1600,

1/80

ssuckies

http://www.ganseo.com

format string을 위한 리턴어드레스 구하기.

http://www.hackerschool.org/HS_Boards/zboard.php?id=Free_Lectures&no=162 [복사]

그냥 질문이 왔길래 써봤습니다.
틀린부분있을지 모르나 공유차원에서...^^

Produced by ganseo
e-mail : postmaster@ganseo.com
homepage : http://www.ganseo.com

[포멧스트링을 위한 리턴어드레스 찾기]
1.main함수의 리턴어드레스 주소찾기.
2.printf의 .got 주소찾기.
3. .dtors의 주소찾기.

일단 이 이 강좌에는 많은 설명없이 실제 찾는 방법만 설명해 드리도록하겠습니다.

1.main함수의 리턴어드레스 주소찾기.
처음 메인 함수에 들어가게 되면 메모리 구조는 이렇게 됩니다.

------------------------------------- low
변수
------------------------------------- ebp
Saved frame pointer
-------------------------------------
retern address
------------------------------------- high

처음 메인함수가 들어가는 부분에 브레이크 포인트를 겁니다.
그런 다음 ebp의 주소를 알아봅니다.
(gdb) x/16 $ebp              <-- ebp를 16개 보여주는데..
0xbffff278:     0xbffff298      0x40038917      0x00000001      0xbffff2c4
0xbffff288:     0xbffff2cc      0x4001582c      0x00000001      0x080483b0
0xbffff298:     0x00000000      0x080483d1      0x08048458      0x00000001
0xbffff2a8:     0xbffff2c4      0x08048308      0x080484cc      0x4000c660
(gdb)
이런식으로 나타났다고 생각해 봅니다.
ebp는 0xbffff278입니다.
요즘 컴파일러에 따라 다르겠지만 보통은 이럴경우에 0xbffff27c에서 16바이트 단위로 +,-해줍니다.
0xbffff24c , 0xbffff25c , 0xbffff26c , 0xbffff27c , 0xbffff28c , 0xbffff29c , 0xbffff2ac , 0xbffff2bc
이중에 하나가 main함수의 리턴어드레스가 됩니다.

2.printf함수의 .got 주소찾기.
objdump를 이용해서 구할수 있습니다.
objdump -R ./recluse5 | grep printf
080495cc R_386_JUMP_SLOT printf

이것으로 printf의 .got 주소는 080495cc입니다.

gdb를 이용해서도 구할수 있습니다.
disass printf하셔서 구해보실수 있습니다.

3. .dtors의 주소찾기.
이것 역시 objdump를 이용해서 구할수 있습니다.
objdump -h ./recluse5 | grep .dtors
17 .dtors        00000008  080495a8  080495a8  000005a8  2**2
이것으로 .dtors의 주소는 080495a8입니다.
.dtors의 설명은 ganseo.com의 해킹 기초학문에 자료 있습니다.

main함수의 리턴어드레스를 구해보는게 좋으실것 같습니다.

Hit : 11475 Date : 2004/02/08 08:22


sjh21a	이것으로 printf의 리턴어드레스 주소는 080495cc입니다. .got 영역아닌가요..? globl offset table..~ 간서님 좋은 문제 언제나감사하고 있습니다 ^^	2004/02/12
ssuckies	수정했습니다.^^ 감사합니다^^	2004/02/12