slimV

힌트로 arg라고 써있습니다.

fgets를 통해 overflow가 발생합니다.

Return 할 주소가 0xbf로 시작하면 메시지를 출력하고 종료합니다.

Return 할 주소가 0x08로 시작해도 메시지를 출력하고 종료합니다.

Return 할 주소를 따라갔을때 leave와 ret가 있으면 메시지를 출력하고 종료합니다.

위의 조건문을 다 회피하면

Stack을 0으로 초기화합니다.

환경변수도 지워버립니다.

아왜

한참을 막혀있다가 제 머리로는 생각이 안나서 결국 물어봤습니다.

System call을 뒤져보랍니다.

strace로 따라가봅니다.

쭉 따라가다 보면 read()가 보입니다.

read() 앞뒤로는 mmap()이 보입니다.

mmap()으로 0x40015000부터 공간을 확보합니다.

read()로 string을 입력받습니다.

fgets()가 read()를 이용하는것 같습니다.

mmap()으로 0x40016000부터 공간을 확보합니다.

입력받은 값을 stdout에 써줍니다.

각각의 주소를 따라가 보면 입력한 값이 있을듯 합니다.

gdb로 fgets() 호출 후에 위의 주소를 따라가봅니다.

0x40015000부터 입력한 값이 있는 것을 확인할 수 있습니다.

0x40016000은 접근할 수 없다고 뜹니다.

Shell code를 입력하고 ret를 0x40015000으로 돌려버리면 됩니다.

공격해봅니다.

안됩니다.

아왜

생각해보니 입력한 값에 0x00이 있으면 안됩니다.

Nop slide 중간으로 떨어뜨려줍니다.

공격에 성공했습니다.

ps. ret를 0x40016000으로 돌려주니 공격에 성공했습니다.

읭?

힌트를 보면 PLT라고 합니다.

ret는 strcpy로 돌려줘야하고

ret 뒤에는 "AAAA"로 채워버립니다.

PLT에 대한 개념을 모르시면 다음 글을 읽고 오세요.

 -> 

strcpy()로 return 하라고 하니 strcpy() 주소를 찾아봅니다.

0x08048410입니다.

memset()을 통해 "AAAA"로 덮어씌우는 부분은

nightmare 종료 후 돌아가는 strcpy()가 종료된 후 return 할 주소가 됩니다.

그러므로 strcpy()를 이용해 "AAAA"를 조작하면 됩니다.

"AAAA"의 주소는 buffer에서 48만큼 떨어져있습니다.

buffer의 주소를 찾아봅니다.

buffer에 접근하는 strcpy() 근처를 찾아봅니다.

buffer의 시작 주소는 0xbffffab0입니다.

"AAAA"의 주소는 0xbffffae0입니다.

"AAAA"의 위치에 return 할 주소를 덮어씌워주면 됩니다.

system()을 이용하도록 하겠습니다.

system()의 주소는 0x40058ae0입니다.

libc.so.6 내부의 "/bin/sh"의 주소를 찾습니다.

전에 만들어놨던 프로그램으로 찾습니다.

"/bin/sh"의 주소는 0x400fbff9입니다.

공격 코드를 말로 설명하자니 깁니다.

Stack 구조를 보겠습니다.

Stack 구조

Low addr

High addr

공격해봅니다.

안됩니다.

아왜

실행주소 길이 때문일겁니다.

주소를 당겨서 다시 공격해봅니다.

공격에 성공했습니다.

코드가 깁니다.

엄청 깁니다.

힌트를 보면 함수를 순차적으로 call 하랍니다.

함수를 살펴보면

MO, YUT, GUL, GYE, DO는

check를 검사하고 각 값이 맞으면 "welcome to~"를 출력하고

check 값을 바꿉니다.

check 값이 틀린 경우는 프로그램을 종료합니다.

MO에서는 parameter로 string을 받고

해당 문자열을 parameter로 사용해 system()을 call 합니다.

check값은 전역변수로 0으로 초기화 되어있습니다.

main 함수를 살펴보겠습니다.

argv[1]에 \x40이 있으면 메시지를 출력하고 종료합니다.

ret 값을 검사해서 DO 주소가 아닌경우 DO를 사랑하라고 출력하고 종료합니다.

DO를 제일 먼저 call 해야됩니다.

strcpy()를 통해 overflow가 발생하고

stack을 초기화합니다.

하지만 ret 뒤쪽으로 100-byte는 그대로 놔둡니다.

환경변수도 다 지워줍니다.

풀이는 간단합니다.

힌트 그대로 순차적으로 DO, GYE, GUL, YUT, MO를 call 하면 됩니다.

ret부터 각 함수의 주소를 덮어씌워주면 순차적으로 call이 됩니다.

각 함수의 주소를 찾겠습니다.

각 함수의 주소는 위와 같습니다.

순차적으로 call이 되는지 확인해보겠습니다.

정상적으로 call이 됩니다.

이제 MO에서 system으로 /bin/sh를 실행하도록만 하면 됩니다.

libc.so.6의 "/bin/sh"를 사용하고 싶지만

\x40이 있으면 프로그램이 종료됩니다.

buffer 끝에 "/bin/sh"를 넣고 해당 주소를 사용하겠습니다.

buffer의 시작 주소를 찾고

입력한 byte 수 만큼 더하면 "/bin/sh"의 주소를 구할 수 있습니다.

소스코드를 바꿔서 buffer 주소를 출력하도록 합니다.

buffer의 시작주소는 0xbffffa80입니다.

MO에서는 parameter로 system()에서 사용할 string을 넘겨받습니다.

MO를 call하는 ret에서 MO 종료 후 return 할 ret 위치 다음에 "/bin/sh" 주소를 넣으면 됩니다.

Stack 구조

Low addr

High addr

"/bin/sh"의 주소는 buffer 시작주소인 0xbffffa80에서 72-byte만큼 떨어져있습니다.

"/bin/sh"의 주소는 0xbffffac8입니다.

공격해봅니다.

안됩니다.

아왜

실행주소 때문일겁니다.

"/bin/sh" 주소를 16-byte 당겨줍니다.

"/bin/sh"의 주소는 0xbffffab8이 됩니다.

다시 공격해봅니다.

공격에 성공했습니다.

힌트를 보면 Fake EBP라고 합니다.

코드를 보면 ret가 0xbf나 0x40으로 시작하면

오류 메시지를 출력하고 종료됩니다.

buffer에 값을 복사할때도 strcpy 대신 strncpy를 사용합니다.

조작 가능한 영역은 sfp와 ret 뿐입니다.

Fake EBP에 대한 개념을 모르시면 다음 글을 읽고 오세요.

 -> 

gdb로 열어봅니다.

Stack을 0x28(40)만큼 확보합니다.

buffer로 ebp를 돌려야하므로 buffer 시작 주소를 찾아야합니다.

buffer의 주소를 찾기 위해 buffer에 접근하는 strncpy() 주변을 살펴봅니다.

0xbffffab0부터 buffer가 시작됩니다.

FEBP를 위한 leave와 ret가 있는 주소를 찾아봅니다.

0x080484df에 있습니다.

system()을 통해 /bin/sh를 실행하겠습니다.

system()의 주소는 0x40058ae0 입니다.

이제 libc.so.6 내부의 "/bin/sh"의 주소를 찾아야합니다.

전에 만들었던 프로그램을 돌려줍니다.

"/bin/sh"의 주소는 0x400fbff9입니다.

sfp를 buffer 주소보다 4 작은 주소로 바꾸고

ret를 leave로 돌아가게 만들고

buffer에는 system()을 실행하도록

값을 저장하면 됩니다.

Stack 구조

Low addr

High addr

공격해봅니다.

공격에 성공했습니다.