System/System 문제풀이

우선 실행파일을 살펴보면 stack canary와 nx보호기법이 적용되어 있는 실행파일이다. 스트링을 보면 TheServerHasTheFlagHere이라고 적혀있다.아마 서버측에는 저 부분에 플래그가 있다고 방향을 제시해주는것 같다. 보라색 네모부분을 보면 입력을하고 엔터를 치면 32바이트 크기 - 입력한크기 만큼 초기화가 된다.즉 입력한 문자열이 32바이트보다 작으면 0x600D20에 저장이된다.따라서 ServerFlagHere어쩌고 적혀있는 문자열을 정상적으로 출력을 할 수가없다. 실행파일에 A를 많이 넣어서 보내면 세그먼트폴트가 발생하고 argv[0]이 출력되는듯 보인다.이 argv[0]을 이용해서 flag를 출력할 방법을 찾아보았다. 디버깅을 하며 32C3이라는 문자열을 찾아보니 0x600d20말..

코드를 보면 6666포트를 열어 대기하고 있다가 클라이언트가 접속을 하면 클라이언트가 보낸 256바이트의 데이터를 크기가 40인 buf에 넣으면서 bof가 발생할 수 있다. 일단 어떤 프로그램으로 컴파일 시켜 실행시키고 있는지 확인하기 위해 netstat으로 6666포트를 사용하고 있는 프로세스를 보았으나 권한이 없어 보지 못했다.이제 방법은 리버스쉘을 이용하는건데리버스쉘은 간단하게 얘기해서 공격대상 서버의 쉘을 공격자의 ip, 포트에 연결을 한다고 생각하면 된다. 네트워크를 통해 공격을 해야하므로, 일반 쉘코드를 이용을 하면 쉘을 따더라도 그 연결을 지속해줄수가 없다.따라서 쉘을 따서 그 연결을 외부로 돌려주는 쉘코드가 필요하다. 리버스쉘에 필요한 쉘코드는 메타스플로잇을 이용하면 쉽게 만들 수 있다. ..

코드를 보면 buffer에 fgets함수를 통해 256바이트만큼 표준입력을 받는다.gdb를 통해 보면 buffer의 주소는 ebp-40이다.따라서 buffer+47의 ret주소의 최상위바이트이다.이 최상위 바이트가 '\xbf', '\x08'이 되면 함수가 종료된다.즉 스택이나 data, bss, dtors 섹션 등을 이용 할 수가 없다. 이제 남은 곳은 힙 부분과 memset에서 제외된 buf-40 ~ buf까지 40byte이다.근데 buf는 스택부분이라 \xbf로 주소가 시작한다.따라서 힙 부분에서 쓸만한 곳을 찾아야한다. 코드를 보면 fgets함수에서 stdin 표준스트림을 이용해서 입력을 받는다.표준 입력을 받을때는 read함수를 이용해 엔터를 칠때까지 임시입력버퍼에 저장을 해놓고 buffer에 저..

문제를 보면 우선 argv[1]의 44번째 부터 4바이트가 strcpy의 주소와 같아야 한다.buf의 크기가 ebp-40부터 시작하기 때문에 조건문을 뛰어넘으면 strcpy함수에 의해 main함수의 ret가 strcpy로 덮힌다.그리고 memset으로 strcpy의 리턴addr이 'AAAA'로 설정된다. strcpy함수는 특정 주소(&DST)에 특정 주소(&SRC)의 값들을 복사하는 역할을 한다.따라서, 무조건 strcpy함수가 실행이 되기 때문에 strcpy가 종료되고 ret하는 부분을 쉘코드, RTL등을 이용하여 쉘을 따면 된다. 나는 RTL을 이용하여 문제를 풀었다.strcpy &DST는 strcpy의 ret부분인 buf+48부분이다.그리고 RTL payload를 넣을주소가 strcpy의 &SRC에..

/* The Lord of the BOF : The Fellowship of the BOF - succubus - calling functions continuously */ #include #include #include // the inspector int check = 0; void MO(char *cmd) { if(check != 4) exit(0); printf("welcome to the MO!\n"); // olleh! system(cmd); } void YUT(void) { if(check != 3) exit(0); printf("welcome to the YUT!\n"); check = 4; } void GUL(void) { if(check != 2) exit(0); printf("wel..

문제를 보면 ret주소의 첫번째 바이트가 \x40이나 \xbf가 되지 않는다.그리고 argv[1]에서 48바이트 만을 들고온다.따라서 기존의 방법은 사용할 수가 없다.근데 이전에 문제중에 함수에서 sfp의 1바이트를 수정하여 main함수가 종료될 때 ret를 바꿀수 있었다.이 문제는 함수안에서 sfp를 수정할 수는 없지만 ret주소를 바꿀수 있기 때문에 동일한 방법으로 공격이 가능하다. 즉, sfp주소를 buf의 시작주소로 잡고 ret주소를 leave명령어가 호출되는 곳의 주소로 한다.buf의 구조는 이전에 풀었던 문제와 거의 같다. 이와 같이 작성하면 첫 leave가 호출될때 ebp가 buf+0주소로 된다.그리고 ret를 할때 다시 leave로 돌아간다. 그리고 두번째 leave에서 ebp는 buf+0..

문제를 보면 우선 스택영역에서 실행을 못하게 되어있고, RTL을 하지 못하도록 필터링 되어있다.또한 buf와 sfp를 이용하지 못하도록 초기화도 시킨다. 여기서 생각할 수 있는 방법은 ret를 적절한 곳으로 돌려야 하는데, ret를 호출하는 곳의 주소로 돌리면 된다.드래그 한 부분으로 돌리면 ret가 한번 더 실행된다. 그때의 ret주소는 그때의 ebp값이 된다. (ret = pop eip, mov eip 이 두개의 명령어 역할을 한다고 보면 된다.)따라서 최상위 바이트가 08로 시작하므로 필터링에 걸리지 않고 원하는 부분으로 이동하게 된다. 공격을 할때의 스택구조를 그려보면 다음과 같다.ret를 &argv[2]로 했는데, 이를 환경변수의 주소로 사용해도 좋고 system함수의 주소를 넣고 ebp+10의..

문제가 엄청 길어졌다.하지만 길기만 할 뿐, 이전 문제와 크게 다를것이 없다.ret와 execve_addr을 비교하는데, 위의 코드를 보면 execve_addr은 라이브러리에서 execve의 주소값을 구해서 저장시킨다.ret는 argv[1]의 44~47글자를 복사한 값이다.따라서 ret가 execve여야 하고, 이 함수를 이용해 RTL기법을 이용해 shell을 따야한다. 이전 문제와 거의 똑같다. 우선 스택의 구조이다. main의 ret는 execve가 되어야한다.여기서 execve가 실행된 후 ret는 /bin/sh를 실행시키기 위해 system주소가 되어야한다.system주소의 인자는 system함수가 실행중 일때의 ebp+8이므로, main의 ebp+10에는 /bin/sh의 주소가 들어가야한다.sy..

문제를 보면 RTL이라는 힌트가 있고, 스택에서 쉘코드를 바로 실행을 못하도록 해놓았다.따라서 힌트에 따라 RTL기법을 이용해서 문제를 풀었다.RTL이란, Return To Libc 라는 기법으로, 쉘코드를 실행시키는 대신, 공유라이브러리에 접근을 해서 바로 쉘을 실행시키는 방법이다.보통 system()함수나 execl()등 함수를 사용한다.(ebp+8의 값을 인자로 사용하기 때문에 접근하기 쉬움)더 자세한 개념은 구글에 많이 나와있다. 우선 이문제에서 RTL을 하기 위해 필요한 재료가 system()함수의 주소, /bin/sh의 주소, 버퍼크기, 등 이정도만 있으면 공격이 가능하다. system함수의 주소는 간단히 구할 수 있다. 버퍼의 크기는 40이다. 간단히 공유라이브러리에서 /bin/sh의 주소를..

문제를 보면 strncpy를 이용해서 딱 41바이트만 buf에 저장 시키는 것을 볼 수 있다.그렇기 때문에 40바이트(buf) + 1바이트를 이용해서 공격을 해야한다.버퍼의 크기는 40바이트이고 dummy가 없기 때문에 1바이트는 SFP의 최하위바이트를 수정한다.SFP는 지금 함수가 종료되고 난 후의 ebp값을 가지고 있다. ( 함수 시작할 때, push ebp, mov ebp, esp 이 부분에서 sfp에 ebp가 저장된다.)함수가 종료될 때 , leave명령어가 있는데, 이 부분에서 ebp에 sfp의 값을 받아온다. (leave명령어는 mov esp, ebp, pop ebp와 기능이 같다.)따라서 problem_child 함수를 호출하고 복귀 할때, main의 ebp를 바꿀수 있다. 이를 이용해서 풀..

golem.c를 보면 문제가 간단해 진거 같은 느낌인데 마지막을 보면 ret주소를 빼고는 모두 0으로 초기화 시켜버린다.따라서 앞에서 사용했던 방식들은 사용할 수가 없다.(환경변수, buffer이용, argv이용)따라서 다른 방법을 이용해야한다.다른 방법중 한개로 공유라이브러리를 사용하는 것인데,LD_PRELOAD를 환경변수에 등록시켜 놓으면 실행을 할때 우선적으로 설정해놓은 라이브러리를 참조한다.이 라이브러리의 정보들이 실행을 시킬 때, 스택어딘가에 저장이 되고 이를 이용해서 쉘을 따면된다. -fPIC는 독립적인 코드로 만들어 주며, 목적파일을 만들며, -shared는 목적파일을 이용해 공유라이브러리를 생성할 때 사용하는 옵션이다. 공유라이브러리를 만들때는 보통 두 옵션을 함께 사용한다. 위에서 만들어..

문제를 보면 환경변수,buffer도 초기화시키고, argv를 main함수 종료전에 모두 초기화 시킨다.troll문제에서 풀면서 봤듯이 모두 초기화되도 경로는 남아있는 것을 보았다.그렇기 때문에 파일이름을 쉘코드로 심볼릭링크를 이용해서 만들고 ret주소를 bruteforcing하면 된다. 브루트포싱을 하는 python exploit이다. 파일이름의 앞에 nopslide를 만들지 않았기 때문에 최하위비트를 -1씩 감소시킨다.(nopslide를 적당한 크기로 주면 루프횟수를 줄일수 있으나 속도차이가 없음) 실행을 시키면 쉘이 따진다.