Security

Python을 이용한 간단한 파일 처리 코딩을 만들었습니다

파일쓰기

f = open("./test.txt", "w")

data = input("입력할 데이터를 써주세요: ")

f.write("hello")
f.write("\n")
f.write(data)

f.close()

파일 읽기

#read 사용
f = open("./test.txt", "r")

r = f.read()
print(r)

f.close()

#readline 사용
f = open("./test.txt", "r")

rl = f.readline()
print(rl)

f.close()

#readlines 사용
f = open("./test.txt", "r")

rls = f.readlines()
print(rls)

f.close()

간단한 구구단 코딩을 Python으로 제작한 것입니다

실행하면 단수별로 쭉 출력이됩니다

for num1 in range(2,10):
    print("{}단".format(num1))
    
    for num2 in range(1,10):
        print("{} * {} = {}".format(num1, num2, num1*num2))
        
    print("")

RTL ( Return to Libc )

: DEP 메모리 보호 기법을 우회하는 공격 기법으로 실행 권한이 있는 공유 라이브러리를 통해 공격하는 기법이다

- shellcode의 호출이 필요없다

- RTL은 LIBC에 함수 호출을 하고 함수의 인자 값을 전달해야 한다

RTL ( Return to Libc ) 순서

1. root 권한으로 setuid가 설정된 파일 작성

2. 일반 계정으로 환경변수 주소 구하는 코드 작성

3. root 권한을 얻고 쉘을 실행시키는 코드 작성

4. 언어팩 세팅

5. 작성 코드 환경 변수 등록 후 주소 확인

6. 취약한 함수가 쓰인 프로그램을 gdb로 확인하여 변수의 시작 부분에서 EBP까지의 거리를 확인

7. 스택 구조 알기

8. 사용할 함수 주소 구하기

9. 일반 계정으로 root 권한 파일 실행 및 root 권한 획득

1. root 권한으로 setuid가 설정된 파일 작성

2. 일반 계정으로 환경변수 주소 구하는 코드 작성과  쉘코드 획득

3. root 권한을 얻고 쉘을 실행시키는 코드 작성

4. 언어팩 세팅

- 다른 환경변수를 등록하기 전에 언어팩 세팅을 제일 먼저 해줘야 다른 환경 변수의 주소가 바뀌지 않는다

- 기본 세팅인 영문은 1바이트로 동작하기 때문에 2바이트인 한글로 언어팩을 변경해준다 ( 로그아웃시 초기화 )

5. 작성 코드 환경 변수 등록 후 주소 확인

6. 취약한 함수가 쓰인 프로그램을 gdb로 확인하여 변수의 시작 부분에서 EBP까지의 거리를 확인

- root 권한으로 작성된 파일을 바로 gdb로 열게되면 동작이 제대로되지 않기 때문에 이름의 글자수를 똑같이하여 복사를 해준뒤 gdb로 열어서 확인한다

7. 스택 구조 알기

- 앞서했던 Buffer Overflow를 막기위한 보호기법 DEP를 우회하기 위해 RET 자리에 실행 권한이 있는 Shared Libc의 함수 execl 의 주소를 넣어 준다

8. 사용할 함수 주소 구하기

9. 일반 계정으로 root 권한 파일 실행 및 root 권한 획득

공격코드

./bof "`perl -e 'print "A"x524, "[ 호출 함수 주소 ]", "A"x4, "[ 환경 변수 등록 공격 코드 주소]"x3'`"

( execl의 함수 원형은 인자를 최소 3개 이상을 받기 때문에 3을 곱해준다 )

DEP (Data Execution Prevention)
: 데이터 실행 방지로 스택이나 힙에서의 쉘 코드 실행을 막아주는 메모리 보호 기법으로 Buffer Overflow를 막을 수 있다

종류
- HardWare DEP : 가상 메모리 페이지 단위로 해당 메모리에서 코드를 실행할 수 없음을 나타낸다
- SoftWare DEP : seh overwrite같이 특정 유형의 악의적인 코드 공격을 막아준다

Stack Buffer Overflow (스택 버퍼 오버플로우)

: 할당된 버퍼 보다 많은 데이터가 삽입되었을 때 인접 메모리를 덮어 쓰게 되는 취약점이다

Buffer Overflow에 취약한 함수 목록

- strcpy, strcat, gets, fscanf, scanf, sprintf, sscanf, vfscanf, vsprintf, vscanf, vsscanf, streadd, strecpy, strtrns

Buffer Overflow의 취약점 원인

- 문자열 처리함수에서 입력값에 대한 길이 체크를 하지 않음으로 취약점 발생

Buffer Overflow 대응 방안

- 근본적인 대응 방안은 안전한 함수 사용 및 입력값 길이 체크

Buffer Overflow 순서

1. root 권한으로 setuid가 설정된 파일 작성

2. 일반 계정으로 환경변수 주소 구하는 코드 작성과 쉘코드 획득

3. 언어팩 세팅

4. 쉘코드 환경 변수 등록

5. 취약한 함수가 쓰인 프로그램을 gdb로 확인하여 변수의 시작 부분에서 EBP까지의 거리를 확인

6. 스택 구조 알기

7. 일반 계정으로 root 권한 파일 실행 및 root 권한 획득

1. root 권한으로 setuid가 설정된 파일 작성

2. 일반 계정으로 환경변수 주소 구하는 코드 작성과  쉘코드 획득

권한 상승 후 쉘 실행 시키는 쉘코드:

\x31\xc0\x89\xc3\xb0\x17\xcd\x80\xeb\x0f\x5e\x31\xc0\x50\x89\xe2\x56\x89\xe1\x89\xf3\xb0\x0b\xcd\x80\xe8\xec\xff\xff\xff\x2f\x62\x69\x6e\x2f\x73\x68

3. 언어팩 세팅

- 다른 환경변수를 등록하기 전에 언어팩 세팅을 제일 먼저 해줘야 다른 환경 변수의 주소가 바뀌지 않는다

- 기본 세팅인 영문은 1바이트로 동작하기 때문에 2바이트인 한글로 언어팩을 변경해준다 ( 로그아웃시 초기화 )

4. 쉘코드 환경 변수 등록 및 주소 구하기

5. 취약한 함수가 쓰인 프로그램을 gdb로 확인하여 변수의 시작 부분에서 EBP까지의 거리를 확인

- root 권한으로 작성된 파일을 바로 gdb로 열게되면 동작이 제대로되지 않기 때문에 이름의 글자수를 똑같이하여 복사를 해준뒤 gdb로 열어서 확인한다

6. 스택 구조 알기

EBP - 스택의 하단부

ESP - 스택이 쌓이는 상단부

RET - 프로그램이 시작될 때 끝나고 돌아갈 주소를 저장해 놓은 곳

- 스택은 높은 주소에서 낮은 주소로 쌓이고 데이터는 낮은 주소에서 높은 주소로 쌓인다

- EBP 기준으로 -520 인 위치가 buffer의 시작 주소이다

- buffer에 데이터를 작성할 때 520 바이트를 작성하면 EBP전까지 작성한 데이터로 가득 채울 수 있다

- EBP전까지 데이터를 가득 채운뒤 4바이트를 더 작성하게되면 RET전까지인 EBP까지 가득 채울 수 있게된다

- EBP까지 데이터를 가득 채웠으면 환경변수에 저장해둔 쉘코드를 RET에 채워 넣으면 프로그램이 끝나고 공격코드가 실행되게 된다 

7. 일반 계정으로 root 권한 파일 실행 및 root 권한 획득

공격코드

./bof `perl -e 'print "A"x[거리], "[쉘 코드 환경 변수 주소]"'`