slimV

함수를 호출합니다.

대신 코드는 엄청 짧아졌습니다.

함수 내부에는 strcpy가 아닌 strncpy가 있습니다.

strncpy의 함수 원형을 찾아보면 다음과 같습니다.

기본 역할은 strcpy와 동일합니다만 복사하는 size가 정해져 있습니다.

하지만 위의 코드에서 buffer는 40-byte인데 복사하는 길이는 41-byte입니다.

코드를 뜯어보면 뭔가 힌트가 나올듯 합니다.

problem_child()를 disassemble 해봤습니다.

strncpy를 call 하기 전에 41, src, buffer를 차례로 넘기는 것을 확인할 수 있습니다.

Stack frame의 개념을 모르시면 다음 글을 읽고 오세요.

 -> http://slimv.tistory.com/entry/Stack-frame

buffer에 접근하는 problem_child+27에 Break point를 걸고 eax를 확인해 보겠습니다.

problem_child의 Stack frame이 보입니다.

그리고 sfp의 끝부분이 42로 덮어씌워진 것을 확인할 수 있습니다.

이를 이용해 leave 명령이 실행 될 때 프로그램의 흐름을 바꿀 수 있습니다.

main에서 shell code 쪽으로 return 하도록 조작하면 될 듯 합니다.

main 함수에서 problem_child를 call하는 부분 뒤쪽을 봅니다.

Stack을 정리하고, sfp를 설정하고, ret를 설정합니다.

problem_child가 종료된 직후 esp에서 8-byte 떨어진 주소에 ret 값을 갖고 있도록 조작하면 됩니다.

계산하기 귀찮으니 그냥 spray를 쓰겠습니다.

Stack 구조

Low addr

...

High addr

shell code의 위치를 확인하기 위해 argv[1]에 접근하는 main+44에 Break point를 걸고 edx를 확인합니다.

nop slide가 보입니다.

중간쯤에 떨어지게 0xbffffc19에 떨어뜨리면 되겠습니다.

공격에 성공했습니다.

코드가 짧습니다.

argv[1]의 48번째 값이 0xbf 인지 체크하는 부분과

stack destoryer가 있습니다.

ultra argv hunter보다 더 무섭습니다.

코드를 보니 buffer에서 48-byte 떨어진 부분부터 0xbfffffff까지 다 0으로 초기화 합니다.

아...................................................................................................

진짜 답이 안보입니다.

RTL 말고도 있다고 해서 한참을 고민하다가 결국 지인에게 물어봤습니다.

LDP를 쓰라고 합니다.

LD_PRELOAD의 개념을 모르시면 다음 글을 읽고 오세요.

 -> http://slimv.tistory.com/entry/LDPRELOAD

LDP 쓰지말라고 적혀있었던거 같은데

확인해보니 my-pass에 대해서만 쓰지말라고 적혀있습니다.

LDP를 사용합니다.

그냥 라이브러리 이름에다가 shell code를 심겠습니다.

사용할 라이브러리를 만들고 LDP에 등록합니다.

메모리상에 로드된 라이브러리 이름을 찾기 위해 임시로 컴파일한 파일을 gdb로 열어봅니다.

main 함수가 종료되는 시점인 main+166에 Break point를 걸고 stack을 봅니다.

실행할 때 ret 주소값이 0xbf로 시작하게 맞춰줘야 합니다.

0xbffff5c0부터 nop slide가 보입니다.

nop slide 중간쯤에 return을 해줍니다.

공격에 성공했습니다.

그렇다고 합니다.

/tmp/level5.tmp 안에 뭔가 정보가 있을듯 합니다.

/usr/bin/level5를 실행하고 /tmp로 가봤습니다.

level5.tmp가 없습니다.

/usr/bin/level5이 종료될 때 삭제하는듯 합니다.

그렇다면 떠오르는게 한가지 있을겁니다.

없으면 죄송합니다.

Race condition에 대한 개념을 모르시면 다음 글을 읽고 오세요.

 -> http://slimv.tistory.com/entry/Race-condition

Race condition을 이용해 /tmp/level5.tmp의 내용을 뜯어봅시다.

/usr/bin/level5를 반복적으로 실행하게 합니다.

/tmp/level5.tmp를 what에다 Symbolic Link를 반복적으로 걸어줍니다.

race1을 Background에서 실행하도록 하고 race2를 실행합니다.

what을 열어보니 level6의 password가 나왔습니다.

심어놓았다고 합니다.

xinetd.d는 시스템 부팅시 보통 자동으로 돌아가도록 설정되어 있으며

telnet, ftp 등 각종 서비스가 올라갑니다.

/etc/xinetd.d를 확인하면 돌아가는 서비스를 확인할 수 있습니다.

가서 확인해보면 뭔가 나올듯 합니다.

찾아봅니다.

뒤져볼 필요도 없습니다.

이름부터 당당하게 backdoor라고 해놨습니다.

뜯어보니 finger를 살짝 바꿔놨습니다.

finger는 원래 시스템 상의 사용자들에 대한 정보를 보여주는 명령어입니다.

finger를 쓰면 뭔가 나올듯 합니다.

아왜

정상작동합니다.

사용자 정보도 정상적으로 가져옵니다.

해당 서버에 root를 찾아볼려고 했더니 level5의 password가 나왔습니다.