Buffer Overflow

먼저 BOF는 말 그대로 Buffer (버퍼가) Overflow (넘치다)

버퍼가 넘친다는 말입니다.

프로그래머의 실수로 인해 버퍼가 할당받은 공간에 크기 제한을 하지 않고 값들을 집어넣어 할당받은 공간보다 더 값을 넣을 수 있는 취약점입니다.

쉽게 말해서 buf[10]이라는 배열을 만들었다면,

이 배열은 총 10개의 공간을 가지게 됩니다.

하지만 buf에 10개의 값을 넣는게 아닌 11개, 12개 혹은 그 이상의 값들을 크기를 확인하지 않고 마구잡이로 넣어서 BOF 취약점이 터지게 되는 것이죠 :D

먼저 BOF에 들어가기 앞서 스택 구조와 프롤로그 에필로그에 대해 알아보도록 하겠습니다.

Hello STACK!

이 블루스택 프로그램을 말하는 걸까요?

오...아쉽게도 아이콘은 비슷했지만 이 프로그램을 말하는 것은 아니였습니다.

음, 프로그래밍을 좀 해보셨다면 자료구조에서 스택을 분명히 들어보셨을겁니다.

스택은 선입후출 FILO(First In Last Out), 후입선출 LIFO(Last In First Out) 구조를 가지고 있으며, 쉽게 말해 접시와 같다고 흔히들 비교를 하십니다.

이렇게 처음에 쌓인 것이 나중에 나온다 해서 접시, 책 등등으로 쉽게 비교를 하시며 설명을 하십니다.

Open Program in GDB!

leave

ret

그렇다면 버퍼의 주소는 0xffffd6e6이겠네요.

그리고 실제로 버퍼 주소가 맞는 것을 확인할 수 있었습니다.

그렇다면 이번에는 크기를 제한하지 않고 버퍼보다 많은 값들을 넘겨줘보겠습니다.

띠용 eip가 주작이 되었습니다.

이제 여기서 알아야될 것은 SFP와 RET입니다!

위와 같이 생겨먹었습니다.

dummy는 gcc 2.9.6? 2.9.5? 음...아무튼 저 근처대의 버전에서 더미가 추가되었습니다.

SFP는 이전 함수의 EBP를 저장해두는 장소입니다.

해당 함수가 끝이 나서 함수를 빠져나와야되는데, 돌아갈 주소를 다시 찾아가기 위한 저장소(?)입니다.

RET은 SFP와 마찬가지로 이전 함수로 돌아가기 위한 주소를 가지고 있습니다.

아무튼, 위와 같은 구조를 가지고 있었기에, buf와 dummy를 넘기고 RET까지 도달하였기에 0x62626262으로 이동하게 된 것 입니다.

이러한 방법으로 RET을 의도적으로 원하는 주소로 이동시킬 수 있기 때문에

프로그램을 해커가 원하는 흐름으로 바꿀 수 있게 되는 것 입니다.

BOF는 해킹의 꽃이라고 볼 수도 있을 것 같습니다!

감사합니다.

그러타.

나는 미스터 로봇 시즌1을 다본 사람이다.

미스터 로봇 시즌1이 끝날때 마지막 부분에 아쉽게 끝내서 아쉬워하던 도중

어제 미스터 로봇 시즌 2가 나왔다는 소리를 들었다.

오.. 세상에 7월 13일에 나왔다니.

현재는 3화까지 나와있다.

아니 근데 여기서 왜 미스터 로봇이 롸이트업에 들어가있느냐~!?

바로 미스터 로봇에 숨겨진 이스터 에그가 있었다.

바로 이 장면에 나타나는 모니터에 있었다.

이 장면은 tool을 이용하여 랜섬웨어를 생성하는 장면이였는데.

수상한 아이피를 발견할 수 있었다.

192.251.68.254:80에 랜섬웨어가 배포되는 것처럼 느껴진다.

그리고 실제로 접속이 되는지 확인을 해보았다.

실제로 접속이 되고 헤더 중 Location을 발견할 수 있는데,

http://i254.bxjyb2jvda.net/에 리다이렉트가 되는 것을 발견할 수 있었다.

마지막으로는 http://i239.bxjyb2jvda.net 로 이동을 하게 된다.

실제로 접속해보면 이러한 페이지가 나타난다.

타이머로 시간이 가고 있고 요상한 페이지였다.

또로롱

그리고 web_analytics.js 라는 수상한 스크립트를 발견할 수 있었다.

web_analytics.js 코드는 아래와 같다.

뭐 그 뒤는 저 base64 인코딩된 문자열을 디코딩을 해보면.

라는 문자열을 발견하게 된다.

I sincerely believe that banking establishments are more dangerous than standing armies, and that the principle of spending money to be paid by posterity, under the name of funding, is but swindling futurity on a large scale.

- Thomas Jefferson

아마 나중에 나올 스토리와 연관이 있는 것 같다.

기대된다 ... !

LD_PRELOAD에 대해 ARABOZA

what is LD_PRELOAD ?

where is LD_PRELOAD ?

Let's compile shared library!

$ gcc -Wall -fPIC -shared -o filename.so filesource.c

같이 공유 라이브러리를 컴파일 할 수 있습니다.

Modify LD_PRELOAD

Fun it !

hostname 명령어는 말 그대로 호스트네임의 값을 출력해주는 명령어입니다.

gethostname를 만들면 되겠네요!

$ gcc -shared -fPIC -o hook.so a.c

컴파일을 하신 뒤,

LD_PRELOAD에 직접 만든 라이브러리 경로를 넘겨주고!

실행을 하게 되면.

잘 된 것을 볼 수 있습니다!

하지만, 중요한 것은 LD_PRELOAD는 setuid가 걸려있으면 동작을 하지 않습니다.

C# 7.0 New Features

튜플 ( Tuples )

Before Code

튜플 반환 타입 ( Tuple return types )

after code

인라인 튜플 ( Inline tuples )

레코드 타입 ( Record types )

Before Code

After Code

불멸 타입 ( Immutable Types )

Non-Null 참조 타입 ( Non-null reference types )

지역 함수 ( Local Functions )

패턴매칭 ( Pattern Matching )

상수 매칭

형태 매칭

속성 매칭

재귀 매칭

C# 6.0 New Features

1. 엘비스 연산자

Before Code

After Code

2. 문자열 보간

Before Code

After Code

3. 딕셔너리(사전) 초기화

Before Code

After Code

4. nameof 연산자

C# 6.0의 name of 연산자는 타입, 메서드, 속성 등의 이름을 리턴하는 것으로 하드 코딩을 하지 않게 도움을 줍니다.

하드 코딩에 의한 타이핑 오류 방지에 도움이 됩니다.

Before Code

After Code

5. using static 문

지금까지는 클래스명,속성명으로 사용했습니다.

하지만 C# 6.0에서는 using static 클래스명을 작성하면 클래스명 없이 메서드를 직접 사용할 수 있게 됬습니다.

Before Code

After Code

6. 예외 필터

이 기능은 Visual Basic, F#에서는 지원되고 있었지만 C#에는 지금까지 지원되지 않았던 기능입니다.

예외 필터란 catch 블럭이 예외를 catch하기 전에 필터링 할 수 있도록 허용하는 기능입니다.

C# 6.0 문법에서는 catch 문 뒤에 추가적인 when 조건문을 사용하면 됩니다.

Before Code

7. catch 및 finally 블럭에 await

Code

try

{

service = new ServiceClient();

await service.Save(data);

}

catch (Exception ex)

{

await LoggingService.Log(ex);

}

finally

{

await service.Close();

}

8. 자동 프로퍼티 초기화

이전에는 프로퍼티를 자동 생성하는 방법에서 초기 값을 설정하는 방법은 생성자를 만들어서 이를 해당 값에 할당하였습니다.

하지만 6.0에서는 곧바로 자동 속성을 만들면서 = "값" 을 통해 생성자 구현 없이 값을 할당할 수 있게 되었습니다.

Before Code

9. 읽기 전용 자동 프로퍼티

이전에는 자동 프로퍼티는 항상 get과 set을 함께 사용하였습니다.

하지만 6.0에서는 읽기 전용의 자동 프로퍼티를 쓸 수 있게 되었습니다..

즉 get만을 사용할 수 있게 됬습니다..

※ 값을 할당하지 않으면 컴파일러는 자동으로 default 값을 할당합니다. 

Before Code

10. 식으로 구성된 메서드

Statement Block을 사용하는 대신 간단한 함수식을 사용할 수 있는데 이를 Expression-bodied member 표현이라고 합니다.

이는 기존의 람다식과 유사한 것으로 속성이나 메서드 body를 간략한 람다식처럼 표현합니다.

Code

친구가 포탈2를 선물해줬다.

신나는 기분으로 설치하고 있다.

포탈2는 멀티도 되므로 친구와 한판 땡길 예정이다.

사실 리뷰랄것도 별로 없다.

머리만 아플뿐.

물론 재미는 보장한다.

어저께 유투브를 둘러보다가 게임을 하는 것을 봤는데

재미있어보이더라.

그래서 구매를 했다!

나름대로 이 게임은 캐릭터의 특성을 정하고 유투브의 채널의 특성을 정하고 시작을 하게 되는데.

현재 0.7.13 버전으로서는 Game 채널밖에 열려있지 않다.

캐릭터의 특성을 고르는 부분이다.

아마도 특성을 고르면 그에 대한 캐릭터의 능력치가 조금 더 올라가는 것 같은 (?)

게임 채널을 고르는 부분이다.

현재로서는 위에서 말했듯이 게임 채널밖에 생성이 가능하지만,

후에 가면 다른 채널들도 할 수 있을 것 같지만.

Music 빼고는 그렇게 기대되지도 않는다.

게다가 캐릭터의 커스텀마이징을 할 수 있는데.

아쉽게도 수염의 색깔은 불가능했다.

그리고 버그가 잔잔하게 졸라게 많으면서 심하다.

1. 친구 프로필 보기

먼저 제일 중요한 친구 프로필 보기 부분이다.

친구 프로필 창이 병신이 되있어서 데이트도 못걸고 집에 초대도 못해서 합방도 못하고.

파티도 못간다...

누군가 불러줘야 갈 수 있다...

2. 방송하는 중에 모션 넣기

내가 유투브에서 하는 사람들을 보면 이렇게 되잇지 않았다.

물음표가 아닌 표정으로 나와서 그 표정에 맞게 넣으면 보너스 점수를 주는 형식이였는데..

이렇게 물음표로 나오는 버그(?) 비슷하게 나타난다.

더 이상한건 어쩌다가 제대로 잘 나온다.

3. 비디오 게임 만들기

괜히 샀다.

요롤로룰루럴랄

일본어 공부를 하고 있다.

먼저 외우기가 급급하다.

히라가나

가타가나

20분 만에 히라가나 절반을 외우게 해준 최고의 영상이다.

공부하면서 참고하면 좋을 곳

http://m.blog.naver.com/piry777/100177126968

3년동안 열심히 모아온 돈을 이제 슬슬 풀어보려고 준비중이다.

바로 일본 여행을 생각하고 있는데

역시나 너무나 기대된다.

계획을 세우는 것이 너무 좋다.

교통편

비행기

이스트 항공

Use After Free

오늘 다뤄볼 취약점은 Use After Free입니다.

말 그대로 사용한 후 메모리를 해제했을 때에 취약점을 발견할 수도 없을 수도 있을 수도 있습니다.

이 취약점은 근래에 브라우저 취약점에서 많이 발견되었습니다.

[CVE-2012-4792 IE Use-After-Free Analysis and Exploit]

- http://pgnsc.tistory.com/348

멋쟁이 sweetchip님의 BoB 프로젝트 도중에 그 당시에 문서로 남겨놓으셨습니다!

이러한 UAF 취약점은 스택 영역에서 이루어지는 취약점이 아닌 힙 영역에서 발생하는 취약점입니다.

What is Heap?

출처 : https://namu.wiki/w/%EC%98%A4%EC%A6%88%EB%9E%9C%EB%93%9C

Heap은 프로그래머가 필요에 따라 메모리 공간이 동적 할당/소멸되는 영역입니다.

하지만 스택은 힙과는 달리 정적으로 할당이 되기 때문에 컴파일 시 미리 스택에 공간이 할당이 되어있습니다.

예를 들자면 아래와 같습니다.

0x08048510   <+0>: push   ebp

0x08048511   <+1>: mov    ebp, esp

0x08048513 <+3>: sub    esp, 0x120

위의 어셈 코드와 같이 0x120(288)만큼 할당하는 코드를 볼 수 있듯이 스택은 컴파일할 때에 할당되는 영역입니다.

하지만 힙은 런타임 시 할당되는 유용하게 사용되는 공간입니다.

이 영역은 시작과 동시에 메모리에 올라고 프로그램이 종료될때까지 남아있습니다.

이러한 힙 영역을 사용하기 위해서는 동적할당에 대해 알아두어야됩니다.

info malloc !

흔히 C언어로 코딩 좀 해봤다 싶으면 봤을 듯한 함수인 malloc입니다.

이 malloc 함수는 동적으로 메모리를 할당하는 함수로서 아래와 같이 생겨먹었습니다.

void* malloc(size_t size)

함수를 호출 시 할당하고자 하는 메모리의 크기를 인자에 전달하면 그 크기만큼 메모리를 할당하게 되고 그리고 그 할당한 메모리의 주소를 리턴하게 됩니다.

메모리에 할당에 실패하면 NULL을 리턴하게 됩니다.

Eh? return type is void* ??

Hell o malloc

Yeah Use After Free!

Use After Free in sample program

Abex Crack Me 

Abex Crack Me 1

어셈 코드가 졸라 짧으므로 분석이 매우 쉽다.

GetDriveTypeA 함수는 지정한 disk가 어떤 형태의 저장소인지 판단을 하는 함수이다.

kernel32에 있는 함수이며, 함수가 실행되면 특정 정수 값을 리턴하는데 해당 값에 따라 디스크의 유형을 판단할 수 있다.

그렇습니다.

아마 그렇다면 저 함수가 실행되고 eax 레지스터에는 3이 들어가있겠네요!

그리고 실제로 3이 들어간 것을 볼 수 있습니다.

하지만 저희는 CD-ROM으로 인식하게 해야되기 때문에 저 eax 값엔 원래는 6이 리턴이 되어야됩니다.

하지만 그 값들은 여기서 요상한 연산을 하고 eax랑 esi랑 비교를 하여 같을 경우에 CD-ROM으로 인식했다고 조져따 라고 메세지를 띄웁니다.

고로 저는 다 필요없이 비교 부분에 서로 같은 것을 비교하게 조져버렸습니다.

ㅅㄱ

Abex Crack Me 2

먼저 이 문제는 흔하디 흔한 키젠 문제인 것 같습니다.

분명히 이름을 통해 시리얼키가 생성이 되고 그 생성된 키와 체크하는 것이라고 예상을 할 수 있겠습니다.

디버깅 ㄱㄱ

이 부분에서 eax에 리턴 값이 들어가고 그 ax 끼리 test 연산을 하고 시리얼이 틀렷는지 맞는지 확인을 하므로

vbaVarTstEq가 서로 비교하는 함수라는 것을 알 수 있습니다.

그렇게 내부로 들어가보면.

실제로 비교하는 것을 알 수 있었습니다.

차곡차곡 쌓인 것을 볼 수 있습니다.

00000008

0018F40C

00298784  UNICODE "CCD9C6C9"

0018F3C4

00000008

0018F40C

0029886C  UNICODE "123456789"

0018F3C4

CCD9C6C9과 제가 입력한 값을 비교합니다.

ㅅㄱ링딩동

그리고 시리얼 생성하는 부분을 분석을 하고 키젠을 만들어봤다.

def keygen(name):

key = ''

for i in range(4):

key += chr(ord(name[i])+0x64).encode("hex")

return key.upper()

Abex Crack Me 3

실행을 해보면 이러하다.

아마도 그렇다면 예상 시나리오는.

키 파일이라는 걸 생성해서 그 키 파일에서 내용을 읽고 체크하는 문제일까 하고 생각을 해보았다.

뭐 이런 생각은 디버깅을 하고 난 뒤면 꼼짝 못해~!

뭐 코드도 짧으니 금방 분석이 가능하시겠다.

메세지 박스를 띄우고 abex.l2c를 읽기모드로 연다.

하지만 당연히 eax에는 이 파일이 없기때문에 FFFFFFFF을 리턴하고 저 eax 비교에서 분기되서 파일을 찾을 수 업써!! 라고 메세지를 띄우게 된다.

고로 프로그램이 있는 경로에 저 파일을 생성해주자.

ㅇㅋ

그렇다면 파일을 찾았기 때문에.

아마 파일 찾는 분기에서는 걸리지 않을 것이다.

그 다음은 파일의 사이즈를 리턴하여 그 사이즈가 12가 아닐 경우에는 틀린 키 파일이라면서 찡찡거리게 된다.

고로 사이즈를 0x12(18)로 맞추고 실행을 해주면 풀릴 것 이다.

Abex Crack Me 4

그렇다.

이 문제는 버튼이 비활성화가 되있다...

고로 디버깅 ㄱ

현재 날짜들을 구해와서 mul, add연산을 통해 시리얼이 완성된다.

이렇게 eax에 시리얼이 들어있는 것을 볼 수 있다.

이게 시리얼인지 확인하는 방법은 vbacmp 함수를 확인하면 된다.

입력한 값과 시리얼을 비교하는 것을 볼 수 있다.

그리고 같을 경우 가입이 활성화된다.

Abex Crack Me 5

세인트루이스워싱턴대학 연구팀에서 뇌를 해킹하여 원격 조작을 할 수 있게 한 메뚜기를 이용해서 폭발물을 찾아내는 시험을 하고 있다고 한다.

메뚜기의 뛰어난 후각을 이용하여 폭발물 탐지에 응용한다는 것인데...

덜덜하다...

예전에 바퀴벌레의 뇌에 전류를 보내서 원격조작하는 것을 보고 덜덜했는데...

상황

비교하기

상황

그렇다...

영상 프레임이 커지면서 시간이 너무 심각하게 오래걸린다는 점이였다...

아니...1시간 24분이나...

사실은 이때 테스트용으로 돌려놓고 오버워치하고 오면 되겠지~

하고 시간을 확인하려고 했으나...

경과된 시간을 보고 경악을 하고 말핬다...

차라리 이렇게 걸릴빠엔 직접 스스로 영상 30개 대조해도 이것보단 빠르겠다 싶어서 

이 프로젝트의 목적이 없어지고 말아버렸다...

그래서 최대한 시간을 단축시킬 수 있는 방법을 생각해봤다.

생각

효과

영상

상황

그래서 현재 상황은?

뭐 그럭저럭 시간이 많이 들어가진 않는다.

아마 그래도 프레임이 1000단위로 넘어가면 5분 10분 걸릴 수도 있는 상황이라 조금 위험하긴하다만,

그래서 생각한 것이 하나 있긴한데 이건 아직 시도하지 않아서 시도해보고 효율적이라면 이 방법으로 해야겠다.

아니 세상에...

이 포켓몬 고는 증강현실(AR) 기반 모바일 게임인데.

GPS 기능을 활용하여 그 지역에 맞는 포켓몬을 수집하게 하는데

사실 나오기 전부터 엄청 기대했지만,

현재 하루만에 앱스토어 1위를 달리고 있다고 한다.

주변에 포켓몬이 나타나면 진동으로 알려주고,

기존과 똑같이 포켓몬 볼로 포켓몬을 잡을 수 있다.

몬스터볼은 포켓스탑이라는 곳에서 얻을 수 있고,

랜드마크 같은 곳에 가면 희귀한 몬스터를 얻을 수 있다고 한다.

하지만 아직 한국은 정식 출시가 되지 않아서 플레이가 불가능한다고 하는데요.

꼭 플레이를 해보고 싶으신 분은 해외 계정을 만드신 뒤에 설치를 하여 플레이를 하시면 될 것 같습니다.

프로젝트 구상을 하다 자기 전에 웹툰을 본 뒤에 베도에 갔더니 우연히 발견한 'DJ 카일 하우스'라는 웹툰을 발견하였다.

딱히 DJ에 크게 관심도 있는 것도 아니라 1화만 보고 나오려고 했는데

그림체가 나의 취향을 저격하는 것이 아닌가...!

게다가 스토리도 그렇게 막장으로 나가는 것도 아니라 괜찮았다.

하지만 아쉬운 부분은 과거편의 끝을 정확히 맺어줬으면 좋았을 것 같기도...

게다가 이 작가분 영어를 잘하시는 것 같더라.

보다가 중간에 갑자기 영문으로 나와서 해석하면서 봤더니 알고보니 정신차려보니 초반에 봤던 ... 7화였다 ㅋㅋㅋㅋㅋㅋㅋㅋㅋ

그리고 보다가 C++ 이 나왔는데

얼마나 반가우던지 ㅋㅋㅋㅋㅋ

아마 작가분도 컴퓨터를 다뤄본 적이 있는 걸까?

근데 아마 깊게 하신 분은 아닌 것 같다...

아들과 C++을 한다니..

얼마나 마조히스트 가정인가...

아무튼 정말 재미있게 봤다.

정말 열심히 하시는 것 같아서 나도 열심히해야겠구나 싶기도 함.

그 분보다는 어리니까

상황

필요한 패키지들 찾아나서기

일단 파이썬에서 영상 프로세싱이 가능한 패키지를 찾아봤다.

음...역시... openCV를 쓰기로 했다.

How to install OpenCV for Python in Ubuntu 14.04

뭐 이런것도 있더라...

http://www.phash.org/

그래서 현재 상황은?

뭐 그럭저럭 틀이 잡혀가고 있다.

이제 문제는 서로 프레임이 다르기때문에 어떻게 비교를 해야 효율적일까 생각을 해봐야겠다.

주요 기능

영상들끼리 비교를 통해 유사한 영상인지 아닌지를 판별

개발하게 된 이유

아, 이 프로젝트를 시작한 이유는 내가 여러 영상들을 자주 받는데...

영상이 100여개가 넘어가다보니 받은지 안받은지 기억이 안나더라...

그래서 아 그냥 만들어야지 하고 시작해봄.

프로젝트 이름이 CoMpOvie 인 이유

개발 언어

개발 환경

Windows7, Ubuntu

주저리 주저리

사실 상 이걸 뭐 프로젝트라고 말하기는 부끄럽지만 심심해서 뭐라도 만들어보기위해 시작함.

main()는 리눅스에서 어떻게 실행이 될까?

What is ELF?

게임 또는 애니메이션이나 소설에 나오는 엘프를 말하는 걸까요?

네, 하지만 여러분들이 생각하는 그런 엘프는 아니라 유감,

그렇다면 ELF에 대해 알아봅시다!

1999년 86open 프로젝트에 x86기반 유닉스 계열 시스템들의 표준 바이너리 파일 형식입니다.

ELF (Executable and Linkable Format)은 실행파일, 목적파일, 공유 라이브러리 그리고 코어 덤프를 위한 표준 파일 형식인데요.

음 그냥 간단히 윈도우에서의 .exe 파일과 비슷하다고 보시면 될 것 같습니다. 

ELF 포맷 구조를 보도록 하겠습니다.

그림판으로 그려서 못생긴 기분이 들지만...

대략 이렇게 생겨먹었습니다.

ELF파일은 ELF 헤더가 맨 앞에 위치하며, 프로그램 헤더 테이블과 섹션 헤더 테이블은 그 뒤에 위치합니다.

그렇다면 이제 elf 파일 형식을 직접 봐보도록 하겠습니다.

ELF Header View

ELF 파일 형식을 보기 위해서는 readelf 명령어를 이용합니다.

readelf 명령어 옵션에 대해 알아보고 싶으신 분은 아래의 링크를 참조바랍니다.

readelf - https://sourceware.org/binutils/docs/binutils/readelf.html

저희는 ELF Header를 보려고 하는 중이기 때문에

아래와 같은 옵션으로 넘겨줍니다.

-h

--file-header

Displays the information contained in the ELF header at the start of the file. 

$ readelf -h ./hello

ELF 헤더는 다음과 같은 구조를 가지고 있습니다.

#define EI_NIDENT 16

typedef struct {

        unsigned char   e_ident[EI_NIDENT];  // Magic number and other info

        Elf32_Half      e_type;  // Object file type

        Elf32_Half      e_machine;  // Architecture

        Elf32_Word      e_version;  // Object file version

        Elf32_Addr      e_entry;  // Entry point virtual address 

        Elf32_Off       e_phoff;  // Program header table file offset

        Elf32_Off       e_shoff;  // Section headr table file offset 

        Elf32_Word      e_flags;  // Processor-specific flags

        Elf32_Half      e_ehsize;  // ELF header size in bytes

        Elf32_Half      e_phentsize;  // Program header table entry size

        Elf32_Half      e_phnum;  // Program header entry count

        Elf32_Half      e_shentsize;  // Section header table entry size

        Elf32_Half      e_shnum;  // Sectino header table entry count 

        Elf32_Half      e_shstrndx;  // Sectino header string table index

} Elf32_Ehdr; // x86

typedef struct {

        unsigned char   e_ident[EI_NIDENT];  // Magic number and other info

        Elf64_Half      e_type;  // Object file type

        Elf64_Half      e_machine;  // Architecture

        Elf64_Word      e_version;  // Object file version

        Elf64_Addr      e_entry;  // Entry point virtual address 

        Elf64_Off       e_phoff;  // Program header table file offset

        Elf64_Off       e_shoff;  // Section headr table file offset 

        Elf64_Word      e_flags;  // Processor-specific flags

        Elf64_Half      e_ehsize;  // ELF header size in bytes

        Elf64_Half      e_phentsize;  // Program header table entry size

        Elf64_Half      e_phnum;  // Program header entry count

        Elf64_Half      e_shentsize;  // Section header table entry size

        Elf64_Half      e_shnum;  // Sectino header table entry count 

        Elf64_Half      e_shstrndx;  // Sectino header string table index

} Elf64_Ehdr;  // x86_64

참고 : http://www.sco.com/developers/gabi/2003-12-17/ch4.eheader.html

Program Header table

프로그램 헤더 테이블은 ELF헤더의 e_phoff로 지정된 오프셋에서 시작하고 e_phentsize와 e_phnum으로 정해진 크기를 갖는 테이블입니다.

프로그램 헤더 테이블의 전체 크기는 e_phnum * e_phentsize byte 입니다.

지금 현재는 프로그램 헤더 테이블을 보려는 중이니 아래와 같은 옵션으로 넘겨줍니다.

-l

--program-headers

--segments

Displays the information contained in the file's segment headers, if it has any. 

$ readelf -l ./hello

프로그램 헤더는 다음과 같은 구조를 갖고 있습니다.

typedef struct {

Elf32_Word p_type;  // Segment type 

Elf32_Off p_offset;  // Segment file offset 

Elf32_Addr p_vaddr;  // Segment virtual address 

Elf32_Addr p_paddr;  // Segment physical address

Elf32_Word p_filesz;  // Segment size in file 

Elf32_Word p_memsz;  // Segment size in memory

Elf32_Word p_flags;  // Segment flags 

Elf32_Word p_align;  // Segment alignment 

} Elf32_Phdr;  // x86

typedef struct {

Elf64_Word p_type;  // Segment type 

Elf64_Word p_flags;  // Segment flags 

Elf64_Off p_offset;  // Segment file offset 

Elf64_Addr p_vaddr;  // Segment virtual address 

Elf64_Addr p_paddr;  // Segment physical address

Elf64_Xword p_filesz;  // Segment size in file 

Elf64_Xword p_memsz;  // Segment size in memory

Elf64_Xword p_align;  // Segment alignment 

} Elf64_Phdr;  // x86_64

세그 먼트 타입에는 다음과 같이 있습니다.

PT_NULL 0

PT_LOAD 1

PT_DYNAMIC                 2

PT_INTERP 3

PT_NOTE 4

PT_SHLIB 5

PT_PHDR 6

PT_TLS 7

PT_LOOS 0x60000000

PT_HIOS 0x6fffffff

PT_LOPROC         0x70000000

PT_HIPROC         0x7fffffff

참고 : http://www.sco.com/developers/gabi/latest/ch5.pheader.html

Section header table

이 곳은 Section&Segment 오프셋이나 크기, 타입 등의 정보를 담고 있는 테이블입니다.

이 테이블은 오브젝트 파일 같이 relocation 가능한 ELF 오브젝트에는 반드시 있어야되는 녀석입니다.

지금 현재는 Section header table을 보려는 중이니 아래와 같은 옵션을 넘겨줍니다.

-S

--sections

--section-headers

Displays the information contained in the file's section headers, if it has any. 

$ readelf -S ./hello

섹션 헤더는 다음과 같은 구조를 갖고 있습니다.

typedef struct {

    uint32_t   sh_name;  // Section name

    uint32_t   sh_type;  // Section Type

    uint32_t   sh_flags;  // Section Flag

    Elf32_Addr sh_addr;  // Section virtual address 

    Elf32_Off  sh_offset;  // Section offset

    uint32_t   sh_size;  // section size

    uint32_t   sh_link;  // section index link

    uint32_t   sh_info;  // extra information

    uint32_t   sh_addralign;  // section alignment constraints

    uint32_t   sh_entsize;  // hold a table of fixed-sized

} Elf32_Shdr;  // x86

typedef struct {

    uint32_t   sh_name;  // Section name

    uint32_t   sh_type;  // Section Type

    uint64_t   sh_flags;  // Section Flag

    Elf64_Addr sh_addr;  // Section virtual address 

    Elf64_Off  sh_offset;  // Section offset

    uint64_t   sh_size;  // section size

    uint32_t   sh_link;  // section index link

    uint32_t   sh_info;  // extra information

    uint64_t   sh_addralign;  // section alignment constraints

    uint64_t   sh_entsize;  // hold a table of fixed-sized

} Elf64_Shdr;  // x86_64

참고 : http://linux.die.net/man/5/elf

ps. 오 세상에... 여기까지 귀찮게 다 작성했더니 마지막에 섹션 헤더에 대해 구글링을 하다가 엄청난 자료를 발견하였다. 무려 한글로 된 ... 고로 첨부합니다.

ELF File Format.doc

이렇게 리눅스에 ELF 포맷에 대해 알아보았습니다.

그렇다면 이제 어떻게 main을 불러오는지 알아보도록 하겠습니다!

오 할렐루야 이제야...

I want go to main() !

먼저 바이너리의 엔트리 포인트를 먼저 보도록 하겠습니다.

Entry point address는 0x8048320 이라고 합니다.

이제 이 주소에 뭐가 있는지 디버깅을 하면서 찬찬히 들어가보도록 하겠습니다.

Entry point address는 _start함수의 주소였습니다.

그렇다면 프로그램이 실행되면 _start 함수가 먼저 실행이 되겠네요.

_start 함수가 실행되면 스택 프레임은 아래와 같습니다.

현재 이렇게 스택 프레임이 생겨먹었습니다.

여기서 그렇다면 궁금증이 몇가지가 생기셨을꺼라 생각됩니다.

뭐 저만 생긴 걸 수도 있지만요.

1. 스택에 push된 저 값들은 무엇인가요?
2. _start에서 0x8048310을 호출하는데 뭐지?

스택에 push된 저 값들은 무엇인가요?

먼저 스택에 push된 값들은 아래와 같습니다.

0x80484b0, 0x8048440, 0x804841d

0x804841d : main() 함수의 주소

0x8048440 : __libc_csu_init() 함수 주소

0x80484b0 : ??

들이라는 것을 알 수 있었습니다.

_start에서 0x8048310를 호출하는데 뭐지??

음 뭐 사실 뭐하는 녀석인지는 옆에 함수 명이 보이기 때문에 크게 생각하실 것은 없습니다.

0x0804833c <_start+28>: call   0x8048310 <__libc_start_main@plt>

plt를 호출하는 이유는 __libc_start_main를 처음 호출하는 것이라 바로 호출하지 않고 plt에서 got를 다이나믹 링킹하고 호출을 합니다.

아니 그러면 __libc_start_main은 뭘까요?

깊숙히 들어가보도록 하겠습니다.

1. __libc_start_main은 뭔가요?

__libc_start_main은 뭔가요?

음...

현재 이 흐름은 libc의 손에 달려있습니다...!

__libc_start_main함수는 libc.so.6 안에 있거든요!

glibc 소스 코드에서 __libc_start_main를 발견할 수 있습니다.

코드는 아래와 같습니다!

int __cdecl __libc_start_main(int (__cdecl *main)(int, char **, char **), 

int argc, 

char **ubp_av, void (*init)(void), 

void (*fini)(void), 

void (*rtld_fini)(void), 

void *stack_end)

__libc_csu_init 호출

_init 호출

호로록

이 부분에선 gmon 프로파일링 시스템 초기화가 필요하다면 gmon_start를 호출하여 초기화합니다.

그 뒤에 다시 __libc_start_main으로 돌아오고 저희가 만든 main을 호출하게 됩니다.

이상입니다.

뭔가 덤성덤성 뛰어넘은 부분이 많지만 ...

도움이 되었으면 좋겠습니다!

길고 긴 글을 읽어주셔서 감사합니다.

0. Open the Google Chrome browser, type the following and press Enter

chrome://flags/#disable-direct-write

1. To enable or disable, just click on the link (Enable || Disable)

2. Click on Disable.

3. End

0. Start - Control Panel

1. Change keyboards or other input methods

2. Keyboards and Languages - Change keyboards

3. Add 

4. Korean - keyboard - Microsoft IME check - OK

5. Default input language - Korean (korea) - Microsoft IME - OK

6. END

2~3일 전에 구매한 메신저 백이 어제 왔다.

백팩을 메고 다니면 등에 땀이 장난아니라서 옆으로 매고 다니는게 나을 것 같아서 구매하려고 1달전 부터 찾아보고 있었는데

가격이 매우 저렴한 메신저 백이 있어서 구매해봤다.

3만 9천원에 구매를 했는데

가방 줄이 튼튼했으면 좋겠다.

소유 자격증

1. ITQ 한글
2. ITQ 파워포인트
3. 정보처리기능사
4. 화학분석기능사

활동

1. RNH 프로그래밍 팀 운영 (2013.07.13~2015.05.03)
2. SW로 말해요 스플래시 참여(2015.03.21)
3. 충청남도 장학생 선발(2015.06.25)
4. SecurityPlus SecurityPlus Students Academy(SSA) 대표 (2016.01.04~)
5. Hacking Camp 14th Speaker (2016.08.27~2016.08.28)

대회

학교

1. 석림초등학교 전학 (05.04~07.??)
2. 예천초등학교 졸업(07.??~11.03)
3. 서산중학교 졸업(11.04~14.03)
4. 운산공업고등학교 졸업예정 (14.04~17.03)
5. 공주대학교 재학예정 (17.03.02~??)

Memory Protection Techniques

writen by hubeen

Linux 환경에서의 메모리 보호 기법에 대해 작성하려고 합니다.

/*이 글은 틀린 정보가 있을 수도 있으며 글의 맥락이 축구공처럼 뻥뻥 돌아다닐 수도 있습니다.*/

일단 메모리 보호라는 개념을 알아보도록 하겠습니다.

네, 그렇습니다.

운영체제에서 실행되고 있는 프로세스에게 메모리를 할당을 해주게 되는데.

할당되지 않은 영역의 메모리에 접근을 하는 것을 막기 위해 있는 것이 메모리 보호 기법의 주된 목적입니다.

이러한 메모리 보호 기법들은 짱짱한 분들이 해커들의 공격을 막기 위해 열심히 노력을 해서 완성이 된 녀석들입니다. 

1. ASLR (Address Space Layout Randomization)

이 ASLR은 2001년 즈음에 Linux PaX 프로젝트에서 처음으로 "ASLR" 개념을 설계하고 2002년부터 커널 스택 무작위 배치를 구현을 하였다고 합니다.

( https://en.wikipedia.org/wiki/Address_space_layout_randomization )

이 녀석은 말 그대로 주소 공간을 랜덤한다. 입니다.

흔히 Buffer Overflow 공격으로부터 보호하기 위해 Stack, Heap, Libc, 프로세스 주소 공간을 포함하는 데이터 영역 위치들을 랜덤하게 변경하여 메모리의 특정 악용 함수 주소를 랜덤하게 하여 공격을 방지를 할 수 있게 하는 녀석입니다.

실제로 이 ASLR이 작동을 하는지 눈으로 확인을 하도록 하겠습니다.

cat /proc/self/maps 명령을 입력을 하여 직접 확인해보도록 하세요! 

앙 바뀐띄~

이 ASLR이 적용이 되있는지 안되있는지 확인하는 방법은 아래와 같습니다.

cat /proc/sys/kernel/randomize_va_space 

0 : No randomization. Everything is static.

1 : Conservative randomization. Shared libraries, stack, mmap(), VDSO and heap are randomized.

2 : Full randomization. In addition to elements listed in the previous point, memory managed through brk() is also randomized.

그렇다면 이 ASLR을 해제를 해보도록 하겠습니다.

echo 0 > /proc/sys/kernel/randomize_va_space

보시는 것과 같이 주소 값이 바뀌지 않는 것을 볼 수 있습니다.

간단한 코드로 주소를 출력을 해보도록 하겠습니다.

gcc -o a a.c

왼쪽은 ASLR을 끈 상태이며 오른쪽은 ASLR이 적용되있는 상황입니다.

보시는 것과 같이 ASLR이 적용되있지 않을 때에는 힙의 주소 값이 일정하지만 ASLR이 켜져있을 경우에는 주소 값이 랜덤하게 바뀌는 것을 볼 수 있습니다.

2. DEP (Data Execution Prevention)

DEP라는 녀석에 대해 알아보도록 하겠습니다.

네, 그렇습니다!

흔히 Overflow로 인해 메모리 영역에 훼손이 발생하더라도, Data 영역에서 실행(Execution)을 방지함으로써 공격을 방어하는 기법입니다.

고로 해커가 Buffer Overflow 공격으로 ret을 스택영역에 놓은 쉘코드 주소로 변경했을 때에 DEP가 적용이 안되있는 경우에는 그대로 쉘코드가 실행이 되어 쉘을 딸 수 있겠지만, DEP가 적용이 되어있다면 실행 권한이 없으므로 쉘코드가 실행되지 않고 종료가 됩니다.

아래는 포스트 할 때 사용한 예제 코드 입니다.

이 예제 코드는 간단한 bof 취약점이 존재하는 프로그램입니다.

코드가 익숙하시다고요?

넵, 맞습니다.

LOB gate 문제 코드거든요!

그렇다면 컴파일을 하고 보게 되면?

보시는 것과 같이 rw-p 로 스택에 실행 권한이 없는 것을 볼 수 있습니다.

그리고 DEP 해제를 하고 보도록 하겠습니다.

gcc 컴파일을 하실 때에 dep를 해제를 하시려면 -z execstack 옵션을 넘겨주시면 됩니다.

DEP 해제 : gcc -z execstack a.c -o a

역시 보시는 것과 같이 rwxp로 스택에 실행권한이 있는 것을 볼 수 있습니다. 

이렇게 바이너리에 DEP가 걸려 있지 않는다면 bof를 통해 ret을 쉘코드가 있는 스택 주소로 변조하면 쉘코드가 잘 실행이 되겠죠?

3. ASCII-Armor

다음으로는 ASCII_Armor 보호 기법에 대해 알아보도록 하겠습니다.

이 녀석은 뭘 하는 녀석일까요?

이름 그대로 "아스키 철갑옷" 이름 값하는 녀석입니다.

라이브러리를 공유 라이브러리 영역에 올리지 않고 텍스트 영역의 16MB 아래의 주소에 할당하는 녀석입니다.

이 ASCII-Armor가 적용이 되게 되면 라이브러리 영역 주소의 최상위 1byte가 \x00으로 됩니다.

보시는 것과 같이 최상위 1byte가 \x00 으로 되잇는 것을 볼 수 있습니다.

이렇게 \x00 은 NULL로 인식이 되고 RTL같은 체이닝 공격을 할 수 없게 되어 익스플로잇을 하지 못하게 만드는 녀석입니다.

4. SSP (Stack Smashing Protector)

마지막으로 SSP입니다.

이 Stack Smashing Protector 는 gcc 4.1버전 부터 지원하는 Buffer Overflow 방어 기법입니다.

4.1 버전 이상인 gcc에서 아래와 같은 코드를 컴파일 한 뒤에 BOF를 발생시켜보겠습니다.

컴파일 하고 실행을 하게 되면 다음과 같이 *** stack smashing detected ***: ./b terminated 라는 문자열이 나타나는 것을 볼 수 있습니다.

gdb로 까보도록 해보겠습니다.

초록색 박스 안에서는 카나리 값을 스택에 저장하는 부분이며,

주황색 박스 안에서는 카나리 값이 변조되었는지 안되있는지 체크하는 루틴입니다.

esp+0x1c에 카나리가 들어간다고 합니다.

그렇다면 아마도 0x450b8200이 카나리 값이겠네요 (웃음)

어이쿠 카나리 값을 "5"로 덮어버리고 말았어요!

이 부분에서 카나리 값이 없어지고 카나리 체크하는 루틴에서 걸려서 보호를 하게 됩니다.

이 카나리는 버퍼와 sfp의 사이에 숨어있어요!

buf[5] | dummy[?] | canary[4] | sfp[4] | ret[4]

이 SSP를 해제하는 옵션은 아래와 같아요.

SSP 해제 : gcc b.c -o b -fno-stack-protector

길고 멍청한 글을 읽어주셔서 감사합니다.

코드게이트_2016_Write_Up_문승현.pdf

Hello, 

i sense that didn't written in Writeup

hmm... but have name in the file name

it's okay 

maybe lol..

사실 강의가 진행이 안된 이유는 이미지로 쓸 그림을 그려달라고 닥달을 해서 작품이 나올 때까지 기다리고 있었다.

1. 함수

오늘은 함수에 대해서 알아보도록 하겠습니다.

함수는 흔히 수학에서 들어보셨을 겁니다.

그 수학에서 배운 함수와 현재 우리가 배울 함수와 비슷합니다.

x 값을 넣으면 y의 값이 정해지는 것처럼 함수에 인자를 집어넣으면 함수는 결과 값을 되돌려줍니다. 

1-1. 사용한다 나는 함수를

그렇다.

지금까지 Go로 작성한 프로그램에서는 하나의 함수만을 사용해왔습니다.

바로 그 함수는 메인 함수입니다.

아래는 함수 선언 방법입니다.

아, Go 언어에서는 함수를 선언할 때 위치 제약이 없습니다.

c, c++에서는 호출할 때 해당 함수의 선언이 앞에 있어야만 호출할 수 있었습니다.

다만 Go언어에서는 함수 선언이 어디에 있든 상관없이 함수를 호출할 수 있습니다. 

아래는 입력 값을 받고 그 값들을 더한 값을 출력하는 예제입니다.

하지만 코드가 길어진다면 보기가 난해해질 수 있습니다.

이럴 때에 보기 좋게 함수를 사용합니다!

그러면 덧셈 함수를 만들어보도록 하겠습니다.

이 프로그램은 숫자를 입력 받고 두 수를 더한 값을 출력합니다.

함수는 func 키워드로 시작해 이어서 함수의 이름이 나온다.

함수의 인자는 이름 타임, 이름 타입, ... 같은 식으로 선언합니다.

그 뒤에는 리턴 값의 타입을 지정합니다.

1-2. 2개 이상의 값 반환

Go에서는 한 함수에서 여러 값을 반환할 수 있습니다.

여러 값을 반환해주려면 몇 가지를 변경해주어야합니다.

먼저 반환 형이 , 기준으로 여러 개의 값을 담도록 수정해야합니다.

1-3. 이 함수를 따돌릴겁니다. (지연)

Go에서는 특현한 defer 키워드가 있습니다.

이 키워드는 해당 함수를 끝으로 옮깁니다.

defer 키워드를 second 함수에 적용하였습니다.

그렇다면 이 코드의 작동은 아래의 코드와 같이 작동합니다.

처음의 코드를 실행한 결과는 당연히 아래와 같이 출력됩니다.

이 키워드는 자원을 해제해야 할 때 자주 사용합니다.

예를 들면 파일을 열고 저장을 하는 상황에 끝에서는 파일을 닫아줘야합니다.

이럴 때에 defer 키워드를 사용하여 편하게 사용할 수 있습니다.

이렇게 오랜만에 Go 강좌 함수에 대해 알아보았습니다.

사실 재귀, 함수 안의 함수 만들기도 작성할까 했지만...

하여튼 길고 긴 글을 읽어주셔서 감사합니다 ^^!

다음 강좌에서는 포인터를 다뤄보도록 하겠습니다.

1. 배열

오늘은 배열에 대해 알아보도록 하겠습니다.

아, 저번 강좌에서 이번에는 배열에 다뤄본다고 말씀드렸는데.

생각해보니 배열만 하는 것보단 슬라이스, 맵까지 다루는 것이 좋아보여 더 추가하였습니다.

1-1. 사용한다 나는 배열을

배열이란, 변수를 모아 놓은 집합이라고 말할 수 있습니다.

Go언어에서는 배열의 길이가 고정되어있습니다.

음... 예를 들자면 우리 반 학생들의 성적을 변수에 담는다고 가정하면 아래와 같은 변수를 선언해야 됩니다.

딱 보기만 해도 비효율적이고, 반에 학생이 50명이 있다면 하나하나 변수를 50번 선언해야 하며 사용자에게 학생들의 점수를 알려주려 할 때에 

변수에 접근하여 값을 얻어올 때도 상당히 불편함을 겪을 수 있습니다.

여기서 우리는 배열을 사용하면 이 문제점들을 한번에 잡을 수 있습니다!

상당히 편해지고 접근도 편해졌습니다.

아, 배열에 접근 할 때는 인덱스로 접근을 하게 됩니다.

이 인덱스는 항상 0부터 시작합니다.

아래는 학생의 점수 배열에 인덱스로 각 배열 요소에 접근하여 그 값을 출력하는 예제입니다.

아까처럼 변수를 일일히 선언하는 것보다 배열 하나를 사용하는 것이 더 편하며,

변수를 일일히 접근하는 것보다 배열에 인덱스를 이용하여 접근하는 것이 더 편하다는 것을 알 수 있습니다.

아래는 배열의 선언 방법입니다.

데이터 타입 앞에 대괄호를 여러 번 사용하면 다차원 배열을 생성할 수 있습니다.

아래와 같이 다차원 배열을 만들 수 있습니다.

2. 슬라이스

슬라이스는 배열과 비슷하지만, 길이가 고정되있지 않는 녀석입니다.

크기가 동적으로 늘어납니다.

또한 배열과 다른 타입입니다.

배열은 제네릭 타입이지만 슬라이스는 참조 타입입니다.

2-1. 사용한다 슬라이스를 나는

아래는 슬라이스를 선언하는 방법입니다.

슬라이스는 배열과 달리 크기를 정하지 않습니다.

아래에는 슬라이스를 선언하여 값을 초기화하는 예제입니다.

아래에는 이 초기화한 값에 다른 값을 슬라이스에 추가하는 예제입니다.

다음 아래에는 슬라이스에 접근하여 값을 가져오는 방법들입니다.

3. 맵

맵이란 사전과 비슷합니다.

Love 라는 단어에 "사랑"이라는 뜻이 있듯이 맵에는 Key, Value가 있습니다.

이러한 맵을 Go언어에서는 기본 자료형으로 지원합니다.

이 맵은 슬라이스와 마찬가지로 참조 타입입니다. 

3-1. 맵을 사용한다 나는

아래는 맵을 선언하는 방법입니다.

아래에는 맵을 선언하여 Key 와 Value를 초기화하는 예제입니다.

이제 이 맵을 이용하여 출력하고 데이터를 삭제하는 예제입니다.

다음 강좌에서는 함수에 대해 알아보도록 하겠습니다.