System/System 문제풀이

문제에는 NX말고는 다른 보호기법은 딱히 안걸려있다. 문제 자체도 name입력, 서버상의 랜덤번호 6개를 맞추는 식으로 되어있다. 취약점은 서버의 랜덤번호 6개를 맞추면 이동하는곳에 있다. 보면 printf 함수를 호출하는데 name을 입력받은 버퍼의 주소를 그대로 인자로 넣어주고있다. 따라서 여기서 FSB취약점이 발생한다. 일단 FSB공격을 하기위해 서버의 랜덤번호를 맞추야 하는데 스택의 구조를 잘 살펴보면 name의 길이를 100으로 채우면 뒤에 4바이트에 seed값이 있기 때문에 seed값을 leak할 수 있다. 이러한 스택프레임 구조를 가진다. 먼저 seed값을 leak한 뒤, 그 값을 이용해 랜덤번호를 먼저 맞추고 난 뒤 fsb취약점을 이용해 libc의 주소를 leak하고, exit의 got를 ..

문제는 name을 입력하고 음악과 아티스트를 add, view, modify 하는 프로그램이다. 파일은 32bit 리눅스 실행파일이고, canary와 nx가 적용되어있다. main함수를 보면 memset을 통해 esp + 1C에다가 0x44C * 4만큼 0으로 초기화 해주고 있다. 그리고 바로 뒤에 canary가 들어가는 구조이다. esp를 0xfffffff0와 and연산하므로 일단 ret까지의 dummy가 8 + (0~16) + 4 만큼 필요하다. 그리고 name을 입력하는데 전역변수에 입력을 하기 때문에 원하는 문자열을 입력해서 사용할 수 있다. 이제 취약점이 있는 함수를 살펴보겠다. 여기서 구조체의 구조를 알 수있다. 이러한 구조로 되어있고 크기는 44바이트지만 music과 artist는 21바이트..

문제는 disk를 정하고 그 disk에 값을 write, read, modify하는 기능은 간단한 프로그램이다. 보호기법으로는 NX와 PIE가 적용되어있다... PIE는 라이브러리에 적용되는 aslr이라고 생각하면 된다. 보통 __libc_start_main으로 돌아가는 ret주소를 이용해 offset을 알아낸 후 익스플로잇을 한다. 함수프롤로그 부분과, disk의 해당하는 주소에 구조체를 만드는것을 볼 수 있다. write함수에서 구조체의 구조를 알 수 있다. flag(4), &data(4), description(10), empty(2), datasize(4) 이런 구조로 되어있다. ebp-0c에는 선택되어 있는 disk구조체의 주소가 저장되어있다. 위의 정보들을 종합하여보면 대충 이러한 스택프레임 ..

/* The Lord of the BOF : The Fellowship of the BOF - titan - Remote BOF on Fedora Core 4 - hint : ? - port : TCP 8888 */ #include #include #include #include static char buffer[40]; static void (*ftn)(); void print() { printf("nothing here\n"); fflush(stdout); } int main() { char buf[48]; ftn = print; printf("titan : What a tragic mistake.\n"); printf("you : "); fflush(stdout); // give me a food ..

/* The Lord of the BOF : The Fellowship of the BOF - enigma - Remote BOF on Fedora Core 4 - hint : ? - port : TCP 7777 */ #include #include #include #include int vuln(int canary,char *ptr) { char buffer[256]; int *ret; // stack overflow!! strcpy(buffer,ptr); // overflow protected if(canary != 0x31337) { printf("who broke my canary?!"); exit(1); } // preventing RTL ret = &canary - 1; if((*ret & 0..

코드를 보면 fc4의 첫 문제라 그런지 간단하다. hint에 ret sleding을 이용하라고 나와있으니 이를 이용했다.우선 main함수의 ebp뒤쪽을 찾아보았다. 여러번 실행시켜 보았는데 생각보다 변하지 않는 값들이 많다.제일 먼저 나오는 0x00795898을 사용하여 심볼릭 링크를 걸어 시도해보았다.근데 계속 세그먼트폴트가 발생하였다. strace를 이용해 보면 실제 인자와 gdb에서 보았던 인자가 달랐다. execl을 보니 인자로 ebp를 참조하지 않고 다른 레지스터를 참조하는 것이 보였다.따라서 gdb로 보는 것보다 strace를 이용해서 ret갯수를 한개씩 늘려가며 적당한 이름의 인자를 찾아보았다. ret를 7번 sleding하였을때 3글자의 인자가 나왔다.파일로 저장하여 xxd를 이용하여 헥스..

문제가 더 있는줄 알았는데 끝이다 ;이제 fc4풀어야지

/* The Lord of the BOF : The Fellowship of the BOF - dark_stone - Remote BOF on Fedora Core 3 - hint : GOT overwriting again - port : TCP 8888 */ #include // magic potion for you void pop_pop_ret(void) { asm("pop %eax"); asm("pop %eax"); asm("ret"); } int main() { char buffer[256]; char saved_sfp[4]; int length; char temp[1024]; printf("dark_stone : how fresh meat you are!\n"); printf("you : ");..

/* The Lord of the BOF : The Fellowship of the BOF - evil_wizard - Local BOF on Fedora Core 3 - hint : GOT overwriting */ // magic potion for you void pop_pop_ret(void) { asm("pop %eax"); asm("pop %eax"); asm("ret"); } int main(int argc, char *argv[]) { char buffer[256]; char saved_sfp[4]; int length; if(argc < 2){ printf("argv error\n"); exit(0); } // for disturbance RET sleding length = strlen..

문제를 보면 sfp를 수정할 수 없게 되어있다.이전 문제와 비교했을때 거의 똑같지만 차이점이 있다면 이 문제는 Remote BOF문제이다.따라서 ret sleding방법을 사용하더라도 심볼릭 링크를 걸어줄 수 없기 때문에 불가능하다. 힌트를 보면 fake ebp와 got overwriting이 있다. 나는 먼저 got overwriting으로 접근을 했다.strcpy함수를 이용해 memcpy의 got를 system이나 execl같은 함수의 주소로 덮어 씌우고, bss섹션에 '/bin/sh'문자열을 저장시키려고 했다. 그런데 필요한 가젯을 몇개 찾을 수 없었다. 따라서 fake ebp방법으로 다시 공격을 시도했다. 일단 main함수의 sfp로는 ebp를 바꿀 수 없기 때문에, main함수가 종료되고 난 후..

lob와는 다르게 fc3에서는 코드 하이라트가 되서 vi로 보기가 좋다.무튼 이번 문제 코드를 보면 1번문제와 비슷하다.하지만 SFP를 복사해 두었다가 다시 복구시키기 때문에 FakeEBP를 사용할 수가 없다.힌트에도 적혀있듯이 1번문제의 두번째 방법과 동일한방법으로 문제를 풀 수 있다. ebp뒤쪽을 찾아보면 ebp+24에 있는 값을 살펴보면 널값으로 끝나서 execl의 인자로 넣을수있다.스택의 구조를 살펴보면 dummy + ret*3 + execl 로 익스플로잇을 짜면 쉘을 딸 수있다. ret주소를 찾는다. 여러개 있으므로 아무거나 사용하면 된다. 아까 찾았던 execl의 인자로 쓸값을 심볼릭링크로 건다. 필요한 정보를 다 찾았다.이를 토대로 작성한 익스플로잇이다.

문제 코드를 보면 굉장히 간단하다.하지만 FC3에서는 메모리 보호기법들이 적용된 문제들이여서 좀더 생각을 해야한다.자세한 보호기법의 설명은 이론에 따로 포스팅 해놨기 때문에 생략한다. 스택의 주소가 계속 바뀐다.aslr이 적용 되 있음을 짐작할 수 있다. ascii-armor가 적용이 되어 라이브러리주소의 최상위 비트가 \x00이다.그리고 nx가 걸려있어 스택영역의 실행권한도 없다.따라서 쉘코드 없이 단 한번의 함수 호출로 이 문제를 풀어야된다.이럴땐 exec* 계열 함수를 이용해 문제를 풀 수 있다.그리고 다른 방법으로 ROP가젯은 아니지만 비슷한 느낌인 ret sleding을 이용하는 방법이있다. 우선 첫번째 방법으로 먼저 풀었다.나는 execl이 익숙해서 이 함수를 이용해 문제를 풀었다.execl(..