[EVI$ION] Pwnable

What is Pwnable?

Basic System Hacking ▶ Wanna get /bin/sh(shell)

---

shell?

:사용자와 커널 간의 인터페이스 역할

• 명령어와 커널이 대화를 할 수 있게 도와주는 일종의 인터페이스
• 명령어 해석기
• 유저가 셸(명령어 해석기)에 명령을 전달하면 셸이 커널한테 부탁하고, 커널이 내부적인 작업을 실행한 후 이 결과를 다시 셸을 통해 유저에게로 전달한다.
• 참고자료

---

Shell을 탈취했을 때 위험한 이유

• /etc/passwd 파일: 사용자 정보 저장된 파일 (root만 수정 가능)
• /etc/shadow 파일: 사용자 PW 해시값이 저장된 파일
  • $algorithm_id$salt$encrypted_passwd

---

Architecture & Register

x86-64 Architecture

• ISA: CPU의 명령어에 대한 설계
• n bit Architecutre
  • WORD: CPU가 한 번에 처리할  수 있는 데이터의 크기 (ex: bus 대역폭)

 

• 32bit 구조(x86), 64bit 구조(x86-64, x64)

---

x86 vs x64

---

범용 레지스터

---

범용 레지스터 사용 예시

• 64bit 환경에서는 레지스터를 함수의 인자로 전달
• read(0, 0x7f2...000, 0x1000) // rdi, rsi, rdx

---

레지스터 정보 확인하기 및 레지스터 호환

---

Linux Memory Layout

참고자료

 

• 코드 세그먼트(텍스트 세그먼트): 코드 저장 (R,X)
• 데이터 세그먼트(data, rodata): 상수, 전역 변수저장 (R, W)
• BSS 세그먼트: 초기화되지 않은 변수 저장 (초기에 다 0으로 초기화됨)
• 힙 세그먼트: malloc 등으로 동적할당한 메모리
• 스택 세그먼트: 지역변수, 레지스터, 환경변수 정보 등 저장

 

*코드영역 → 스택영역으로 갈수록 주소가 높아진다.

---

세그먼트 별 권한 확인

---

Calling Convention

Stack Frame?

• 함수가 호출될 때, 그 함수만의 스택 공간을 구분하기 위해서 생기는 공간

---

cdecl

• x86 (32bit Architecture)에서 사용하는 함수 호출 규약
• callee가 아닌 caller가 '인자'를 정리

---

sysv

• x64 (64bit Architecture)에서 사용하는 함수 호출 규약

1. 6개의 인자를 RDI, RSI, RDX, RCX, R8, R9에 순서대로 저장하여 전달. (더 많은 인자를 사용해야 할 때는 스택을 추가로 이용)
2. callee prolog
3. callee epilog
4. Caller에서 인자 전달에 사용된 스택을 정리.
5. 함수의 반환 값은 RAX로 전달

callee(123456789, 2, 3, 4, 5, 6, 7)

---

Stack frame의 변화 과정

---

GDB

ELF

• 리눅스 실행파일 형식 ELF(Executable and Linkable Format)
• ELF는 헤더와 여러 섹션들로 구성
  • 헤더: 실행에 필요한 정보들
  • 섹션: 컴파일된 기계어 코드, 프로그램 문자열 등의 여러 데이터