Code1018

먼저 우리가 설정할 수 있는 timezone을 확인해본다.

(timezone 확인)

우리는 Asia/Seoul을 선택할 것이다.

(아시아/서울)

아시아/서울 로 timezone을 설정한다.

(timezone 설정)

timedatectl 명령어로 확인해본다.

(설정 확인)

기본 CentOS에 설치가 안되어있으므로 설치한다!

(NTP 설치)

이제 ntpd 를 실행시키면 끝!

(실행)

이것으로 서버 시간 설정이 끝난다. :)

firewall-cmd --state명령으로 현재 상태를 확인한다.

(현재 상태 확인)

firewalld를 설치해준다.! (없나보다!)

(firewalld 설치)

그리고 마지막 명령은 상태를 확인할 수 있는 명령이다.

(firewalld 시작)

처음 사용한 명령으로 다시 확인해보겠다.

(실행중)

ssh 포트를 수정하지 않았기 때문에 사용 가능!

(SSH 등록)

그 후 우리는 웹 호스팅을 할 것이기 때문에 http도 추가!

(http 추가)

SSL/TLS를 사용할 것이므로 https도 추가!

(https 추가)

이제 추가한 것들을 확인해보자

(확인)

이제 설정한 것들을 올린다.

(설정 등록)

그 후 enable을 다시 주어서 boot 될 때 실행이 되도록 설정한다.

(enable)

(본인만의 서버를 만져보고 싶고, 가꿔보고 싶은데 아직 잘 몰라서 서버 대여에 돈을 지불하기가 고민되는 분들은 일단 2달만 써볼 수 있는 좋은 기회이다!)

https://m.do.co/c/88300c36e548

요 링크로 들어가서 가입을 하고 Droplets를 생성할 수 있다.

Droplets 생성 방법은 직관적이어서 생략한다.
사용하고 싶은 운영체제를 선택하고 옵션을 선택하여 만드는 방식이다.

다 만들게 되면 아래와 같이 서버가 할당된다.

(서버 생성)

서버에 대한 지식이 부족할 지라도 DigitalOcean에서의 튜토리얼도 있고 처음 시작할 때 뭐를 설정해야하는지 등등 매우 친절하고, 이런것을 직접 하므로써 공부도 많이 된다.

(설정 방법)

또 하나의 메일은 방금 생성한 서버에 대한 정보이다.

(서버 정보)

나는 Xshell 을 이용하므로 Xshell로 나의 서버에 접속하였다.

(첫 접속)

아이디 생성

(계정 생성)

기본적으로 쓰기 권한이 없다. 그러므로 쓰기 권한을 추가하고 이 파일에 들어가서 수정해주어야한다.

(쓰기 권한 추가)

그 후 맨 아래에 다음 설정을 추가해준다.

(설정 추가)

설정이 끝나면 쓰기 권한을 제거해준다.

(쓰기 권한 제거)

그렇다면 normaltic 계정으로 들어가서 sudo 명령이 되는지 확인!

(확인)

로 들어간다.

(사용자 키 관리자)

들어가게 되면 아래와 같은 창이 뜬다.

(사용자 키)

(키 선택)

그렇게 선택을 마치면 키를 생성한다.

(키 생성)

이 키를 사용할 때마다 사용할 암호를 정한다.

(사용자 키 암호)

SSH의 키 파일이 어디로 설정되어있는지 확인해보자.

(설정파일)

이 파일에서 확인해보면

(키파일 위치)

그렇다면 적어준다!

(인증키 설정)

아까 그 설정파일에서 주석처리 된 부분을 제거해주어야했다.

(주석 제거)

권한 설정!

(디렉토리 권한)

(키파일 권한)

그 후 SSH로 접속해본다.

(접속 성공)

SSH 설정까지 꽤 오랜 시간이 걸렸다.

#define WIN32_LEAN_AND_MEAN
#include <windows.h>
위 코드는 windows 프로그래밍에서 많이 사용된다.

windows 프로그래밍하는 방법은 크게 두가지가 있는데
MFC(Microsoft Foundation Class)를 사용하는 방법과
SDK(Software Development Kit)를 사용하는 방법이다.

MFC는 SDK와 비교하면 복잡하고 많은 기능들이 들어가있다.

만약 MFC를 사용하지 않는다면 MFC에 있는 많은 자료구조와 새로운 데이터 정의, 데이터타입은 필요하지 않다. 그렇기에 만약 MFC를 사용하지 않는다면 이 모든것을 헤더에 포함시킨다면 큰 오버헤드가 되는 것이다.

그렇기에
#define WIN32_LEAN_AND_MEAN
는 컴파일러에게 외부 MFC 오버헤드를 포함하지 말라고 알려준다.

위 문장을 #include <windows.h> 이전에 선언해 주면 많은 헤더를 include하면서 중복되는 헤더를 방지하고 데이터의 중복정의를 제거해준다. 전체적으로 프로그램의 사이즈를 줄여주고, 빌드 속도를 높여주는 효과가 있다.

먼저, 함수 선언과 전역변수, 상수 선언이다.

(선언)

윈도우 프로그래밍에서의 시작점은 WinMain 함수이다.

(WinMain)

윈도우의 초기 설정을 하는 클래스가 바로 WNDCLASSEX 구조체이고 이 안의 멤버값들을 채워넣어 윈도우를 설정한다.

(WNDCLASSEX 설정)

설정이 끝나면 클래스를 등록하는 부분이 이어진다.

(클래스 등록)

그 후 창을 생성하는 CreateWindow 함수가 나온다. (각 인자에 대한 설명은 따로 포스팅할 것이다.)

(창 생성)

무시하는 메시지들은 윈도우가 알아서 처리한다. 여기서는 윈도우가 종료될 때의 메시지만 작성할 것이다.

(WinProc)

컴파일 해서 프로그램을 실행해본다.

(윈도우 창 생성)

(*참조 - 2D 게임 프로그래밍, 찰스 켈리)

먼저 malloc을 해준다.

(malloc)

이제 free의 인자로 넘길 포인터 변수를 만들어준다.

(포인터 변수 생성)

stack영역에는 비교적 우리가 값을 적기 쉽기 때문에 stack영역에 가짜 청크를 만들어 준 것 같다.

(가짜 청크를 위한 메모리 공간 확보)

그 다음으로 가짜 청크를 만들어주는 작업이다.

(가짜 청크 생성)

free시 청크 뒤에 있는 청크의 사이즈를 검사한다. 그렇기에 정상적인 사이즈를 넣어야한다.

(검사 조건)

SIZE_SZ란

(SIZE_SZ)

av->system_mem 보다 작아야한다는 것

(system_mem)

이 자료에서는 0x1234라는 값을 넣어주었다.

(두번째 청크 크기 설정)

이제 이 주소를 free 시키기 위해 포인터 변수에 이 주소를 먼저 넣어야한다.

(주소 입력)

그 후 free 해준다.

(free)

이제 다시 malloc(0x30)을 하면 fastbin리스트에서 0x40의 주소를 찾아가 현재 있는 a의 주소를 return하게 되는 것이다.

(malloc)

공격 결과를 확인해보면 다음과 같다.

(공격 성공)

먼저 글로벌 변수 chunk0_ptr을 선언해준다.

(글로벌 변수)

malloc_size = 0x80

(malloc)

fd와 bk를 설정해준다.

(fd 설정)

(bk 설정)

(fd, bk 설정)

(우회방법)

두번째 청크의 헤더를 바꾸기 위해 포인터로 직접 주소에 접근한다.

(헤더 설정)

free를 한다!

(free)

free전 chunk0_ptr에 있는 값이다.

(free 전)

free 후를 비교해보면

(free 후)

글로벌변수[3] 으로 직접 이 값을 바꿀 수 있다.

(공격)

그렇게 되면 이제 글로벌변수[3]에 해당 victim_string의 주소를 넣어주면

(공격)

값을 직접 쓸 수 있다.

(메모리 작성)

(공격 모습)

오늘 분석한 자료는 이전 포스팅에서 다루었던 fastbin_dup을 이용하여
malloc으로 할당받는 주소를 우리가 원하는 주소로 할당받는 것이다.

이번 자료에서는 그 주소를 stack 영역의 주소로 할당받는 것이 목적이다.

fastbin_dup과 같이, free list가 a -> b -> a 이러한 상황을 만들어야한다.
같은 chunck를 free 2번 시킨 후 하나를 다시 malloc으로 받은 후 그 주소에 접근할 수 있으므로 다음 chunk를 가리키는 포인터를 조작하는 방법이다.

이 기술을 직접 사용하기 위해서는
free 3번(같은 chunk로 2번), malloc으로 double free한 chunk를 받아오거나 double free한 chunk에 접근 할 수 있는 상황과 그 조작한 chunk를 malloc 시킬 수 있는 상황이어야한다.
그렇다면 stack 주소뿐 아니라 다른 주소로도 malloc을 이용해 받을 수 있다.
(단, chunk의 구조체중 size 멤버가 적절해야한다.)

fastbin_dup_into_stack 자료를 분석해보자.

먼저 주소로 받을 위치는 stack_var의 주소이다.

(우리의 목적 주소)

여기서 +8을 해준 주소를 목적이라고 한 것은 heap의 chunk 구조를 보면 앞의 8바이트가 chunk size정보가 들어있는 위치이기 때문이다. 

먼저, fastbin_dup과 같이 3개의 malloc을 해준다.

(3개의 malloc)

fastbin을 이용할 것이기에 8바이트를 할당한다.
최소 16바이트이기 때문에 16바이트의 user data 영역이 생기고 8바이트의 size, 8바이트의 prev_size영역으로 총 32바이트, 총 chunk의 크기는 0x20일 것이다.

첫번째 free 해준다.

(첫번째 free)

b를 free해준 뒤 a를 free해준다.

(free)

여기서 malloc을 해주어 a의 주소를 d에 넣고, 다시 malloc을 해준다.

(malloc)

그렇기에 stack_var주소 위치에 0x20을 넣는다.

(chunk 총 크기)

그렇기에 d의 sizeof의 값이 8바이트이기에 sizeof(d)를 해주었다.

(fd 포인터 조작)

메모리의 상황은 다음과 같다.

(메모리 상황)

이번에 다시 malloc을 하게 되면 stack 주소가 반환되는 것이다.

(stack 주소 malloc)

(stack 주소 반환)

(* 위의 캡쳐 사진은 따로따로 찍은 것으로 gdb메모리 상황과 stack 주소 반환 결과가 같지 않다.)

(fast bin 구조)

먼저 3개의 chunk를 할당한다.

(3개의 malloc 할당)

그 후 a를 free해준다.

(a chunk free)

대신 b를 free해준다.

(b chunk free)

그러면 우리는 a를 다시 free시킬 수 있게 된다.

(a chunk 두번째 free)

지금 이 상황의 메모리를 보자

(메모리 상황)

fastbin에는 a -> b -> a 이렇게 들어있다. 그렇기에 a의 주소(6000)에 b의 주소(6020)가 들어있고,
b의 주소인 6020의 다음 노드는 6000 으로 설정되어 있는 것이다.

여기서 다시 3개의 malloc을 해보면 결과는 아래와 같이 a, b, a의 주소가 나오고 결과적으로 a의 주소가 두번 malloc이 되는 상황이 나온다.

(결과)

how2heap의 첫번째 분석 자료는 first_fit 이다.
first fit이란 메모리 할당 전략 중 하나이다.

대표적으로 3가지가 있는데
first fit, best fit, worst fit 이 있다.

기본적으로 리눅스에서 heap 할당 관련해서는 first fit전략을 취하고 있다.

first fit이란 할당 가능한 메모리 영역을 발견하면 바로 할당하는 방식이다.
best fit은 internal fragment가 최대한 작게  딱 맞는 크기의 영역을 할당하는 방식이고
worst fit은 정반대로 최대한 널널한 영역을 할당하는 방식이다.

first fit 프로그램은 취약점을 보여주는 프로그램은 아니고
리눅스의 메모리 할당방식을 직접 보여주는 프로그램이다.

과정을 따라가며 분석해보겠다.

(메모리 할당)

a와 b에 할당을 해준다.

(메모리 할당 확인)

프로그램 실행시 확인해 볼 수 있다.
첫번째로 할당한 영역의 주소는 46010 이고 (뒷자리만 부를것이다.)

두번째로 할당한 영역의 주소는 46220 이었다.

(할당된 메모리 사용)

그리고 할당된 주소를 사용한다. a라는 주소에 문자열을 입력해준다.

(메모리 해제)

다시 이어서 malloc을 해준다.

(malloc)

확인을 위해 이번엔 방금 할당된 주소를 사용해본다.

(메모리 사용)

c변수 방금 할당했던 주소가 담긴 변수를 주소값과 안에 담긴 문자열을 출력해본다.

(같은 주소)

결과는 처음 할당했던 주소가 46010이었는데 해제(free)해준 뒤 다시 malloc을 통해 받은 주소가 똑같은 46010이다. 그리고 그 안에 있는 문자열은 thist is C! 로 정확히 같은 주소라는 것을 보여준다.