nothing blog

gdb.attach 사용법 wargame이나 ctf 문제를 풀 때, 혹은 바이너리를 분석 할 때 파이썬으로 데이터를 입력하는 경우가 자주있다. example p = process("binary") p.sendline("AAAA") 이 때 내가 입력한 데이터가 원하는데로 바이너리에 잘 입력이 되었는지, 스택은 잘 덮혔는지 확인하기 위해서 gdb를 사용해 디버깅을 할 수 있다. 보통은 다음과 같이 코드 내에 raw_input()을 넣어서 실행을 잠시 멈춘 다음, gdb로 실행된 binary의 pid 로 붙어서 디버깅을 한다. example p = process("binary") raw_input("1") p.sendine("AAAA") $ ps -ef ..... 4111 ... binary $ gdb -p ..

오버라이딩(Overriding) 가상함수를 이해하기 위해선 오버라이딩(Overriding) 에 대해서 알아야 한다. SourceCode(1) class Parent{ void show(){ printf("this is parent\n"); } } class Child : public Parent{ void show(){ printf("this is child\n"); } } class ChildChild : public Child{ void show(){ printf("this is childchild\n"); } } int main(){ Parent * p = new Parent; Child * c = new Child; ChildChild * cc = newChildChild; p->show(); c..

[MIPS strcmp] 동작 분석 [그림0] strcmp 코드 [그림1] 변수 공간 할당 및 $ra, $fp 백업후 frame pointer 갱신 [그림2] 스택에 str1, str2, str3 순서대로 저장 [그림3] $v0 값 스택에 백업 후 $a0, $a1 에 인자값 load 후 strcmp 호출 [그림4] if(!strcmp(str1, str2)) => bnez $v0, loc_40092C bnez는 $v0 값이 0이 아니면 두번째 오퍼랜드로 분기 즉 $a0과 $a1 문자열이 같으면 분기 x 문자열이 다르면 분기 o

[GCC 크로스 컴파일러 및 라이브러리 설치] sudo apt-get install -y gcc-multilib-arm-linux-gnueabi;sudo apt-get install -y gcc-multilib-arm-linux-gnueabihf;sudo apt-get install -y gcc-multilib-mips-linux-gnu;sudo apt-get install -y gcc-multilib-mips64-linux-gnuabi64;sudo apt-get install -y gcc-multilib-mips64el-linux-gnuabi64;sudo apt-get install -y gcc-multilib-mipsel-linux-gnu;sudo apt-get install -y gcc-multil..

[MIPS Register]$0 = Always 0$at = The Assembler Temporary used by the assembler in expanding pseudo-ops.$v0, $v1 = 리턴값 저장. 1 word 인 경우 $v0 만 사용. 초과할 경우 $v1 과 나눠서 저장$a0-$a3 = 함수 인자값 저장. 초과할 경우 스택에 저장$t0-$t9 = 임시 저장 레지스터$s0 - $s7 = 저장 용 레지스터 – 함수 호출 중 불변$k0, $k1 = 커널에서 사용하는 레지스터$gp = 전역 포인터 레지스터$sp = 스택 포인터$fp = 함수 프레임 포인터 ($s8)$ra = 서브루틴 호출 시 반환 주소 저장 [MIPS 주요 명령어]addiu [addiu A B C] = [A <- B + ..

이번엔 C언어 책 앞부분에 항상 등장하는 HelloWorld를 한번 분석하는 시간을 가져봅시다. 사실 그 짧아 보이는 코드에는 굉장히 많은 개념이 담겨있어요. 우선 코드를 봅시다. #include int main(){printf("Hello World!\n");return 0;}지난번 글이었던 "C언어 진입장벽 부수기" 에 있던 코드라 익숙하죠? 우선은 Visual Studio 에 입력하고 실행시켜 봅시다.단축키 기억나시나요?Ctrl + F5실행 결과가 어떻게 나오나요?이렇게 잘 나오나요?지난번에 printf 함수의 역할이 쌍따옴포(") 사이에 있는 글자를 출력하는 기능을 한다고 했었어요. 그리고 "\n" 은 출력할 때 개행(줄바꿈)을 하는 기능을 한다고 했구요.그런데 printf 말고 ..

C언어를 시작하려는데 너무 힘들어하는 사람이 많아서 이렇게 글을 써봅니다.처음에 외울게 조금 있고, 생소한 용어들이 나와서 그렇지 그것들을 있는 그대로 받아들이면 않습니다!찬찬히 들여다 볼까요? (입문자들을 위해 중간 중간 생략된 개념이 있을 수 있습니다.) 1. 준비물 컴퓨터, 컴파일러, 에디터, 손가락2. 기본 개념 탑재여기서 잠깐 기본적인 용어와 C언어 프로그래밍의 개요를 살펴보고 가도록 하죠.소스 코드 -> 컴파일 -> 링크 -> 실행파일프로그램이 만들어지는 큰 과정은 위와 같습니다. 사용된 용어들을 정리해보죠.소스 코드(Source Code) == 프로그래머가 타이핑한 코드 그 자체컴파일(Compile) == 코드를 컴퓨터가 이해하는 기계어로 변환링크(Link) == 기계어를 이용해서 실행가능한..

2. Kernel Load 1. 개요 앞에서 간단한 프로그램 만들어서 MBR 영역에 넣은 뒤, 부팅을 해 보았다. 이번에는 좀 더 나아가서 커널을 만들어서 로드하는 작업을 해본다. 512byte 크기의 MBR영역에 방대한 커널을 넣기에는 공간이 부족하므로 MBR 밖의 영역을 사용하는데 커널이 로드되는 과정은 아래와 같다. MBR 영역의 코드가 메모리에 적재된다. MBR 에 있던 부트로더가 MBR 뒷 부분을 메모리로 적재한다. CPU가 KERNEL을 실행할 수 있도록 KERNEL로 점프한다. 2. 코드 작성 boot.asm kernel.asm 3. 부트 이미지 만들기 nasm을 이용해서 boot.asm과 kernel.asm 을 각각 boot.bin, kernel.bin 으로 어셈블한다. 이어서 cmd 창을..

[Operating System] 참고 도서 - 만들면서 배우는 OS 커널의 구조와 원리 - OS구조와 원리 (OS개발 30일 프로젝트) 이번에는 저번에 썼었던 어셈블리어를 한 줄 한 줄 동작을 분석해 본다. 준비해야 할 것은 어셈블리어 작성한 것과 컴파일한 boot.bin 의 디컴파일한 txt 파일이다. [그림 1] 디컴파일은 [그림 1]과 같이 cmd 에서 명령어를 입력하면 disasm.txt 라는 파일에 boot.bin 을 디스어셈블 내용이 저장된다. –b16 옵션은 16bit 모드로 컴파일 된 바이너리기 때문에 이를 그대로 16bit 환경에서의 디스어셈블 결과를 얻기 위해 넣어준 옵션이다. " > disasm.txt " 을 빼면 파일로 저장이 안되고 cmd 화면에 디컴파일한 내용이 모두 출력 된다..

[Operating System] 참고 도서 - 만들면서 배우는 OS 커널의 구조와 원리 - OS구조와 원리 (OS개발 30일 프로젝트) 보안을 공부하는데에 있어서 기초가 되는 OS를 공부하기 위해 효율적으로 공부하는 방법을 알아보던 중 직접 제작해보라는 추천이 있었고, 실제로 OS를 한번 만들어 보고싶은 마음에 프로젝트 아닌 프로젝트를 시작하게 되었다. 주 참고 도서는 '만들면서 배우는 OS 커널의 구조와 원리 - 김범준' 이며 부수적으로 참고하는 도서로는 'OS 구조와 원리 (OS 개발 30일 프로젝트) – 카와이 히데미' 를 선택했다. 이 두 책을 선택한 이유는 먼저 공부해본 형의 추천과 인터넷 리뷰를 참고해 선택했다. 카와이 히데미 저자의 책은 저자가 직접 개발한 툴을 이용해 OS를 만들어야 한다..

HackerSchool FTZ WARGAME Solution Start : 15.07.03 LEVEL20 (level19는 기존의 버퍼 오버플로우와 같아서 보고서 작성하지 않았습니다 level11 참조 해주세요 :) ) [그림 1] hint 를 열어보면 [그림 1]과 같이 출력이 된다. 이번 문제의 hint를 읽어보면 fgets 에서 bleh 배열에 79byte 만큼의 데이터만 가져와서 저장을 하게 되는데 중요한 것은 bleh 배열의 크기가 80byte 밖에 안된다는 것이다. 기본적으로 버퍼 오버플로우를 하려면 기본 배열의 크기와 dummy 메모리 공간까지 합한 영역을 오버플로우 시켜야 하는데 배열보다 크기가 작은 데이터를 가져오도록 코딩이 되어있다. 즉 버퍼 오버플로우를 발생시키기에 적합하지 않는 즉,..

HackerSchool FTZ WARGAME Solution Start : 15.07.03 LEVEL18 [그림 1] hint를 열어보면 [그림 1]과 같이 꽤 긴 코드가 출력된다. 코드에 나온 함수를 검색해보니 네트워크 소켓 프로그래밍에서 사용되는 다중 입출력에 사용되는 함수였다. 이를 풀기 위해선 다중 입출력에 대해 공부를 해야 했는데 시간이 너무 오래걸려 주요 함수 부분이 하는 역할정도만 파악을 하고 문제를 풀었다. 우선 count가 100 이상이 되면 어떤 동작을 하든 "what are you trying to do \n"이 출력이 되는데 이 코드는 버퍼 오버플로우를 방어하기 위한 방어 코드라는 것을 알 수 있다. 그리고 check 변수의 값이 0xdeadbeef 일 경우 shellout() 이라..

HackerSchool FTZ WARGAME Solution Start : 15.07.03 LEVEL17 [그림 1] hint 파일을 열어보면 [그림 1]과 같이 출력이 되는데 앞에 level16과 흡사한 코드가 출력이 되는데 다른점은 방금과 다르게 shell 함수가 정의 되어 있지 않고, call 함수 포인터에 printit 포인터를 저장해서 호출하고 있다. shell 함수가 없더라도 직접 만들어서 주소값을 call 에 덮어쓰면 된다. [그림 2] 환경 변수에 쉘 코드를 저장한다. [그림 3] gdb로 attackme 를 열어서 call 변수의 위치와 buf 배열의 위치를 확인한다. 이번에도 두 변수의 겨리는 40byte 이기 때문에 버퍼 오버플로우 공격이 가능하다. [그림 4] [그림 5] 환경 변수..

HackerSchool FTZ WARGAME Solution Start : 15.07.03 LEVEL16 [그림 1] hint 를 확인해 보면 [그림 1]과 같이 출력이 된다. 코드를 분석해보면 shell 함수와 printit 함수가 정의되어 있고, main 함수에서는 void 타입의 call 함수 포인터가 선언되어 있다. 그리고 해당 함수 포인터에는 printit 함수의 포인터가 저장되어 있으며 나중에는 call에 저장된 포인터로 함수를 호출한다. shell 함수에 상위 권한으로의 쉘을 실행시키는 코드가 포함되어 있으므로 우리는 이 shell 함수가 실행되도록 해야한다. [그림 2] gdb로 열어서 info functions 를 입력하면 정의된 함수 정보가 출력이 되는데 그 중 shell 함수의 주소값..

HackerSchool FTZ WARGAME Solution Start : 15.07.03 LEVEL15 [그림 1] hint를 열어보면 [그림 1]과 같이 출력이 되는데 앞에 level14와 코드가 같은 것 처럼 보이나 사실 일부분이 조금 다르다. 우선 check 변수가 int * 형태이며, if에서 check 변수 값과 비교한 것이 아니고, check 변수에 있는 값을 역참조 한 값과 비교한다. [그림 2] gdb로 attackme를 열어보면 [그림 2]와 같이 출력이 되는데 buf 는 level14와 같이 [ebp-56] 부터 시작되고, cmp 를 보면 level14는 eax, 0xdeadbeef 였던 반면 이번엔 [eax], 0xdeadbeef 로 eax의 값을 역참조한 값과 비교하는 것을 확인할..

HackerSchool FTZ WARGAME Solution Start : 15.07.03 LEVEL14 [그림 1] hint 를 열어보면 [그림 1]과 같이 출력 된다. 이번에는 이전 문제와는 다르게 fgets 함수를 사용했다. fgets는 입력받을 스트림을 선택할 수 있고, 입력받을 데이터의 크기도 선택할 수 있어 버퍼 오버플로우에 비교적 안전하다고 할 수 있지만 이 문제에서는 본 버퍼의 크기보다 많은 데이터를 입력받을 수 있도록 코딩해두었다. 그리고 이번에는 check 라는 변수에 0xdeadbeef 라는 값이 있어야 상위 권한의 쉘이 실행되도록 코딩이 되어 있다. [그림 2] gdb로 attackme 를 열어보면 [그림 2]와 같이 출력이 되는데 우선 buf는 [ebp-56] 부터 시작되고, ch..

HackerSchool FTZ WARGAME Solution Start : 15.07.03 LEVEL13 [그림 1] level13의 hint 파일을 열어 보면 [그림 1]과 같이 출력이 된다. i 라는 long 형태의 변수에 0x1234567 이 저장되고 argv를 통해 전달된 값은 buf 배열에 저장된다. level11과 마찬가지로 strcpy 함수를 이용하기 때문에 main 함수 인자값으로 오버플로우를 일으켜서 RET 를 덮어쓰면 되는데 주의할 점이 변수 i 에 0x1234567 이 없다면 그냥 프로그램이 kill 되어서 강제 종료 되어 버린다. [그림 2] gdb 로 attackme를 열어서 확인해보면 변수 i는 [ebp-12] 영역으로 할당되어 있고, buf 배열은 [ebp-1048] 부터 시작..

HackerSchool FTZ WARGAME Solution Start : 15.07.03 LEVEL12 [그림 1] hint 파일을 열어보면 [그림 1]과 같이 attackme 소스 코드가 출력이 된다. 이 프로그램의 특징은 gets 함수로 입력을 받아서 str 배열에 저장하는 방식으로 동작을 한다. level11의 경우 main 함수의 argv 로 값을 받아와서 strcpy 함수로 str 배열에 값을 저장했는데 level12는 그 데이터를 전달받는 방식이 다르다. gets 함수의 경우 사용자가 입력하는데로 크기의 제한 없이 데이터를 변수에 저장시키기 때문에 버퍼 오버플로우 공격에 취약한 함수이다. 그럼 우리가 생각해 볼 수 있는 것은 입력을 변수 공간 만큼 한 다음 RET 값을 쉘 코드가 있는 곳의 ..

HackerSchool FTZ WARGAME Solution Start : 15.07.03 LEVEL11 [그림 1] hint 파일을 열어 attackme 프로그램의 소스를 확인 해 보면 main 함수에서 argv 값을 전달받아 str 배열에 복사하는 것을 확인할 수 있다. [그림 2] gdb를 이용해 attackme를 열어보면 sub esp, 0x108 즉 264byte 만큼 메모리 공간을 할당한다. 그리고 strcpy 함수 부분을 보면 [ebp-264]를 인자로 전달을 하는데 이게 곳 str 배열의 시작 주소라는 것을 확인할 수 있다. [그림 3] call strcpy를 하기 직전 stack을 간단하게 그려보면 [그림 3]과 같이 나타내지는데 strcpy 함수로 전달되는 인자값 중에 [ebp+12] ..

[버퍼 오버플로우의 개념과 방법] 버퍼 오버플로우는 시스템 해킹의 대표적인 공격 방법 중 하나이다. 버퍼(Buffer)라는 것은 보통 데이터가 저장되는 메모리 공간을 일컫는데 단순히 메인 메모리만이 아닌 다른 하드웨어에서 사용하는 임시 저장 공간 역시 버퍼라고 부른다. 오버플로우(Overflow)는 단어 뜻에서 유추할 수 있듯이 데이터가 지정된 크기의 공간보다 커서 해당 메모리 공간을 벗어 나는 경우 사용한다. 결론적으로 버퍼 공간의 크기보다 큰 데이터를 저장하게 해서 일어나는 오버플로우(Overflow)를 이용한 공격이다. 보통 개발된 프로그래밍 언어의 버퍼 오버플로우에 취약한 함수가 있는 경우 이를 이용해 공격을 시도하며 공격이 성공할 경우 시스템의 권한을 상승시키거나 악성 행위를 하도록 할 수 있기..

[리눅스 쉘 코드 제작] - 쉘을 실행시키는 간단한 쉘 코드를 만들어 봄으로써 쉘 코드를 만드는 원리에 대해 이해한다. /bin/sh 혹은 /bin/bash 쉘을 실행시키는 프로그램 작성 gdb 및 objdump 등의 툴을 이용해 쉘을 실행 시키는 시스템 함수 분석, 어셈블리 확인 inline asm 을 이용해 시스템 함수의 주요 어셈블리어로 코딩 objdump 를 이용해 바이너리값 추출 NULL byte 제거 및 쉘 코드 다이어트 작업 [그림 1] execve 함수를 이용해 간단한 쉘을 실행시키는 프로그램을 코딩한다. ※ 흔히 사용하는 system 함수는 fork() + execve() 형태로 동작하므로 간단한 execve() 로 쉘 코드를 제작해 본다. 주의! gcc로 컴파일 할 때 –static –..

HackerSchool FTZ WARGAME Solution Start : 15.07.03 LEVEL10 [그림 1] level10의 hint 를 확인 해 보면 공유 메모리에 두 사람이 대화한 내용이 기록되어 있는 것을 확인 할 수 있다. 우선 공유 메모리에 대해서 알아야 하는데 공유 메모리란 기존 프로세스가 독립된 메모리 공간을 할당 받고 다른 프로세스의 메모리 공간은 접근이 불가능 한데 반해 메모리 공간을 여러 프로세스가 함께 접근해서 데이터를 공유할 수 있는 공간을 말한다. sys/ipc.h 와 sys/shm.h 두 개의 헤더 파일이 필요하며 shmget() 함수는 임의의 key를 인자로 전달하면 해당 key 값에 대해 공유 메모리를 만들게 된다. 정상적으로 할당이 되면 공유 메모리에 대한 식별자 ..

HackerSchool FTZ WARGAME Solution Start : 15.07.03 LEVEL9 [그림 1] level9의 hint 를 보면 [그림 1] 과 같이 /usr/bin/bof 프로그램의 소스 코드가 있다. 소스 코드를 보면 buf2와 bof 배열이 각각 10칸씩 선언이 되어있고, fgets 로 40byte 만큼 buf 배열에 입력받는다. 입력받는건 buf지만 strncmp 로 비교하는 배열은 buf2 인걸 보니 버퍼 오버플로우를 이용해서 buf2에 "go" 라는 문자열이 저장되도록 해야 하는 것 같다. [그림 2] gdb 를 이용해서 buf 배열에 할당 된 공간을 확인하려 했으나 허가 거부가 되었다. 이유를 보니 /usr/bin/bof 에 권한이 그룹에 포함된 계정의 경우 실행 권한만 ..

HackerSchool FTZ WARGAME Solution Start : 15.07.03 LEVEL8 [그림 1] level8 계정의 hint 를 열어보면 level9 계정의 shadow 파일 정보가 서버 어딘가에 있는데 용량이 2700 이라고 한다. [그림 2] 그래서 일단 서버에서 파일 용량이 2700인 파일들을 찾아보기로 했다. 이 때 주의해야할 점은 find의 size 옵션으로 검색시 용량과 함께 용량 단위도 같이 적어주어야 한다. 2700b - 2700블록 (512kbyte 블록 단위) 2700c – 2700byte 2700k – 2700kbyte 2700w – 2700word (2byte 단위) 로 나뉘는데 단순히 2700 만 쓴다면 기본값으로 2700b 로 검색이 된다. 나는 정확히는 모르..

HackerSchool FTZ WARGAME Solution Start : 15.07.03 LEVEL7 [그림 1] hint 를 열어보면 [그림 1]과 같이 출력이 되는데 일단 /bin/level7 를 실행시켜 봐야 알 수 있을 것 같았다. [그림 2] Insert The Password 에서 비밀번호를 입력하라고 해서 아무거나 입력 했더니 [그림 2]와 같이 출력이 되었다. 가장 아랫줄에 보면 모스 부모같은 기호가 뜨는데 앞에 hint 에서 2진수를 10진수로 바꾸라는 말을 보고 유추해 보면 아마 저 기호는 2진수를 나타낸 것이라는 것을 추측할 수 있다. (-)기호는 1 (_) 는 0이라고 생각하고 2진수를 만든 다음, 띄어쓰기를 기준으로 잘라서 ASCII 코드표를 보고 문자로 변환을 시켜 보았다. [..

HackerSchool FTZ WARGAME Solution Start : 15.07.03 LEVEL6 [그림 1] level6으로 접속하자마자 [그림 1]과 같은 화면이 출력이 되었다. 인포샵 bbs에 대해 모르기도 하고, 인포샵 bbs를 검색하면 검색 결과 거의 대부분이 해커스쿨 level6 문제 풀이라 일단은 그냥 진행해 보기로 했다. [그림 2] 그냥 엔터를 치면 [그림 2]와 같은 화면이 출력이 되는데 그냥 아무 숫자나 입력하고 엔터 키를 눌렀다. [그림 3] 그러니 특정 IP 로 접속을 시도하는데 접속이 제대로 되지 않아 종료시키기 위해 Ctrl+C 를 눌렀다. [그림 4] 그러니 level6의 계정으로 계정이 떨어지고 ls 명령어를 쳐보니 password 파일이 있고 그 파일에는 level7..

HackerSchool FTZ WARGAME Solution Start : 15.07.03 LEVEL5 [그림 1] level5 의 hint 를 보면 /ur/bin/level5 를 실행하면 /tmp 에 level5.tmp 라는 파일이 생성 된다고 한다. [그림 2] /usr/bin/level5 를 실행 시키고 /tmp 디렉토리를 확인해 보면 hint와 다르게 파일이 생성되지 않았는데 아마 잠시 생성 됬다가 바로 삭제가 되도록 프로그래밍이 된 것 같다. [그림 3] [그림 4] level5는 레이스 컨디션을 이용해야 하는 것 같아서 두 개의 프로그램을 코딩을 했는데 [그림 3]은 반복해서 /usr/bin/level5 를 실행하는 프로그램이고, [그림 4]는 /tmp/level5.tmp 를 반복해서 복사해오..

HackerSchool FTZ WARGAME Solution Start : 15.07.03 LEVEL4 [그림 1] level4의 hint를 확인해보면 /etc/xinetd.d/ 에 백도어를 심어놓았다고 한다. [그림 2] 해당 경로에 가보면 그냥 'backdoor' 라는 이름의 파일이 있는 것을 확인할 수 있다. [그릠 3] backdoor 파일의 내용을 확인 해 보면 [그림 3]과 같이 출력이 되는데 이를 가지고 알 수 있는 것은 backdoor 라는 파일은 finger 서비스 파일이며, 현재 서비스 중이라는 것이다. 좀 더 자세히 설정을 분석해보자. disable = no // 현재 서비스 중이다. socket_type = stream // TCP 로 통신을 한다. wait = no // 서비스 요..

HackerSchool FTZ WARGAME Solution Start : 15.07.03 LEVEL3 [그림 1] hint 파일을 열어 보면 [그림 1]과 같이 autodig 에 대한 소스 코드가 출력되고, 아래에 문제를 풀기 위한 힌트가 제공된다. 소스 코드를 분석해보면 autodig 프로그램의 인자 값은 프로그램 이름 포함 2개가 필요하며, cmd 배열에 'dig @[인자 값] version.bind chaos txt' 를 저장하고 cmd 배열에 있는 값을 system 함수에 전달해서 실행한다. [그림 2] find 명령어를 이용해 autodig 의 위치를 찾는다. [그림 3] autodig을 그냥 실행시켜 보면 [그림 3]과 해당 서버를 찾을 수 없다는 내용이 출력되고 실행이 되지 않는다. [그림..

HackerSchool FTZ WARGAME Solution Start : 15.07.03 LEVEL2 [그림 1] level2 계정의 hint 를 열어보면 텍스트 파일 편집기를 일단 찾아야 하는 것을 알 수 있으며, 텍스트 파일 편집기 중 다음 계정으로 상승해야하므로 setuid 가 걸린 파일을 찾아야 한다. [그림 2] find 명령어를 이용해 setuid 가 걸린 파일을 찾아 보면 [그림 2]와 같이 출력되는데 그 중 '/usr/bin/editor' 라는 파일이 눈에 띈다. [그림 3] ls –al 명령어로 해당 파일을 열어 보면 소유자가 level3 인걸 확인할 수 있다. [그림 4] 해당 파일을 실행시켜보면 [그림 4]와 같이 vim 프로그램이 실행되는 것을 확인할 수 있다. hint 를 다시 ..