System

문제가 더 있는줄 알았는데 끝이다 ;이제 fc4풀어야지

/* The Lord of the BOF : The Fellowship of the BOF - dark_stone - Remote BOF on Fedora Core 3 - hint : GOT overwriting again - port : TCP 8888 */ #include // magic potion for you void pop_pop_ret(void) { asm("pop %eax"); asm("pop %eax"); asm("ret"); } int main() { char buffer[256]; char saved_sfp[4]; int length; char temp[1024]; printf("dark_stone : how fresh meat you are!\n"); printf("you : ");..

/* The Lord of the BOF : The Fellowship of the BOF - evil_wizard - Local BOF on Fedora Core 3 - hint : GOT overwriting */ // magic potion for you void pop_pop_ret(void) { asm("pop %eax"); asm("pop %eax"); asm("ret"); } int main(int argc, char *argv[]) { char buffer[256]; char saved_sfp[4]; int length; if(argc < 2){ printf("argv error\n"); exit(0); } // for disturbance RET sleding length = strlen..

문제를 보면 sfp를 수정할 수 없게 되어있다.이전 문제와 비교했을때 거의 똑같지만 차이점이 있다면 이 문제는 Remote BOF문제이다.따라서 ret sleding방법을 사용하더라도 심볼릭 링크를 걸어줄 수 없기 때문에 불가능하다. 힌트를 보면 fake ebp와 got overwriting이 있다. 나는 먼저 got overwriting으로 접근을 했다.strcpy함수를 이용해 memcpy의 got를 system이나 execl같은 함수의 주소로 덮어 씌우고, bss섹션에 '/bin/sh'문자열을 저장시키려고 했다. 그런데 필요한 가젯을 몇개 찾을 수 없었다. 따라서 fake ebp방법으로 다시 공격을 시도했다. 일단 main함수의 sfp로는 ebp를 바꿀 수 없기 때문에, main함수가 종료되고 난 후..

lob와는 다르게 fc3에서는 코드 하이라트가 되서 vi로 보기가 좋다.무튼 이번 문제 코드를 보면 1번문제와 비슷하다.하지만 SFP를 복사해 두었다가 다시 복구시키기 때문에 FakeEBP를 사용할 수가 없다.힌트에도 적혀있듯이 1번문제의 두번째 방법과 동일한방법으로 문제를 풀 수 있다. ebp뒤쪽을 찾아보면 ebp+24에 있는 값을 살펴보면 널값으로 끝나서 execl의 인자로 넣을수있다.스택의 구조를 살펴보면 dummy + ret*3 + execl 로 익스플로잇을 짜면 쉘을 딸 수있다. ret주소를 찾는다. 여러개 있으므로 아무거나 사용하면 된다. 아까 찾았던 execl의 인자로 쓸값을 심볼릭링크로 건다. 필요한 정보를 다 찾았다.이를 토대로 작성한 익스플로잇이다.

문제 코드를 보면 굉장히 간단하다.하지만 FC3에서는 메모리 보호기법들이 적용된 문제들이여서 좀더 생각을 해야한다.자세한 보호기법의 설명은 이론에 따로 포스팅 해놨기 때문에 생략한다. 스택의 주소가 계속 바뀐다.aslr이 적용 되 있음을 짐작할 수 있다. ascii-armor가 적용이 되어 라이브러리주소의 최상위 비트가 \x00이다.그리고 nx가 걸려있어 스택영역의 실행권한도 없다.따라서 쉘코드 없이 단 한번의 함수 호출로 이 문제를 풀어야된다.이럴땐 exec* 계열 함수를 이용해 문제를 풀 수 있다.그리고 다른 방법으로 ROP가젯은 아니지만 비슷한 느낌인 ret sleding을 이용하는 방법이있다. 우선 첫번째 방법으로 먼저 풀었다.나는 execl이 익숙해서 이 함수를 이용해 문제를 풀었다.execl(..

우선 실행파일을 살펴보면 stack canary와 nx보호기법이 적용되어 있는 실행파일이다. 스트링을 보면 TheServerHasTheFlagHere이라고 적혀있다.아마 서버측에는 저 부분에 플래그가 있다고 방향을 제시해주는것 같다. 보라색 네모부분을 보면 입력을하고 엔터를 치면 32바이트 크기 - 입력한크기 만큼 초기화가 된다.즉 입력한 문자열이 32바이트보다 작으면 0x600D20에 저장이된다.따라서 ServerFlagHere어쩌고 적혀있는 문자열을 정상적으로 출력을 할 수가없다. 실행파일에 A를 많이 넣어서 보내면 세그먼트폴트가 발생하고 argv[0]이 출력되는듯 보인다.이 argv[0]을 이용해서 flag를 출력할 방법을 찾아보았다. 디버깅을 하며 32C3이라는 문자열을 찾아보니 0x600d20말..

코드를 보면 6666포트를 열어 대기하고 있다가 클라이언트가 접속을 하면 클라이언트가 보낸 256바이트의 데이터를 크기가 40인 buf에 넣으면서 bof가 발생할 수 있다. 일단 어떤 프로그램으로 컴파일 시켜 실행시키고 있는지 확인하기 위해 netstat으로 6666포트를 사용하고 있는 프로세스를 보았으나 권한이 없어 보지 못했다.이제 방법은 리버스쉘을 이용하는건데리버스쉘은 간단하게 얘기해서 공격대상 서버의 쉘을 공격자의 ip, 포트에 연결을 한다고 생각하면 된다. 네트워크를 통해 공격을 해야하므로, 일반 쉘코드를 이용을 하면 쉘을 따더라도 그 연결을 지속해줄수가 없다.따라서 쉘을 따서 그 연결을 외부로 돌려주는 쉘코드가 필요하다. 리버스쉘에 필요한 쉘코드는 메타스플로잇을 이용하면 쉽게 만들 수 있다. ..

코드를 보면 buffer에 fgets함수를 통해 256바이트만큼 표준입력을 받는다.gdb를 통해 보면 buffer의 주소는 ebp-40이다.따라서 buffer+47의 ret주소의 최상위바이트이다.이 최상위 바이트가 '\xbf', '\x08'이 되면 함수가 종료된다.즉 스택이나 data, bss, dtors 섹션 등을 이용 할 수가 없다. 이제 남은 곳은 힙 부분과 memset에서 제외된 buf-40 ~ buf까지 40byte이다.근데 buf는 스택부분이라 \xbf로 주소가 시작한다.따라서 힙 부분에서 쓸만한 곳을 찾아야한다. 코드를 보면 fgets함수에서 stdin 표준스트림을 이용해서 입력을 받는다.표준 입력을 받을때는 read함수를 이용해 엔터를 칠때까지 임시입력버퍼에 저장을 해놓고 buffer에 저..

문제를 보면 우선 argv[1]의 44번째 부터 4바이트가 strcpy의 주소와 같아야 한다.buf의 크기가 ebp-40부터 시작하기 때문에 조건문을 뛰어넘으면 strcpy함수에 의해 main함수의 ret가 strcpy로 덮힌다.그리고 memset으로 strcpy의 리턴addr이 'AAAA'로 설정된다. strcpy함수는 특정 주소(&DST)에 특정 주소(&SRC)의 값들을 복사하는 역할을 한다.따라서, 무조건 strcpy함수가 실행이 되기 때문에 strcpy가 종료되고 ret하는 부분을 쉘코드, RTL등을 이용하여 쉘을 따면 된다. 나는 RTL을 이용하여 문제를 풀었다.strcpy &DST는 strcpy의 ret부분인 buf+48부분이다.그리고 RTL payload를 넣을주소가 strcpy의 &SRC에..

/* The Lord of the BOF : The Fellowship of the BOF - succubus - calling functions continuously */ #include #include #include // the inspector int check = 0; void MO(char *cmd) { if(check != 4) exit(0); printf("welcome to the MO!\n"); // olleh! system(cmd); } void YUT(void) { if(check != 3) exit(0); printf("welcome to the YUT!\n"); check = 4; } void GUL(void) { if(check != 2) exit(0); printf("wel..

문제를 보면 ret주소의 첫번째 바이트가 \x40이나 \xbf가 되지 않는다.그리고 argv[1]에서 48바이트 만을 들고온다.따라서 기존의 방법은 사용할 수가 없다.근데 이전에 문제중에 함수에서 sfp의 1바이트를 수정하여 main함수가 종료될 때 ret를 바꿀수 있었다.이 문제는 함수안에서 sfp를 수정할 수는 없지만 ret주소를 바꿀수 있기 때문에 동일한 방법으로 공격이 가능하다. 즉, sfp주소를 buf의 시작주소로 잡고 ret주소를 leave명령어가 호출되는 곳의 주소로 한다.buf의 구조는 이전에 풀었던 문제와 거의 같다. 이와 같이 작성하면 첫 leave가 호출될때 ebp가 buf+0주소로 된다.그리고 ret를 할때 다시 leave로 돌아간다. 그리고 두번째 leave에서 ebp는 buf+0..