D1N0's hacking blog

vscode typescript 코딩 중 ssh 연결이 끊길 때

D1N0 — Wed, 3 Aug 2022 16:56:44 +0900

vscode remote ssh로 서버에 연결에서 typescript로 코딩하고 있는데 자꾸 연결이 끊겼다

서버 접속도 안 되길래 서버 CPU 사용량을 보니까 100%를 훌쩍 넘어가 있었다

CPU 사용량 126%를 돌파한 그래프

node 프로세스들이 CPU를 잔뜩 잡아먹길래 찾아봤더니 역시 이미 누가 해결방법을 올려놨다

vscode extensions에서 @builtin typescript를 검색하고 TypeScript and JavaScript Language Features를 disable시키면 된다

이거 말고도 제시된 방법이 좀 있었는데 내가 고쳐졌던건 이거 하나였다

물론 typescript 부가 기능(import할 때 파일 목록을 보여준다던지 등)을 못 쓰는 임시방편의 방법이니 정 안 고쳐지면 사용하도록 하자

참고

https://github.com/microsoft/vscode-remote-release/issues/3319

https://medium.com/good-robot/use-visual-studio-code-remote-ssh-sftp-without-crashing-your-server-a1dc2ef0936d

UPX 패킹된 파일의 OEP 구하기

D1N0 — Fri, 25 Jun 2021 14:18:51 +0900

1. pushad, popad

x96dbg로 패킹된 파일을 열어 사용자 코드로 실행을 하면 pushad 명령을 찾을 수 있다

프로그램 실행을 위한 언패킹 전에 레지스터 상태를 스택에 저장하고, 언패킹이 끝날때 popad 명령으로 레지스터를 복구한다

pushad를 실행하고 esp를 덤프해서 따라가면 레지스터들이 보인다

저 주소에 하드웨어 중단점을 걸어준다

그리고 F9로 실행하면 언패킹이 끝난 주소에서 멈춘다

위에서 popad 명령이 실행된 것을 확인할 수 있다

jmp 08.1012475가 보이는데, 이 01012475가 이 프로그램의 OEP이다

2. Exeinfo PE

일단 upx로 파일을 언패킹해준다

그리고 Exeinfo로 보면 EP를 바로 알 수 있다

PE버튼을 눌러 헤더 정보를 보면 Image base를 알 수 있다

OEP는 EP랑 Image base를 더한 01012475이다

C언어 함수 호출과정 - x64

D1N0 — Tue, 9 Feb 2021 18:08:16 +0900

이 글에서는 64bit 환경에서의 함수 호출 과정을 알아보겠다

나는 함수 호출 규약을 64bit에선 fastcall만 쓰는 줄 알았는데,

찾아보니 vectorcall을 사용한다, 기본 64bit 호출 규약이 있다,...

말이 다 달라서 용어는 모르겠지만 나는 그냥 gcc 기본옵션으로 컴파일된 바이너리를 살펴보겠다

어차피 일반적으로 그냥 컴파일 된 바이너리를 제일 자주 볼 테니 말이다

물론 내가 기본옵션으로 컴파일 한 파일이 일반적인 방식으로 컴파일된 파일이 아닐 수도 있다

아무튼 나중에 자세히 알게된다면 이 부분에 대해선 다시 정리하겠다

이 글은 전 글과 연결되어 있으니 아직 보지 않았다면 이전 글을 보고 오는 것을 추천한다

C언어 함수 호출과정 - cdecl

포너블에서 너무 중요하고 기초적인 내용이지만 아직도 헷갈려서 정리한다 이 글은 독자가 기초적인 C언어와 어셈블리어를 알고 있는 상태라고 가정한다 모든 코드는 WSL Ubuntu 20.04 LTS에서 -m32 -n

d1n0.tistory.com

#include <stdio.h>
int foo(int a, int b, int c) {
    return a+b+c;
}

int main() {
    int a = foo(1, 2, 3);
    return 0;
}

이전 글과 같은 코드를 x64 환경에서 컴파일했다

main은 이렇게

foo는 이렇게 생겼다

32bit cdecl과 다른점은 함수를 호출하기 전 인자를 넘길 때 push로 스택에 저장하는 것이 아니라

mov edx, 0x3

mov esi, 0x2

mov edi, 0x1 처럼 레지스터에 넣는다는 것이다

foo함수에서는

push rbp

mov rbp, rsp로 64bit 레지스터에 해당하는 SFP를 푸시한다

또, 함수를 호출할 때 레지스터에 넣었던 인자를 함수 내부에서 스택에 넣는 것을 확인할 수 있다

그러면 이제 직접 실행하며 스택과 레지스터의 변화를 살펴보자

call foo 직전의 레지스터의 모습이다

인자로 넘길 1, 2, 3이 rdi, rsi, rdx에 들어가 있다

또한 스택은 sub rsp, 0x10으로 할당되어있는 상황이다

함수 호출 전 스택은 이러하다

함수에 들어가서

push rbp

mov rbp, rsp를 한 모습이다

32bit와 마찬가지로 RET가 푸시되어있고, SFP가 그 위에 푸시되어있다

32bit와 다르게 8byte씩 사용되는 것을 잊지 말자

레지스터로 넘긴 인자를 스택에 저장하고 나면 이렇게 SFP 위에 들어가게 된다

그 뒤로는 함수의 기능을 하고, pop rbp로 SFP를 rbp에 넣어 원래 rbp를 복구하고, ret을 통해 main으로 돌아간다

여기까지 알아봤다면 몇가지 궁금증이 생긴다

먼저, 인자가 엄청 많아서 레지스터에 다 집어넣을 수 없다면 어떻게 될지, 그리고 그 기준은 어떤지이다

이걸 알아보기 위해 다음과 같은 코드를 컴파일해보겠다

#include <stdio.h>
int foo(int a, int b, int c, int d, int e, int f, int g, int h, int i, int j) {
    return a+b+c+d+e+f+g+h+i+j;
}

int main() {
    int a = foo(1, 2, 3, 4, 5, 6, 7, 8, 9, 10);
    return 0;
}

main은 이렇게 컴파일된다

첫 번째부터 여섯 번째까지의 인자는 순서대로 rdi, rsi, rdx, rcx, r8, r9에 들어가고,

그다음부턴 스택에 쌓는 것을 확인할 수 있다

foo는 이렇게 생겼는데, 레지스터에 들어있는 인자는 스택에 넣어주고, 원래 스택에 넣었던 7번째 이후의 인자는 별다른 처리 없이 바로 참조한다

6번째까지의 인자와 그 후의 인자가 분리되기 때문에 스택 모습을 보면 되게 묘한데,

7번째부터의 인자가 아래에 깔려있고, 그위에 RET와 SFP이, 그 위에 1~6번째 인자가 올라와있다

이 점 말고는 전과 크게 다르지 않다

그다음 궁금한 점은 x86과 마찬가지로 함수 내에서 지역변수가 사용되면 어떻게 될지이다

이번에도 전과 같은 코드를 준비했다

#include <stdio.h>
int foo(int a, int b, int c) {
    int d=4;
    int e=5;
    int f=6;
    return a+b+c+d+e+f;
}

int main(){
    int a = foo(1, 2, 3);

    return 0;
}

main은 전과 같고, foo는 위의 형태로 컴파일되었다

한 가지 이상한 점은 sub rsp부분이 없고, 때문에 leave부분도 없다는 것이다

이 부분에 대해선 잘 모르겠는데, 다른 글에서는 애초에 rbp가 아니라 rsp를 기준으로 스택이 지정된다고도 하고,

스택 공간이 애초에 할당되지도 않은걸 보면 앞서 말했듯 기본 컴파일 옵션이 뭔가 최적화를 했다거나 해서 변화가 일어난 게 아닐까 추측해본다

이 부분 외에는 역시 특별한 건 없다

이렇게 64비트 환경에서의 기본적인 함수 호출 과정을 알아보았다

애초에 그냥 간단히 흐름만 정리한다는 걸 너무 자세히 정리한 것 같다

다시 한번 말하지만, 이 글은 그냥 내 환경에서 간단히 테스트해본 것이므로 일반적인 상황과 다를 수 있다

인터넷에 다른 좋은 글도 많으니 내 글과 안 맞다고 이상하게 생각하지 말고 그때그때 상황에 맞는 정보를 찾아보도록 하자

이 글에서 사용한 실행파일은 모두 이곳에 올려놓았다

drive.google.com/file/d/1f9cWjZKnVYuAGaaJmM4sPI8XemB3Gqhr/view?usp=sharing

64bit.tar.gz

drive.google.com

C언어 함수 호출과정 - x86

D1N0 — Thu, 4 Feb 2021 18:18:02 +0900

포너블에서 너무 중요하고 기초적인 내용이지만 아직도 헷갈려서 정리한다

이 글은 독자가 기초적인 C언어와 어셈블리어를 알고 있는 상태라고 가정한다

모든 코드는 WSL Ubuntu 20.04 LTS에서 -m32 -no-pie 옵션을 사용해서 gcc로 컴파일 되었고,

실행 파일들은 글 하단에 올려놓았다

cdecl은 수많은 32bit 프로그램에서 사용되는 방식이다

함수를 호출하고, 호출자가 스택을 정리하는 호출자 정리 방식의 일종이다

#include <stdio.h>
int foo(int a, int b, int c) {
    return a+b+c;
}

int main() {
    int a = foo(1, 2, 3);
    return 0;
}

위와 같은 C 코드를 짜고 32bit 컴파일을 했다

gef gdb로 까 보면

main 함수는 이렇게,

foo함수는 이렇게 컴파일되었다

여기서 우리가 주목해야 할 것은 main에서의 push 0x3, push 0x2, push 0x1이다

여기서 우리는 cdecl 호출 방식은 함수에 전달되는 인자는 오른쪽부터 하나씩 스택에 푸시하고 함수를 실행하는 것을 알 수 있다

두 번째는 call foo를 하면 어떤 일이 일어나는가인데,

위와 같던 스택이 call foo 후에는

이렇게 0x080491b5이 푸시된 것을 확인할 수 있다

call은 push eip

jmp [주소] 같은 역할을 하고,

0x080491b5는 main에서 call foo 다음 명령의 주소, 즉 push eip를 통해 푸시된 값임을 알 수 있다

이것을 RET라고 부르는데, 함수 실행이 끝나고 돌아갈 주소를 이 RET을 참조한다

수많은 바이너리 해킹이 이 RET을 조작하여 이루어진다

그 후 push ebp와 mov ebp, esp가 실행되며 main의 스택과 구분되는 새로운 foo의 스택이 할당된다

이 과정을 함수 프롤로그라고 하고, 푸시된 ebp는 SFP(Stack Frame Pointer)라고 부른다

스택 모양을 보면 다음과 같다

0xffffd068이 main의 ebp이고, foo에서는 0xffffd044라는 새로운 ebp를 갖게 된다

함수는 이 ebp를 바탕으로 인자를 사용하는데,

mov edx,DWORD PTR [ebp+0x8]와 같이 ebp+숫자 와 같은 방식으로 참조하게 된다

함수의 역할이 모두 끝난 후에는 pop ebp, ret을 한다

현재 foo에서는 스택에 값을 푸시하지 않았으므로 여전히 esp는 SFP를 가리키고 있다

때문에 pop ebp를 하면 ebp에 함수 프롤로그에서 넣었던 SFP가 들어가고,

esp는 함수를 호출하기 전과 같은 값을 가진다

ret은 pop eip

jmp eip 같은 기능을 한다

call에서 푸시된 RET를 참조해 원래 main의 주소로 돌아가며 foo 함수가 끝난다

이렇게 함수가 끝나고 처음 상태로 스택을 복원하는 것을 함수 에필로그라고 한다

마지막으로 main에서는 add esp, 0xc를 통해 인자로 넘기기 위해 푸시한 것을 복원한다

글로만 써놓으니 복잡한데, 스택의 변화를 그림으로 보겠다

3, 2, 1 순서대로 인자를 스택에 푸시한 뒤,

call foo에서 다음 main의 주소 RET을 스택에 푸시하고,

push ebp, mov ebp, esp에서 SFP를 스택에 푸시한다

함수의 역할이 끝나면 pop ebp로 ebp를 복원하고,

ret을 통해 main으로 돌아온다

cdecl의 또 다른 상황을 보도록 하자

#include <stdio.h>
int foo(int a, int b, int c) {
    int d=4;
    int e=5;
    int f=6;
    return a+b+c+d+e+f;
}

int main(){
    int a = foo(1, 2, 3);

    return 0;
}

앞의 예제에 foo를 살짝 바꾼 코드이다

gdb로 까 보면 main은 다르지 않지만 foo부분이 조금 달라졌다

int d=4;
int e=5;
int f=6;

때문에 foo에서도 스택을 사용하는 것을 볼 수 있다

sub esp, 0x10으로 esp를 0x10만큼 낮은 주소로 이동하여 스택을 할당하고,

mov DWORD PTR [ebp-0xc], 0x4 같은 명령으로 할당한 스택을 사용하고 있다

스택의 모습을 보면 3, 2, 1이 들어가 있고,

RET(0x080491dc)가 들어가 있고,

SFP(0xffffd068)가 있고,

6, 5, 4 순서대로 변수가 들어있다(맨 앞의 0x00080000는 더미 값이다)

여기서 주목할 점은 인자를 넘길 때와 다르게 함수 내부에서 스택을 사용할 때는 push를 하며 낮은 주소로 움직이는 게 아니라 이미 할당되어 있는 스택에 대해 mov 명령을 사용해 대입한다는 점이다

이 때문에 포너블에서 RET을 덮을 수 있다

그리고, pop ebp 대신 leave라는 명령어가 등장했다

leave는 mov ebp, esp

pop ebp라고 생각하면 된다

이것이 SFP를 사용하는 이유인데, 함수에서 스택을 사용해서 esp가 저 위에 가있더라도 esp를 ebp에 옮기고 (정확히는 esp에 ebp의 값을 넣고), ebp가 가리키고 있던 SFP를 ebp에 넣음으로써 스택을 원상태로 복구할 수 있다

이렇게 cdecl에서의 함수 호출 과정에 대해 알아봤다

cdecl은 함수를 호출할 때 인자를 스택에 푸시하는 방식으로 전달하고,

함수가 끝나면 호출자에서 그 스택을 정리하는 것이 특징이라고 요약할 수 있겠다

이 글에서 사용한 실행파일은 여기에 올려놓았다

drive.google.com/file/d/1IHDe1UldlgFvFXWveBGowpcbiv-0XpSi/view?usp=sharing

cdecl.tar.gz

drive.google.com

Z3 solver 정리

D1N0 — Mon, 14 Dec 2020 21:36:39 +0900

Z3 solver

z3 solver는 특정 값들을 찾아주는 SMT solver 모듈이라고 한다

쉽게 말하면 여러 수식을 풀어주는 모듈이라고 생각하면 된다

리버싱 할 때도 많이 필요하고 그게 아니더라도 유용히 쓸 수 있을 거 같아서 정리하기로 했다

설치

일단 Z3 solver 모듈의 링크는 이곳이다

github.com/Z3Prover/z3

들어가면 다양한 언어에서의 설치 과정이 자세히 나와있지만 나는 파이썬을 쓸 거라서 pip로 간단히 설치가 가능하다

pip install z3-solver

 or
 
pip3 install z3-solver

기본 문법

사용 전 모듈 불러오기

from z3 import *

정수형 미지수 선언

x = Int('x')
y = Int('y')

실수형 미지수 선언

x = Real('x')
y = Real('y')

불 형 미지수 선언

x = Bool('x')
y = Bool('y')

비트 벡터 미지수 선언

x = BitVec('x',16)
y = BitVec('y',16)

비트벡터는 모듈러 역수 같은걸 구할 때 쓰인다

미지수 뒤의 숫자는 몇 비트인지를 설정해주는 숫자이다

답 구하기

solve()

예시로 $\begin{cases}x+y=12\\x-y=6\end{cases}$라는 연립방정식의 해를 구하려고 하면 아래와 같이 쓸 수 있다

>>> from z3 import *
>>> x = Int('x')
>>> y = Int('y')
>>> solve(x+y==12,x-y==6)
[x = 9, y = 3]

Solver class

z3 solver는 Solver라는 객체를 지원하는데, 이를 사용하면 여러 수식을 원할때 추가하고 계산하는 식을 나누는 등 더욱 쉽게 코드를 짤 수 있다

선언

s = Solver()

식 추가

s.add()

아까 본 식을 Solver 객체로 추가해보자

>>> s = Solver()
>>> s.add(x+y==12)
>>> s.add(x-y==3)
>>> s
[x + y == 12, x - y == 3]

잘 들어간것을 알 수 있다

push & pop

s.push()
s.pop()

수식의 이전 상태를 기억해놓기 위한 함수 push와 push 했던 상태로 되돌리는 pop이 있다

push를 하고 수식을 추가하다가 pop을 하면 push를 했을때의 식 상황으로 돌아간다

해의 존재 여부

s.check()

주어진 식들을 모두 만족하는 해가 있으면 sat, 없으면 unsat, 해결할 수 없는 식이면 unknown을 반환한다

s.reason_unknown()

unkwown일 때는 위 함수를 통해 그 이유를 알 수 있다

답 구하기

s.model()

s.check()가 sat일 때 만족하는 해 중 하나를 반환한다

초기화

s.reset()

예제

>>> from z3 import *
>>> x = Int('x')
>>> y = Int('y')
>>> s = Solver()
>>> s.add(x+y<12)
>>> s.add(x>8)
>>> s.push()
>>> s.add(y>9)
>>> s.check()
unsat
>>> s.pop()
>>> s
[x + y < 12, x > 8]
>>> s.check()
sat 
>>> s.model()
[y = 2, x = 9]
>>> s.reset()
>>> s
[]

push를 하고 식을 추가했더니 unsat이 떠서 pop으로 되돌려 답을 구하는 모습이다

답을 구한후 reset을 하니 식이 모두 사라지는 걸 볼 수 있다

답을 모두 구하기

문제를 풀다보면 답이 하나가 아닌 경우가 생긴다

그럴 때는 전에 구한 답이 중복되는지 비교하는 식을 넣어주면 된다

while s.check() == sat:
  print s.model()
  s.add(Or(x != s.model()[x], y != s.model()[y]))

그 외

나머지는 필요하면 추가하도록 하겠다