FTZ의 level9 부터는 BOF(Buffer Overflow)와 관련한 내용이 등장한다. 따라서 level9에 들어가기 앞서 BOF의 기초를 정리하는 시간을 가져볼 것이다.
와우해커 소속의 달고나님께서 작성한 문서가 BOF 기초의 바이블로 통용되는 것 같아서 해당 문서 및 구글링으로 공부하였다.
시스템 초기화 시작 시 커널이 메모리에 적재된다. 운영에 필요한 기본적인 명령어 집합은 커널에서 찾게되므로 커널 영역은 반드시 해당 위치에 있어야 한다. 커널은 기본적으로 64KBytes 영역에 자리 잡았지만 오늘날은 더 큰 영역을 사용한다.
OS는 하나의 프로세스를 실행시키면 해당 프로세스를 segment(단위)로 묶어서 가용 메모리 영역에 저장한다.
시스템은 멀티 테스킹이 가능하므로 메모리에 여러개의 프로세스가 저장되어 병렬적으로 작업을 수행한다. 가용한 메모리 영역에는 여러개의 여러개의 segment들이 저장될 수 있고, 이는 실행 시점에 실제 메모리의 어느 위치에 저장될 지 결정 된다.
segment는 code segment, data segment, stack segment로 나뉜다. 시스템에는 최대 16383()개의 segment가 크기 및 타입이 모두 다양하게 생성될 수 있다. 하나의 segment는 최대 bytes의 크기를 가질 수 있다.
컴파일러가 생성해낸 기계어 코드로 된 명령어(instruction)들이 들어있다.
명령어들이 명령을 수행할 시 수행하게 되는 분기와 점프의 경우 메모리 상의 특정 위치에 있는 명령을 지정해 주어야 한다. 그러나 segment는 자신이 현재(컴파일 과정) 메모리 상 어느 위치에 저장될 지 알 수 없으므로 정확한 주소를 지정할 수 없다. 따라서 segment에서는 실제 메모리 상의 주소(physical address)와 맵핑 되어있는 logical address를 사용한다.
segment는 segment selector에 의해 offset(자신의 시작 위치)을 찾을 수 있고, offset으로 부터의 위치(logical address)에 있는 명령을 수행할 지 결정하게 된다. 실제 메모리 주소인 physical address는 offset + logical address 가 된다.
physical address = offset + logical address
프로그램이 실행시에 사용되는 데이터(전역 변수들)가 들어간다.
data segment는 다시 4개의 data segment로 나뉜다.
현재 수행되고 있는 handler, task, program이 저장하는 데이터 영역이다. 지역 변수들이 저장되는 공간이며, 사용하는 buffer가 stack segment에 자리잡게 된다.
프로그램이 사용하는 multiple 스택을 생성할 수 있고, 각 스택들 간의 switch 또한 가능하다.
스택은 처음 생성될 때 필요한 크기만큼 할당된다. stack pointer(sp)라고 하는 레지스터가 스택의 맨 꼭대기를 가리키고 있으며, 스택에 데이터를 저장하고 읽어 들이는 과정은 push와 pop에 의해 수행된다.
CPU가 프로세스를 실행하기 위해서는 프로세스를 CPU에 적재시켜야 한다. 흩어져 있는 instruction set과 데이터들을 적절하게 집어내고 읽고 저장하기 위해서는 여러가지 저장 공간이 필요한데, 이들은 CPU가 재빨리 읽고 쓰기를 해야하는 것들이므로 CPU 내부에 존재하는 메모리를 사용한다. 이때 CPU 내부에 존재하는 메모리(저장 공간)을 레지스터(register)라고 한다.
레지스터는 다시 그 목적에 따라 네 가지로 나뉜다.
프로그래머가 임의로 조작할 수 있게 허용되어있는 레지스터이다. 일종의 4개의 32bit 변수라고 생각 할 수 있다. EAX, EBX, ECX, EDX 레지스터(16bit 시절에는 AX, BX, CX, DX였으나 32bit 체제로 바뀌며 앞에 E(Extened)가 붙게 되었다.)들은 프로그래머의 필요에 따라 아무렇게나 사용할 수 있지만, 각각 원래의 목적이 있으므로 목적대로 이용하는 것이 바람직하다. 해당 4개 레지스터의 상위 부분은 끝에 H가 붙고, 하위 부분의 경우에는 끝에 L이 붙는다. (예시: AX - AH, AL)
각 레지스터의 목적을 살펴보면 다음과 같다.
프로세스의 특정 세그먼트를 가리키는 포인터 역할을 한다. CS 레지스터는 code segment를, DS, ES, FS, GS 레지스터는 data segment를, SS 레지스터는 stack segment를 가리킨다. 세그먼트 레지스터가 가리키는 위치를 바탕으로 원하는 segment 안의 특정 데이터나 명령어를 정확하게 꺼낼 수 있게 된다.
컨트롤 플래그 레지스터는 상태 플래그, 컨트롤 플래그, 시스템 플래그들의 집합이다. 시스템이 초기화 되면 플래그 레지스터는 0x00000002의 값을 가지며, 1, 3, 5, 15, 22~31번 비트는 예약 되어 소프트웨어에 의해 조작할 수 없게 되어있다.
각 플래그들의 역할을 살펴보면 다음과 같다.
다음 실행할 명령어가 있는 현재 code segment의 offset 값을 가진다. EIP 레지스터는 소프트웨어에 의해 바로 액세스 할 수 없고 Control-Transfer Instruction(JMP, Jcc, CALL, RET)이나 interrupt와 exception에 의해서 제어된다.
EIP 레지스터를 읽을 수 있는 방법은 CALL 명령을 수행하고 나서 procedure stack 으로부터 리턴하는 명령의 address를 읽는 것이다. procedure stack의 return instruction poiner의 값을 수정하고 나서 return instruction(RET, IRET)을 수행함으로 EIP 레지스터의 값을 간접적으로 지정해 줄 수 있다.