System/System 문제풀이

문제를 보면 길이가 좀 줄어들었다. ret주소의 두번째byte가 \xff이면 안된다는 새로운 조건이 생겼다.따라서 \xff에서 제일 가까운 \xfe로 ret주소를 돌려야한다.스택은 거꾸로 커진다. 예를 들어 배열 크기가 10만이면 높은 주소에서 낮은주소로 10만만큼 크기를 할당한다.이를 이용해서 argv[1]에 큰수를 인자로 줘서 ebp가 0xbffe~로 가게해야한다. 일단 65535이상은 할당이 되야 0xbffe~부분에 ret를 설정할 수 있다. nop을 7만개 넣었을때 대략적인 스택구조 gdb로 값이 제대로 들어가는지 확인을 했다.ebp부분을 보면 0xbffeeb0c이니 조건은 만족한다. ret주소는 적당히 0xbffefeaf로 정했다.0xbffefeaf를 보면 nop으로 가득차있어서 nopslide..

코드를 보면 좀 골치아프게 되어있다.이전 까지의 문제에서는 argv의 갯수에 제한이 없었는데, 이 문제는 2개로 제한이 되어있다.따라서 argv[2]를 이용할 수 없다.또한 마지막 부분에 argv[1]부분을 0으로 초기화 하고 있다.따라서 argv[0]을 이용하거나, python으로 exec류의 함수를 써서 exploit을 작성해야한다. 우선 첫번째 방법으로 argv[0]을 이용한다.argv[0]에는 실행시키는 파일의 이름이 나온다.보통 환경변수와 같이 스택의 제일 마지막 부분에 있다. 확인을 해보면 argv[0]에 해당하는 string이 2개가 있다.c로 argv[0]의 주소를 출력해주는 프로그램을 만들어서 확인해보면 위의 빨간줄에 해당하는 주소가 나온다. 하지만 memset을 하고난 이후에 break..

이전 문제에서 조건이 한개 더 늘었다.argv[0]의 길이가 77이 아니면 종료가 되는 조건이 생겼다.따라서 gdb로 분석을 할때는 홈폴더파일 /tmp 하위경로로 복사를 한 후,그 파일이름의 길이를 (77-경로 이름의 길이)로 바꿔준 후 진행했다. 실행파일의 길이만 잘 맞으면 이전문제의 exploit을 ret주소만 빼고 그대로 사용할 수 있다.ret주소를 알기위해 *(argv+2)의 주소를 확인했다.0xbffffd69라고 나와있고 \x90값이 잘 채워져 있는것을 확인할 수 있다. 이를 토대로 전의 익스플로잇에서 약간만 수정했다. [exploit code]./orge `python -c 'print "\x90"*44 + "\x0f\xfc\xff\xbf"'` `python -c 'print "\x90"*51..

코드를 보면 환경변수초기화 + ret주소 최상위비트가'\xbf' + argv[1]의 길이 제한이렇게 3개의 조건이 붙어있다. gdb로 살펴보면 buf의 크기는 40이고, argv[1]을 buf에 복사하므로,argv[1]로 ret까지 덮어주고, ret주소를 argv[2]에 해당하는 범위로 해준다.그리고 argv[2]에는 nop sled와 shellcode를 적는다. strcpy의 뒷부분에 브레이크를 잡아놓고 적당한 인풋값을 넣어 실행을 시킨 후,스택의 주소들을 확인한다.ebp+c에는 **argv값이 들어있고, 그 값을 따라가면*argv[0~]주소들이 차례대로 있다.3번째 값에 해당하는 주소를 보면 argv[2]에 값들이 정확이 들어가 있는것을 볼 수 있다.이 주소를 토대로 익스플로잇을 작성했다. argv[..

코드를 보면 이전 문제와 거의 비슷한데 한가지 조건이 더 추가가 되었다.입력 버퍼를 0으로 모두 초기화 시킨다.따라서 ret주소를 입력버퍼로 하지 못하고, 쉘코드를 입력버퍼에 넣지 못한다.이전 문제에서도 어처피 ret주소를 입력버퍼 주소로 하지 않았기 때문에 거의 동일한 exploit를 가지고 공격을 할 수 있다. 입력버퍼의 크기도 딱 40이다.따라서 이전과 같이 스택의 구조는 다음과 같다. ret를 계산하기 위해 strcpy뒤에 브레이크를 걸어놓고 대충 인자를 넣어 스택주소를 확인을 했다. exploit code./wolfman `python -c 'print "\x90" * 44 + "\xa0\xfc\xff\xbf" + "\x90" * 300 + "\x31\xc0\x50\x68\x2f\x2f\x73\..

orc.c를 보면 environ[i]를 0으로 초기화 시켜주고있다.environ에는 환경변수들이 들어있고 이를 초기화 시켜주고 있다.환경변수를 이용하여 쉽게 풀는걸 방지 하는 부분이다. gdb로 보면 ebp-40부분에 argv[1]의 값을 복사한다.따라서 스택의 구조는 이런식으로 된다. 따라서 dump40개 + ret + nop sled + shellcode 이런식으로 exploit을 작성하면 된다.코드 부분에 argv[1][47]이 '\xbf'인지 확인을 하는데 이는 ret주소의 최상위비트가 bf인지 확인을 하는것이다. 어처피 스택주소로 리턴을 하기 때문에 크게 생각할 필요 없이 exploit을 작성하면된다. strcpy뒷 부분으로 잡아놓고 대충 값을 넣어 실행을 시켜 스택주소를 확인을 한다.그리고 n..

우선 바이너리가 어떤건지 확인을 하고, 메모리 보호기법도 확인을 먼저 했다. 32bit ELF파일이고, canary와 nx가 켜져있는것을 확인했다. IDA를 이용해서 cat flag가 있는 곳을 중심으로 분석했다. 0x08048526을 보면 [ebp+arg_0]와 0xBADB0169를 비교해서 맞으면 system함수가 실행되어 flag를 볼 수 있다.gdb를 이용해서 저 부분에 break를 걸고 스택주소를 확인했다. 적당히 a를 몇개 넣고 실행을 시켰다. gets함수를 보면 ebp-0x2c가 입력buf의 주소임을 알 수 있고, eip에서 ebp+0x8부분과 특정 수를 비교한다.ebp+0x8부분을 덮을수 있으면 보호기법이 켜져있든 말든 바로 flag를 볼 수 있다. 주소차이가 52만큼 난다.따라서 52개의..

goblin.c를 보면 main에 인자가 없고 크기16인 버퍼에 값을 입력하는 간단한 구조이다.shell코드가 16보다 크기 때문에 다른 방법을 찾아야한다. main을 보면 dummy가 없이 깔끔하게 되어있다. 나는 ret뒤쪽을 nop으로 채우고 그 뒤에 shellcode를 삽입하는 형태로 공격을 했다.스택구조는 아래와 같다. 이런식으로 진행을 공격을 할거다.일단 스택에 값을 채워넣고 ebp+8의 주소를 알아냈다. 시작시 인자를 입력할 수 없으므로, python코드를 간단히 짠 뒤 출력을 해주고 그 출력된 txt파일을 입력하는 형태로 실행했다. ebp+8의 주소는 0xbffffc90이다.여기 부터 nop을 256개 채우고 그 뒤에 쉘코드를 입력할 것이다.리턴주소는 0xbffffc90이 아닌 조금 뒤의 주..

코드를 보면 1번 문제와 거의 비슷한데 argv의 갯수 제한이 없고 버퍼의 크기가 작다.따라서 argv를 이용해서 쉘을 따면 된다. gdb로 보면 dummy가 없고 평범하게 되있다.스택 구조를 보면 이런식으로 된다. argv[1]에는 ret를 argv[2]로 덮어줄 값을 입력하고 argv[2]에는 쉘코드를 넣어 주면 된다. 적당한 곳에 브레이크를 걸어 놓고 첫번째 인자로 nop을 24개 입력해서 ret까지 덮어 보고,두번째 인자의 주소를 알기위해 임시로 A를 30개 입력했다. ebp+12에 **argv가 있기 때문에 0xbffffc74의 값을 12바이트 보면첫 4바이트는 argv[0]의 주소, 그다음 4바이트는 argv[1]의 주소, 그다음 4바이트는 argv[2]의 주소 이런식으로 된다.argv[2]의..

lob는 시작하면 bash2로 해야 정상적으로 쉘코드를 넣을 수 있다. 설명대로 간단한 bof예제이다.256크기의 버퍼에 argv[1]을 복사한다. gdb로 보면 esp에 0x100(256)만큼 크기를 할당하고 dummy는 없다.따라서 256 + SFP + RET 이런 스택구조를 가진다. \x90을 264개 채워서 진행을 해보면 ret까지 딱 덮히는 것을 볼 수 있다. exploit code `python -c 'print "\x90" * 176 + "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80" + "\x90" * 59 + "\x01\xfb\xff\xbf" ' ` 성공

보호되어 있는 글입니다.