[LOB] golem->darkknight

LOB

[Load Of Buffer overflow]

#12 :golem->darkknight

어제 풀었는데 완벽하게 이해하지 못해서 올리지 않았다..

스터디에서 여쭈어봤지만 완벽하게 해결되지는 않았음.

일단 코드는 이런데, 힌드에서 FPO를 이용하라고 했다. 

FPO는 프레임 포인터 오버플로우로, Fake EBP와 비슷한 방식의 공격기법이다.

FPO 공격기법을 사용하려면, 버퍼보다 1byte이상은 오버플로우를 사용할 수 있어야 하고, 스택 프레임이 두개이상이어야 한다.

즉, 서브루틴이 있어야 한다는 것. 

설명을 자세히 하지 않겠지만, (왜냐면 설명을 하기에는 복잡해서... 밑의 참고 링크의 그림이 이해가 잘 됨) 

나는 shellcode의 주소가 메모리에 기록이 되는 과정이 이해가 되지 않았다. 나중에 한 줄 한 줄 브레이크 포인트 걸고 살펴봐야 하나...ㅠㅠㅠ

일단은 cp하고, 디버깅했다. leave 직전에 브레이크 포인터를 걸었고, 

앞에 NOP을 채우고 쉘코드를 인자로 주었다. 사실 41바이트까지 쓸 수 있었지만, 40바이트만 인자로 주었다. 

그러고 이제 메모리를 봤는데, 40바이트만 써서 그런지 마지막이 00으로 바뀌었다. 저 부분은 현재 EBP이므로 그 안의 내용인 0xbffffa00은 SFP를 나타낸다.

혹시 몰라서 41바이트로 뒤에 ff를 추가해보았더니 바뀐 걸 알 수 있다. SFP를 조작할 수 있다는 것!

사실 FPO를 설명해야 하는데, 나중에 정리한 내용을 그림으로 붙이겠다...지금은 귀찮고 남에 것을 퍼올 수도 없어서..

\ac를 넣은 이유는 후의 결과를 통해서 설명하려고 한다.

SFP를 0xbffffaac로 바꾸면 leave과정의 POP EBP 인스트럭션에서 메인의 ebp가 0xbffffaac로 갈 것이다.

그러고 이제 메인의 과정을 다 수행하면 mov esp, ebp로 인해서 ebp와 esp가 0xbffffaac가 될 것인데, 그 다음에 pop EBP로 인해 뭐 ebp는 이제 볼 필요없지만, 0x8048500으로 갈 것이고, esp는 0xbffffab4가 될 것이다. 그 후에 ret에 의해서 0xbffffab4 주소로 이동해서 인스트럭션을 수행할 것인데, 그 부분이 쉘코드가 된다.

내가 이해가 안 된 부분은 왜 0xbffffab0부분에 쉘코드의 주소가 자동으로 입력되어 있는지...이다..!

내가 조작한 부분은 0xbffffaac인데, 하필 그 후에 4바이트에 자동으로 쉘코드가 들어있는 것이 이해가 되지 않았다.ㅠㅠ

일단은 성공,.,!

출처 :

https://bob3rdnewbie.tistory.com/188