★ windows 7 32bit 환경에서 진행하였습니다.
간단한 어셈블리 프로그램으로~
특정 PE 파일로부터 Export Table 주소를 구해봅시다. Export Table 주소를 구하고, 더 나아가서 Export 하는 함수들의 주소까지 구해볼수 있겠죠.
kernel32.dll 를 이용해봅시다.
PEView를 이용하면 쉽겠지만 동적으로 Export Table 내의 함수들의 주소를 받아오기 위해서 간단한 어셈블리 프로그램을 짜보도록 하겠습니다.
먼저 kernel32.dll 의 base 주소를 알아야겠죠?
mov eax, fs:[eax+0x30] // PEB 의 주소 FS = TEB을 가리키고있음 mov eax, [eax+0xc0] // PEB_LDR_DATA mov eax, [eax+0x14] // .exe InMemoryModuleList (첫번째) mov ebx, [eax] // ntdll.dll InMemoryModuleList (두번째) mov ebx, [ebx] // kernel32.dll InMemoryModuleList (세번째) mov ebx, [ebx+0x10] // InMemoryModuleList + 0x10 자리에 dll base 주소가 있습니다.
InMemoryModuleList 들은 각각 서로를 가리키고 있습니다. 더블링크드 형태로요. 3번째에 kernel32.dll 이 있습니다.
자 kernel32.dll 의 base 주소를 ebx에 저장했습니다.
이제 kernel32.dll 의 PE 구조를 들여다 봐야겠죠? PE 구조는 대충 아실거라 믿어요. PEView를 함께보시면 편해요.
PE 파일들은 크게 DOS Header, NT Header, Section Header로 이루어져있습니다. 우리가 원하는 Export Table 주소는 _IMAGE_NT_HEADER 안에 _IMAGE_OPTIONAL_HEADER 속에있는 _IMAGE_DATA_DIRECTIORY 안에 있답니다. 복잡하죠?
한번 하나하나 찾아 가봅시다.
먼저 kernel32.dll base 주소로부터 NT header 까지의 거리(offset)은 0xF0 입니다. Dos header 크기가 0xF0란 의미랑 같습니다.
다음은 NT header로 부터 _IMAGE_OPTIONAL_HEADER 속에있는 _IMAGE_DATA_DIRECTIORY 까지 가야겠죠? Export table까지 한번에 가봅시다.
NT Header 의 Signature 구조체의 크기는 4바이트입니다. 그리고 IMAGE_FILE_HEADER 의 크기는 14 바이트구요 (PEView로 쉽게 알수있습니다)
IMAGE_OPTIONAL_HEADER(0x108)에서 _IMAGE_DATA_DIRECTIORY 속의 EXPORT Table(0x168) 까지는 168-108 = 60바이트 입니다.
PE헤더 각각의 구조체의 크기도 알았겠다 프로그램을 짜봅시다.
mov edi, [ebx+0x3c] // PE header , ebx = kernel32.dll base 주소 // [ebx+0x3c] 에 DOS Header 마지막 멤버인 e_Ifanew 의 값이 들어있습니다 여기선 0xF0 입니다. add edi, ebx // ASCII "PE" base+0xf0 // base에 0xf0를 더하면 NT Header 시작 offset 주소가 되죠. mov edi, [edi+0x78] // EXPORT Table offset = edi+ 0x78(4 + 14 + 60) // NT Header offset에 EXPORT Table 까지의 거리를 더합니다. add edi, ebx // base dll address + EXPORT Table offset // RAV를 구했으니 VA 를 구해야겠죠 ? base주소에 EXPORT Table offset를 더합니다
EDI 에 kernel32.dll 의 Export Table 주소가 들어있습니다.
'Security > System Hacking' 카테고리의 다른 글
APT 공격 실습 (3) - 워터링홀(Watering Hole) (0) | 2018.11.12 |
---|---|
APT 공격 실습 (2) - Metasploit 을 이용한 익스플로잇 (0) | 2018.11.11 |
APT 공격 실습 (1) - 가상 실습환경 구성 (0) | 2018.11.11 |
[BOF] strcpy 와 strncpy 함수의 취약점 (1) | 2017.05.30 |