Codetronik

ARM에서 버퍼 오퍼플로우가 어떻게 동작하는지 알아보기 위해 라즈베리파이에서 테스트 해보았습니다.

아래 소스를 gcc 로 옵션 없이 컴파일 합니다.

#include <stdio.h> void bof() { char a[5]; scanf("%s", a); } void main() { bof(); printf("done\n"); }

두 개의 함수를 gdb로 디스어셈블링 하였습니다.

Dump of assembler code for function main: 0x0000844c <+0>: push {r11, lr} 0x00008450 <+4>: add r11, sp, #4 0x00008454 <+8>: bl 0x8420 <bof> 0x00008458 <+12>: ldr r0, [pc, #4] ; 0x8464 <main+24> 0x0000845c <+16>: bl 0x8338 <puts> 0x00008460 <+20>: pop {r11, pc} Dump of assembler code for function bof: => 0x00008420 <+0>: push {r11, lr} 0x00008424 <+4>: add r11, sp, #4 0x00008428 <+8>: sub sp, sp, #8 0x0000842c <+12>: ldr r2, [pc, #20] ; 0x8448 <bof+40> 0x00008430 <+16>: sub r3, r11, #12 0x00008434 <+20>: mov r0, r2 0x00008438 <+24>: mov r1, r3 0x0000843c <+28>: bl 0x835c <__isoc99_scanf> 0x00008440 <+32>: sub sp, r11, #4 0x00008444 <+36>: pop {r11, pc}

scanf 후의 스택입니다. 0x8440에 Breakpoint 가 걸렸습니다.

(gdb) x/10w $sp 0xbefff700: 0x41414141 0x00008300 0xbefff714 0x00008458 0xbefff710: 0x00000000 0xb6eab81c 0xb6fc0000 0xbefff864 0xbefff720: 0x00000001 0x0000844c

sp+0xc 지점이 복귀 주소입니다. ARM은 x86과는 다르게 retn 명령어가 없고 pop을 하면서 pc 레지스터에 바로 주소를 씁니다.
pc는 eip와 같다고 보시면 됩니다.

그러면 이번에는 AAAABBBBCCCCDDDD 를 입력합니다.

덮어 씌워졌습니다.

0x8440 실행 후의 스택입니다. 0x43434343은 r11에, 0x44444444는 pc에 들어갑니다.

(gdb) x/10xw $sp 0xbefff708: 0x43434343 0x44444444 0x00000000 0xb6eab81c 0xbefff718: 0xb6fc0000 0xbefff864 0x00000001 0x0000844c 0xbefff728: 0x00000000 0x00000000

crash 직후의 레지스터입니다.

(gdb) r Starting program: /home/pi/hack/hack AAAABBBBCCCCDDDD Program received signal SIGSEGV, Segmentation fault. 0x44444444 in ?? () (gdb) info register r0 0x1 1 r1 0x1 1 r2 0x0 0 r3 0x1 1 r4 0x0 0 r5 0x0 0 r6 0x8374 33652 r7 0x0 0 r8 0x0 0 r9 0x0 0 r10 0xb6fff000 3070226432 r11 0x43434343 1128481603 r12 0x1 1 sp 0xbefff710 0xbefff710 lr 0x8440 33856 pc 0x44444444 0x44444444 cpsr 0x60000010 1610612752

본 포스팅은 기존 제작된 익스플로잇을 무작정 따라하는 내용을 담고 있습니다.

(천만 스크립트 키드 양성을 위한 그날까지..!) 

유형 : Stack Buffer Overflow

타겟 프로그램 : BlazeDVD Pro Player 6.1

테스트 환경 : Windows XP SP3 Eng

링크 : http://www.exploit-db.com/exploits/32737/ (제작자 : Deepak Rathore)

설명 : Playlist를 열때 Stack Buffer Overflow를 일으킵니다.

[재현]

[그림1 - 프로그램 실행 화면]

링크에서 타겟 프로그램과 Exploit을 다운로드 합니다.

Perl 설치가 귀찮으신 분은blazeExpl.plf<-- 이것을 다운로드 해 주세요.

[그림2 - Playlist Exploit 파일]

해당 파일을 Hex Editor로 열면 위의 그림과 같이 나옵니다.

위의 박스친 부분의 주소를 사용자PC에 맞게 고쳐줘야 하는데, ASLR이 적용되지 않은 모듈에서 jmp esp를 찾으면 됩니다.

[그림3 - JMP ESP 찾기]

저는 0x7C86467B에 있는 jmp esp를 사용했습니다.

[그림4 - Exploit 성공]

Playlist 를 열어서 그림4와 같이 나오면 성공입니다.

[분석] 

[그림5 - 버퍼를 스택에 복사]

Playlist를 로드하면 위의 코드에서 스택에 Playlist의 버퍼를 복사합니다. 

(스샷을 연속적으로 찍지 않아서 스택의 주소가 그림마다 다릅니다. 양해를..)

[그림6 - 스택 비교]

위의 그림은 스택 버퍼가 쓰여지기 전과 후의 모습입니다.

 [그림7 - RETN]

계속해서 Step over를 하면 최종적으로 그림7과 같은 코드를 만나게 되어 리턴합니다.

[그림 8 - RETN 시 스택]

RETN 직전 스택을 보면 ESP가 0x7C86467B를 가리키고 있는데 해당 주소는 JMP ESP 를 담고 있습니다.

말 그대로 ESP로 점프하라는 것이며, 한번 더 Step over 하면 스택에 0x10이 더해진 0x12F0D0으로 이동합니다.

[그림 9 - 쉘코드]

NOP후 쉘코드가 실행됩니다.