윈도우에서의 스택 기반 오버플로우 Part1 - 기본 개념

저자: 31st May, 2005 Nish Bhalla.
번역: 2011/6/5. dakuo. (dakuo@naver.com)
출처: http://www.SecurityCompass.com

소개
이 시리즈는 윈도우에서의 스택 기반 오버플로우에 대해 작성하였습니다.
익스플로잇을 작성하기 전에 몇 가지 개념을 정리하는 것이 중요합니다.

첫 번째 파트에서는 메모리에 어떻게 실행 가능하게 로드 되고 실행되는지에 대한 기본 개념을 설명하는데 중점을 둘 것입니다.
두 번째 파트에서는 기본 어셈블리 명령어에 중점을 둘 것입니다.
세 번째 파트에서는 스택 오버플로우가 무엇인지, 왜 존재하는지, 취약한 어플리케이션을 위한 로컬 익스플로잇은 어떻게 작성하는지에 대해 탐구합니다.
마지막 네 번째 파트에서는 쉘코드 작성과 리모트 버퍼 오버플로우 익스플로잇의 입문서를 보여줍니다.

개념을 배우는데 사용할 수 있는 예제를 자세하게 제공합니다.
예제는 Windows XP (No SP) 기반으로 작성하였고 Visual Studio 6.0과 Visual Studio 7.0에서 테스트 했습니다.
또한 예제 중 일부는 Visual Studio .NET (or VS 7.0)에서 시연했습니다.
이러한 예제는 Microsoft에서 구현한 새로운 보안 기능들을 화면에 표시합니다.
Visual Studio .NET 개발환경은 어플리케이션을 작성하는데 사용할 수 있고, 몇 가지 기본 제공 보안 조치가 여기에 보이는 공격의 일부를 방지합니다.
이 시리즈의 예제는 컴파일 하는 동안 "/GS" 플래그 옵션을 해제해야 익스플로잇이 작동하고, 어플리케이션이 취약합니다.
문서는 다양한 툴과 유틸리티의 사용을 소개하고 또한 다운로드 받을 수 있는 곳의 링크를 제공합니다.
예제는 사이트에서도 다운받을 수 있습니다.

문서를 읽기 전에 할 수 있는 질문 중의 하나는 왜 다른 문서에서 익스플로잇을 작성하나? 입니다.
저는 익스플로잇 작성법을 배우기 전에 익스플로잇 작성에 대한 몇 가지 우수한 문서를 읽으려고 했지만, 그 문서들은 항상 사전에 필요한 지식을 알고 있다고 몇 가지 가정을 했습니다.
이 시리즈에서는 그것을 보완하려고 합니다.
두 번째로 문서들의 대부분은 예제를 보여주기 위한 샘플 어플리케이션을 사용하는데;
예제와 그 예제를 보여주기 위해 선택한 어플리케이션들은 일정 기간이 지나 무용지물이거나 더 이상 다운로드 할 수 없었습니다.
저는 자주 어플리케이션의 정확한 버전을 검색하는 데에 시간을 보낼 것입니다.

많은 개발자들은 "GS" 플래그의 사용이 모든 버퍼 오버플로우 익스플로잇에 대한 공격들을 방지한다고 오해하고 있습니다.
모든 유형의 스택 기반 공격을 막을 수 없다고 Microsoft도 직접 말했습니다. (http://msdn.microsoft.com/library/en-us/dv_vstechart/html/vctchCompilerSecurityChecksInDepth.asp)
게다가, 이 기능이 구현되어 있지 않은 많은 다른 개발 환경이 사용되고 있습니다.
이러한 개발 환경에서 개발된 어플리케이션들은 여전히 익스플로잇 테크닉에 취약합니다.

만약 질문이 있거나 제안 사항이 있으면 주저하지 말고 연락 주시기 바랍니다. (articles [a-t] securitycompass.com)
마지막으로, 이 문서를 비평하는 것을 도와준 모든 사람들에게 감사합니다.

기본개념
모든 어플리케이션은 4GB의 가상 메모리 공간을 할당 받습니다. (물리적 메모리가 이 가상 메모리 공간보다 더 적더라도(ex. 128MB or 256MB))
4 GB의 공간은 32-bit 주소 공간을 기반으로 합니다. (2^32 bytes -> 4294967296 bytes.)
모든 어플리케이션은 실행할 때 메모리 관리자가 자동으로 가상 주소를 실제로 데이터가 존재하는 물리 주소로 연결합니다.
메모리 관리는 운영 체제의 책임이며, 애플리케이션을 위한 메모리 할당과 해제를 합니다. (지금은 malloc/new 등에 대해 생각하지 마세요.)

4 GB의 가상 메모리 공간은 유저 모드와 커널 모드 사이를 동일하게 나눕니다.
어플리케이션은 일반적으로 유저 모드 메모리에서 로드/실행되며, 커널 모드 컴포넌트는 커널 모드 메모리에서 로드/실행됩니다.

어플리케이션은 커널 모드 메모리를 직접적으로 접근할 수 없습니다; 그런 시도는 접근 위반이 발생합니다.
어플리케이션이 접근해야 할 때 커널을 호출하려면, 유저 모드에서 커널 모드로의 전환이 이루어집니다.

유저 모드의 범위는 0x00000000 - 0x7fffffff 이고 커널 모드의 범위는 0x80000000 - 0xBfffffff 와 같습니다,
그러나 boot.ini 파일에 /xGB 를 전환하여 할당된 공간을 변경할 수 있습니다, 여기서 x는 유저 모드에 대한 메모리의 GB의 숫자입니다.

DLL과 EXE 파일
동적 링크 라이브러리(DLL)는 함께 연결된 서브루틴들을 포함하는 이진 파일입니다.
이러한 라이브러리들은(DLL' s) 이진 실행 파일(.EXE)이 DLL들에 내장된 서브루틴들을 사용해야 할 때 로드 됩니다.
DLL들과 Exe 파일은(실행 가능한 바이너리) 거의 같습니다, 둘 다 바이너리를 DLL 또는 EXE 로 취급하기 위해 나타내는 단일 비트를 제외하고 같은 PE 포맷을 사용합니다.
OCX(ActiveX)와 CPL(Control Panel) 파일들도 DLL과 정확히 같습니다.

라이브러리에는 정적 라이브러리 또는 동적 라이브러리가 있습니다.
윈도우즈는 메모리에 한번만 로드 되고 여러 어플리케이션 간에 공유되는 등 다수의 장점을 가진 동적 라이브러리를 주로 사용합니다.
DLLs에 몇 가지 예를 들면 kernel32.dll, user32.dll 등이 있습니다.

메모리 할당
각각의 실행 파일은 중복되지 않고 고유하게 주소 공간에 로드 됩니다.
어플리케이션의 DLL이 로드 되는 메모리 위치는 운영 체제와 어플리케이션의 버전이 그대로 유지되는 동안은 여러 컴퓨터에서 정확히 같습니다.

Note: 익스플로잇을 작성할 때, DLL과 해당 함수의 위치를 아는 지식이 사용됩니다.
       실행 가능한 파일이 로드 되는 곳의 주소 베이스를 볼 수 있는 여러 툴들이 있습니다. 
       Microsoft는 Visual Studio를 설치하면 기본 값으로 dumpbin.exe 라는 유틸리티를 제공합니다.
Ollydbg(익스플로잇 작성을 시도하거나 다른 바이너리의 분석을 시작할 때 가장 친한 친구가 될 수 있는 툴입니다)와 quickview plus 같은 다른 툴도 그러한 정보를 보는 데 사용할 수 있습니다.

메모리 개요
어플리케이션/프로세스는 세 가지 주요 메모리 영역에 로드 됩니다, 스택 세그먼트, 데이터 세그먼트, 코드/텍스트 세그먼트.

스택 세그먼트에는 지역 변수와 프로시저 호출이 저장됩니다, 데이터 세그먼트에는 정적 변수와 동적 변수가 저장됩니다, 텍스트 세그먼트에는 프로그램 명령어가 저장됩니다.

데이터와 스택 세그먼트는 각 어플리케이션에게 개별적이고, 어떤 어플리케이션도 이 영역에 접근할 수 없습니다.
반면에 텍스트 세그먼트는 다른 프로세스에 의해서도 접근될 수 있는 읽기 전용 세그먼트입니다, 하지만, 만약 이 영역에 쓰기를 시도하게 되면 세그먼트 위반이 발생합니다.

메모리 레이아웃 - 스택
스택은 어플리케이션에서 사용하는 예약된 가상 메모리 영역입니다.
이것은 운영 체제의 메모리 할당 방법입니다. 개발자는 메모리를 증가시키기 위해 코드에서 다른 특별한 명령어를 쓸 필요가 없습니다,
운영 체제가 보호된 페이지를 통해 자동으로 이 작업을 수행합니다.

다음의 코드는 문자 배열 "var"을 스택에 저장합니다.
Example: char var[] = "www.security.Compass.com";

스택은 카페에서의 접시더미와 비슷하게 작동한다.
정보는 항상 스택에 가장 위에서부터 푸시(추가)되고 팝(제거)됩니다. 
스택은 후입선출(Last in First Out: LIFO) 데이터 구조입니다.

스택에 데이터를 푸시하면 아이템이 스택에 저장되기 전에 현재 스택의 가장 높은 곳이 4 바이트 감소됩니다.
모든 정보는 스택에 추가될 때, 이전의 모든 데이터가 아래쪽으로 이동되고 새로운 데이터가 스택의 가장 위를 차지합니다.
다중 바이트의 데이터는 언제든지 스택에 push 되거나 pop 될 수 있습니다.
현재 스택의 맨 위는 스택의 맨 위에 아이템이 푸시되기 전에 감소하기 때문에, 스택은 메모리에서 아래쪽으로 성장합니다.

프레임 레이아웃
스택 프레임은 서브-루틴/프로시저로 진입하는 동안 만들어지는 데이터 구조입니다. (C/C++, 함수 생성 관점에서)
스택 프레임의 목적은 부모 프로시저의 매개변수를 그대로 유지하고 서브-루틴/프로시저에 인수를 전달하기 위해서 입니다.
스택 포인터의 현재 위치는 스택 포인터 레지스터(ESP)에 접근함으로써 언제든지 접근할 수 있습니다.
현재 함수의 베이스는 베이스 포인터 또는 프레임 포인터라고 불리는 EBP 레지스터를 사용함으로써 접근할 수 있고,
현재 실행 위치는 명령어 포인터 레지스터(EIP)에 접근함으로써 접근할 수 있습니다.

메모리 레이아웃 - 힙
힙은 스택과 같이 어플리케이션에서 사용하는 가상 메모리 공간입니다.
모든 어플리케이션은 기본 힙 공간을 가지고 있습니다,
하지만 스택과 달리, 개별적 힙 공간은 C/C++ 프로그래머가 "new()" 또는 "malloc()" 와 같은 특별한 명령어를 사용함으로써 생성되고 "delete()" 또는 "free()"를 사용함으로써 해제/삭제됩니다.
어플리케이션이 사전에 필요한 개체의 수의 크기를 모를 때 또는 개체가 너무 커서 스택에 들어갈 수 없을 때 힙 연산이 호출됩니다.

Example: OBJECT *var = NULL;
	 var = malloc(sizeof(OBJECT));

윈도우즈 힙 관리자가 메모리 관리자보다 위에서 작동하고 메모리 상당 부분을 할당 또는 해제하는 기능을 제공할 책임이 있습니다.
만약 image가 할당 크기를 나타내지 않는다면 모든 어플리케이션은 기본 값으로 1MB(0x100000)의 힙 사이즈가 예약되고 4K(0x1000)가 commit됩니다.
힙은 시간이 지나면서 성장하고 메모리에 연속될 수 없습니다.

힙 구조
각 힙 블록은 사용 중이거나 해제한 것들의 메모리 블록을 관리하기 위하여 데이터 구조를 생성하고 유지합니다.   
힙의 할당은 8 바이트의 최소 크기, 8 바이트의 추가 오버헤드를 가집니다. (heap control block)
힙 컨트롤 블록은 무엇보다도 다음 free 블록의 포인터도 포함합니다. 메모리가 해제되거나 할당되는 대로 이 포인터는 수정됩니다.

Note: XP SP2 와 Windows 2003에서의 힙
Microsoft는 힙 컨트롤 블록에 저장되는 길이 1 byte의 추가 랜덤 값을 도입 했습니다.
만약 이 값이 변조되면 오류가 생성됩니다, 하지만 그것은 겨우 1 바이트이기 때문에 255개만으로 이 값을 맞출 수 있다는 것을 기억하는 것이 중요합니다.
(이 부분에 대해 무차별 대입이 쓰이는 것이 어울립니다.)

Note: "/GS" 플래그를 이용한 스택 보호
Microsoft Visual Studio .NET와 함께 새로운 컴파일러 플래그 즉, "/GS" 플래그가 도입되었습니다.
설정(기본 값으로 설정)할 때 이것은 스택에 변수 선언과 리턴 주소 사이에 canary 값을 설정합니다.
다음 파트에서 컴파일러 옵션 설정을 사용하여 컴파일 된 "Hello World" 코드를 검토합니다.