버퍼 오버플로우

버퍼(buffer) - 어떤 데이터가 한곳에서 다른곳으로 이동할 때, 그 데이터가 일시적으로 보관되는 임시기억공간.

오버플로우(overflow) -사용자가 입력한 데이터의 크기가 너무 과하여 제한된 버퍼의 용량을 넘어서 버린것.

즉 버퍼오버플로우는 사용자가 입력한 데이터의 크기가 너무과하여 제한된 버퍼의 용량에서 넘쳐버림 이라는 뜻이된다.

사용자로부터 어떠한 입력을 받는,또 그입력값에 따라 프로그램의 실행결과가 달라지는 프로그램들이 버퍼 오버플로우의 공격대상이 된다

int main(){ int auth = 0; char passwd[20]; printf("패스워드를 입력하세요 : "); gets(passwd); if(strcmp(passwd,"[???????]")==0) auth = 1; if(auth) printf("인증성공\n"); else printf("인증실패\n"); }

위는 버퍼오버 플로우의 공격대상으로 아주 좋은 소스코드이다 . 

먼저 정상적인 입력을 했을때 결과를 보면 다음과같다.

패스워드 값을 알수없으니 당연한 결과이다.

그럼 비정상적인 값(passwd의 크기를 넘어서는 값) 을 입력해보자.

위의 결과를 이해하기위해서는 먼저 메모리주소를 알아야한다.

먼저 선언된 변수가 나중에 선언된 변수보다 높은 주소값을 가지게된다, 따라서 passwd보다 auth 변수가 더 높은 주소값을 가진다.

그리고 auth변수는 선언과동시에 0으로 초기화 되었으므로 사용자의 입력전에는 위와같은 상태가된다 

먼저 정상적인 값을 입력했을때 위와같이 낮은주소부터 차례대로 입력된다.

다음은 비정상적인 입력을 했을때 상태이다 .

입력값이 passwd의 크기를 넘어서 auth의 값을 덮어버렸다 .

위와같이 되는 이유는 

gets함수의 특성 떄문이다.

gets함수는 사용자가 엔터를 치기 전까지의 입력을 메모리 주소값에 저장한다.

따라서 입력크기에 제한이없다.

gets함수는 입력값이 변수크기를 초과하게되면 그변수보다 한단계 높은 주소에 있는 변수의 값에 덮어쓰기 식으로 

저장이 되기 때문에 auth변수를 직접 건드리지 않고 값을 바꿀수있는것이다.

지금까지 위의 내용이 버퍼오버플로우의 기본원리이다.

이를 이용하여 일반 사용자권한을 최고 관리자권한으로 상승시키거나 원격상의 다른 pc의 접근권한을 획득할수도 있다.

출처 - www.hackerschool.org

AD에서는 그룹 정책을 이용하여 사용자나 컴퓨터에 대한 중앙관리가 가능하다.

예를들어 AD의 특정 그룹에 있는 사용자들은 제어판메뉴를 보이지 않게 하도록 하고 싶다면

AD의 그룹정책 중 제어판에 관련된 설정을 통해 관리할 수 있다는 것이다.

그룹정책에서는 소프트웨어 설치, Windows 구성 요소, 네트워크, 바탕화면, 시스템, 시작메뉴, 제어판 관리 등 여러 정책을 설정 할 수 있다.

그룹정책은 도메인안의 특정 그룹에 대해 적용할 수 있는데 이를 위해서는 AD에 조직구성단위(OU)를 생성해야 한다.

그 OU에는 사용자, 컴퓨터, 그룹 계정등을 포함할 수 있고 그룹정책을 반영해 관리가 가능하다.

만약 OU를 삭제하면 그 안에 있는 개체도 같이 삭제 된다.

그러면 OU생성 및 그룹정책 반영하는 방법에 대해 살펴보자.

1. OU 생성

[그림 1-1]

그룹정책을 설정하기 전에 먼저 OU를 추가하는데 [그림1-1]에서 처럼 

Acitve Directory 사용자 및 컴퓨터 -> 마우스 오른쪽 버튼 클릭 -> 새로만들기 -> 조직구성단위 버튼을 클릭한다.

그림[1-2]

그림[1-3]

[그림1-2]에서처럼 OU의 이름을 적고 확인을 누르면 그림[1-3]과 같이 OU가 추가된 것을 볼 수 있다.

OU에 개체를 추가할 때 User나 Conputers에 이미 개체가 있다면 드래그앤 드롭으로 이동할 수도 있고 마우스 오른쪽 버튼을 클릭하여 추가할 수도 있다.

여기서는 김유저(kimuser)라는 사용자를 추가해서 사용하려고 한다. 사용자추가하는 방법은 다음을 참고하기 바란다.

[Active Directory] 사용자 추가 ]

2. 그룹정책 관리

이제 위에서 만든 그룹에 정책을 만드는 방법을 살펴보자.

그림[2-1]

그림[2-1] 처럼 그룹 정책 관리에서 도메인 -> 그룹 -> StudyGroup(생성한 OU) -> 마우스 오른쪽버튼 클릭 -> 이 도메인에서 GPO를 만들어 여기에 연결을 클릭한다.

그림[2-2]

그림[2-2]처럼 새 GPO 팝업이 뜨고 그룹정책이름을 입력 후 확인을 누르면 새 그룹 정책이 생성된다.

그림[2-3]

그림[2-4]

이제 그룹정책을 설정할텐데 그림[2-3] 처럼 생성한 그룹정책에서 마우스 오름쪽버튼 클릭 -> 편집버튼을 누르면 그림[2-4]와 같은

그룹 정책 관리 편집기 화면이 나타난다.

편집기 화면을 살펴보면 크게 컴퓨터 구성과 사용자 구성으로 나뉜다. 컴퓨터계정에 대한 정책을 설정하기 위해서는 컴퓨터 구성에서 설정하고

사용자계정에 대한 정책을 설정하기 위해서는 사용자 구성에서 설정하면 된다.

컴퓨터 계정에 정책을 반영하면 어떤 사용자가 로그인하더라도 컴퓨터 계정에 반영된 정책에 따라 사용하게 된다. 

각 구성에서 정책을 보면 소프트웨어 설정, Windows설정, 관리 템플릿등을 설정할 수 있다.

그러면 처음 예로 들었던 사용자가 로그인 했을 때 제어판 메뉴가 보이지 않도록 정책을 설정하고 실제로 정책이 적용되는지 보도록 하자.

그림[2-5]

그림[2-5]에서 보면 사용자 구성 -> 정책 -> 관리 템플릿 -> 제어판을 클릭하면 오른쪽에 제어판에서 설정할 수 있는 항목들이 나온다.

우리는 제어판 메뉴를 안보이도록 설정할 것이기 때문에 Prohibit access to Control Panel and PC settings(제어판 및 PC 설정에 대한 엑세스 금지)를 선택한다.

그림[2-6]

제어판 및 PC 설정에 대한 엑세스 금지화면에서 제어판을 사용하지 못하도록 설정하기 위해 사용을 선택하고 적용을 누른다.

그림[2-7]

그룹정책이 설정되면 기본적으로 컴퓨터나 사용자가 로그온할때 정책이 반영되고 그룹 정책이 변경되면 정기적으로 새로고침을 하는데 

약 90분 간격으로 변경여부를 확인한다. 

만약 변경된 정책을 강제로 재 반영하기 위해서는 그림[2-7]에서 처럼 클라이언트 PC의 command에서 gpupdate명령을 사용하면 된다.

그러면 실제 사용자로 로그인했을 때 그룹정책이 반영되었는지 보도록 하자.

그림[2-8]

클라이언트 PC에서 김유저라는 사용자로 로그인했고 그림[2-7]을 보면 시작메뉴에서 빨간줄 아래부분에 제어판메뉴가 사라진것을 볼 수 있다.

위와 같이 특정 그룹의 사용자나 컴퓨터에 대한 관리가 필요할 경우 그룹정책을 이용하면 중앙에서 쉽게 관리가 가능해진다.