기본 콘텐츠로 건너뛰기

1월, 2018의 게시물 표시

Heap-Memory

Heap-Memory 힙 메모리 이해하기 많은 메모리 할당자가 존재한다. dlmalloc - 범용 할당 자 ptmalloc2 - glibc jemalloc - FreeBSD와 Firefox tcmalloc - Google libumem - 솔라리스 모든 메모리 할당자는 빠르고 확장 가능하며 효율적이라고 주장하지만 모든 할당자가 개발하고자하는 어플리케이션에 적합할 수 는 없다. 메모리 사용량이 많은 응용 프로그램의 성능은 메모리 할당자 성능에 크게 좌우된다. 이 글에서는 glibc malloc 할당자에 대해서만 이야기하고자 한다. ptmalloc2 는 dlmalloc 에서 분기되었다. fork 후 스레딩 지원이 추가되어 2006년에 릴리즈되었다. 공식 릴리즈 후 ptmalloc2 는 glibc 소스 코드에 통합되었다. System call 시스템 호출 : malloc 은 내부적으로 brk 또는 mmap 시스템 호출을 한다. Threading 스레딩 : 리눅스 초기에는 dlmalloc 이 기본 메모리 할당자로 사용되었다. 하지만 나중에 ptmalloc2 의 스레딩 지원으로 리눅스 용 기본 메모리 할당자가 변경되었다. 스레딩 지원은 메모리 할당자 성능 및 응용 프로그램 성능을 향상시키는 데 도움이 된다. dlmalloc 에서 두 개의 스레드가 동시에 malloc 을 호출 할 때, freelist 데이터 구조가 사용 가능한 모든 스레드간에 공유되기 때문에 하나의 스레드 만 임계 섹션에 들어갈 수 있었다. 따라서 다중 스레드 응용 프로그램에서 메모리 할당에 시간이 걸리므로 성능 저하를 유발한다. ptmalloc2 에서 두 스레드가 동시에 malloc 을 호출하는 동안 각 스레드는 별도의 힙 세그먼트를 유지하므로 이 힙을 유지하는 freelist 데이터 구조도 분리되어 메모리를 즉시 할당할 수 있다. 각 스레드에 대해 별도의 힙 및 freelist 데이터 구조를 유지하는 이 작업을 스레드 별

요즘 나를 즐겁게 하는 것들

나를 즐겁게 하는 일이 무엇인 가를 살펴보는 것은 내가 어떤 사람인지 깨달을 수 있는 좋은 방법이다. 카페에서 하는 노트북, 세바시 강연, 파이썬 프로그래밍, 수수께끼 같은 신규 취약점은 나를 즐겁게 한다. 목표를 향해 제대로 가고 있는 지 알 수 없지만, 아직 컴퓨터가 나를 즐겁게 한다는 것에 안도감을 느낀다. 잘하고 싶은 마음도 간절하지만, 지금처럼 앞으로도 계속 내가 컴퓨터를 좋아하는 사람이었으면 한다.

Heap-Syscall

Heap-Syscall 힙 메모리 할당과 시스템 호출 malloc 은 OS에서 메모리를 얻기 위해 brk 또는 mmap syscall을 사용하여 메모리를 확보한다. brk brk : brk 는 프로그램 중단 위치를 증가시켜 커널에서 메모리를 얻는다. 처음 시작( start_brk ) 및 힙 세그먼트 끝( brk )은 동일한 위치를 가리킨다. ASLR이 꺼지면 start_brk 및 brk 는 data/bss 세그먼트 ( end_data )`끝을 가리킨다. ASLR이 켜지면 start_brk 및 brk 는 data/bss 세그먼트 ( end_data )끝에 임의의 brk 오프셋을 더한 것과 같다. 위의 프로세스 가상 메모리 레이아웃 그림은 start_brk 가 힙 세그먼트의 시작이고 brk (프로그램 중단)이 힙 세그먼트의 끝임을 보여준다. 예시 /* sbrk and brk example */ # include <stdio.h> # include <unistd.h> # include <sys/types.h> int main ( ) { void * curr_brk , * tmp_brk = NULL ; printf ( "Welcome to sbrk example:%d\n" , getpid ( ) ) ; /* sbrk(0) gives current program break location */ tmp_brk = curr_brk = sbrk ( 0 ) ; printf ( "Program Break Location1:%p\n" , curr_brk ) ; getchar ( ) ; /* brk(addr) increments/decrements program break location */ brk ( curr_brk + 4096 ) ; cu

robot-attack

robot-attack RSA 취약점 - Robot Attack 진단 Robot-Detect Github: robot-detect Ubuntu Robot-Detect 설치 sudo apt-get update sudo apt-get upgrade sudo apt-get python3-gmpy2 pip3 install --upgrade pip pip3 install robot-detect 진단 도구 실행 robot-detect [ host ] Windows 파이썬3 설치(환경 변수 등록): python Download page visual c++ 14.0 build tool 설치 gmpy2 설치: gmpy2-2.1.0a1-cp36-cp36m-win32.whl ※ 운영체제 환경에 적합한 버전 내려받은 후 설치 python -m pip install gmpy2-2.1.0a1-cp36-cp36m-win32.whl What’s the difference between “pip install” and “python -m pip install”? 두 명령 모두 pip / init.py에서 같은 main 함수를 호출하여 동일하게 동작한다. robot-detect 설치: pip install robot-detect robot-detect 파일 확장자 .py 로 수정 ([Python 설치 경로]\Scripts\robot-detect) Ex) C:\Users\IEUser\AppData\Local\Programs\Python\Python36-32\Scripts 진단 도구 실행 python robot-detect [ host ] TLS-Attacker Github: TLS-Attacker Ubuntu JAVA 설치 및 JAVA_HOME 환경변수 등록 sudo apt-get install default-jre sudo apt-get install d

CVE-2018-5711

CVE-2018-5711 PHP CVE-2018-5711 잘못된 형 변환으로 발생된 PHP 취약점에 대해 알아보자. 영향 버전 PHP 5 < 5.6.33 PHP 7.0 < 7.0.27 PHP 7.1 < 7.1.13 PHP 7.2 < 7.2.1 취약 소스 파일 php-src 소스 저장소 - LWZReadByte_함수 내 취약점 발생 위치 do { sd -> firstcode = sd -> oldcode = GetCode ( fd , & sd -> scd , sd -> code_size , FALSE , ZeroDataBlockP ) ; } while ( sd -> firstcode == sd -> clear_code ) ; return sd -> firstcode ; GetCode 함수는 래퍼 함수로 실제 작업은 GetCode_ 함수에서 수행한다. static int GetCode_ ( gdIOCtx * fd , CODE_STATIC_DATA * scd , int code_size , int flag , int * ZeroDataBlockP ) { int i , j , ret ; unsigned char count ; . . . if ( ( count = GetDataBlock ( fd , & scd -> buf [ 2 ] , ZeroDataBlockP ) ) <= 0 ) scd -> done = TRUE ; . . . } GIF에서 데이터를 읽기 위해서 GetCode_ 함수에서 GetDataBlock 함수를 호출한다. static int GetDataBlock_ ( gdIOCtx * fd , unsigned char * buf , int * Zer

code-sign

code-sign 전자 서명 테스트 1. 테스트 인증서 생성 pem Generating a private key $ openssl genrsa 2048 > private.pem Generating the self signed certificate $ openssl req -x509 -new -key private.pem -out public.pem If required, creating PFX $ openssl pkcs12 -export -in public.pem -inkey private.pem -out mycert.pfx crt 개인키 생성 $ openssl genrsa -des3 -out server.key 2048 인증요청서 생성 $ openssl req -new -key server.key -out server.csr 인증서 생성 $ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt pfx 파일 생성 openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt [ -certfile more.crt ] 2. 전자 서명 적용 "C:\Program Files (x86)\Windows Kits\8.1\bin\x86\signtool.exe" sign /a /f mycert.pfx /p testpssword target.exe Done Adding Additional Store Successfully signed: target.exe ./Signtool.exe sign /a /f “{인증서 경로}” /p “{인증서 비밀번호}” /t “{인증서에 따른 Timestamp 서버 주소 예) http://timestamp.verisign.com/scripts/timestamp.dl

Adrenalin_7_SEH_Overflow

Adrenalin_7_SEH_Overflow 아드레날린 플레이어 SEH Overflow 아드레날린 플레이어 2.2 버전에서 발견된 SEH Overflow를 알아보자. 실습은 Windbg 환경에서 진행하며 mona플러그인을 이용하여 먼저 패턴을 생성한다. .load pykd !py mona pc 30000 mona를 이용하여 생성한 패턴을 이용하여 SEH Overflow 필요 버퍼를 알아보자. 파이썬 스크립트를 이용하여 패턴을 내용으로 한 wvx 파일을 생성한다. pattern_file = open ( "pattern.txt" , 'r' ) crash_file = open ( "01_crash.wvx" , 'w' ) crash_file . write ( "{}" . format ( pattern_file . read ( ) ) ) crash_file . close ( ) pattern_file . close ( ) # maximum pattern --> 20280 크래시가 발생하고 !exchain 명령어를 수행하면 SEH 핸들러 주소가 0x35744334로 덮어쓰여진 것을 확인할 수 있다. 0:000> !exchain 0018afa8: 35744334 Invalid exception stack at 74433374 mona를 이용하여 패턴을 확인한다. !py mona po 74433374 - Pattern t3Ct (0x74433374) found in cyclic pattern at position 2140 2140만큼의 쓰레기 값을 생성하고 이어서 SEH Overflow 구문을 삽입한다. 예외 발생 시 예외 처리를 위한 스택 프레임이 생성되는 데 이때 Nseh 는 esp+8 에 위치하고 있다. 따라서 다음의 절차로 공격을 수행한다. SEH 핸들러를 POP / POP / RET 명령어로 덮

힘내라 청춘. 20180112

힘내라 청춘. 20180111

힘내라 청춘. 20180110

힘내라 청춘. 20180109

힘내라 청춘. 20180108

힘내라 청춘. 20180107

힘내라 청춘. 20180106

힘내라 청춘. 20180105

Memory-Protection_SEH_1

Memory-Protection_SEH_1 메모리 보호 기법 - SEH_1 SEH는 윈도우 환경에서만 존재하는 예외 처리 메커니즘이다. SEH Handler를 덮어쓰는 오버플로우 공격이 존재하며 현재 까지도 여러 프로그램에서 SEH 오버플로우로 프로그램을 공격한 사례들이 보고되고 있다. SEH 코드르르 디스어셈블하면, mov DWORD ptr from FS:[0] 코드를 찾을 수 있다. 해당 명령어의 기계어는 64A100000000 이다. 만약 이 기계어를 찾지 못했다면 애플리케이션/쓰레드는 예외 핸들러를 가지고 있지 않다고 판단할 수 있다. # include <stdio.h> # include <string.h> # include <windows.h> int main ( int argc , char * argv [ ] ) { char test [ 10 ] ; __try { strcpy ( test , argv [ 1 ] ) ; } __except ( EXCEPTION_EXECUTE_HANDLER ) { printf ( "error" ) ; return - 1 ; } printf ( "result: %s" , test ) ; return 0 ; } Visual Studio에서 SEH 예제 코드를 작성한 후 아래와 같이 Properties에서 프로젝트를 설정한다. properties > C/C++ > Code Generation Enable C++ Exceptions: Yes (/EHsc) Basic Runtime Checks: Default/ Security Check: Enable Security Check (/GS-) properties > Linker > Advanced Randomized Base Addre

Memory-Protection_GS

Memory-Protection_GS 메모리 보호 기법 - GS 간단한 버퍼 오버플로우 예제 코드를 이용하여 GS 메모리 보호 기법에 대해서 알아보자. 먼저 Visual Studio를 실행하여 C++ Win32 콘솔 응용 프로그램 프로젝트를 생성한다. # include <stdio.h> # include <string.h> int main ( int argc , char * argv [ ] ) { char test [ 10 ] ; strcpy ( test , argv [ 1 ] ) ; printf ( "result: %s" , test ) ; return 0 ; } 소스 코드 입력 후에 프로젝트에 설정된 보호 기법을 모두 제거한다. properties > C/C++ > Code Generation Enable C++ Exceptions: No Basic Runtime Checks: Default Security Check: Disable Security Check (/GS-) properties > Linker > Advanced Randomized Base Address: No (/DYNAMICBASE:NO) Data Execution Prevention (DEP): No (/NXVOMPAT:NO) 빌드 후 생성된 실행 파일 디렉터리로 이동하여 정상 동작을 테스트한다. GS.exe AAA result: AAA GS.exe AAAAAAAAAAAAAAAAAAAAAA Segmentation fault windbg.exe -I 명령어를 입력하면 windbg 가 등록되어 단순 오류 발생 확인에 그치지 않고 디버깅할 수 있게 해주므로 유용하게 활용할 수 있다. windbg를 실행 후 프로그램 인자로 많은 양의 'A’를 전달하여 오류 상세 내용을 확인해보자. eip가 414