윈도우에서의 스택 기반 오버플로우 Part2 - 익스플로잇 작성을 위한 윈도우즈 어셈블리

저자 : 31st May, 2005 Nish Bhalla.
번역 : 2011/6/6. dakuo.(dakuo@naver.com)
출처 : http://www.SecurityCompass.com

익스플로잇 작성을 위한 윈도우즈 어셈블리 : Part 2 / 4
다음 섹션에서는 익스플로잇 작성에 더 나은 이해를 얻을 수 있게 필요한 X86 어셈블리 언어의 기초를 다루고 있습니다.
철저한 어셈블리 언어 수업은 아닙니다; 하지만 어셈블리의 시작과 어셈블리 명령어 읽기를 얻습니다.

레지스터
실제 어셈블리 예제를 보기 전에 어셈블리 언어에 대한 약간의 배경과 용어에 대한 기대 수준을 얻읍시다.

어셈블리 언어는 기계 코드의 상징적 표현입니다.
기계 코드 a.k.a.Op Code(작동 코드)는 비트 문자열로 명령어 코드입니다. CPU는 메모리에 로드 되어 실행 가능한 이러한 명령어를 실행합니다.

일반적인 프로그램처럼 CPU는 임시 저장소에 정보를 저장해야 합니다. 레지스터는 CPU를 위한 임시 저장소입니다.
프로세서가 직접 메모리(RAM)에 데이터를 작동할 수 있지만, 데이터가 레지스터(CPU의 임시저장소)에 저장되어 있는 경우 명령어는 빨리 실행됩니다.

레지스터는 수행하는 기능에 따라 분류됩니다. 일반적으로 16 가지 종류의 레지스터가 있습니다.
이러한 레지스터는 네 가지 주요 유형으로 분류됩니다; 즉, 범용 레지스터;
작업에 대한 데이터를 가지는 레지스터, 세그먼트 레지스터; 데이터 또는 명령어의 주소를 가지는 레지스터, 상태 레지스터;
현재 상태를 유지하게 도와주는 레지스터와 EIP 레지스터; 실행해야 하는 다음 명령어의 포인터를 저장하는 레지스터

이 섹션에서 다룰 레지스터는 주로 익스플로잇 작성과 이해하는데 사용되는 레지스터입니다.
레지스터의 대부분을 상세히 설명하지 않을 것입니다. 주로 범용 레지스터와 EIP 레지스터를 주의 깊게 볼 것입니다.

범용 레지스터; EAX, EBX, ECX, EDX, EDI, ESI, ESP & EBP 가 일반적인 데이터 조작을 위해 제공됩니다.
"E"는 8086 8 비트 레지스터가 바로 매핑될 수 있는 완전한 32-비트 레지스터의 주소 확장을 의미합니다.
32 비트 레지스터에 8 비트 레지스터가 매핑되는 것을 아래에서 보여줍니다.
(8 비트 또는 16 비트 레지스터에 대한 세부 사항은 IA-32 인텔 아키텍처 소프트웨어 개발자 매뉴얼이 좋은 기준입니다;
Basic Architecture, Order Number 245470-012 available form http://developer.intel.com/design/processor/)

32 비트 레지스터 / 16 비트 레지스터 / 8 Bit Mapping(0-7) / 8 Bit Mapping(8-15)
EAX                      AX                  AL                  AH
EBX                      BX                  BL                  BH
ECX                      CX                  CL                  CH
EDX                      DX                  DL                  DH
ESP                      SP
EBP                      BP
ESI                      SI
EDI                      DI

이 범용 레지스터의 구성에 인덱싱 레지스터와 스택 레지스터가 추가 등록되었습니다.
32 비트 레지스터는 전체 32 비트 값에 접근할 수 있습니다.
예를 들어 0x41424344 값이 EAX 레지스터에 저장되어 있으면, EAX에 대한 작업을 수행할 때 0x41424344의 전체 값에 대해 작업을 수행합니다,
하지만 대신에 AX에 접근하면 오직 0x4142 만 작업에 쓰이며, AL에 접근하면 단지 0x41 만 쓰이고, AH에 접근하면 오직 0x42만 쓰입니다. 이는 쉘코드를 작성할 때 유용합니다.

인덱싱 레지스터
EDI와 ESI 레지스터가 인덱싱 레지스터입니다; 일반적으로 원본(EDI)과 목적지(EDI) 포인터로서 메모리에 복사될 때 사용되는 문자열 명령어입니다.

스택 레지스터
EBP와 ESP 레지스터는 주로 스택 조작을 위해 사용됩니다.
EBP(이전 섹션을 보여줍니다)는 스택 프레임의 베이스를 가리키고, ESP는 스택의 현재 위치를 가리킵니다.
EBP는 일반적으로 스택 프레임에 값을 저장할 때 기준점으로 사용됩니다.(example 1, hello.cpp 참조)

다른 범용 레지스터들
EAX는 또한 계산기 레지스터로 불리며, 가장 많이 사용되는 레지스터 중 하나이고 많은 명령의 결과를 포함하고 있습니다.
EBX는 데이터 세그먼트 포인터 입니다.
ECX는 일반적으로 카운터(for문 등)로 사용됩니다.
EDX는 I/O 포인터입니다.
이 네 개의 레지스터들은 바이트를 다룰 수 있는 유일한 레지스터들 입니다, 즉, 바이트 레벨로 접근

EIP 레지스터
EIP 레지스터는 실행해야 하는 다음 명령어의 위치를 포함합니다.
명령어가 실행될 때마다 다음 명령어를 가리키도록 수정됩니다.
지금까지 논해왔던 데이터 접근을 위해 사용되고 명령어로부터 조작되는 게 가능한 모든 레지스터들과 달리, EIP는 명령어로부터 직접 조작될 수 없습니다.

데이터 유형
기본 데이터 형식입니다; 8 비트의 바이트, 2 바이트(16 비트)의 워드, 4 바이트(32 비트)의 더블 워드.
목적 수행을 위해 데이터 구조(특별히 스택)는 워드와 더블 워드가 정렬되어야 합니다.
8바이트 경계에 걸쳐 있는 word 또는 double word는 두 개의 서로 다른 메모리 버스 사이클에 접근되어야 합니다.
작성한 익스플로잇 코드를 원격 시스템으로 전송할 때 익스플로잇 코드의 정상 작동/실행을 위하여 명령어들을 정렬해야 합니다.

작업
레지스터와 데이터 유형의 몇 가지 기본적 이해를 했으니, 흔히 보이는 몇 가지 명령어를 보겠습니다.
아래는 몇 가지 일반적인 명령어와 각 명령어의 수행에 대한 간단한 설명입니다.
이 명령어는 일반적으로 디컴파일 된 코드에서 보이는 명령어입니다.
물론 단지 매우 작은 명령어 목록입니다, 모든 명령어가 상세한 인텔에서 제공하는 참조 가이드를 포함하여 많은 우수한 기준점이 있습니다.
(http://developer.intel.com/design/processor/ 에서 다운로드 가능합니다.)

어셈블리 명령어        / 설명
CALL EAX               / EAX 가진 주소를 호출합니다.
CALL 0x77e7f13a        / kernel32.dll 에서 WriteFile 호출합니다.
MOV EAX, 0FFH          / EAX에 255를 로드 합니다.
CLR EAX                / EAX 레지스터 비웁니다.
INC ECX                / ECX = ECX+1 또는 카운터를 증가합니다.
DEC ECX                / ECX = ECX-1 또는 카운터를 감소합니다.
ADD EAX, 2             / EAX에 2를 더합니다.
SUB EBX, 2             / EBX에서 2 바이트를 뺍니다.
RET 4                  / 스택의 현재 값을 EIP에 넣습니다.
INT 3                  / 인터럽트 3은 일반적으로 브레이크 포인트입니다; INT 명령어는 프로그램에서 명시적으로 언급한 지정된 인터럽트를 허용합니다.
JMP 80483f8            / JMP는 단순히 EIP를 명령어에 따른 주소로 세팅합니다. 스택에 저장되는 것은 없습니다. 대부분의 if-then-else는 최소 하나의 JMP 명령어가 필요합니다.
JNZ                    / 0이 아니면 점프합니다.
XOR EAX, EAX           / EAX 레지스터는 XOR를 수행함으로써 set된 값을 0으로 clear합니다.
LEA EAX                / 실제 주소를 불러와 EAX에 저장합니다.
PUSH EAX               / EAX에 저장되어 있는 값을 스택에 푸시합니다.
POP EAX                / EAX에 저장되어 있는 값을 꺼내옵니다.

Hello World
스택 레이아웃과 어셈블리 명령어의 더 나은 이해를 위하여 표준 예제 hello world를 보고 더 자세히 조사해봅니다.
아래 코드는 단순한 hello world 프로그램의 코드입니다. 웹사이트로부터 이 프로그램의 목록을 얻을 수 있습니다.
아래는 main 함수의 목록의 일부를 보여줍니다. 여기에 표시된 위치는 모듈의 시작에 관련됩니다. 아래에 있는 목록은 아직 연결되지 않았습니다.

1 1://helloworld.cpp : Defines the entry point for the console
2 2://application. This example has been compiled on Visual Studio
3 3://.NET so the “"/GS”" flag results can be seen on line 37.
4 4: #include "stdafx.h"
5 5:
6 6: int main(int argc, char* argv[])
7 7: {
8 //Prologue Begins
9 00401010 push ebp //Save EBP on the stack
10 00401011 mov ebp,esp //Save Current Value of ESP in EBP
11 00401013 sub esp,40h //Make space for 64 bytes (40h) var
12 00401016 push ebx //store the value of registers
13 00401017 push esi //on to the
14 00401018 push edi //stack
15 00401019 lea edi,[ebp-40h] //load ebp-64 bytes into edi
16 //the location where esp was before it started storing the values of
//ebx etc on the stack.
17
18 0040101C mov ecx,10h //store 10h into ecx register
19 00401021 mov eax,0CCCCCCCCh
20 00401026 rep stos dword ptr [edi]
21 //Prologue Ends
22 //Body Begins
23 8: printf("Hello World!\n");
24 00401028 push offset string "Hello World!\n" (0042001c)
25 0040102D call printf (00401060)
26 00401032 add esp,4
27 9: return 0;
28 00401035 xor eax,eax
29 10: }
30 //End Body
31 //Epilogue Begins
32 00401037 pop edi // restore the value of
33 00401038 pop esi //all the registers
34 00401039 pop ebx
35 0040103A add esp,40h //Add up the 64 bytes to esp
36 0040103D cmp ebp,esp
37 0040103F call __chkesp (004010e0) // “/GS FLAG”
38 00401044 mov esp,ebp
39 00401046 pop ebp //restore the old EBP
40 00401047 ret 3 //restore and run to saved EIP

9 ~ 21 번째 줄은 프롤로그 부분이고 31 ~ 40번째 줄은 에필로그입니다.
프롤로그와 에필로그 코드는 스택 프레임을 설정하고, 레지스터를 보존하고
함수 호출이 완료된 후 스택 프레임(스택에 넣어지는 하나의 함수에 관련된 모든 정보를 스택 프레임이라 부른다)을 유지하기 위하여 컴파일러에 의해 자동으로 생성됩니다.
바디에는 실제 함수 호출 코드가 포함되어 있습니다.
프롤로그와 에필로그는 아키텍처와 컴파일러로 구분합니다.

위의 예제(9 ~ 21 줄)는 Visual Studio 6.0 아래서 본 전형적인 프롤로그를 보여줍니다.
첫 번째 명령어는 이전 EBP(부모 베이스 포인터/프레임 포인터) 주소를 스택(스택 프레임을 내부에 새로 생성합니다)에 저장합니다.
다음 명령어는 ESP 레지스터의 값을 EBP 레지스터로 복사합니다, 따라서 새로운 베이스 포인터(EBP)를 가리키도록 새로운 베이스 포인터를 설정합니다.
세 번째 명령어는 지역 변수를 위해 스택에 공간을 예약합니다, 이 예제에서는 총 64 바이트의 공간이 생성됩니다.
일반적으로 인수는 오른쪽에서 왼쪽으로 전달되고 호출된 함수가 스택을 책임지고 정리하는 것을 기억하는 것이 중요합니다.

위의 에필로그 코드는 스택 프레임이 정리되기 전에 레지스터의 상태를 복원합니다.
프롤로그에서 스택 프레임에 푸시된 모든 레지스터의 내용은 원래 보유한 값으로 곧 꺼내지고 복원됩니다(31 ~ 33 줄), 다음 세 줄은 오직 디버그 버전을 나타냅니다(34 ~ 36 줄),
64 바이트가 추가된 스택 포인터가 베이스 포인터를 가리키는지 다음 라인에서 체크됩니다.

37 줄에 있는 명령어는 원래 함수로 돌아오기 전에 다시 스택에서 리턴 주소가 꺼내지는 것을 확인합니다.[MSDN에서 "/GS 플래그 실행"의 자세한 설명을 구할 수 있습니다]
리턴 주소가 확인되면, ESP로 이동되고 EBP의 내용이 꺼내어지고 마지막으로 리턴 명령어에 의해서 실행됩니다.
리턴 명령어는 EIP 레지스터에 현재의 리턴 주소가 있는 스택의 맨 위 값을 꺼냅니다.

Note : 호출 규약
"콜링 컨벤션" 표준은 Visual Studio 아래에서 CDECL 입니다. 만약 이 표준이 사용되지 않는다면, 스택 레이아웃은 아주 적게 변합니다.
fastcall 또는 stdcall 같은 다른 호출 규약에 대해 논의하지 않습니다.