'Wargame'에 해당되는 글 454건

코드를 보면 이전단계와 같이 버퍼에 쉘코드를 넣을 수 없다. 버퍼에 입력되는 값이 실행파일의 인자값에서 사용자 입력값으로 바뀌었다는 것 빼고는 달라진게 없다.

입력하는 형식만 바꿔줘서 이전과 같이 환경변수에 쉘코드 올린상태로 익스하면 된다.

코드를 보면 버퍼 크기가 작아 버퍼에 쉘코드만 못올릴뿐 일반적인 bof다. 환경변수에 쉘코드 올려놓고 ret덮어주면 된다.

잘나온당.

코드를 보면 기본적인 bof 문제다.

환경변수에 쉘코드 세팅해놓고 RET에 환경변수 주소 덮어줬다.

잘나온당.

코드를 보면 다음과 같다. 특별할게 없는 코든데 setreuid가 없어서 권한상승이 안된다.

두가지 방법으로 풀 수 있는데 setreuid가 포함된 쉘코드를 올리는 방법과 RTL Chaining으로 푸는 방법이 있다.

개념정리 및 연습도 할겸 RTL Chaining 기법으로 풀었다.

익스할 구조는 SFP + "setreuid 주소" + " gadget(pop pop ret)" + "setreuid 인자1" + "setreuid 인자2" + "system 함수주소" + "dummy 4byte" + "/bin/sh"

요렇게 해주면 된다.

그럼 이제 필요한 재료만 구해주면 된다.

먼저 호출할 함수들의 주소를 얻기 위해 간단히 소스짠 후 gdb로 주소를 구했다.

setreuid = 0x420d7920

system = 0x4203f2c0

다음으로 objdump로 gadget을 구했다. setreuid의 인자값이 2개이기 때문에 pop pop ret 구조인 gadget을 찾았다.

덤프된 내용을 보면 80489d 주소에 pop pop ret가 연속으로 이루어지고 있어 해당 주소를 사용했다.

마지막으로 /bin/sh 문자열이 담긴 주소를 구하면 되는데 system 함수내에 있는 /bin/sh를 구하는 방법과 환경변수에 /bin/sh를 등록하고 환경변수 구하는 두가지 방법 중 환경변수를 통해 구하는 방식을 썼다.

이제 필요한건 다 구했으니 그대로 익스해주면 된다.

잘나온당.

소스를 보면 다음과 같다. check 변수의 메모리 영역을 0xdeadbeef값으로 덮어야되는데 입력값이 들어가는 string 변수 영역이 check 변수보다 아래의 존재해 bof로는 덮을 수가 없다. 아래의 소스를 좀더 보면 switch문에서 0x08값이 들어오면 스트링 배열의 인덱스값이 1씩 감소한다. 즉 입력값으로 \x08을 한번 넣어주면 string[-1]요런식으로 들어가서 string 변수 위에 존재하는 check 변수 영역을 덮을 수 있게 된다.  

필요한 개념은 다 끝냈으니 바로 익스하면 되는데 string 배열 과 check 사이에 더미가 얼마 존재하는지 모른다. gdb로 까서 구하면 되겠지만 귀찮아서 그냥 4바이트씩 늘려가면서 대입했다.

소스를 보면 이전단계와는 다르게 함수포인터를 덮어서 대체할만한 쉘을 실행할수 있는 함수가 정의되어 있지 않다.

그럼 특정 메모리 영역에 쉘코드를 올려놓고 해당 메모리영역으로 함수포인터를 덮어주면 된다.

먼저 환경변수에 쉘코드를 올려놓았다.

gdb로 확인해보면 함수포인터는 buf 20byte + mmy 20byte + 함수포인터 요런식으로 이루어져있었고 바로 환경변수 주소 구한 뒤 익스했다.