??!!!

52. 꺄륵 BOF를 활용해보자 보호기법ㅋ

53. 꺄륵 BOF를 활용해보자 특정 메모리 영역을 필터링 DEP / NX 스택, 힙 같은 영역의 코드가 실행되지 않도록 차단 버퍼 초기화, argv검사 등등 그 외, ASLR, Stack Cookie, ASCII-Armor, Canary 등등

54. 꺄륵 BOF를 활용해보자 RTL Fake EBPReturn to Library(Libc) DEP 특정영역

55. 필터링 ret까지만

56. 오버플로우

57. 가능

58. 꺄륵 RTL Return to Library(Libc) DEP

59. 우회 libc - 스택상에 있는 것이 아님

60. 꺄륵 RTL Return to Library(Libc) 쉘코드 없이 Exploit 가능 system, exec ㄱㅇㄷ

61. 꺄륵 RTL Return to Library(Libc) system() system 나는 쓰레기에요..ㅠㅠ(4byte) /bin/sh ebp+8참조

62. 꺄륵 RTL Return to Library(Libc) system() system 나는 쓰레기에요..ㅠㅠ(4byte) /bin/sh ebp+8참조 ret 또는 eip

63. 꺄륵 RTL Return to Library(Libc) system, /bin/sh ?

64. 꺄륵 RTL Return to Library(Libc) gdb coding

65. 꺄륵 RTL system ebp buffer 쓰레기..에요 ㅠ /bin/sh ret (4byte) 쓰레기에요 ㅠ.ㅠ (4byte) bin/sh(4byte)

66. 꺄륵 Fake EBP 특정영역

67. 필터링 ret까지만

68. 오버플로우

69. 가능 EBP를 속인다. ret ebp buf1 buf2 … … What?

70. 꺄륵 Fake EBP ret ebp buf1 buf2 … …

71. 꺄륵 Fake EBP leave move esp, ebp pop ebp pop eip jmp eip ret leave $buffer-4 buf1 buf2 buffer-4

72. 꺄륵 Fake EBP leave $buffer-4 buf1 buf2 buffer-4 leave move esp, ebp pop ebp leave ret esp 에요 ebp 에요

73. 꺄륵 Fake EBP leave $buffer-4 buf1 buf2 buffer-4 leave move esp, ebp pop ebp ret esp 에요 ebp 에요 실행!! leave

74. 꺄륵 Fake EBP leave $buffer-4 buf1 buf2 buffer-4 leave move esp, ebp pop ebp ret 실행!! leave esp 에요 ebp 에요

75. 꺄륵 Fake EBP leave $buffer-4 buf1 buf2 buffer-4 leave move esp, ebp pop ebp ret 실행!! leave esp 에요 ebp 에요

76. 꺄륵 Fake EBP leave $buffer-4 buf1 buf2 buffer-4 leave move esp, ebp pop ebp retesp 에요 ebp 에요 실행!! pop eip jmp eip

77. 꺄륵 Fake EBP leave $buffer-4 buf1 buf2 buffer-4 leave move esp, ebp pop ebp ret esp 에요 실행!! pop eip jmp eip

78. 꺄륵 Fake EBP leave $buffer-4 buf1 buf2 buffer-4 leave move esp, ebp pop ebp ret buffer의 내용 수행 실행!! pop eip jmp eip

79. 꺄륵 실습해볼까요? Fake EBP + RTL LOB 16Level

80. 꺄륵 실습해볼까요?

81. 꺄륵 실습해볼까요? leave = 0x080484df

82. 꺄륵 실습해볼까요? leave = 0x080484df system() = 0x40058ae0

83. 꺄륵 실습해볼까요? leave = 0x080484df system() = 0x40058ae0 buffer-4 = 0xbffffa5c

84. 꺄륵 실습해볼까요? leave = 0x080484df system() = 0x40058ae0 buffer-4 = 0xbffffa5c /bin/sh = 0x400fbff9

85. 꺄륵 실습해볼까요? leave = 0x080484df system() = 0x40058ae0 buffer-4 = 0xbffffa5c /bin/sh = 0x400fbff9 쓰레기에요...ㅠㅠ 쓰레기에요...ㅠㅠ 4byte 4byte 4byte 28byte 4byte 4byte

88. 꺄륵 실습해볼까요? 0xbffffa2c?? system() = 0x40058ae0

91. 꺄륵 출처 대학일기 네이버웹툰 짤.... 구글에서 퍼온 수많은 짤들 LOB

92. 꺄륵 끄읕

93. 꺄륵 QnA QnA

bof기초+rtl+fake_ebp

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to bof기초+rtl+fake_ebp

Similar to bof기초+rtl+fake_ebp (20)

bof기초+rtl+fake_ebp