HW 1: Buffer Overflow.

Slides:



Advertisements
Similar presentations
문화컨텐츠의 현지화 무역학과 / 4조 이영화 장세은 조하영 한민구 국제마케팅(N) 강명수 교수님.
Advertisements

지도교수 : 박진식 교수님 조 원 : 홍승기, 이병용, 백승준, 조근용, 조동현, 한정협, 이상하.
1 ‘ 우리나라의 주요공업 ’ - 정도웅, 주민혁, 안수진, 백경민, 엄다운, 박경찬 -.
- 1 - 정보 보안 개론과 실습 시스템 해킹과 보안 팀원 : 박진영 한동섭 · 권혁진.
수유부의 약물복용 시 주의점 발표자 조기성. 모유 수유의 장점 모유 수유의 장점은 ? 위장관 질환 발생감소 영아 돌연사 발생감소 아토피 질환 발생감소 정서적 안정.
똘기 : 채 익지 않은 과일. 똘기 소개 일명 발표동아리. 똘기는 발표에 대한 두려움을 가지고 있는 학우들에게 ‘ 자신감 ’ 을 키워줄 수 있도록 하자는 취지에서 만들어졌다. 평소 강의 시간보다 편안하고 자유롭게 발표해 볼 수 있는 기회를 제공함으로써 발표력 향상에 기여하는.
일 시 : (목) 장 소 : 문산종합사회복지관장) 파주시문산종합사회복지관 기관안내.
2013년도 2학기 학습튜터링 O.T.
미국의 미디어교육 신문방송학과 강진구 한인수 곽모란 이명현.
행정소송 실무교육 공익법무관 문 유 식 인사 공익법무관 소개 서울고검 소개.
PRESENTATION 저온화상이란?
조선왕조의 유교정치.
영상 광고사업 추진계획 2010 ㈜ 지오피스
연구활동종사자 교육ㆍ훈련 수강방법 사무처 안전관리실
Basic of Buffer Over Flow
박주현 Exploit Helpers 안녕하세요 포너블을 도와주는 exploit helpers에 대해 발표하게된 박주현이라고 합니다.
Shellcode 작성 김영성.
공부할 내용 조상들이 살던 곳 자연과 잘 어울리는 한옥 지방에 따라 서로 다른 집의 모양 섬 지방의 집
사랑, 데이트와 성적 자율성 :데이트 성폭력!!! 성폭력예방교육 전문강사 / 여성학 전공 신 순 옥.
2012사회복지현장실습 고윤지.
Splus 프로그램 설치 및 데이터관리 지식서비스센터 신동훈차장.
퇴계와 율곡의 사회사상 비교 남 일 재 동서대학교 교수/ 정치학 박사 1. 퇴계 이황과 율곡 이이의 약전(略傳)
문헌정보학과, 사서만 있는 줄 아니? 10. Mushroom
극동대학교 전자결재 구축 그룹웨어 결재자 교육.
501. 군인들의 세상 502. 민정 이양과 한일회담 이선용.
입 점 제 안 서 본 제안서를 당사에서 분양중인 대구광역시 동구 율하2택지개발지구 상업시설용지 C3-4,5 번지의 삼우메디빌에 대한 입점제안서로 제출 합니다. 2008년 10월 삼우종합개발.
쌓지 말고 해소하자 이 주휘 이 진영 전 민석 전 혜림.
2015년 하반기 소방교육 자 유 전 공 학 부 (금) 안녕하십니까 자유전공학부 행정실 입니다.
C 프로그래밍 소개 숙명여대 창병모 2011 가을.
제9장 C 프로그래밍 환경 창병모
버퍼 오버플로우에 대한 대책과 발전된 공격 안전한 함수 사용 버퍼 오버플로우에 취약한 함수 사용하지 않기
Software Exploit and Kernel Protection
서울 메트로 노조파업 수강과목 : 노사 관계론 담당교수 : 정형진 교수님
버퍼 오버플로우 시스템보안 류기환 권재홍.
버퍼 오버플로우 시스템보안 인터넷공학전공 권영락.
6장. 물리적 데이터베이스 설계 물리적 데이터베이스 설계
Perl & Security Community - 보안에서 Perl 의 위치 -
BOF of 2.6 Kernel ! 박수완 / Su-Wan, PARK [ L1nkC] 숭실대학교 정보보호동아리 ACK
행정학과 김수민 중국 춘절의 교통문제.
제주닷컴 매뉴얼 (실시간 예약시스템) 2013년 10월.
Buffer Overflow
목차 INDEX 1. 회원가입 및 로그인 2. 업체정보 3. 제조검사 신청 4. 인보이스 5. 검사진행현황(현장검사 신청)
제8장 백본 부하 모델링 및 생성 2 과 목 : 네트워크 설계 및 실험 조 명 : 1 조
과거사 청산, 밝은 미래를 위하여 역사 청산 비교 분석-독일과 우리나라.
계약서 관련 실무 계약 위반과 판례 김래균.
Adobe 제품 다운로드 및 설치 방법 안내 Adobe Creative Cloud Adobe License 권한을 받으신 분
개인정보처리와 개인정보보호 2017년 2월.
패시브하우스 신안산대학교 l 건축과 l 박효동, 박창준, 지예림.
생활 철학 인간이란 무엇인가?.
제10장 네트워크 성능 및 품질 평가 과 목 : 네트워크 설계 및 실험 조 명 : 1 조 조 원 : 김성태. 이연화. 임시목
정치개혁의 가능성 논의 권력구조 개편을 통하여 본 -개헌을 통한 정부형태의 변화를 중심으로 [한국정치론] 윤성이 교수님
SQL INJECTION MADE BY 김 현중.
치료 레크레이션 프로그램 (지적 장애 대상) 과 목: 학 과: 학 번: 이 름: 제 출 일 자 담 당 교 수:
2015년도 스마트공장 지원사업에 대한 사업비 타당성 평가
광고센터 완전정복 매뉴얼 ( ).
노년기 발달 장안대 행정법률과 세류반 정 오 손
FTZ 과제풀이 Level 11,12 HyunJae Lee
태국 문학 욜라다 왓짜니 싸란차나 팟차라와라이 끼따야펀 르앙다우 타니다.
GDB - GNU Debugger 김진용.
쌍용자동차의 사례를 통해 본 바람직한 노사관계란?
계피(CINNAMON) MADE By 김소연 안미소 조은비.
워밍업 실뭉치 전달게임.
내 마음 다해 내마음다해 주이름찬양해- 주사랑 깊어 말로다못하 네 주앞서 1-4.
HW 2: Cryptography.
HW1 채점 기준 총 15점 HW1_BOF 폴더에 제공되는 프로그램에서 BOF를 일으킬 것 (3점)
유예 X-FILE *조사자* 1301권희원 1315이예지 1317장아정 1322홍자현.
음파성명학 최종욱.
책을 읽읍시다  탈향 진지하게 설명해드림 1303 김소희 1309박지호 1315이지수.
2016년 제1차 운영위원회 평택시건강가정 ∙다문화가족지원센터
관리자 페이지에서 관리자 승인 1. 정기권 신규고객 1. 로그인 화면 2. 차량등록여부 확인 3. 개인정보 활용 동의
Presentation transcript:

HW 1: Buffer Overflow

Index 실습 환경 개인 과제 목록 Buffer Overflow 과제 제출

개인 과제 및 실습 – VM 설정 SEED Labs (http://www.cis.syr.edu/~wedu/seed/) SEEDUbuntu-16.04 수정본에서 진행 Setup VM 다운로드 : 연구실 홈페이지에 링크 게재 다운로드 받은 파일의 압축 해제 “VirtualBox” 설치 및 실행 “가져오기”

개인 과제 및 실습 – VM 설정 Setup 다운로드 받은 파일 선택 > “다음”

개인 과제 및 실습 – VM 설정 Setup “가져오기”

개인 과제 및 실습 – VM 설정 Setup “시작”으로 VM 전원 ON ID: seed / PW: dees

HW1 버퍼 오버플로우 취약점 실습 과제 제출 버퍼 오버플로우 취약점 실습 및 분석 HW1_BOF 폴더 BOF 취약점이 존재하는 소스코드와 실행파일 제공 (bof.c, bof) 소스코드 상에서 프로그램의 기능을 변경하지 않으면서 취약점을 보완할 수 있는 방안을 제시할 것 제공된 exploit 코드(exploit.txt)를 참고하여 권한 상승 exploit 코드의 체계적인 분석 제출 과제 및 실습 수행 내용을 보고서로 제출 제출기간 : 3월 20일 ~ 4월 3일

HW2 암호화 관련 실습 과제 제출 간단한 암복호화 수행 및 MD5의 충돌 실습 HW2_Crypto 폴더 치환 암호 기법으로 작성된 파일(ciphertext.txt)을 복호화 복호화된 ciphertext.txt에서 확인할 수 있는 key로 암호화된 이미지를 복호화 MD5 hash 생성 및 충돌을 확인 제출 과제 및 실습 수행 내용을 보고서로 제출 단, 복호화한 이미지가 반드시 보고서에 포함되어야 함 제출기간 : 4월 22일 ~ 5월 8일

HW3 SQL Injection 실습 과제 내용 제출 DB대상 공격을 수행하여 정보 수정 및 관리자 계정 획득 PW를 모르는 상태로 관리자 계정 획득 내 계정의 봉급 정보 수정 타인의 정보 수정 SQL Injection 취약점의 개선 방안 분석 제출 과제 및 실습 수행 내용을 보고서로 제출 제출기간 : 5월 29일 ~ 6월 5일

Buffer Overflow BOF(Buffer Overflow) 메모리 공간을 초과한 입력을 허용하여 발생하는 취약점 이 취약점을 악용해 임의 파일을 읽거나 쉘(/bin/sh)을 띄우는 것을 목표로 함 exploit으로 BOF를 발생시킴

Buffer Overflow BOF(Buffer Overflow) 메모리 분석(gdb)

Buffer Overflow BOF(Buffer Overflow) 메모리 분석(gdb)

Buffer Overflow Exploit ? 컴퓨터의 소프트웨어나 하드웨어 및 컴퓨터 관련 전자 제품의 버그, 보안 취약점 등 설계상 결함을 이용하여 공격자의 의도된 동작을 수행하도록 만들어진 절차나 일련의 명령, 스크립트, 프로그램 또는 특정한 데이터 조각 이러한 것들을 사용한 공격 행위를 의미함 본 과제에서는 완성된 exploit을 제공함

GDB GDB(GNU Debugger) debugger : 프로그램을 테스트하고 디버그하는 일종의 프로그램 프로그램의 실행흐름 추적 메모리 및 변수의 값 확인 및 변경 가능

GDB GDB 커맨드 gdb 실행 : gdb [file] Code disassemble : disas [function name] e.g) disas main disas func

GDB 그 밖의 GDB 커맨드 Breakpoint 설정 : b *[address] 프로그램 실행(run) : r e.g) b *0x80010203 b *main+4 프로그램 실행(run) : r 중단된 프로그램 실행 : c breakpoint로 중단된 시점부터 실행 가능 어셈블리 단위 실행 : ni

과제 버퍼 오버플로우 취약점 HW1_BOF 폴더에 제공되는 프로그램에서 BOF를 일으킬 것 버퍼오버플로우 취약점을 가지는 프로그램(bof)과 소스코드(bof.c)를 제공 터미널에서 다음 exploit을 입력하여 BOF를 발생시킬 수 있음 (python –c ‘print “a”*48+”\xbe\xba\xfe\xca”’; cat) | ./bof exploit을 통하여 root 권한의 shell을 획득 whoami 명령어로 root로 로그인되었음을 확인 취약점이 패치된 프로그램(bof_notvul) bof_notvul에 exploit 입력 시 작동되지 않는 것을 확인

과제 버퍼 오버플로우 취약점 10페이지에 제공된 exploit을 분석 취약점의 보완 bof.c 코드 분석 gdb를 통해 bof의 메모리 구조 분석 exploit이 어떻게 작동하는지를 분석 hint) gdb로 ‘func’ 함수 분석 취약점의 보완 bof.c에서 취약점을 가지는 부분을 찾아 보완할 것 본래 기능을 상실하지 않으며 실행이 가능할 것 cf) 컴파일은 다음의 명령어로 가능함 gcc –fno-stack-protector –z execstack –o bof_new bof.c

제출 보고서는 다음을 포함하여야 함 제출 기간: 3월 18일 ~ 4월 3일 과제 ①~③의 수행 과정 및 결과 수행 과정 및 분석에 대한 논리적인 서술 제출 기간: 3월 18일 ~ 4월 3일 수업시간에 제출하거나 미디어센터 505호로 방문 제출 (부재 시 504호로 제출)

문의사항 조교 이름 : 정재민 연락처 : s17orlax@gmail.com

Thank you! Q & A