Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SECCON Beginners 2017 東京 Binary編

Chihiro Hasegawa
December 01, 2017
Programming
1
59

SECCON Beginners 2017 東京 Binary編

SECCON Beginners 2017 東京で行ったBinary編のスライドです。

Chihiro Hasegawa

December 01, 2017
Tweet

More Decks by Chihiro Hasegawa

See All by Chihiro Hasegawa
Sysdig Secure/Falcoの活用術! ~Kubernetes基盤の脅威モデリングとランタイムセキュリティの強化~
owlinux1000
0
1.3k
mipsシェルコード入門
owlinux1000
0
890

Other Decks in Programming

See All in Programming
sappoRo.R #12 初心者セッション
kosugitti
0
250
Rails アプリ地図考 Flush Cut
makicamel
1
120
富山発の個人開発サービスで日本中の学校の業務を改善した話
krpk1900
4
380
pylint custom ruleで始めるレビュー自動化
shogoujiie
0
120
密集、ドキュメントのコロケーション with AWS Lambda
satoshi256kbyte
0
190
SwiftUI Viewの責務分離
elmetal
PRO
1
230
JavaScriptツール群「UnJS」を5分で一気に駆け巡る!
k1tikurisu
9
1.8k
Boost Performance and Developer Productivity with Jakarta EE 11
ivargrimstad
0
220
iOSエンジニアから始める visionOS アプリ開発
nao_randd
3
130
TokyoR116_BeginnersSession1_環境構築
kotatyamtema
0
110
CloudNativePGがCNCF Sandboxプロジェクトになったぞ! 〜CloudNativePGの仕組みの紹介〜
nnaka2992
0
230
Pulsar2 を雰囲気で使ってみよう
anoken
0
240

Featured

See All Featured
How STYLIGHT went responsive
nonsquared
98
5.4k
Producing Creativity
orderedlist
PRO
344
39k
Intergalactic Javascript Robots from Outer Space
tanoku
270
27k
jQuery: Nuts, Bolts and Bling
dougneiner
63
7.6k
Building Flexible Design Systems
yeseniaperezcruz
328
38k
Rails Girls Zürich Keynote
gr2m
94
13k
Visualization
eitanlees
146
15k
Typedesign – Prime Four
hannesfritz
40
2.5k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
2.1k
A better future with KSS
kneath
238
17k
How to Think Like a Performance Engineer
csswizardry
22
1.3k
Why You Should Never Use an ORM
jnunemaker
PRO
55
9.2k

Transcript

  1. 4&$$0/#FHJOOFST౦ژ #JOBSZฤ © SECCON2017 All Rights Reserved

  2. ४උ  ԋशϑΝΠϧΛμ΢ϯϩʔυ͍ͯͩ͘͠͞ IUUQGJMFTCJOBSZCJOBSZ[JQ  λʔϛφϧΛ։͖μ΢ϯϩʔυͨ͠[JQΛղౚ͍ͯͩ͘͠͞ DEd%PXOMPBET VO[JQCJOBSZ[JQ DECJOBSZ ©

    SECCON2017 All Rights Reserved 2 仮想環境内で⾏って下さい

  3. ࣗݾ঺հ جຊ৘ใ ௕୩઒ ઍ޿ ͪͻΖ େֶ೥ ˠ ࣾձਓ $5'νʔϜ 5PLZP8FTUFSOT

    ޷͖ $ݴޠɼ3VCZɼ&NBDT © SECCON2017 All Rights Reserved 3

  4. ໨࣍  ͸͡Ίʹ dόΠφϦղੳͱ͸d  ϓϩάϥϜ࣮ߦͷ࢓૊Έ  ΞηϯϒϦݴޠೖ໳ Y 

    ͓ΘΓʹ d$5'ʹ޲͚ͯd © SECCON2017 All Rights Reserved 4

  5. 5 © SECCON2017 All Rights Reserved ͸͡Ίʹ

  6. ͸͡Ίʹ ຊߨٛͷ໨ඪ ˘όΠφϦղੳͱ͸Կ͔Λ஌Δ ˘ΞηϯϒϦݴޠ Y ΛಡΊΔΑ͏ʹͳΔ ˘͜ͷߨٛͷޙʹ͋Δ$5'Ͱ3FWFSTJOH໰୊Λղ͘ʂ © SECCON2017 All

    Rights Reserved 6

  7. ͸͡Ίʹ όΠφϦͱ͸ • ʮʯͱʮʯͰදݱ͞ΕΔσʔλܗࣜͷ͜ͱ όΠφϦղੳͱ͸ • ओʹ࣮ߦϑΝΠϧΛղੳͯ͠ಈ࡞ݪཧΛղ໌͢Δ • $5'ͷδϟϯϧͰ͸ʮ3FWʯ΍ʮ3FWFSTJOHʯ͕૬౰ ©

    SECCON2017 All Rights Reserved 7

  8. ͸͡Ίʹ $5'ʹ͓͚Δ3FWFSTJOHͷ໰୊ྫ • -JOVYͷ࣮ߦϑΝΠϧͷղੳ • 8JOEPXTͷ࣮ߦϑΝΠϧͷղੳ • "OESPJEΞϓϦͷղੳ • ͦͷଞ༷ʑͳόΠτίʔυͷղੳ

    © SECCON2017 All Rights Reserved 8

  9. ͸͡Ίʹ $5'ʹ͓͚Δ3FWFSTJOHͷ໰୊ྫ • -JOVYͷ࣮ߦϑΝΠϧͷղੳ • 8JOEPXTͷ࣮ߦϑΝΠϧͷղੳ • "OESPJEΞϓϦͷղੳ • ͦͷଞ༷ʑͳόΠτίʔυͷղੳ

    © SECCON2017 All Rights Reserved 9

  10. ͸͡Ίʹ &-'όΠφϦ &-'&YFDVUBCMF-JOLBCMF'PSNBU • ଟ͘ͷ-JOVYܥɼ#4%ܥͷ04Ͱ࣮ߦϑΝΠϧܗࣜͱͯ͠ ࠾༻͞Ε͍ͯΔ © SECCON2017 All Rights

    Reserved 10 コンピュータはどのようにして プログラムを実⾏しているのか?

  11. ϓϩάϥϜ࣮ߦͷ࢓૊Έ 11 © SECCON2017 All Rights Reserved

  12. ϓϩάϥϜ࣮ߦͷ࢓૊Έ $16 $FOUSBM1SPDFTTJOH6OJU • ػցޠΛಡΈɼ໋ྩ࣮ͣͭߦ͢Δ Ϩδελ • $16಺ʹ͋Δ࡞ۀ༻ྖҬ • ૣ͍ɼখ༰ྔ

    ϝϞϦ • σʔλΛهԱ͢Δ૷ஔ • ஗͍ɼେ༰ྔ © SECCON2017 All Rights Reserved 12 アドレス 値 0x804860 0xdeadbeef 0x804864 Rev! 0x804868 0x90909090 メモリのイメージ図

  13. ϓϩάϥϜ࣮ߦͷ࢓૊Έ © SECCON2017 All Rights Reserved 13 ίϯύΠϧ 55 89

    e5 51 83 ec 04 83 ec 0c 68 c0 84 04 08 ・・・・ 機械語 ソースコード(C⾔語) ࣮ߦϑΝΠϧ

  14. ϓϩάϥϜ࣮ߦͷ࢓૊Έ ػցޠ͸ਓؒʹ͸ಡΉ͜ͱ͕ग़དྷͳ͍ Ͱ΋ɼ׳Εͯ͘Δͱɾɾɾʁ © SECCON2017 All Rights Reserved 14 55

    89 e5 51 83 ec 04 83 ec 0c 68 c0 84 04 08 ・・・・ 機械語

  15. ΞηϯϒϦݴޠೖ໳ Y 15 © SECCON2017 All Rights Reserved

  16. ΞηϯϒϦݴޠೖ໳ Y ΞηϯϒϦݴޠ • ػցޠͱରͰରԠͨ͠ݴޠ • ਓ͕ؒಡΈ΍͍͢ • ໋ྩ Φϖίʔυ

     Ҿ਺ Φϖϥϯυ ه๏ • *OUFMه๏ɼ"55ه๏ © SECCON2017 All Rights Reserved 16 b8 0a 00 00 00 mov eax, 0xa 機械語 アセンブリ⾔語 *例外あり

  17. ΞηϯϒϦݴޠೖ໳ Y *OUFMه๏ ᶃసૹઌσΟεςΟωʔγϣϯΦϖϥϯυ ᶄసૹݩιʔεΦϖϥϯυ © SECCON2017 All Rights Reserved

    17 mov eax ,0xa オペコード オペランド ① ② → 付録A 10/16進数, ASCIIコード早⾒表

  18. ΞηϯϒϦݴޠೖ໳ Y ٯΞηϯϒϧ • ػցޠΛΞηϯϒϦݴޠʹม׵͢Δ͜ͱ © SECCON2017 All Rights Reserved

    18 b8 0a 00 00 00 mov eax, 0xa 機械語 アセンブリ⾔語

  19. ΞηϯϒϦݴޠೖ໳ Y ԋश ഑෍όΠφϦΛ࣮ߦͯ͠ΈΔ DINPE V Y PCKEVNQ@TBNQMF PCKEVNQ@TBNQMF )FMMP8PSME

    © SECCON2017 All Rights Reserved 19 ˡ࣮ߦݖݶΛ෇༩͢Δ

  20. ΞηϯϒϦݴޠೖ໳ Y ԋश PCKEVNQίϚϯυΛ࢖ͬͯٯΞηϯϒϧͯ͠ΈΔ PCKEVNQ EPCKEVNQ@TBNQMF .JOUFM © SECCON2017 All

    Rights Reserved 20

  21. ΞηϯϒϦݴޠೖ໳ Y *%"EFNP Ծ૝؀ڥͷը໘ࠨԼͷΞΠίϯΛબ୒ ʮͦͷଞʯ͔Β*%"EFNPΛىಈͯ͠OFXΛબ୒ ղੳ͢Δ࣮ߦϑΝΠϧΛબ୒ ʮ&-'GPSJOUFMʯΛ֬ೝͯ͠0, © SECCON2017 All

    Rights Reserved 21

  22. ΞηϯϒϦݴޠೖ໳ Y Ϩδελ • ܭࢉ݁ՌͳͲͷҰ࣌อଘʹར༻ • ൚༻Ϩδελ FBY FCY FDY

    FEY FTJ FEJ ࣗ༝ʹ࢖ͬͯྑ͍Ϩδελ • ಛघϨδελ FCQ FTQ FJQ ಛघ໨తͷͨΊͷϨδελ © SECCON2017 All Rights Reserved 22

  23. ΞηϯϒϦݴޠೖ໳ Y Ϩδελ • ܭࢉ݁ՌͳͲͷҰ࣌อଘʹར༻ • ൚༻Ϩδελ FBY FCY FDY

    FEY FTJ FEJ ࣗ༝ʹ࢖ͬͯྑ͍Ϩδελ • ಛघϨδελ FCQ FTQ FJQ ಛघ໨తͷͨΊͷϨδελ © SECCON2017 All Rights Reserved 23

  24. ΞηϯϒϦݴޠೖ໳ Y ൚༻Ϩδελ FBY • ܭࢉ΍ؔ਺ͷ໭Γ஋ʹར༻ FCY • ܭࢉʹར༻ FDY

    • ܭࢉ΍ϧʔϓॲཧͷΧ΢ϯλʹར༻ FEY • ܭࢉ ಛʹ৐ࢉ΍আࢉͰසൟ ʹར༻ © SECCON2017 All Rights Reserved 24 ಛघϨδελ FTQ • ݱࡏελοΫͷ௖্ͷΞυϨεΛࢦ͢ FCQ • ؔ਺಺ͰελοΫͷఈͷΞυϨεΛࢦ͢ FJQ • ࣍ʹ࣮ߦ͢Δ໋ྩͷΞυϨεΛࢦ͢ ※必ずしもこれらの意味を準拠するとは限らない

  25. ΞηϯϒϦݴޠೖ໳ Y ࠓճѻ͏໋ྩҰཡ • NPW • MFB • BEETVC •

    JNVMJEJW • BOEPSYPSOPU • JODEFD © SECCON2017 All Rights Reserved 25 • DNQ • KNQܥ • QVTI • QPQ • DBMM • MFBWF • SFU 3.1 代⼊命令 3.2 算術命令 3.3 条件分岐命令 3.4 スタック操作命令 3.5 関数呼び出しの命令

  26. ୅ೖ໋ྩ © SECCON2017 All Rights Reserved 26

  27. ΞηϯϒϦݴޠೖ໳ Y NPW໋ྩ .07F • ஋ͷҠಈΛߦ͏໋ྩ • సૹݩͷ஋͸มԽ͠ͳ͍ సૹݩͷ஋Λసૹઌʹίϐʔ •

    ϝϞϦʹ֨ೲ͞Εͨ஋ʹΞΫηε͢Δʹ͸ɼ<>Λར༻ NPW FBY FCY FCYͷ஋ΛFBYʹҠಈ NPW FBY %803%153<FCY> FCYͷ஋ΛΞυϨεͱͯ͠ߟ͑ɼͦ͜ʹ֨ೲ͞Ε͍ͯΔ஋ΛFBYʹҠಈ NPW %803%153<FBY > FCY FBY ͷ஋ΛΞυϨεͱͯ͠ߟ͑ɼͦ͜ʹFCYͷ஋ΛҠಈ %803%%PVCMF8PSE CZUF ୯ҐͰΞΫηε͢Δ͜ͱΛද͢ © SECCON2017 All Rights Reserved 27

  28. ΞηϯϒϦݴޠೖ໳ Y MFB໋ྩ -PBE &GGFDUJWF"EESFTT • సૹݩͷΞυϨεΛܭࢉͯ͠ɼసૹઌʹ֨ೲ • ΞυϨεܭࢉͷ໋ྩ͕ͩɼࢉज़ԋࢉʹར༻͞ΕΔ৔߹΋ •

    NPW໋ྩͱ͸ҟͳΓܭࢉͨ͠ΞυϨεʹ֨ೲ͞Εͨ஋΁ ΞΫηε͢Δ΋ͷͰ͸ͳ͍ MFBFBY <FCY > FCYͷ஋ʹΛ଍ͨ͠஋ΛFBYʹ֨ೲ͢Δ ˞FCYͷ஋ࣗ਎͸มԽ͠ͳ͍ © SECCON2017 All Rights Reserved 28

  29. ΞηϯϒϦݴޠೖ໳ Y ԋश ࠷ޙʹ֨ೲ͞Ε͍ͯΔFBYͷ஋ΛٻΊΑ͏ʂ © SECCON2017 All Rights Reserved 29

    プログラム eax ebx mov eax, 0x1 lea ebx, [eax + 0x5] mov eax, ebx ?

  30. ΞηϯϒϦݴޠೖ໳ Y ղ౴ ࠷ޙʹ֨ೲ͞Ε͍ͯΔFBYͷ஋ΛٻΊΑ͏ʂ © SECCON2017 All Rights Reserved 30

    プログラム eax ebx mov eax, 0x1 1 lea ebx, [eax + 0x5] 1 6 mov eax, ebx 6 6

  31. ࢉज़໋ྩ © SECCON2017 All Rights Reserved 31

  32. ΞηϯϒϦݴޠೖ໳ Y BEETVC໋ྩ "%%JUJPO 46#USBDUJPO • Ճࢉݮࢉ BEEFBY Y FBY

    ͨ͠஋ΛFBYʹ֨ೲ͢Δ JODEFD໋ྩ */$SFNFOU %&$SFNFOU • ஋Λ૿΍͢ݮΒ͢ JOD FBY FBY ͨ͠஋ΛFBYʹ֨ೲ͢Δ ্هͷBEEFBY Yͱಉ͡ಇ͖ © SECCON2017 All Rights Reserved 32

  33. ΞηϯϒϦݴޠೖ໳ Y JNVMJEJW໋ྩ T*HOFE .VMUJQMZ %JWJEF • ৐ࢉআࢉ JNVM FBY

    FCY FBY ✕ FCYͷ݁ՌΛFBYʹ֨ೲ͢Δ ˞ܭࢉ݁ՌʹΑͬͯ͸FEYʹ΋֨ೲ͞ΕΔ JEJW FCY FBY × FCYͷ঎ΛFBYɼ༨ΓΛFEYʹ֨ೲ͢Δ © SECCON2017 All Rights Reserved 33

  34. ΞηϯϒϦݴޠೖ໳ Y BOEPSYPSOPU໋ྩ • ࿦ཧੵ࿦ཧ࿨ഉଞత࿦ཧ࿨൱ఆ YPS FBY FBY FBYͱFBYͷഉଞత࿦ཧ࿨ΛFBYʹ֨ೲ͢Δ ಉ͡஋ಉ࢜ͷഉଞత࿦ཧ࿨͸ʹͳΔ

    ˠϨδελͷॳظԽʹར༻Մೳ © SECCON2017 All Rights Reserved 34 mov eax, 0x0 = b8 00 00 00 00 xor eax, eax = 31 c0 余談:xorによる0初期化の⽅が機械語が短い!

  35. ΞηϯϒϦݴޠೖ໳ Y ԋश ࠷ޙʹ֨ೲ͞Ε͍ͯΔFBYͷ஋ΛٻΊΑ͏ʂ © SECCON2017 All Rights Reserved 35

    プログラム eax ebx mov eax, 0x1 mov ebx, 0x2 add eax, 0x5 dec eax imul eax, ebx ?

  36. ΞηϯϒϦݴޠೖ໳ Y ղ౴ ࠷ޙʹ֨ೲ͞Ε͍ͯΔFBYͷ஋ΛٻΊΑ͏ʂ © SECCON2017 All Rights Reserved 36

    プログラム eax ebx mov eax, 0x1 1 mov ebx, 0x2 1 2 add eax, 0x5 6 2 dec eax 5 2 imul eax, ebx 10 2

  37.  ৚݅෼ذ໋ྩ © SECCON2017 All Rights Reserved 37

  38. ΞηϯϒϦݴޠೖ໳ Y ৚݅෼ذ • DNQ໋ྩͱKNQܥ໋ྩͷ૊Έ߹ΘͤʹΑΓ࣮ݱ • ৚݅෼ذΛ࢖͏͜ͱͰϧʔϓॲཧΛ࣮ݱՄೳ DNQ໋ྩ $P.1BSF •

    Φϖϥϯυಉ࢜Λൺֱ͠ɼ݁ՌʹΑͬͯϑϥάϨδελΛߋ৽͢Δ KNQܥ໋ྩ • Φϖϥϯυ͕ࢦ͢ΞυϨεʹ੍ޚΛҠ͢ • DNQ໋ྩͷ݁ՌʹΑΓ੍ޚΛҠ͔͢Ͳ͏͔Λ෼ذͰ͖Δ © SECCON2017 All Rights Reserved 38

  39. ΞηϯϒϦݴޠೖ໳ Y KNQܥ໋ྩ Ұྫ • KNQ+V.1 ৚݅ແ͠ • KF+VNQJG&RVBM ౳͍͠

    • KOF +VNQJG/PU&RVBM ౳͘͠ͳ͍ • KMF +VNQJG-FTTPS&RVBM ҎԼ • KHF +VNQJG(SFBUFS&RVBM Ҏ্ • KM +VNQJG-FTT ະຬ • KH +VNQJG(SFBUFS ΑΓେ͖͍ • KB+VNQJG"CPWF ΑΓେ͖͍ ˞ූ߸ແ͠੔਺ͱͯ͠ߟ͑Δ • KCF +VNQJG#FMPXPG&RVBM ҎԼ ˞ූ߸ແ͠੔਺ͱͯ͠ߟ͑Δ © SECCON2017 All Rights Reserved 39

  40. ΞηϯϒϦݴޠೖ໳ Y ԋश ࠷ޙʹ֨ೲ͞Ε͍ͯΔFBYͷ஋ΛٻΊΑ͏ʂ © SECCON2017 All Rights Reserved 40

    アドレス プログラム eax ecx 0x8048060 mov eax, 0x1 0x8048065 mov ecx, 0x0 0x804806a jmp 0x804806c 0x804806c add eax, ecx 0x804806e inc ecx 0x804806f cmp eax, 0x3 0x8048072 jl 0x804806c

  41. ΞηϯϒϦݴޠೖ໳ Y ղ౴ ࠷ޙʹ֨ೲ͞Ε͍ͯΔFBYͷ஋ΛٻΊΑ͏ʂ © SECCON2017 All Rights Reserved 41

    アドレス プログラム eax ecx 0x8048060 mov eax, 0x1 1 0x8048065 mov ecx, 0x0 1 0 0x804806a jmp 0x804806c 1 0 0x804806c add eax, ecx 1 0 0x804806e inc ecx 1 1 0x804806f cmp eax, 0x3 1 1 0x8048072 jl 0x804806c 1 1 ①

  42. ΞηϯϒϦݴޠೖ໳ Y ղ౴ ࠷ޙʹ֨ೲ͞Ε͍ͯΔFBYͷ஋ΛٻΊΑ͏ʂ © SECCON2017 All Rights Reserved 42

    アドレス プログラム eax ecx 0x8048060 mov eax, 0x1 1 0x8048065 mov ecx, 0x0 1 0 0x804806a jmp 0x804806c 1 0 0x804806c add eax, ecx 2 1 0x804806e inc ecx 2 2 0x804806f cmp eax, 0x3 2 2 0x8048072 jl 0x804806c 2 2 ②

  43. ΞηϯϒϦݴޠೖ໳ Y ղ౴ ࠷ޙʹ֨ೲ͞Ε͍ͯΔFBYͷ஋ΛٻΊΑ͏ʂ © SECCON2017 All Rights Reserved 43

    アドレス プログラム eax ecx 0x8048060 mov eax, 0x1 1 0x8048065 mov ecx, 0x0 1 0 0x804806a jmp 0x804806c 1 0 0x804806c add eax, ecx 4 2 0x804806e inc ecx 4 3 0x804806f cmp eax, 0x3 4 3 0x8048072 jl 0x804806c 4 3

  44. ελοΫૢ࡞໋ྩ © SECCON2017 All Rights Reserved 44

  45. ΞηϯϒϦݴޠೖ໳ Y QVTIQPQ໋ྩ 164)101 • ελοΫΛૢ࡞͢Δ໋ྩ • QVTI͕ελοΫʹ஋ΛੵΉ • ࣗಈతʹFTQ͕ݮΔ

    • QPQ͕ελοΫ͔Β஋ΛϨδελʹҠ͢ • ࣗಈతʹFTQ͕૿͑Δ © SECCON2017 All Rights Reserved 45

  46. ελοΫ -*'0 -BTU*O'JSTU0VU ࠷ޙʹೖΕͨ΋ͷ͕࠷ॳʹग़Δ © SECCON2017 All Rights Reserved 46

    10 push 0xa esp

  47. ελοΫ -*'0 -BTU*O'JSTU0VU ࠷ޙʹೖΕͨ΋ͷ͕࠷ॳʹग़Δ © SECCON2017 All Rights Reserved 47

    10 push 0xa esp 10

  48. ελοΫ -*'0 -BTU*O'JSTU0VU ࠷ޙʹೖΕͨ΋ͷ͕࠷ॳʹग़Δ © SECCON2017 All Rights Reserved 48

    ecx pop ecx 10 esp

  49. ελοΫ -*'0 -BTU*O'JSTU0VU ࠷ޙʹೖΕͨ΋ͷ͕࠷ॳʹग़Δ © SECCON2017 All Rights Reserved 49

    ecx pop ecx 10 esp = 10

  50. ؔ਺ݺͼग़໋͠ྩ © SECCON2017 All Rights Reserved 50

  51. ΞηϯϒϦݴޠೖ໳ Y ؔ਺ • ϓϩάϥϜ͸௨ৗɼػೳຖʹؔ਺ʹ෼ׂ͞Ε͍ͯΔ DBMM໋ྩ $"-- • ؔ਺ͷݺͼग़࣌͠ʹར༻ •

    ࣮ߦ࣌ʹDBMM໋ྩͷ࣍ͷ໋ྩ͕֨ೲ͞Ε͍ͯΔΞυϨεΛελοΫʹQVTI • ؔ਺͔ΒݟΔͱ͜ͷΞυϨε͸໭ΓઌͳͷͰϦλʔϯΞυϨεͱݺ͹ΕΔ • ؔ਺ͷҾ਺͸༧ΊελοΫʹੵΜͰ͓͘ SFU໋ྩ 3&5VSO • ؔ਺͔Βݩͷؔ਺ʹ໭Δࡍʹར༻ • DBMM໋ྩͰελοΫʹอଘ͓͍ͯͨ͠ϦλʔϯΞυϨεʹ੍ޚΛ໭͢ © SECCON2017 All Rights Reserved 51

  52. ΞηϯϒϦݴޠೖ໳ Y ྫ ༩͑ΒΕͨ̎ͭͷ஋B CΛ଍ͨ͠஋Λฦؔ͢਺BEE © SECCON2017 All Rights Reserved

    52 main: sub esp, 0x8 mov DWORD PTR [esp], 1 mov DWORD PTR [esp+0x4], 2 call add mov ebx, eax (以降省略) add: push ebp mov ebp, esp sub esp, 16 mov edx, DWORD PTR [ebp+0x8] mov eax, DWORD PTR [ebp+0xc] add eax, edx mov DWORD PTR [ebp-0x4], eax leave ret ※ スライドの都合上DWORD PTRを以後省略

  53. ΞηϯϒϦݴޠೖ໳ Y © SECCON2017 All Rights Reserved 53 sub esp,

    0x8 mov [esp], 1 mov [esp+0x4], 2 call add mov ebx, eax esp ebp N byte ※スライドの都合上ebpとespがすごく近くなっていますが, 実際にはもっと離れているものとして考えてください

  54. ΞηϯϒϦݴޠೖ໳ Y © SECCON2017 All Rights Reserved 54 esp 8byte

    sub esp, 0x8 mov [esp], 1 mov [esp+0x4], 2 call add mov ebx, eax esp+0x8 ebp Ҿ਺ΛελοΫʹੵΉͨΊʹFTQΛখ͘͢͞Δ

  55. ΞηϯϒϦݴޠೖ໳ Y © SECCON2017 All Rights Reserved 55 1 4byte

    esp esp+0x4 esp+0x8 sub esp, 0x8 mov [esp], 1 mov [esp+0x4], 2 call add mov ebx, eax ebp ̍ͭ໨ͷҾ਺ΛελοΫʹੵΉ

  56. ΞηϯϒϦݴޠೖ໳ Y © SECCON2017 All Rights Reserved 56 1 4byte

    esp 2 4byte sub esp, 0x8 mov [esp], 1 mov [esp+0x4], 2 call add mov ebx, eax esp+0x4 esp+0x8 ebp ※push 2 → push 1でも同様の処理を実現可能 ̎ͭ໨ͷҾ਺ΛελοΫʹੵΉ

  57. ΞηϯϒϦݴޠೖ໳ Y © SECCON2017 All Rights Reserved 57 1 4byte

    esp リターンアドレス 4byte esp+0xc DBMM໋ྩ͸ɼݺͼग़͠ޙͷ໋ྩͷΞυϨεΛελοΫʹQVTIͯ͠BEEʹKNQ sub esp, 0x8 mov [esp], 1 mov [esp+0x4], 2 call add mov ebx, eax esp+0x8 esp+0x4 2 4byte ebp

  58. ΞηϯϒϦݴޠೖ໳ Y © SECCON2017 All Rights Reserved 58 1 4byte

    esp esp+4 esp+8 リターンアドレス 4byte esp+12 ݺͼग़͠ݩͷؔ਺ͷFCQΛελοΫʹQVTIͯ͠อଘ add: push ebp mov ebp, esp sub esp, 16 mov edx, [ebp+8] mov eax, [ebp+12] add eax, edx mov [ebp-4], eax leave ret main関数のebp 4byte esp+16 2 4byte ebp

  59. ΞηϯϒϦݴޠೖ໳ Y © SECCON2017 All Rights Reserved 59 1 4byte

    esp esp+4 esp+8 リターンアドレス 4byte esp+12 ݺͼग़͠ݩͷؔ਺ͷFCQΛελοΫʹQVTIͯ͠อଘ main関数のebp 4byte esp+16 ebp add: push ebp mov ebp, esp sub esp, 16 mov edx, [ebp+8] mov eax, [ebp+12] add eax, edx mov [ebp-4], eax leave ret 2 4byte

  60. add: push ebp mov ebp, esp sub esp, 16 mov

    edx, [ebp+8] mov eax, [ebp+12] add eax, edx mov [ebp-4], eax leave ret ΞηϯϒϦݴޠೖ໳ Y © SECCON2017 All Rights Reserved 60 esp 1 4byte 2 4byte リターンアドレス 4byte 呼び出し元の関数のebp 4byte ebp 16byte ebp+4 ebp+8 ebp+12 BEEؔ਺಺Ͱར༻͢Δ ྖҬ ྖҬ֬อͷͨΊFTQΛখ͘͢͞Δ

  61. ΞηϯϒϦݴޠೖ໳ Y © SECCON2017 All Rights Reserved 61 esp 1

    4byte 2 4byte リターンアドレス 4byte main関数のebp 4byte ebp 16byte ebp+4 ebp+8 ebp+12 省略 3 4byte ebp-4 add: push ebp mov ebp, esp sub esp, 16 mov edx, [ebp+8] mov eax, [ebp+12] add eax, edx ; eax = 1 + 2 mov [ebp-4], eax leave ret

  62. ΞηϯϒϦݴޠೖ໳ Y © SECCON2017 All Rights Reserved 62 esp 1

    4byte 2 4byte リターンアドレス 4byte main関数のebp 4byte ebp 16byte ebp+4 ebp+8 ebp+12 3 4byte ebp-4 ؔ਺ʹ౉͞ΕͨҾ਺͸ɼ <FCQ >ͰୈҰҾ਺ <FCQ >ͰୈೋҾ਺ ɾ ɾ ɾ ؔ਺಺ͷม਺͸ɼ <FCQ> <FCQY>ɾɾɾ ͷΑ͏ʹΞΫηεͰ͖Δ

  63. ΞηϯϒϦݴޠೖ໳ Y © SECCON2017 All Rights Reserved 63 esp add:

    (省略) leave ret 1 4byte 2 4byte リターンアドレス 4byte main関数のebp 4byte 16byte leave命令は以下の動き mov esp, ebp pop ebp 3 4byte ebp

  64. ΞηϯϒϦݴޠೖ໳ Y © SECCON2017 All Rights Reserved 64 esp add:

    (省略) leave ret 1 4byte 2 4byte リターンアドレス 4byte main関数のebp 4byte 16byte leave命令は以下の動き mov esp, ebp pop ebp ebp 3 4byte

  65. ΞηϯϒϦݴޠೖ໳ Y © SECCON2017 All Rights Reserved 65 esp add:

    (省略) leave ret 1 4byte 2 4byte リターンアドレス 4byte main関数のebp 4byte 16byte ret命令は以下のような動き pop eip ※ pop eip命令は存在しない eip 3 4byte

  66. ΞηϯϒϦݴޠೖ໳ Y ࠓճѻ໋ͬͨྩҰཡ • NPW • MFB • BEETVC •

    JNVMJEJW • BOEPSYPSOPU • JODEFD © SECCON2017 All Rights Reserved 66 • DNQ • KNQܥ • QVTI • QPQ • DBMM • MFBWF • SFU 3.1 代⼊命令 3.2 算術命令 3.3 条件分岐命令 3.4 スタック操作命令 3.5 関数呼び出しの命令 → 付録F 参考書籍/pdf等

  67. ͓ΘΓʹ 67 © SECCON2017 All Rights Reserved

  68. ͓ΘΓʹ 3FWFSTJOH໰୊ͷղ͖ํखॱ  ϑΝΠϧΛμ΢ϯϩʔυ͢Δ  ݖݶΛ෇༩͢Δ DINPE V Y ର৅ϑΝΠϧ

     ࣮ߦͯ͠ڍಈΛ֬ೝ  PCKEVNQ΍*%"ͳͲͰٯΞηϯϒϧͯ͠ղੳ © SECCON2017 All Rights Reserved 68

  69. ͓ΘΓʹ ͜Ε͔Β্ͷεςοϓʹਐΉͨΊʹ͸ ݸਓతͳҙݟ • $$ ݴޠʹ׳ΕΔ ˠ ෇࿥( • HEC

    ͳ Ͳ σ ό ο Ψ ΍ τ Ϩ ʔ α ʔ Λ ༻ ͍ ͨ ಈ త ղ ੳ Λ ֶ Ϳ ඞ ਢ ˠ ෇࿥$ % • 3FWFSTJOH͸҉߸΍਺ֶɼΞϧΰϦζϜͷཁૉ͕໰୊ʹ ࠞͬͯ͘͟Δ͜ͱ͕ଟ͍ͷͰɼ෯޿͍஌ࣝΛ෇͚Δ • ෆඞཁͳॲཧ͸ಡΈඈ͹͢׳Ε © SECCON2017 All Rights Reserved 69

  70. ͓ΘΓʹ © SECCON2017 All Rights Reserved 70 ຊߨٛͷ໨ඪ ☑όΠφϦղੳͱ͸Կ͔Λ஌Δ ☑

    ΞηϯϒϦݴޠ Y ΛಡΊΔΑ͏ʹͳΔ ˘ ͜ͷߨٛͷޙʹ͋Δ$5'Ͱ3FWFSTJOH໰୊Λղ͘ʂ

  71. ͋Γ͕ͱ͏͍͟͝·ͨ͠ʂ © SECCON2017 All Rights Reserved 71

  72. ෇࿥ © SECCON2017 All Rights Reserved

  73. ෇࿥"ਐ਺ "4$**ίʔυૣݟද © SECCON2017 All Rights Reserved 73 ⾒⽅: 10進数の65は,16進数だと0x41,ASCIIコードに変換するとAという⽂字

  74. ෇࿥# 1ZUIPOʹΑΔࢉज़ԋࢉ λʔϛφϧͰʮQZUIPOʯͱೖྗͯ͠ΠϯλϓϦλΛىಈ͢Δ • ਐ਺ 㱻 ਐ਺ม׵ • ࢛ଇԋࢉ 

     • ࿦ཧԋࢉ c? ͕Մೳ • "4$**ม׵ DISؔ਺ɼPSEؔ਺ © SECCON2017 All Rights Reserved 74

  75. ෇࿥$HEC HECQFEB ͷ࢖͍ํ HEC • (/6੡ͷσόοΨ • QFEB͸1ZUIPOʹΑΔHECͷ֦ு ਪ঑ σόοΨ

    • ର࿩తʹϓϩάϥϜΛղੳ͢Δπʔϧ ϒϨʔΫϙΠϯτ • σόοΨ͕ೝࣝͯ͠ϓϩάϥϜΛࢭΊͯ͘ΕΔ໨ҹ σόοΨΛ࢖͏ϝϦοτ • Ϩδελ΍ม਺ͷ஋ΛݟΕΔ • ϒϨʔΫϙΠϯτΛுͬͯɼͱ͋Δ໋ྩ·Ͱࣗಈ࣮ߦ © SECCON2017 All Rights Reserved 75

  76. ෇࿥$HEC HECQFEB ͷ࢖͍ํ © SECCON2017 All Rights Reserved 76 レジスタ

    プログラム スタック

  77. ෇࿥$HEC HECQFEB ͷ࢖͍ํ • ىಈ HEC ର৅ϑΝΠϧ໊ • NBJOؔ਺ʹϒϨʔΫϙΠϯτΛுΔ HECQFEBCSFBLNBJO

    • ΞυϨεʹϒϨʔΫϙΠϯτΛுΔ ྫYʹϒϨʔΫϙΠϯτுΔ HECQFEBCSFBL Y • ໋̍ྩ࣮ͣͭߦ ؔ਺ͷதʹೖΒͳ͍ HECQFEBOFYU • ໋ྩ࣮ͣͭߦ ؔ਺ͷதʹೖΔ HECQFEBTUFQ • ϒϨʔΫϙΠϯτ·ͰࣗಈͰଓ͚Δ HECQFEBDPOUJOVF © SECCON2017 All Rights Reserved 77 • ࣮ߦ HECQFEBSVO • NBJOؔ਺Ͱࣗಈతʹࢭ·Δ࣮ߦ HECQFEBTUBSU

  78. ෇࿥$HEC HECQFEB ͷ࢖͍ํ • ϝϞϦʹ֨ೲ͞Ε͍ͯΔ஋Λදࣔ ྫCZUF෼Λਐ਺Ͱදࣔ HECQFEBYXY ΞυϨε • ϝϞϦʹ֨ೲ͞Ε͍ͯΔจࣈྻΛදࣔ

    HECQFEBYTΞυϨε • Ϩδελͷத਎Λม͑Δ ྫFBYΛʹॻ͖׵͑ HECQFEBTFUFBY  • ϝϞϦͷத਎Λม͑Δ ྫYGGGGEΛʹॻ͖׵͑ HECQFEBTFU\JOU^YGGGGE • ελοΫΛݟΔ ྫߦ෼දࣔ HECQFEBUFMFTDPQF © SECCON2017 All Rights Reserved 78

  79. ෇࿥%MUSBDFTUSBDFͷ࢖͍ํ MUSBDFίϚϯυ • ϥΠϒϥϦؔ਺ͷݺͼग़͠ΛΘ͔Γ΍͍͢ܗࣜͰදࣔ MUSBDF ࣮ߦ͢ΔϑΝΠϧ © SECCON2017 All Rights

    Reserved 79

  80. ෇࿥%MUSBDFTUSBDFͷ࢖͍ํ TUSBDFίϚϯυ • γεςϜίʔϧͷݺͼग़͠ΛΘ͔Γ΍͍͢ܗࣜͰදࣔ TUSBDF ࣮ߦ͢ΔϑΝΠϧ © SECCON2017 All Rights

    Reserved 80 システムコール: OSの持つ機能を 呼び出すための機構

  81. ෇࿥&Yͱ͸ • *OUFMͷͱݺ͹ΕΔCJUͷ$16͕ॳ୅Y$16 • ͷޙܧʹ͸ɼ΍ͳͲ͕͋Δ • ಛʹ͸CJUͷ$16ͱͳ͍ͬͯͯɼࠓճͷߨٛ͸ ͜ͷ$16ͷ͜ͱΛऔΓѻ͍ͬͯΔ • ࠓ͸Yͱݺ͹ΕΔCJU$16͕ओྲྀʹ

    ͪ͜Β΋$5'Ͱ͸සग़ͳͷͰֶͿ͜ͱΛਪ঑ © SECCON2017 All Rights Reserved 81

  82. ෇࿥'ࢀߟॻ੶QEG౳ • ηΩϡϦςΟίϯςετνϟϨϯδϒοΫ • ηΩϡϦςΟίϯςετͷͨΊͷ$5'໰୊ू • σόοΨʹΑΔYϓϩάϥϜղੳೖ໳ʲYରԠ൛ʳ • ͨͷ͍͠όΠφϦͷา͖ํ •

    ϦόʔεΤϯδχΞϦϯάόΠϒϧ • ࣗ࡞ΤϛϡϨʔλͰֶͿYΞʔΩςΫνϟ • #*/"3:)"$,4 • େ೤݂Ξηϯϒϥೖ໳ • *"ΠϯςϧšΞʔΩςΫνϟιϑτ΢ΣΞσϕϩούʔζɾϚχϡΞϧ © SECCON2017 All Rights Reserved 82

  83. ෇࿥($ݴޠͷසग़ؔ਺ QSJOUGؔ਺ • ୈҰҾ਺ʹ༩͑ΒΕͨΞυϨεʹ֨ೲ͞ΕͨจࣈΛग़ྗ͢Δ TDBOGؔ਺ • จࣈΛೖྗ͢ΔɽୈೋҾ਺ʹ஋͕֨ೲ͞ΕΔɽ TUSMFOؔ਺ • ୈҰҾ਺ʹ༩͑ΒΕͨΞυϨεʹ֨ೲ͞Εͨจࣈྻͷ௕͞Λฦ͢

    BUPJؔ਺ • ୈҰҾ਺ʹ༩͑ΒΕͨΞυϨεʹ֨ೲ͞ΕͨจࣈྻΛ ਺஋ʹม׵͢Δ © SECCON2017 All Rights Reserved 83

  84. ෇࿥)ٯΞηϯϒϧΛಡΉίπ •DBMM໋ྩͷޙ͸FBYʹண໨͢Δ • ؔ਺ͷ໭Γ஋͸FBYʹ֨ೲ͞ΕΔ •DBMM໋ྩͷલʹQVTI͍ͯ͠Δ஋ʹண໨͢Δ • ؔ਺ͷҾ਺͸ελοΫʹੵΉ •όΠφϦதͷ"4$**จࣈʹண໨͢Δ • Y

    ൒֯εϖʔε dYF d ͸ҹࣈՄೳͳจࣈ © SECCON2017 All Rights Reserved 84