Code1018

각 명령어의 사용법을 추가하였다.

(명령어 사용법 추가)

그리고 각 도구에 대한 설명을 추가하였다.

(스캐너 툴 설명 추가)

PortScanner 뿐 아니라 다른 기능의 클래스들이 있다. 비동기화스캐너라고 콜백함수를 이용하는 스캐너가 있었는데, 이거 잘쓰면 재밌는 기능을 구현할 수 있을 듯했다.

(포트스캐너 생성)

생성한 nmap 클래스 nm을 scan_menu에 전달하여 구현하였다.

(호스트 스캔)

(정보는 더 많게!)

(정보 출력 함수)

실행 모습이다.

(스캔 중인 모습)

스캔 결과 아주 흡족하게 나왔다.

(스캔결과)

2. Framework의 update 기능 구현

제일 첫 단계로 인터페이스를 잡아야한다.!

(인터페이스 리스트)

netifaces 라이브러리의 interfaces 함수를 사용하면 현재 호스트의 인터페이스 리스트가 반환된다.

(결과)

인터페이스가 설정 되었으면 그 인터페이스의 ip 정보를 확인해 볼 수 있다.

(ifaddresses)

ifaddresses 함수를 사용한다.

(결과)

결과 해당 인터페이스의 ip정보가 나온다. 난 IPv4를 사용할 것이다.

(AF_INET)

(AF_INET)

'addr' 키를 넣으면 해당 ip 주소 데이터가 나온다.

(결과)

gateway정보는 gateways 함수를 사용하면 된다.

(gateways() 함수)

(결과)

그러면 기본 gateway의 주소를 구할 수 있게 된다.

(gateway주소)

(결과)

netmask 정보는 아까 ifaddresses 함수의 결과 안에 있었다. 거기서 netmask 정보를 가져온다.

(netmask)

(결과)

지금까지 알아본 정보로 CoffeeNet 프로젝트에 기능을 추가했다.

(CoffeeNet 의 Tool, Scanner)

scan_func 파일을 만들어 스캐너에 필요한 함수를 전부 여기다 정리해 둘 것이다.

(scan_func.py)

그러면 지금까지 정리된 툴을 실행시켜보겠다.

(use scanner)

그러면 인터페이스를 설정하는 선택지가 나온다.

(번호 선택)

처음 Scanner시작화면이 뜨게된다.

(Scanner 화면)

2. 선택한 인터페이스의 IP대역에 있는 호스트 스캐닝 구현

먼저 프레임 워크 틀을 만들었다.

(main menu)

list 기능 구현이다.

(list)

list 명령을 입력하면 현재 import된 툴 이름을 출력해준다.


use 명령

(use)

info 명령

(info)

info 명령어 뒤에 툴 이름을 적으면

info [tool_name]

exit 명령어

(exit)

큰 구조는 아래와 같다.

(CoffeeNet 구조)

2. Scanner 제작.

먼저, 문제 프로그램의 보호기법을 확인하였다.

(보호기법)

그리고 암호화를 위해 선택지2번을 입력하면 아래와 같이 나온다.

(암호화)

그래서 스택의 어느 변수에 하나씩 받아 온 후, 한 자씩 어느 글로벌 배열변수에 저장한다.

(평문 버퍼)

그리고 이 버퍼에서 한 자씩 다시 가져와서 암호화 과정을 걸 친 후 글로벌 배열변수(암호화버퍼)에 저장한다.

(암호문 버퍼)

(overflow)

이것저것 시도하다가 생각이 트인 때가 있었다.

(p,q 설정과정)

그리고 우리가 원하는 평문버퍼 주소(0x602560)으로 나오는지 확인해보았다.

(확인)

(확인 결과)

func[0]부분까지만 덮어쓰려면 265만큼 넣으면 된다.

(265 바이트 입력)

(결과모습)

exploit을 작성했다.

(쉘코드 및 변수 설정)

(exploit)

(exploit 결과)

문제 풀이 끝

이 문제는 echo 서비스를 실행하는 프로그램을 연결해두었다.

(echo2 문제)

파일을 주기 때문에 직접 다운받아서 분석해볼 수 있다.

(보호기법)

그러면 FSB 취약점부터 확인해본다!

(fsb 취약점)

아래 사진을 보면서 설명하겠다.

(내 컴퓨터)

그런데 실제 서버에 연결을 하였을 때는 달랐다.

(실제 연결시)

실제로 연결하였을 때 문자열이 나오는 것을 보고 다시 메모리 정보를 leak하였다.

(눈에 띄는 주소)

그렇다! ret 주소였다.

(ret 주소)

그 앞에 있는 것은 rbp 주소! 스택주소를 알아내었다.

(rbp 주소)

main에서 함수가 호출 된 후 마지막에 cleanup함수가 호출된다.

(cleanup)

echo2함수 안에서 보면

(greeting 함수 호출)

greeting 함수 호출 할 때 o객체에 접근하여

(greeting 함수)

그렇다는 건 이 값을 덮어쓸 수 있다는것! 왜냐!
바로 UAF (3번)을 입력하면 malloc을 다시 주는데 이 주소를 다시 할당해주기 때문이다.

(재할당)

입력을 받는 부분은 아래와 같다.

(이름 영역)

exploit 코드를 보면서 정리하겠다.

(shellcode 업로드)

그 후 스택 주소를 찾아서 정확한 쉘코드 주소를 찾아야한다.

(쉘코드 주소 찾기)

그 후 UAF 취약점 공략이다.

(UAF 공략)

그리고 아무 기능이나 다시 시작하면 greeting 함수가 시작 될때 shellcode가 실행되어 쉘을 얻을 수 있다.

(쉘 획득)

문제 풀이 끝!

tensorflow 설치 전 과정이다.

(설치전 과정)

그 후 각각 업그레이드를 해준다. 안했을 경우 버전이 안맞아 에러가 날 수 있기 때문에!

(pip upgrade)

(설치도구 upgrade)

(virtualenv 업그레이드)

그 전에 tensorflow를 위한 가상환경을 만들어준다.

(가상환경 만들기)

(활성화)

그 후 tensorflow를 설치해준다.

(tensorflow 설치)

제일 먼저하는 Hello 문장을 찍어보는 코드이다.

(Hello 코드)

여기서는 간단히 문자열이 담긴 노드를 넣었으니 문자열이 그대로 나오게 된다.

(실행 결과)

그 다음으로 간단한 덧셈을 하는 것을 살펴볼 것이다.

(덧셈)

세션에 덧셈노드인 node3을 넣어주면서 실행하면 덧셈의 결과가 나오게 된다.

(덧셈 결과)

placeholder를 이용하면 된다.

(placeholder)

feed_dict를 통해 a,b 변수에 값을 채워준다.

(실행 결과)

(* 참조 - 모두를 위한 딥러닝 시즌1, Sung Kim)

이 자료 또한 어떠한 문서를 참조했다고 나와있었다.

(참조 문서)

heap overlapping 2번째 분석을 시작하자!

(5개의 힙)

뒷자리가 8인 것을 보면 눈치 채겠지만, off-by-one에 취약할 것이다.

(각 힙영역의 범위)

각 힙영역을 표시하기 위해 해당 영역에 문자들을 넣어주었다.

(문자 입력)

: 그렇기에 p4를 free해준 것이다.

(free)

p1을 이용해 p2의 청크 사이즈를 조작한다.

(청크 사이즈 조작)

(p2 free)

그 후 malloc을 통해 p3을 포함할만큼 커다란 영역을 할당받는다면?

(큰 영역 할당)

그렇게 되면 p3영역이 포함된 영역을 할당해준다.

(할당된 영역)

현재 p3에 들어있는 데이터

(p3의 데이터)

그 후 p6을 F로 1500 글자 채워준다.

(F로 채우기)

그렇게 되면 500자가 p3영역을 침범하게 되어 p3 데이터 앞부분이 F로 채워지게 된다.

(확인)

확인을 통해 p3가 중첩된 영역을 할당받은 것을 확인 할 수 있다.

캡슐화 시켰다.

(벡터 재정의)

(벡터 연산)

그리고 각종 충돌에 관한 함수들을 집어 넣을 것이다.

(entity 이름 영역)

다음은 Entity 클래스의 속성 변수들을 볼 것이다.

(속성 변수)

그리고 protected 영역에 선언된 함수들이다.

(protected 함수)

이제 public 영역의 함수들을 볼 것이다.

(생성자)

다음으로는 초기화 함수이다.

(초기화 함수)

(activate() & update())

그 후 Image의 update를 호출한다.

(ai 함수)

이렇게 하면 Entity 클래스에서 객체를 직접 생성할 수 있다.

(충돌 함수)

planet 부터 보자!

(planet 헤더)

헤더 파일에 planet 의 속성들이 들어있다.

(planet 생성자)

다음은 ship 클래스이다.

(ship 헤더)

이 update 함수는 우주선이 벽에 부딛히고 튕겨져 나오는 것을 작성하기 위해 여기서 상속받아서 작성하였다.

(ship의 생성자)

planet과 마찬가지로 ship의 생성자 또한 이름영역에서 설정된 값들을 가지고 초기값을 설정하며 만들어진다.

(update 함수)

(재선언)

실행해보면 우주선이 게임화면에서 계속 튕기면서 돌아댕기는 모습을 볼 수 있다.

(우주선 표류)

(우주선 표류)

(* 참조 - 2d 게임 프로그래밍, 찰스 켈리)

해당 문서를 먼저 읽어보았다.

(참고 문서)

먼저 3개의 malloc 주소를 할당받는다.

(malloc)

그 후 각각의 heap 영역을 표시하기 위해 아래와 같은 작업을 한다.

(영역 표시)

그리고 p2를 free해준다.

(free)

(아직 우리가 해당 주소를 가지고 있으므로 p2에!)

(적어줄 사이즈)

(SIZE 조작)

변화 과정을 메모리에서 살펴보면

(덮어쓰기 전)

(덮어쓴 후)

그렇다면 여기서 malloc(0x180)을 한다면?

(malloc(0x180))

return 된 주소를 확인해보자.

(return 된 주소)

(return 영역)

덮어쓰여진 것을 한번 테스트해보자!

(4로 덮어쓰기)

그러면 p4의 영역을 4로 가득채우면?

(결과)

그러면 p3을 3으로 다시 덮어쓰면?

(3으로 덮어쓰기)

(결과)

이 방법은 The Forgotten Chunks 문서에 나와있다.

이 공격으로 스택영역의 주소를 malloc으로 받아서, return 주소를 덮어써서 임의의 코드를 실행해 볼 것이다.

(임의의 코드)

먼저, 스택영역에 가짜 청크의 구조를 만들어야한다.

(가짜청크 영역)

가짜 청크 영역을 잡아둔다.

그 후 우리가 이용할 chunk를 하나 만든다.

(chunk 생성)

알다시피, 정확한 chunk의 주소를 구하기 위해서는 2 WORD를 빼줘야한다.

(진짜 chunk 주소)

이 모든 것은 아래의 small bin corruption check를 우회하기 위한 것이다.

(small bin corruption check)

가짜 청크에 값들을 넣어준다.

(조건 우회)

(메모리 모습)

그 후 1000사이즈로 다시 malloc한다.

(malloc)

그리고 free!

(free)

그렇게 되면 아래와 같은 모습이 된다.

(free된 모습)

다른 large bin 영역의 사이즈로 다시 malloc 한다.

(malloc)

그리고 다시 victim 청크를 보면

(victim 청크)

이제 victim 청크의 bk주소에 스택버퍼1의 주소를 넣으면 된다.

(bk 조작)

그 후 victim 청크의 모습을 보면

(victim 청크)

사이즈는 100으로 malloc 한다.

(malloc)

그러면 지금 스택버퍼1을 보면?

(스택버퍼1)

이제 그다음 malloc(100)을 하면 우리의 스택버퍼1 차례이다.

(malloc)

p4에 스택버퍼1의 주소가 들어간다.

(결과)

그렇다면 이제 이걸 이용해서 ret 주소를 덮어쓸 것이다.

(ret 덮어쓰기)

직접 확인해보니 return 주소까지 72바이트 떨어진 자리였다.

(확인)

ret 주소에 jackpot 함수 주소가 들어가 있다.

(임의의 코드 실행)

결과적으로 마지막에 jackpot 함수(임의의 코드)가 실행되었다.