Code1018

flag 문제이다!

문제를 풀다보면서 느낀거지만 조금 이 사이트 문제들이 짜임새 있다.
한단계 나가면서 조금씩 알아가는 느낌이 든다. :)

flag 문제 클릭!

(flag 문제)

문제를 보자

(문제 화면)

파파가 포장이된 선물을 주었다.
packed 라는 표현을 봐서 packing 된 실행파일인듯 하다. (느낌에)

일단 파일을 받아보자!

(파일 확인)

파일을 readelf 로 확인해보니 섹션이 없다.
패킹 되어있는 듯하다.

헥스 에디터로 확인해본다!

(바이너리 확인)

UPX로 패킹되어있는 것을 알 수 있었다.

먼저 UPX로 언패킹 해준다.

(언패킹)

그리고 다시 한번 확인해보자.

(flag 파일)

섹션 내용들이 자세히 나온다.
이제 디버깅 할수 있게 되었다.
그리고! 캡쳐는 깜빡했지만 실행하게되면
malloc을 실행하고 그 공간에 flag를 strcpy 할거야~ 라는 힌트가 나온다.

gdb를 열어 확인!

(main)

main 함수를 보니 malloc 함수가 호출되고 아래에 함수가 하나 더 호출된다.
함수가 하나밖에 없으니 보나마나다 이게 strcpy이다.

그러면 strpy하기 전에 break 하기!

(break 걸기)

자 이제 실행 한 후
실행 전 rax [eax] 를 확인한다.
-> 64비트에서는 함수 인자를 레지스터에 담아 넘기기 때문이다.
즉 rax 위치에 flag들이 복사될 것이다.   

(복사될 곳 확인)

strcpy까지 실행 후 이 주소의 값들을 보면 뭔가 채워져있다.

(flag)

이 값들을 string으로 보면 flag를 확인 할 수 있다.

(문제 해결)

어제 IP 주소의 A class 까지 알아보았다.

B class부터 살펴보면

B Class
 - 네트워크 id : 첫번째와 두번재 수를 사용
 - host id : 나머지 두자리를 사용
 - 공통비트 : 10
 
 ex)  1000 0000.0000 0000.hhhh hhhh.hhhh hhhh(2)
      1011 1111.1111.1111.hhhh hhhh.hhhh hhhh(2)
 -10진수로 바꾸면 앞자리가 128이다. (A 클래스가 127까지였고, B클래스는 128부터이다.)
 -128.0.h.h ~ 191.255.h.h (B 클래스 IP주소의 범위)

 ex) 한 네트워크에서 사용 가능한 호스트의 주소
  
  160.120 (네트워크)라면
  
  160.120.0.0 ~ 160.120.255.255
  
- 이 경우 사용 불가능한 주소
  160.120.0.0    -> 160.120 네트워크의 대표주소
  160.120.255.255  -> 160.120. 네트워크 안으로 브로드캐스트 하는 주소
  172 번으로 시작하는 것은 사설IP로 네트워크 ID로 사용할 수 없다.

C Class
 - 네트워크 id : 첫번째, 두번째. 세번째 수를 사용
 - host id : 나머지 한자리를 사용
 - 공통비트 : 110
 1100 0000.0000 0000.0000 0000.hhhh.hhhh(2)
 1101 1111.1111 1111.1111 1111.hhhh.hhhh(2)
 192.0.0.h ~ 223.255.255.h(10) (C 클래스 IP주소의 범위)

 - 사용불가능한 주소는 위의 규칙과 같다.
 - 192 번은 사설 IP로 사용할 수 없다.

D Class
 - 장비나 인터페이스에 설정이 불가능하다.
 - 즉, 사용할 수 없는 IP주소이다.
 
 - 멀티캐스팅 용도로 사용한다.

 - 공통비트 : 1110
 1110 0000.0000 0000.0000 0000.0000 0000
 1110 1111.1111 1111.1111 1111.1111 1111
 224.0.0.0 ~ 239.255.255.255(10) 

E Class
 - 장비나 인터페이스에 설정이 불가능하다.
 - 즉, 사용할 수 없는 IP주소이다.

 - 공통비트 : 1111
 240.0.0.0 ~ 255.255.255.255(10)
 -> 우리는 못쓴다. 예약된 주소로써 사용되지 않는다.

- 통신 방법
유니캐스팅 -> 1:1로 전달하는것이다.
멀티캐스팅 -> 특정 그룹에만 전체 전달하는 것이다.
브로드캐스팅 -> 연결되있는 모든 host에 전달하는 것이다.

위 주소들의 특징을 살펴보면 어떤 통신 방법으로 통신하는지
주소만 보고 알 수 있다.

(목적지 주소가 224.0.0.252)

주소를 보면 D Class에 해당하는 것을 알 수 있다. 이 주소는 멀티캐스팅을 위한 주소이다.
멀티캐스트하는 패킷이라는 것을 알 수 있다.

(192.169.3.255 주소)

이번엔 목적지 주소 끝이 255 이다. 이 주소는 현재 192.168.3.0 이라는 네트워크 id를 가진 네트워크 안에서 브로드캐스트하는 주소이다.

* 넷마스크
 - ip에서 네트워크 아이디를 확인하기 위한 목적이다.
 - 네트워크를 분리한다.(서브네팅)
- 혹은 네트워크를 통합한다.(슈퍼네팅)
 
ex)  192.168.3.100/24      ( /24 ) 가 넷마스크를 의미한다. 넷마스크의 비트수
    -> 24비트를 넷마스크로 쓰겠다는 말이다.

 - 192.168.3.100 / 255.255.255.0  
 -> 2진수로 바꾸면
 1100 0000.1010 1000.0000 0011.0110 0100  
   / 1111 1111.1111 1111.1111 1111.0000 0000 

 Bit Masking 은 and 연산을 통해 이루어진다.

 1100 0000.1010 1000.0000 0011.0110 0100
 1111 1111.1111 1111.1111 1111.0000 0000
 ------------------------------------------------------------
 1100 0000.1010 1000.0000 0011.0000 0000 
-> 10진수로 바꾸면 192.168.3.0 이 나온다.
-> 네트워크 id를 얻을 수 있게된다.
 -> 서브넷마스크의 역할이다.
 - 그래서 이 서브넷마스크를 조절하면 네트워크망의 크기를 조절할 수 있다.(서브넷팅, 슈퍼넷팅)

 -> 만약 의도적으로 서브넷 마스크를 비트 하나 더 늘려주면
 1111 1111.1111 1111.1111 1111.1000 0000  -> 서브넷마스크 25
 192.168.3.100/255.255.255.128
 1100 0000.1010 1000.0000 0011.0110 0100 
        /  1111 1111.1111 1111.1111 1111.1000 0000
 
 ->그렇게되면 두개의 네트워크로 분할 할 수 있고, host의 수는 절반만큼 줄어든다.
 1100 0000.1010 1000.0000 0011.0110 0100
 1111 1111.1111 1111.1111 1111.1000 0000
 ----------------------------------------
 1100 0000.1010 1000.0000 0011.0000 0000   -> 192.168.3.0

만약 
 192.168.3.200/255.255.255.128
 1100 0000.1010 1000.0000 0011.1100 1000
 1111 1111.1111 1111.1111 1111.1000 0000
 ---------------------------------------
 1100 0000.1010 1000.0000 0011.1000 0000  -> 192.168.3.128 이라는 네트워크 id가 된다.
-> 같은 192.168.3 C class에서 네트워크 id가 2개로 분할이 됬다.
(하지만 요즘은 넷마스크로 서브네팅을 하지 않는다.)
(요즘은 VLAN등 좋은 장비들이 나와서 그 장비를 이용한다.)

* 공인망, 사설망
- 공인망(Public Network)
   : 공인 IP를 사용하는 네트워크

- 사설망(Private Network)
   : 사설 IP를 사용하는 네트워크

 사설 IP ??
 -> 공인망과 분리된 네트워크, 공인망과 격리되었다.
 -> A class (10번)
    B class (172번)
    C class (192번)
 -> NAT  (Network Address Translation) 네트워크 주소 변환
 : 사설망도 외부와 통신이 되게하기 위해서  사설망과 외부망이 연결되는 지점에 공인IP하나를 준다.
 사설망 내에서 밖으로 나갈때 공인 IP로 바꾸어서 내보낸다.


 IP fragment Vs TCP segment  (UDP는 segment가 없다.)

* IP fragment ( IP 단편화/조각,파편... )
 - IP 패킷을 조각내는 것이다.
 - IP 패킷으로 패키징할 대 너무 크니까 적정크기로 잘라서 패키징한다.
 -> 이것이 IP fragment라고 한다.
 - 적정 크기는 MTU로 정한다.
 - MTU (Maximum Transfer Unit) (최대 전송 단위) : 보통 1500바이트

(2005바이트를 보내는 화면)

(2005바이트 수신)

위 결과를 보면 IP패킷이 분할되서 전송된것을 볼 수 있다.

ex)
우리가 2000바이트를 udp로 보내는 경우
 보낼려는 데이터 2000바이트
 
 거기에서 udp헤더가 붙는다.
 -> 2008바이트
 - 앞에 1500만큼 잘라낸다.
 
 그리고 IP패킷으로 패키징,
 -> IP패킷이 2개 나온다.
 - 도착지에서는 이걸 다시 하나로 합쳐야된다.
 - Identification을 보고 같으면 합친다. 
 분할된건지 어떻게 알까? -> Flag를 보면 안다.  
0으로 되있으면 분할되지 않았다. DF면 분할하지 마라. MF는 뒤에 더 있다라는 내용이다.

정리. (Flag비트)
 0010 0000 ->(More Fragment) MF 맨앞이 1이면 32 -> 이거면 뒤에 분할된게 더 있다는 뜻이다.
 0000 0000 -> 아무것도 분할되지 않았다는 뜻이다.
 0100 0000 -> (Dont Fragement) : 분할하지 마라

 offset은 원래 분할되기 전의 위치를 뜻한다.

- UDP는 segment가 없다. 분할된건지 확인할 헤더 필드가 없다.
- TCP단에서 segment가 된다.
TCP segmentation ( TCP 조각, 파편...)
 - TCP segment를 조각내는 것이다.
 - MSU( Maximum Segment Unit ) : 1500 (윈도우에서)
 ->그래서 일반적인 PC에서는 이미 TCP단에서 1500바이트에서 이미 조각 났기때문에
 IP fragment를 보기는 힘들다. -> IP에서는 분할되지 않아도된다. 일반적인 PC에서
 -> TCP 패킷을 의도적으로 작게 조각내서 보내면 방화벽을 통과시킬 수 있다.
 -> TCP에는 시퀀스 넘버가 있어서 재조립도 가능하다.

 * 요새는 offset을 보지않는다. 취약점때문에 사용하지 않는다.
 왜냐하면 이걸 이용해 방화벽우회도 할 수 있기 때문이다. 혹은 offset 설정으로 Tear Drop 공격기법이 있다.

상황
서버가 있다고 가정해보자.

 서버가 있다. 서버에 방화벽을 둔다. 
 방화벽 두개가 같이 있어야한다. ( host기반의 방화벽(윈도우즈방화벽), 네트워크 기반의 방화벽 )
 IP패킷의 최소 8바이트까지 쪼갤수있다. 작게 쪼개진 패킷들을 보낸다.
 방화벽은 첫번째 프레그먼트만 확인 후 이상이 없으면 나머지는 그냥 통과시킨다.
 성능면때문에 첫번째 fragment만 확인한다.
 
 그래서 offset을 조작해서 통과한 패킷들을 서버에 도착해서 조립을 하면 중첩되면서 새로운 데이터가 된다. (요즘은 IP는 안되지만 TCP에서는 된다.)
 
 그리고 뚫고 들어오면 이제 호스트기반의 방화벽이 있다.
호스트기반의 방화벽에서는 천천히 잘 조립해서 확인한다. 그래서 서버에서 막힐 수 있다.
 그래서 호스트 기반의 방화벽에서는 우회할 수 없다.

 이 방법으로 네트워크 방화벽을 우회할 수 있다.
 그러면 네트워크 기반의 방화벽은 필요없는거 아닐까?
 -> 그렇지 않다.  DDos 공격이 있다.

 * DDos 공격
 -> 대량의 패킷을 서버에 보내 서버의 부하를 많게 하여 다운되게 하는 것이 목적이다.
 -> 호스트 기반의 방화벽에서는 막지 못한다. 이미 호스트 기반의 방화벽까지 들어왔다는거 자체가 공격 성공이다.
 --> 그래서 방화벽 두개를 운영하는게 맞다.

 : 현재는 offset을 조절하는 공격은 쉽지 않다.