buffer overflow의 이해

1. Buffer Overflow의 이해

• 버퍼란 시스템이 연산 작업을 하는 데 있어 필요한 데이터를 일시적으로 저장하는 공간을 말한다.
• 대부분의 프로그램에서는 버퍼를 스택에 생성한다. 스택은 함수 내에서 선언한 지역 변수가 저장되고 함수가 끝나면 반환한다.
• 미리 준비된 버퍼보다 큰 데이터를 쓸 때 Buffer Overflow가 발생한다.
• 공격자가 메모리 상의 임의의 위치에 원하는 코드를 저장시켜 놓고 return address가 저장되어 있는 지점에 그 코드의 주소를 집어 넣어서 EIP에 공격자의 코드가 있는 곳의 주소가 들어가게 해 공격하는 방법이다.

 

1.1 Byte order

현존하는 시스템들은 두 가지의 바이트 순서 방식을 가진다. 74E3FF59라는 16진수 값을 예로 들어보자.

• big endian : 바이트 순서가 낮은 메모리 주소에서 높은 메모리 주소, 74E3FF59 순서대로 저장된다.

• little endian : 바이트 순서가 높은 메모리 주소에서 낮은 메모리 주소로, 59FFE474 순서로 저장된다.

little endian이 저장 순서를 뒤집어 놓는 이유는 수를 연산할 때 낮은 메모리 주소 영역의 변화는 수의 크기 변화가 더 적기 때문이다. 예를 들어 74E3FF59에 1을 더해 74E3FF5A가 되었을 때 메모리상에서의 변화는 5AFFE374가 된다. 즉, 낮은 수의 변화는 낮은 메모리 영역에 영향을 받고 높은 수의 변화는 높은 메모리 영역에 자리를 잡게 하는 것이다. (하지만 한 바이트 내에서의 bit 순서는 big endian 방식으로 정렬된다.)

1.2 쉘 실행 프로그램

우리가 쉘 상에서 쉘을 실행시키려면 '/bin/sh' 라는 명령을 내리면 된다. 마찬가지로 쉘 실행 프로그램 역시 이 명령을 내리는 것과 똑같은 일을 하도록 해주면 된다.