slimV

4번 문제와 비슷한데 egghunter가 없어지고

argv[1]의 47번째 값이 0xff인 경우 에러 메시지를 출력하고 종료합니다.

argv 개수 제한이 없으므로 argv[2]에 shellcode를 넣도록 하겠습니다.

Stack 구조

Low addr

High addr

shell code가 올라가는 주소를 찾기 위해 임시로 컴파일한 파일을 gdb로 열어봅니다.

argv[2]는 argv[1] 바로 뒤에 있기 때문에 argv[1]에 접근하는 strcpy에 Break point를 걸고 stack을 봅니다.

main+127에 Break point를 걸고 stack을 확인해 보겠습니다.

실행할 때 ret 주소값이 0xbf로 시작하게 맞춰줘야 합니다.

argv[2]가 시작되는 주소는 0xbffffbf1 입니다.

ret에 저장된 주소는 맨 앞은 0xbf 여야만 하고, 그 다음은 0xff가 되선 안됩니다.

그럼 길게 생각할것 없이 주소를 바꾸면 됩니다.

argv[2]를 엄청 길게 넣어주고 시작 주소를 찾아봅니다.

shell code 앞에 nop slide를 1000-byte를 줘 봤습니다.

0xbffff86d가 나왔습니다.

갈 길이 멉니다.

nop slide를 10000-byte를 줘 봤습니다.

0xbffffd545가 나왔습니다.

아직도 갈 길이 멉니다.

아왜

nop slide를 100000-byte를 줘 봤습니다.

0xbffe75b5가 나왔습니다.

공격합니다.

공격에 성공했습니다.

6번 문제에서 argc가 2여야 하고, argv[1]을 초기화 하는 부분이 추가되었습니다.

buffer도 초기화 되고, argv[1]도 초기화되므로 남는 부분은 argv[0]입니다.

argv[0]에 shell code를 넣고 풀면 됩니다.

Stack 구조

Low addr

High addr

프로그램 분석을 위해 임시로 컴파일한 파일에 링크를 걸고 gdb로 열어봅니다.

링크를 건 파일의 이름은 shell code로 이루어져 있어야 합니다.

argv[0]은 argv[1] 바로 앞에 있기 때문에 argv[1]에 접근하는 strcpy에 Break point를 걸고 stack을 봅니다.

main+232에 Break point를 걸고 stack을 확인해 보겠습니다.

실행할 때 ret 주소값이 0xbf로 시작하게 맞춰줘야 합니다.

대충 보니 0xbffffb51 부터 nop slide가 보입니다.

이제 공격을 위해 troll에 링크를 걸고 공격합니다.

nop slide 중 아무데나 return 합니다.

실패했습니다.

몇번을 해봐도 안됩니다.

아왜

gdb로 argv[0] 위치 구하는것도 이젠 질립니다.

troll의 소스코드가 있으니 편법을 써보겠습니다.

소스코드 마지막에 argv[0]의 주소를 출력하게 했습니다.

컴파일하고 해당 파일에 위와 같은 방법으로 링크를 걸어줍니다.

링크 파일을 실행합니다.

argv[0]의 위치가 0xbffffaa2라고 나옵니다.

공격해봅니다.

공격에 성공했습니다.

6번 문제에서 한가지가 더 추가되었습니다.

argv[0]의 길이가 77이 아니면 에러 메시지를 출력하고 종료합니다.

링크를 걸어서 풀면 됩니다.

링크의 개념을 모르시면 다음 글을 읽고 오세요.

 -> http://slimv.tistory.com/entry/SymbolicHard-link

argv[0]의 길이를 77로 맞추고

argv[1]의 48번째 값을 0xbf로 맞춰주고

argv[2]에다 shell code를 넣어주면 됩니다.

Stack 구조

Low addr

High addr

프로그램을 분석하기 위해 임시로 컴파일한 파일에 링크를 걸고 gdb로 열어봅니다.

링크 파일의 이름은 현재 위치를 포함하고 77자리여야 합니다.

argv[2]는 argv[1] 바로 뒤에 있기 때문에 argv[1]에 접근하는 strcpy에 Break point를 걸고 stack을 봅니다.

main+270에 Break point를 걸고 stack을 확인해 보겠습니다.

실행할 때 ret 주소값이 0xbf로 시작하게 맞춰줘야 합니다.

shell code가 들어갈 주소는 0xbffffba8 입니다.

이제 공격을 하기위해 orge에 링크를 건 파일을 생성합니다.

argv[0]이 ./를 포함해 77자리가 되도록 만들어야 합니다.

nop slide를 채우고 뒤에 shell code를 입력하고 slide 중간에 return 해줍니다.

공격에 성공했습니다.

5번 문제와 동일합니다만 argv[1]의 길이를 체크하는 부분이 추가되어 있습니다.

argv[1]의 길이가 48보다 큰 경우 에러 메시지를 출력하고 종료합니다.

argv[1]은 딱 ret를 덮어쓰는 용도로만 사용 가능하게 되었습니다.

길게 생각할것 없이 간단하게 argv[2]를 씁니다.

argv[1]의 48번째 값을 0xbf로 맞춰주고

argv[2]로 shell code를 넘겨주면 됩니다.

Stack 구조

Low addr

High addr

shell code가 올라가는 주소를 찾기 위해 임시로 컴파일한 파일을 gdb로 열어봅니다.

argv[2]는 argv[1] 바로 뒤에 있기 때문에 argv[1]에 접근하는 strcpy에 Break point를 걸고 stack을 봅니다.

main+232에 Break point를 걸고 stack을 확인해 보겠습니다.

실행할 때 ret 주소값이 0xbf로 시작하게 맞춰줘야 합니다.

shell code가 들어갈 주소는 0xbffffbe1 입니다.

nop slide를 채우고 뒤에 shell code를 입력하고 slide 중간쯤에 return 해주면 됩니다.

공격에 성공했습니다.