System/System 이론

보호되어 있는 글입니다.

iptime기준 qemu-user-static을 이용하여, qemu환경세팅이나 공유기 루트쉘 없이 디버깅하는방법 이 글을 쓰게 된 이유는 예전에 iot장비 펌웨어 분석팁 글을 쓰고 틈틈이 추가하고 있는데(사실 거의 추가안함), 그 내용중에 qemu-static binary로 분석하는 방법에 대해 어떤 분이 질문을 주셔서 쓰게됬다.주변친구들이 쓰는걸 몇 번 봐서 알려져있는 방법인 줄 알았는데, 그렇게 많이 알려지지는 않은것같다.그래서 이러한 방법이 있구나라는걸 공유해보고자 짬나는 시간에 글을 쓴다. 준비할 것우선 분석할 펌웨어에서 파일시스템을 추출한다. (FMK나 binwalk를 이용하는방법 등등)나는 iptime 홈페이지에 들어가서 집에서 사용하고 있는 펌웨어를 받았다.(a8004nm_kr_10_086)..

크리스마스 ctf 문제에 stdout과 puts함수를 이용해서 쉘을 획득하는 문제가 있었다.뭐 다음에 사용할지 안 할지 모르나 그냥 생각난김에 써놓는다. 64bit 기준 puts 함수 내에는 call QWORD PTR[rax+0x38] 부분이 존재한다.이 부분과 stdout버퍼주소 변조를 이용해서 원하는함수를 실행할 수 있다.이 방법은 fake stdout버퍼에 대략 0x110바이트 쓸 수 있어야한다. 함수를 분석해보면첫번째 인자를 r12레지스터에 복사하고r12레지스터의 값을 rsi에 넣는 과정이 있다.그리고 r12를 제어할 수 있는 상황이 puts함수 내에는 딱히 없어보인다.따라서 제어가능한 rdi레지스터만 이용해서 함수를 호출할 수 있다.즉, 인자가 한개이하인 함수를 한번 호출할 수 있다. 여기서 원..

https://chromium.googlesource.com/chromiumos/docs/+/master/constants/syscalls.md#linux-system-call-tableRandom NamesKernel ImplementationsCalling ConventionsTablesx86_64 (64-bit)arm (32-bit/EABI)arm64 (64-bit)x86 (32-bit)Cross-arch Numbers

Linux System CallsYou can make use of Linux system calls in your assembly programs. You need to take the following steps for using Linux system calls in your program −Put the system call number in the EAX register.Store the arguments to the system call in the registers EBX, ECX, etc.Call the relevant interrupt (80h).The result is usually returned in the EAX register.There are six registers that ..

GDB에서는 fork/exec() 이후에도 프로그램을 계속 디버깅 할 수 있는 기능을 제공한다. (GNU/Linux, HP-UX only) 기본적으로는 fork() 이후에는 parent process 만이 계속 디버깅되며 child에 breakpoint를 설정하면 SIGTRAP을 받고 종료되어 버린다. 이를 해결하기 위한 전통적인 방법은 child에 sleep을 걸고 ps 명령 등으로 child의 pid를 알아낸 후에 attach 하는 방식이 사용되었다. 하지만 Linux (커널 2.5.60 이상) 에서는 다음과 같이 GDB에서 직접 처리할 수 있다. set follow-fork-mode child 위와 같이 설정하면 fork() 후에 child process를 디버깅 상태로 만들고 parent는 계속 ..

(함수종료시)leave -> mov esp, ebppop ebp (함수시작시)push ebpmov ebp, esp ret -> pop eipjmp eip 이렇게 이해하면 좀 이해가 쉬움. (실제로 eip레지스터를 조작할 수는 없음)

remote 환경을 만들 때, xinetd를 이용하면 편하다. 우선 xinetd에 서비스를 등록시켜야한다. service test{socket_type = streamflags = REUSEwait = nouser = rootserver = /pathdisable = no} #flags = REUSE가 socket_type = stream보다 윗 라인에 있을경우 정상적으로 데몬이 돌아가지 않는 경우가 있을수도있음. 위와 같이 test라는 service를 /etc/xinetd.d/경로에 등록시키면 된다. 그리고 난 후 이 포트에 서비스를 매칭을 시켜줘야한다.echo "서비스명 포트/프로토콜" >> /etc/services service를 재시작 할 때는sudo service xinetd restart 이런..

리눅스 메모리 보호 기법1. ASLR(Address Space Layout Randomization)2. DEP / NX(Not Excutable)3. ASCII-Armor4. Canary 1) ASLR(Address Space Layout Randomization)주소공간을 랜덤하게 배치하는 기법이다. 스택, 힙 등 데이터 영역의 주소를 랜덤으로 프로세스 주소 공간에 배치함으로써 실행할 때 마다 데이터의 주소가 바껴 메모리를 보호하게 된다.#PIE = 바이너리 영역을 랜덤하게 배치하는 기법. 2) DEP / NX(Not Excutable)주메모리를 보호하기 위해 코드가 Stack이나 Heap영역에서 실행할 수 없게 하는 기법이다. DEP가 적용된 상태에서는 BOF공격을 하여도 실행권한이 없어 프로그램에..

32bit (1)가장 기본적으로 쉘을 띄우는 코드\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80\x6a\x68\x68\x2f\x2f\x2f\x73\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\x6a\x0e\x58\x48\x48\x48\x99\xcd\x80bytes : 25 \x31\xc0\x50\x68\x6e\x2f\x73\x68\x68\x2f\x2f\x62\x69\x89\xe3\x31\xc9\x31\xd2\xb0\x08\x40\x40\x40\xcd\x80bytes : 26 (2)쉘을 종료할 때 exit(0)으로 정상종료까지 시켜주는 코드\x31\xc0\..