앞에 아무런 지정없이 %x를 쓸 경우 주소값이 출력된다. 스트링 지시자는 지역변수이기 때문에 스택이 들어간다. 스택에 들어있는 내용이다.
AAAA의 16진수인 414141이 네 번째 %8x에서 출력된 것으로 통해서,
bleh뒤에 dummy값이 4bytes * 3개 = 12bytes가 있다는 것을 알 수 있다!
다음으로 활용할 수 있는 것은 %n이다.
%x는 메모리 값을 읽어올 수 있으나 변조는 불가능한데 %n은 값을 입력할 수 있기 때문이다.
%n은 %n은 이전까지입력되었던 문자열의 길이(byte) 수를 다음 변수에 그 값을 저장한다.
%n이 저장할 다음변수는 포인터주소로 준다.(저장하고 싶은 변수의 위치)
[참고] %n 이용법 %n의 의미는 이 주소 안에다 전체 strlen값으로 대체하라는 뜻.
#include <stdio.h>
int main(void)
{
int n;
printf("input:");
printf("1234%n\n",&n);
printf("n value:");
printf("%d\n",n);
printf("input:");
printf("%1234d%n\n",n,&n);
printf("n value:");
printf("%d",n);
return 0;
}
첫 번째 printf("1234%n\n",&n);에서 1234%n에서 %n전까지의 길이를 저장하니까 n은 4 두 번째 printf("%1234d%n\n",n,&n);에서 %1234d%n에서 %n전까지의 길이를 저장하는데 %1234d이면 공백이 1234가 입력이 되니까 그 결과 n은 1234가 된다.
특정한 주소의 값을 우리가 원하는 주소값으로 넣는 게 목표
→ %n을 이용하여 특정 주소를 가리키는 값을 문자열의 개수를 조절하여 원하는 주소크기 문자열로 만들어 해당 길이를 대입.
* 추가로 특정 주소에 주소값을 넣기 위해서 10진수로 변경하면 범위를 벗어나기 때문에 주소를 반으로 나눠서 작업해야 할 수도 있다.
특정한 주소의 값을 우리가 원하는 주소값으로 넣는 게 목표 = [main함수의 RET]를 [쉘 주소]로 덮어야 한다.
쉘주소는 환경변수에 등록해서 얻으면 되지만,
기존의 bof처럼 변수를 오버플로우 해서 RET를 덮는 것이 불가능하고,
RET 주소를 정확하게 알아야 한다. 하지만 gdb로는 분석이 불가하기 때문에 다른 방법이 필요하다.
☞ 이 부분은 해결하기 위해서는 .dtor라는 소멸자를 알아야 한다...
C언어는 전역 생성자 .ctor(constructor), 전역 소멸자 .dtor(destructor)가 있다. .ctor는 main함수전에 실행되고, .dtor은 main함수 후에 실행된다.
그래서 .dtor영역에 쉘코드 주소를 넣으면 된다고 한다...
.dtor 주소를 얻기 위해서 objdump 명령어로 보게 되면,
$ objump -h ./attackme
.dtor가 0x08049594 부터 시작된다. 여기다가 +4를 해야 하는데 그 이유는 null이 아닐 때까지 명시된 함수를 실행을 위해서라고 합니다.
