1.2.2 바이너리 취약점 공격
『해커 플레이북 1』과 마찬가지로 바이너리 취약점 공격은 자세히 설명하지 않는다. 바이너리 취약점 공격은 『The Shellcoder’s Handbook: Discovering and Exploiting Security Holes, 2nd Edition』(http://amzn.to/1E3k89R)이나 『Hacking: The Art of Exploitation, 2nd Edition』(http://amzn.to/1z8oThD) 같은 추가적인 뭔가가 필요한 전적으로 다른 주제이기 때문이다. 그렇다고 해서 버퍼 오버플로와 기본 취약점 공격을 이해하지 않아도 된다는 말은 아니다. 모든 모의 침투 전문가는 직접 코드를 작성하는 것은 물론이고, 다른 사람이 작성한 코드도 읽을 수 있어야 한다. 제대로 동작하지 않아 약간 수정해야 하거나 인터넷에서 다운로드하기 전에 용도가 무엇인지 확인해야 하는 메타스플로이트 모듈도 있을 수 있기 때문이다.
바이너리 취약점 공격의 기본 내용을 학습할 수 있는 웹 사이트는 무척 많은데, 그중 Over the Wire(http://overthewire.org/wargames/narnia/)가 학습용으로는 제일 좋다. 이 웹 사이트에서는 바이너리에서 웹까지 해킹의 모든 측면에 초점을 맞춘 온라인 CTF 스타일 과제를 제공한다. 이 장에서는 바이너리 취약점 공격에 초점을 맞출 것이다. 이전에 이런 공격을 한 경험이 없다면, 주말에 시간을 내서 이 웹 사이트에서 열심히 학습하자. 처음 시작하는 사람들이 할 만한 몇 가지 과제를 정리했다.
시작하기 전에 다음 내용을 학습하자.
• 어셈블리와 레지스터 기본 내용
• GDB(GNU 디버거) 기본 내용
• 서로 다른 메모리 세그먼트(스택, 힙, 데이터, BSS, 코드 세그먼트) 이해
• 셸 코드 기본 내용
다음 웹 사이트에 있는 자료가 도움이 될 것이다.
http://opensecuritytraining.info/IntroX86.html
http://www.reddit.com/r/hacking/comments/1wy610/exploit_tutorial_buffer_overflow/
https://www.corelan.be/index.php/2009/07/19/exploit-writing-tutorial-part-1-stack-based-overflows/
http://www.lethalsecurity.com/wiki