SECCON Beginners 2017 東京 Binary編

Transcript

1. 4&$$0/
   #FHJOOFST
   
   ౦ژ #JOBSZฤ © SECCON2017 All Rights Reserved

2. ४උ  ԋशϑΝΠϧΛμ΢ϯϩʔυ͍ͯͩ͘͠͞ IUUQGJMFTCJOBSZCJOBSZ[JQ  λʔϛφϧΛ։͖μ΢ϯϩʔυͨ͠[JQΛղౚ͍ͯͩ͘͠͞ 
   DE
   d%PXOMPBET 
   VO[JQ
   CJOBSZ[JQ 
   DE
   CJOBSZ ©

   SECCON2017 All Rights Reserved 2 仮想環境内で⾏って下さい

3. ࣗݾ঺հ جຊ৘ใ ௕୩઒ ઍ޿ ͪͻΖ େֶ೥ ˠ ࣾձਓ $5'νʔϜ 5PLZP8FTUFSOT

   ޷͖ $ݴޠɼ3VCZɼ&NBDT © SECCON2017 All Rights Reserved 3

4. ໨࣍  ͸͡Ίʹ dόΠφϦղੳͱ͸d  ϓϩάϥϜ࣮ߦͷ࢓૊Έ  ΞηϯϒϦݴޠೖ໳ Y 

   ͓ΘΓʹ d$5'ʹ޲͚ͯd © SECCON2017 All Rights Reserved 4

5. 5 © SECCON2017 All Rights Reserved 
   ͸͡Ίʹ

6. ͸͡Ίʹ ຊߨٛͷ໨ඪ ˘όΠφϦղੳͱ͸Կ͔Λ஌Δ ˘ΞηϯϒϦݴޠ Y ΛಡΊΔΑ͏ʹͳΔ ˘͜ͷߨٛͷޙʹ͋Δ$5'Ͱ3FWFSTJOH໰୊Λղ͘ʂ © SECCON2017 All

   Rights Reserved 6

7. ͸͡Ίʹ όΠφϦͱ͸ • ʮʯͱʮʯͰදݱ͞ΕΔσʔλܗࣜͷ͜ͱ όΠφϦղੳͱ͸ • ओʹ࣮ߦϑΝΠϧΛղੳͯ͠ಈ࡞ݪཧΛղ໌͢Δ • $5'ͷδϟϯϧͰ͸ʮ3FWʯ΍ʮ3FWFSTJOHʯ͕૬౰ ©

   SECCON2017 All Rights Reserved 7

8. ͸͡Ίʹ $5'ʹ͓͚Δ3FWFSTJOHͷ໰୊ྫ • -JOVYͷ࣮ߦϑΝΠϧͷղੳ • 8JOEPXTͷ࣮ߦϑΝΠϧͷղੳ • "OESPJEΞϓϦͷղੳ • ͦͷଞ༷ʑͳόΠτίʔυͷղੳ

   © SECCON2017 All Rights Reserved 8

9. ͸͡Ίʹ $5'ʹ͓͚Δ3FWFSTJOHͷ໰୊ྫ • -JOVYͷ࣮ߦϑΝΠϧͷղੳ • 8JOEPXTͷ࣮ߦϑΝΠϧͷղੳ • "OESPJEΞϓϦͷղੳ • ͦͷଞ༷ʑͳόΠτίʔυͷղੳ

   © SECCON2017 All Rights Reserved 9

10. ͸͡Ίʹ &-'όΠφϦ &-'
    &YFDVUBCMF
    -JOLBCMF
    'PSNBU • ଟ͘ͷ-JOVYܥɼ#4%ܥͷ04Ͱ࣮ߦϑΝΠϧܗࣜͱͯ͠ ࠾༻͞Ε͍ͯΔ © SECCON2017 All Rights

    Reserved 10 コンピュータはどのようにして プログラムを実⾏しているのか？

11. 
    ϓϩάϥϜ࣮ߦͷ࢓૊Έ 11 © SECCON2017 All Rights Reserved

12. ϓϩάϥϜ࣮ߦͷ࢓૊Έ $16 $FOUSBM
    1SPDFTTJOH
    6OJU • ػցޠΛಡΈɼ໋ྩ࣮ͣͭߦ͢Δ Ϩδελ • $16಺ʹ͋Δ࡞ۀ༻ྖҬ • ૣ͍ɼখ༰ྔ

    ϝϞϦ • σʔλΛهԱ͢Δ૷ஔ • ஗͍ɼେ༰ྔ © SECCON2017 All Rights Reserved 12 アドレス 値 0x804860 0xdeadbeef 0x804864 Rev! 0x804868 0x90909090 メモリのイメージ図

13. ϓϩάϥϜ࣮ߦͷ࢓૊Έ © SECCON2017 All Rights Reserved 13 ίϯύΠϧ 55 89

    e5 51 83 ec 04 83 ec 0c 68 c0 84 04 08 ・・・・ 機械語 ソースコード(C⾔語) ࣮ߦϑΝΠϧ

14. ϓϩάϥϜ࣮ߦͷ࢓૊Έ ػցޠ͸ਓؒʹ͸ಡΉ͜ͱ͕ग़དྷͳ͍ Ͱ΋ɼ׳Εͯ͘Δͱɾɾɾʁ © SECCON2017 All Rights Reserved 14 55

    89 e5 51 83 ec 04 83 ec 0c 68 c0 84 04 08 ・・・・ 機械語

15. 
    ΞηϯϒϦݴޠೖ໳ Y 15 © SECCON2017 All Rights Reserved

16. ΞηϯϒϦݴޠೖ໳ Y ΞηϯϒϦݴޠ • ػցޠͱରͰରԠͨ͠ݴޠ • ਓ͕ؒಡΈ΍͍͢ • ໋ྩ Φϖίʔυ

    
    
    Ҿ਺ Φϖϥϯυ ه๏ • *OUFMه๏ɼ"55ه๏ © SECCON2017 All Rights Reserved 16 b8 0a 00 00 00 mov eax, 0xa 機械語 アセンブリ⾔語 *例外あり

17. ΞηϯϒϦݴޠೖ໳ Y *OUFMه๏ ᶃసૹઌ
    σΟεςΟωʔγϣϯΦϖϥϯυ ᶄసૹݩ
    ιʔεΦϖϥϯυ © SECCON2017 All Rights Reserved

    17 mov eax ,0xa オペコード オペランド ① ② → 付録A 10/16進数, ASCIIコード早⾒表

18. ΞηϯϒϦݴޠೖ໳ Y ٯΞηϯϒϧ • ػցޠΛΞηϯϒϦݴޠʹม׵͢Δ͜ͱ © SECCON2017 All Rights Reserved

    18 b8 0a 00 00 00 mov eax, 0xa 機械語 アセンブリ⾔語

19. ΞηϯϒϦݴޠೖ໳ Y ԋश ഑෍όΠφϦΛ࣮ߦͯ͠ΈΔ 
    DINPE V Y PCKEVNQ@TBNQMF 
    PCKEVNQ@TBNQMF )FMMP
    8PSME

    © SECCON2017 All Rights Reserved 19 ˡ࣮ߦݖݶΛ෇༩͢Δ

20. ΞηϯϒϦݴޠೖ໳ Y ԋश PCKEVNQίϚϯυΛ࢖ͬͯٯΞηϯϒϧͯ͠ΈΔ 
    PCKEVNQ E
    PCKEVNQ@TBNQMF .
    JOUFM © SECCON2017 All

    Rights Reserved 20

21. ΞηϯϒϦݴޠೖ໳ Y *%"
    EFNP Ծ૝؀ڥͷը໘ࠨԼͷΞΠίϯΛબ୒ ʮͦͷଞʯ͔Β*%"
    EFNPΛىಈͯ͠OFXΛબ୒ ղੳ͢Δ࣮ߦϑΝΠϧΛબ୒ ʮ&-'
    GPS
    JOUFM
    ʯΛ֬ೝͯ͠0, © SECCON2017 All

    Rights Reserved 21

22. ΞηϯϒϦݴޠೖ໳ Y Ϩδελ • ܭࢉ݁ՌͳͲͷҰ࣌อଘʹར༻ • ൚༻Ϩδελ FBY
    FCY
    FDY

    
    FEY
    FTJ
    FEJ ࣗ༝ʹ࢖ͬͯྑ͍Ϩδελ • ಛघϨδελ FCQ
    FTQ
    FJQ ಛघ໨తͷͨΊͷϨδελ © SECCON2017 All Rights Reserved 22

23. ΞηϯϒϦݴޠೖ໳ Y Ϩδελ • ܭࢉ݁ՌͳͲͷҰ࣌อଘʹར༻ • ൚༻Ϩδελ FBY
    FCY
    FDY

    
    FEY
    FTJ
    FEJ ࣗ༝ʹ࢖ͬͯྑ͍Ϩδελ • ಛघϨδελ FCQ
    FTQ
    FJQ ಛघ໨తͷͨΊͷϨδελ © SECCON2017 All Rights Reserved 23

24. ΞηϯϒϦݴޠೖ໳ Y ൚༻Ϩδελ FBY • ܭࢉ΍ؔ਺ͷ໭Γ஋ʹར༻ FCY • ܭࢉʹར༻ FDY

    • ܭࢉ΍ϧʔϓॲཧͷΧ΢ϯλʹར༻ FEY • ܭࢉ ಛʹ৐ࢉ΍আࢉͰසൟ ʹར༻ © SECCON2017 All Rights Reserved 24 ಛघϨδελ FTQ • ݱࡏελοΫͷ௖্ͷΞυϨεΛࢦ͢ FCQ • ؔ਺಺ͰελοΫͷఈͷΞυϨεΛࢦ͢ FJQ • ࣍ʹ࣮ߦ͢Δ໋ྩͷΞυϨεΛࢦ͢ ※必ずしもこれらの意味を準拠するとは限らない

25. ΞηϯϒϦݴޠೖ໳ Y ࠓճѻ͏໋ྩҰཡ • NPW • MFB • BEETVC •

    JNVMJEJW • BOEPSYPSOPU • JODEFD © SECCON2017 All Rights Reserved 25 • DNQ • KNQܥ • QVTI • QPQ • DBMM • MFBWF • SFU 3.1 代⼊命令 3.2 算術命令 3.3 条件分岐命令 3.4 スタック操作命令 3.5 関数呼び出しの命令

26. 
    ୅ೖ໋ྩ © SECCON2017 All Rights Reserved 26

27. ΞηϯϒϦݴޠೖ໳ Y NPW໋ྩ .07F • ஋ͷҠಈΛߦ͏໋ྩ • సૹݩͷ஋͸มԽ͠ͳ͍ సૹݩͷ஋Λసૹઌʹίϐʔ •

    ϝϞϦʹ֨ೲ͞Εͨ஋ʹΞΫηε͢Δʹ͸ɼ<>Λར༻ NPW FBY
    FCY FCYͷ஋ΛFBYʹҠಈ NPW FBY
    %803%
    153
    <FCY> FCYͷ஋ΛΞυϨεͱͯ͠ߟ͑ɼͦ͜ʹ֨ೲ͞Ε͍ͯΔ஋ΛFBYʹҠಈ NPW %803%
    153
    <FBY >
    FCY FBY ͷ஋ΛΞυϨεͱͯ͠ߟ͑ɼͦ͜ʹFCYͷ஋ΛҠಈ %803%
    %PVCMF
    8PSE CZUF ୯ҐͰΞΫηε͢Δ͜ͱΛද͢ © SECCON2017 All Rights Reserved 27

28. ΞηϯϒϦݴޠೖ໳ Y MFB໋ྩ -PBE &GGFDUJWF
    "EESFTT • సૹݩͷΞυϨεΛܭࢉͯ͠ɼసૹઌʹ֨ೲ • ΞυϨεܭࢉͷ໋ྩ͕ͩɼࢉज़ԋࢉʹར༻͞ΕΔ৔߹΋ •

    NPW໋ྩͱ͸ҟͳΓܭࢉͨ͠ΞυϨεʹ֨ೲ͞Εͨ஋΁ ΞΫηε͢Δ΋ͷͰ͸ͳ͍ MFB
    FBY
    <FCY > FCYͷ஋ʹΛ଍ͨ͠஋ΛFBYʹ֨ೲ͢Δ ˞FCYͷ஋ࣗ਎͸มԽ͠ͳ͍ © SECCON2017 All Rights Reserved 28

29. ΞηϯϒϦݴޠೖ໳ Y ԋश ࠷ޙʹ֨ೲ͞Ε͍ͯΔFBYͷ஋ΛٻΊΑ͏ʂ © SECCON2017 All Rights Reserved 29

    プログラム eax ebx mov eax, 0x1 lea ebx, [eax + 0x5] mov eax, ebx ？

30. ΞηϯϒϦݴޠೖ໳ Y ղ౴ ࠷ޙʹ֨ೲ͞Ε͍ͯΔFBYͷ஋ΛٻΊΑ͏ʂ © SECCON2017 All Rights Reserved 30

    プログラム eax ebx mov eax, 0x1 1 lea ebx, [eax + 0x5] 1 6 mov eax, ebx 6 6

31. 
    ࢉज़໋ྩ © SECCON2017 All Rights Reserved 31

32. ΞηϯϒϦݴޠೖ໳ Y BEETVC໋ྩ "%%JUJPO
    46#USBDUJPO • Ճࢉݮࢉ BEE
    FBY
    Y FBY

    
    ͨ͠஋ΛFBYʹ֨ೲ͢Δ JODEFD໋ྩ */$SFNFOU
    %&$SFNFOU • ஋Λ૿΍͢ݮΒ͢ JOD FBY FBY
    ͨ͠஋ΛFBYʹ֨ೲ͢Δ ্هͷBEE
    FBY
    Yͱಉ͡ಇ͖ © SECCON2017 All Rights Reserved 32

33. ΞηϯϒϦݴޠೖ໳ Y JNVMJEJW໋ྩ T*HOFE .VMUJQMZ
    %JWJEF • ৐ࢉআࢉ JNVM FBY

    
    FCY FBY ✕ FCYͷ݁ՌΛFBYʹ֨ೲ͢Δ ˞ܭࢉ݁ՌʹΑͬͯ͸FEYʹ΋֨ೲ͞ΕΔ JEJW FCY FBY × FCYͷ঎ΛFBYɼ༨ΓΛFEYʹ֨ೲ͢Δ © SECCON2017 All Rights Reserved 33

34. ΞηϯϒϦݴޠೖ໳ Y BOEPSYPSOPU໋ྩ • ࿦ཧੵ࿦ཧ࿨ഉଞత࿦ཧ࿨൱ఆ YPS FBY
    FBY FBYͱFBYͷഉଞత࿦ཧ࿨ΛFBYʹ֨ೲ͢Δ ಉ͡஋ಉ࢜ͷഉଞత࿦ཧ࿨͸ʹͳΔ

    ˠϨδελͷॳظԽʹར༻Մೳ © SECCON2017 All Rights Reserved 34 mov eax, 0x0 = b8 00 00 00 00 xor eax, eax = 31 c0 余談：xorによる0初期化の⽅が機械語が短い！

35. ΞηϯϒϦݴޠೖ໳ Y ԋश ࠷ޙʹ֨ೲ͞Ε͍ͯΔFBYͷ஋ΛٻΊΑ͏ʂ © SECCON2017 All Rights Reserved 35

    プログラム eax ebx mov eax, 0x1 mov ebx, 0x2 add eax, 0x5 dec eax imul eax, ebx ？

36. ΞηϯϒϦݴޠೖ໳ Y ղ౴ ࠷ޙʹ֨ೲ͞Ε͍ͯΔFBYͷ஋ΛٻΊΑ͏ʂ © SECCON2017 All Rights Reserved 36

    プログラム eax ebx mov eax, 0x1 1 mov ebx, 0x2 1 2 add eax, 0x5 6 2 dec eax 5 2 imul eax, ebx 10 2

37.  ৚݅෼ذ໋ྩ © SECCON2017 All Rights Reserved 37

38. ΞηϯϒϦݴޠೖ໳ Y ৚݅෼ذ • DNQ໋ྩͱKNQܥ໋ྩͷ૊Έ߹ΘͤʹΑΓ࣮ݱ • ৚݅෼ذΛ࢖͏͜ͱͰϧʔϓॲཧΛ࣮ݱՄೳ DNQ໋ྩ $P.1BSF •

    Φϖϥϯυಉ࢜Λൺֱ͠ɼ݁ՌʹΑͬͯϑϥάϨδελΛߋ৽͢Δ KNQܥ໋ྩ • Φϖϥϯυ͕ࢦ͢ΞυϨεʹ੍ޚΛҠ͢ • DNQ໋ྩͷ݁ՌʹΑΓ੍ޚΛҠ͔͢Ͳ͏͔Λ෼ذͰ͖Δ © SECCON2017 All Rights Reserved 38

39. ΞηϯϒϦݴޠೖ໳ Y KNQܥ໋ྩ Ұྫ • KNQ
    +V.1 ৚݅ແ͠ • KF
    
    
    
    +VNQ
    JG
    &RVBM
    ౳͍͠

    • KOF 
    +VNQ
    JG
    /PU
    &RVBM
    ౳͘͠ͳ͍ • KMF 
    +VNQ
    JG
    -FTT
    PS
    &RVBM
    ҎԼ • KHF 
    +VNQ
    JG
    (SFBUFS
    &RVBM
    Ҏ্ • KM 
    +VNQ
    JG
    -FTT
    ະຬ • KH 
    +VNQ
    JG
    (SFBUFS
    ΑΓେ͖͍ • KB
    
    
    
    +VNQ
    JG
    "CPWF ΑΓେ͖͍
    ˞ූ߸ແ͠੔਺ͱͯ͠ߟ͑Δ • KCF 
    +VNQ
    JG
    #FMPX
    PG
    &RVBM
    ҎԼ
    ˞ූ߸ແ͠੔਺ͱͯ͠ߟ͑Δ © SECCON2017 All Rights Reserved 39

40. ΞηϯϒϦݴޠೖ໳ Y ԋश ࠷ޙʹ֨ೲ͞Ε͍ͯΔFBYͷ஋ΛٻΊΑ͏ʂ © SECCON2017 All Rights Reserved 40

    アドレス プログラム eax ecx 0x8048060 mov eax, 0x1 0x8048065 mov ecx, 0x0 0x804806a jmp 0x804806c 0x804806c add eax, ecx 0x804806e inc ecx 0x804806f cmp eax, 0x3 0x8048072 jl 0x804806c

41. ΞηϯϒϦݴޠೖ໳ Y ղ౴ ࠷ޙʹ֨ೲ͞Ε͍ͯΔFBYͷ஋ΛٻΊΑ͏ʂ © SECCON2017 All Rights Reserved 41

    アドレス プログラム eax ecx 0x8048060 mov eax, 0x1 1 0x8048065 mov ecx, 0x0 1 0 0x804806a jmp 0x804806c 1 0 0x804806c add eax, ecx 1 0 0x804806e inc ecx 1 1 0x804806f cmp eax, 0x3 1 1 0x8048072 jl 0x804806c 1 1 ①

42. ΞηϯϒϦݴޠೖ໳ Y ղ౴ ࠷ޙʹ֨ೲ͞Ε͍ͯΔFBYͷ஋ΛٻΊΑ͏ʂ © SECCON2017 All Rights Reserved 42

    アドレス プログラム eax ecx 0x8048060 mov eax, 0x1 1 0x8048065 mov ecx, 0x0 1 0 0x804806a jmp 0x804806c 1 0 0x804806c add eax, ecx 2 1 0x804806e inc ecx 2 2 0x804806f cmp eax, 0x3 2 2 0x8048072 jl 0x804806c 2 2 ②

43. ΞηϯϒϦݴޠೖ໳ Y ղ౴ ࠷ޙʹ֨ೲ͞Ε͍ͯΔFBYͷ஋ΛٻΊΑ͏ʂ © SECCON2017 All Rights Reserved 43

    アドレス プログラム eax ecx 0x8048060 mov eax, 0x1 1 0x8048065 mov ecx, 0x0 1 0 0x804806a jmp 0x804806c 1 0 0x804806c add eax, ecx 4 2 0x804806e inc ecx 4 3 0x804806f cmp eax, 0x3 4 3 0x8048072 jl 0x804806c 4 3

44. 
    ελοΫૢ࡞໋ྩ © SECCON2017 All Rights Reserved 44

45. ΞηϯϒϦݴޠೖ໳ Y QVTIQPQ໋ྩ 164)101 • ελοΫΛૢ࡞͢Δ໋ྩ • QVTI͕ελοΫʹ஋ΛੵΉ • ࣗಈతʹFTQ͕ݮΔ

    • QPQ͕ελοΫ͔Β஋ΛϨδελʹҠ͢ • ࣗಈతʹFTQ͕૿͑Δ © SECCON2017 All Rights Reserved 45

46. ελοΫ -*'0 -BTU
    *O
    'JSTU
    0VU 
    ࠷ޙʹೖΕͨ΋ͷ͕࠷ॳʹग़Δ © SECCON2017 All Rights Reserved 46

    10 push 0xa esp

47. ελοΫ -*'0 -BTU
    *O
    'JSTU
    0VU 
    ࠷ޙʹೖΕͨ΋ͷ͕࠷ॳʹग़Δ © SECCON2017 All Rights Reserved 47

    10 push 0xa esp 10

48. ελοΫ -*'0 -BTU
    *O
    'JSTU
    0VU 
    ࠷ޙʹೖΕͨ΋ͷ͕࠷ॳʹग़Δ © SECCON2017 All Rights Reserved 48

    ecx pop ecx 10 esp

49. ελοΫ -*'0 -BTU
    *O
    'JSTU
    0VU 
    ࠷ޙʹೖΕͨ΋ͷ͕࠷ॳʹग़Δ © SECCON2017 All Rights Reserved 49

    ecx pop ecx 10 esp = 10

50. 
    ؔ਺ݺͼग़໋͠ྩ © SECCON2017 All Rights Reserved 50

51. ΞηϯϒϦݴޠೖ໳ Y ؔ਺ • ϓϩάϥϜ͸௨ৗɼػೳຖʹؔ਺ʹ෼ׂ͞Ε͍ͯΔ DBMM໋ྩ $"-- • ؔ਺ͷݺͼग़࣌͠ʹར༻ •

    ࣮ߦ࣌ʹDBMM໋ྩͷ࣍ͷ໋ྩ͕֨ೲ͞Ε͍ͯΔΞυϨεΛελοΫʹQVTI • ؔ਺͔ΒݟΔͱ͜ͷΞυϨε͸໭ΓઌͳͷͰϦλʔϯΞυϨεͱݺ͹ΕΔ • ؔ਺ͷҾ਺͸༧ΊελοΫʹੵΜͰ͓͘ SFU໋ྩ 3&5VSO • ؔ਺͔Βݩͷؔ਺ʹ໭Δࡍʹར༻ • DBMM໋ྩͰελοΫʹอଘ͓͍ͯͨ͠ϦλʔϯΞυϨεʹ੍ޚΛ໭͢ © SECCON2017 All Rights Reserved 51

52. ΞηϯϒϦݴޠೖ໳ Y ྫ
    ༩͑ΒΕͨ̎ͭͷ஋B
    CΛ଍ͨ͠஋Λฦؔ͢਺BEE © SECCON2017 All Rights Reserved

    52 main: sub esp, 0x8 mov DWORD PTR [esp], 1 mov DWORD PTR [esp+0x4], 2 call add mov ebx, eax (以降省略) add: push ebp mov ebp, esp sub esp, 16 mov edx, DWORD PTR [ebp+0x8] mov eax, DWORD PTR [ebp+0xc] add eax, edx mov DWORD PTR [ebp-0x4], eax leave ret ※ スライドの都合上DWORD PTRを以後省略

53. ΞηϯϒϦݴޠೖ໳ Y © SECCON2017 All Rights Reserved 53 sub esp,

    0x8 mov [esp], 1 mov [esp+0x4], 2 call add mov ebx, eax esp ebp N byte ※スライドの都合上ebpとespがすごく近くなっていますが， 実際にはもっと離れているものとして考えてください

54. ΞηϯϒϦݴޠೖ໳ Y © SECCON2017 All Rights Reserved 54 esp 8byte

    sub esp, 0x8 mov [esp], 1 mov [esp+0x4], 2 call add mov ebx, eax esp+0x8 ebp Ҿ਺ΛελοΫʹੵΉͨΊʹFTQΛখ͘͢͞Δ

55. ΞηϯϒϦݴޠೖ໳ Y © SECCON2017 All Rights Reserved 55 1 4byte

    esp esp+0x4 esp+0x8 sub esp, 0x8 mov [esp], 1 mov [esp+0x4], 2 call add mov ebx, eax ebp ̍ͭ໨ͷҾ਺ΛελοΫʹੵΉ

56. ΞηϯϒϦݴޠೖ໳ Y © SECCON2017 All Rights Reserved 56 1 4byte

    esp 2 4byte sub esp, 0x8 mov [esp], 1 mov [esp+0x4], 2 call add mov ebx, eax esp+0x4 esp+0x8 ebp ※push 2 → push 1でも同様の処理を実現可能 ̎ͭ໨ͷҾ਺ΛελοΫʹੵΉ

57. ΞηϯϒϦݴޠೖ໳ Y © SECCON2017 All Rights Reserved 57 1 4byte

    esp リターンアドレス 4byte esp+0xc DBMM໋ྩ͸ɼݺͼग़͠ޙͷ໋ྩͷΞυϨεΛελοΫʹQVTIͯ͠BEEʹKNQ sub esp, 0x8 mov [esp], 1 mov [esp+0x4], 2 call add mov ebx, eax esp+0x8 esp+0x4 2 4byte ebp

58. ΞηϯϒϦݴޠೖ໳ Y © SECCON2017 All Rights Reserved 58 1 4byte

    esp esp+4 esp+8 リターンアドレス 4byte esp+12 ݺͼग़͠ݩͷؔ਺ͷFCQΛελοΫʹQVTIͯ͠อଘ add: push ebp mov ebp, esp sub esp, 16 mov edx, [ebp+8] mov eax, [ebp+12] add eax, edx mov [ebp-4], eax leave ret main関数のebp 4byte esp+16 2 4byte ebp

59. ΞηϯϒϦݴޠೖ໳ Y © SECCON2017 All Rights Reserved 59 1 4byte

    esp esp+4 esp+8 リターンアドレス 4byte esp+12 ݺͼग़͠ݩͷؔ਺ͷFCQΛελοΫʹQVTIͯ͠อଘ main関数のebp 4byte esp+16 ebp add: push ebp mov ebp, esp sub esp, 16 mov edx, [ebp+8] mov eax, [ebp+12] add eax, edx mov [ebp-4], eax leave ret 2 4byte

60. add: push ebp mov ebp, esp sub esp, 16 mov

    edx, [ebp+8] mov eax, [ebp+12] add eax, edx mov [ebp-4], eax leave ret ΞηϯϒϦݴޠೖ໳ Y © SECCON2017 All Rights Reserved 60 esp 1 4byte 2 4byte リターンアドレス 4byte 呼び出し元の関数のebp 4byte ebp 16byte ebp+4 ebp+8 ebp+12 BEEؔ਺಺Ͱར༻͢Δ ྖҬ ྖҬ֬อͷͨΊFTQΛখ͘͢͞Δ

61. ΞηϯϒϦݴޠೖ໳ Y © SECCON2017 All Rights Reserved 61 esp 1

    4byte 2 4byte リターンアドレス 4byte main関数のebp 4byte ebp 16byte ebp+4 ebp+8 ebp+12 省略 3 4byte ebp-4 add: push ebp mov ebp, esp sub esp, 16 mov edx, [ebp+8] mov eax, [ebp+12] add eax, edx ; eax = 1 + 2 mov [ebp-4], eax leave ret

62. ΞηϯϒϦݴޠೖ໳ Y © SECCON2017 All Rights Reserved 62 esp 1

    4byte 2 4byte リターンアドレス 4byte main関数のebp 4byte ebp 16byte ebp+4 ebp+8 ebp+12 3 4byte ebp-4 ؔ਺ʹ౉͞ΕͨҾ਺͸ɼ <FCQ >ͰୈҰҾ਺ <FCQ >ͰୈೋҾ਺ ɾ ɾ ɾ ؔ਺಺ͷม਺͸ɼ <FCQ>
    <FCQY>ɾɾɾ ͷΑ͏ʹΞΫηεͰ͖Δ

63. ΞηϯϒϦݴޠೖ໳ Y © SECCON2017 All Rights Reserved 63 esp add:

    (省略) leave ret 1 4byte 2 4byte リターンアドレス 4byte main関数のebp 4byte 16byte leave命令は以下の動き mov esp, ebp pop ebp 3 4byte ebp

64. ΞηϯϒϦݴޠೖ໳ Y © SECCON2017 All Rights Reserved 64 esp add:

    (省略) leave ret 1 4byte 2 4byte リターンアドレス 4byte main関数のebp 4byte 16byte leave命令は以下の動き mov esp, ebp pop ebp ebp 3 4byte

65. ΞηϯϒϦݴޠೖ໳ Y © SECCON2017 All Rights Reserved 65 esp add:

    (省略) leave ret 1 4byte 2 4byte リターンアドレス 4byte main関数のebp 4byte 16byte ret命令は以下のような動き pop eip ※ pop eip命令は存在しない eip 3 4byte

66. ΞηϯϒϦݴޠೖ໳ Y ࠓճѻ໋ͬͨྩҰཡ • NPW • MFB • BEETVC •

    JNVMJEJW • BOEPSYPSOPU • JODEFD © SECCON2017 All Rights Reserved 66 • DNQ • KNQܥ • QVTI • QPQ • DBMM • MFBWF • SFU 3.1 代⼊命令 3.2 算術命令 3.3 条件分岐命令 3.4 スタック操作命令 3.5 関数呼び出しの命令 → 付録F 参考書籍/pdf等

67. 
    ͓ΘΓʹ 67 © SECCON2017 All Rights Reserved

68. ͓ΘΓʹ 3FWFSTJOH໰୊ͷղ͖ํखॱ  ϑΝΠϧΛμ΢ϯϩʔυ͢Δ  ݖݶΛ෇༩͢Δ 
    DINPE V Y ର৅ϑΝΠϧ

     ࣮ߦͯ͠ڍಈΛ֬ೝ  PCKEVNQ΍*%"ͳͲͰٯΞηϯϒϧͯ͠ղੳ © SECCON2017 All Rights Reserved 68

69. ͓ΘΓʹ ͜Ε͔Β্ͷεςοϓʹਐΉͨΊʹ͸ ݸਓతͳҙݟ • $$ ݴޠʹ׳ΕΔ ˠ ෇࿥( • HEC

    ͳ Ͳ σ ό ο Ψ ΍ τ Ϩ ʔ α ʔ Λ ༻ ͍ ͨ ಈ త ղ ੳ Λ ֶ Ϳ ඞ ਢ ˠ ෇࿥$ % • 3FWFSTJOH͸҉߸΍਺ֶɼΞϧΰϦζϜͷཁૉ͕໰୊ʹ ࠞͬͯ͘͟Δ͜ͱ͕ଟ͍ͷͰɼ෯޿͍஌ࣝΛ෇͚Δ • ෆඞཁͳॲཧ͸ಡΈඈ͹͢׳Ε © SECCON2017 All Rights Reserved 69

70. ͓ΘΓʹ © SECCON2017 All Rights Reserved 70 ຊߨٛͷ໨ඪ ☑όΠφϦղੳͱ͸Կ͔Λ஌Δ ☑

    ΞηϯϒϦݴޠ Y ΛಡΊΔΑ͏ʹͳΔ ˘ ͜ͷߨٛͷޙʹ͋Δ$5'Ͱ3FWFSTJOH໰୊Λղ͘ʂ

71. ͋Γ͕ͱ͏͍͟͝·ͨ͠ʂ © SECCON2017 All Rights Reserved 71

72. ෇࿥ © SECCON2017 All Rights Reserved

73. ෇࿥"
    ਐ਺
    "4$**ίʔυૣݟද © SECCON2017 All Rights Reserved 73 ⾒⽅: 10進数の65は，16進数だと0x41，ASCIIコードに変換するとAという⽂字

74. ෇࿥# 1ZUIPOʹΑΔࢉज़ԋࢉ λʔϛφϧͰʮQZUIPOʯͱೖྗͯ͠ΠϯλϓϦλΛىಈ͢Δ • ਐ਺ 㱻 ਐ਺ม׵ • ࢛ଇԋࢉ 

     • ࿦ཧԋࢉ c? ͕Մೳ • "4$**ม׵ DISؔ਺ɼPSEؔ਺ © SECCON2017 All Rights Reserved 74

75. ෇࿥$
    HEC HECQFEB ͷ࢖͍ํ HEC • (/6੡ͷσόοΨ • QFEB͸1ZUIPOʹΑΔHECͷ֦ு ਪ঑ σόοΨ

    • ର࿩తʹϓϩάϥϜΛղੳ͢Δπʔϧ ϒϨʔΫϙΠϯτ • σόοΨ͕ೝࣝͯ͠ϓϩάϥϜΛࢭΊͯ͘ΕΔ໨ҹ σόοΨΛ࢖͏ϝϦοτ • Ϩδελ΍ม਺ͷ஋ΛݟΕΔ • ϒϨʔΫϙΠϯτΛுͬͯɼͱ͋Δ໋ྩ·Ͱࣗಈ࣮ߦ © SECCON2017 All Rights Reserved 75

76. ෇࿥$
    HEC HECQFEB ͷ࢖͍ํ © SECCON2017 All Rights Reserved 76 レジスタ

    プログラム スタック

77. ෇࿥$
    HEC HECQFEB ͷ࢖͍ํ • ىಈ 
    HEC ର৅ϑΝΠϧ໊ • NBJOؔ਺ʹϒϨʔΫϙΠϯτΛுΔ HECQFEB
    CSFBL
    NBJO

    • ΞυϨεʹϒϨʔΫϙΠϯτΛுΔ ྫ
    YʹϒϨʔΫϙΠϯτுΔ HECQFEB
    CSFBL
    Y • ໋̍ྩ࣮ͣͭߦ ؔ਺ͷதʹೖΒͳ͍ HECQFEB
    OFYU • ໋ྩ࣮ͣͭߦ ؔ਺ͷதʹೖΔ HECQFEB
    TUFQ • ϒϨʔΫϙΠϯτ·ͰࣗಈͰଓ͚Δ HECQFEB
    DPOUJOVF © SECCON2017 All Rights Reserved 77 • ࣮ߦ HECQFEB
    SVO • NBJOؔ਺Ͱࣗಈతʹࢭ·Δ࣮ߦ HECQFEB
    TUBSU

78. ෇࿥$
    HEC HECQFEB ͷ࢖͍ํ • ϝϞϦʹ֨ೲ͞Ε͍ͯΔ஋Λදࣔ ྫ
    CZUF෼Λਐ਺Ͱදࣔ HECQFEB
    YXY ΞυϨε • ϝϞϦʹ֨ೲ͞Ε͍ͯΔจࣈྻΛදࣔ

    HECQFEB
    YT
    ΞυϨε • Ϩδελͷத਎Λม͑Δ ྫ
    FBYΛʹॻ͖׵͑ HECQFEB
    TFU
    FBY  • ϝϞϦͷத਎Λม͑Δ ྫ
    YGGGGEΛʹॻ͖׵͑ HECQFEB
    TFU
    \JOU^YGGGGE
    
     • ελοΫΛݟΔ ྫ
    ߦ෼දࣔ HECQFEB
    UFMFTDPQF
     © SECCON2017 All Rights Reserved 78

79. ෇࿥%
    MUSBDFTUSBDFͷ࢖͍ํ MUSBDFίϚϯυ • ϥΠϒϥϦؔ਺ͷݺͼग़͠ΛΘ͔Γ΍͍͢ܗࣜͰදࣔ 
    MUSBDF ࣮ߦ͢ΔϑΝΠϧ © SECCON2017 All Rights

    Reserved 79

80. ෇࿥%
    MUSBDFTUSBDFͷ࢖͍ํ TUSBDFίϚϯυ • γεςϜίʔϧͷݺͼग़͠ΛΘ͔Γ΍͍͢ܗࣜͰදࣔ 
    TUSBDF ࣮ߦ͢ΔϑΝΠϧ © SECCON2017 All Rights

    Reserved 80 システムコール: OSの持つ機能を 呼び出すための機構

81. ෇࿥&
    Yͱ͸ • *OUFMͷͱݺ͹ΕΔCJUͷ$16͕ॳ୅Y
    $16 • ͷޙܧʹ͸ɼ΍ͳͲ͕͋Δ • ಛʹ͸CJUͷ$16ͱͳ͍ͬͯͯɼࠓճͷߨٛ͸ ͜ͷ$16ͷ͜ͱΛऔΓѻ͍ͬͯΔ • ࠓ͸Yͱݺ͹ΕΔCJU
    $16͕ओྲྀʹ

    ͪ͜Β΋$5'Ͱ͸සग़ͳͷͰֶͿ͜ͱΛਪ঑ © SECCON2017 All Rights Reserved 81

82. ෇࿥'
    ࢀߟॻ੶QEG౳ • ηΩϡϦςΟίϯςετνϟϨϯδϒοΫ • ηΩϡϦςΟίϯςετͷͨΊͷ$5'໰୊ू • σόοΨʹΑΔYϓϩάϥϜղੳೖ໳ʲYରԠ൛ʳ • ͨͷ͍͠όΠφϦͷา͖ํ •

    ϦόʔεΤϯδχΞϦϯάόΠϒϧ • ࣗ࡞ΤϛϡϨʔλͰֶͿYΞʔΩςΫνϟ • #*/"3:
    )"$,4 • େ೤݂
    Ξηϯϒϥೖ໳ • *"
    ΠϯςϧšΞʔΩςΫνϟιϑτ΢ΣΞσϕϩούʔζɾϚχϡΞϧ © SECCON2017 All Rights Reserved 82

83. ෇࿥(
    $ݴޠͷසग़ؔ਺ QSJOUGؔ਺ • ୈҰҾ਺ʹ༩͑ΒΕͨΞυϨεʹ֨ೲ͞ΕͨจࣈΛग़ྗ͢Δ TDBOGؔ਺ • จࣈΛೖྗ͢ΔɽୈೋҾ਺ʹ஋͕֨ೲ͞ΕΔɽ TUSMFOؔ਺ • ୈҰҾ਺ʹ༩͑ΒΕͨΞυϨεʹ֨ೲ͞Εͨจࣈྻͷ௕͞Λฦ͢

    BUPJؔ਺ • ୈҰҾ਺ʹ༩͑ΒΕͨΞυϨεʹ֨ೲ͞ΕͨจࣈྻΛ ਺஋ʹม׵͢Δ © SECCON2017 All Rights Reserved 83

84. ෇࿥)
    ٯΞηϯϒϧΛಡΉίπ •DBMM໋ྩͷޙ͸FBYʹண໨͢Δ • ؔ਺ͷ໭Γ஋͸FBYʹ֨ೲ͞ΕΔ •DBMM໋ྩͷલʹQVTI͍ͯ͠Δ஋ʹண໨͢Δ • ؔ਺ͷҾ਺͸ελοΫʹੵΉ •όΠφϦதͷ"4$**จࣈʹண໨͢Δ • Y

    ൒֯εϖʔε
    d
    YF d ͸ҹࣈՄೳͳจࣈ © SECCON2017 All Rights Reserved 84