System

문제를 보면 우선 스택영역에서 실행을 못하게 되어있고, RTL을 하지 못하도록 필터링 되어있다.또한 buf와 sfp를 이용하지 못하도록 초기화도 시킨다. 여기서 생각할 수 있는 방법은 ret를 적절한 곳으로 돌려야 하는데, ret를 호출하는 곳의 주소로 돌리면 된다.드래그 한 부분으로 돌리면 ret가 한번 더 실행된다. 그때의 ret주소는 그때의 ebp값이 된다. (ret = pop eip, mov eip 이 두개의 명령어 역할을 한다고 보면 된다.)따라서 최상위 바이트가 08로 시작하므로 필터링에 걸리지 않고 원하는 부분으로 이동하게 된다. 공격을 할때의 스택구조를 그려보면 다음과 같다.ret를 &argv[2]로 했는데, 이를 환경변수의 주소로 사용해도 좋고 system함수의 주소를 넣고 ebp+10의..

문제가 엄청 길어졌다.하지만 길기만 할 뿐, 이전 문제와 크게 다를것이 없다.ret와 execve_addr을 비교하는데, 위의 코드를 보면 execve_addr은 라이브러리에서 execve의 주소값을 구해서 저장시킨다.ret는 argv[1]의 44~47글자를 복사한 값이다.따라서 ret가 execve여야 하고, 이 함수를 이용해 RTL기법을 이용해 shell을 따야한다. 이전 문제와 거의 똑같다. 우선 스택의 구조이다. main의 ret는 execve가 되어야한다.여기서 execve가 실행된 후 ret는 /bin/sh를 실행시키기 위해 system주소가 되어야한다.system주소의 인자는 system함수가 실행중 일때의 ebp+8이므로, main의 ebp+10에는 /bin/sh의 주소가 들어가야한다.sy..

문제를 보면 RTL이라는 힌트가 있고, 스택에서 쉘코드를 바로 실행을 못하도록 해놓았다.따라서 힌트에 따라 RTL기법을 이용해서 문제를 풀었다.RTL이란, Return To Libc 라는 기법으로, 쉘코드를 실행시키는 대신, 공유라이브러리에 접근을 해서 바로 쉘을 실행시키는 방법이다.보통 system()함수나 execl()등 함수를 사용한다.(ebp+8의 값을 인자로 사용하기 때문에 접근하기 쉬움)더 자세한 개념은 구글에 많이 나와있다. 우선 이문제에서 RTL을 하기 위해 필요한 재료가 system()함수의 주소, /bin/sh의 주소, 버퍼크기, 등 이정도만 있으면 공격이 가능하다. system함수의 주소는 간단히 구할 수 있다. 버퍼의 크기는 40이다. 간단히 공유라이브러리에서 /bin/sh의 주소를..

(함수종료시)leave -> mov esp, ebppop ebp (함수시작시)push ebpmov ebp, esp ret -> pop eipjmp eip 이렇게 이해하면 좀 이해가 쉬움. (실제로 eip레지스터를 조작할 수는 없음)

문제를 보면 strncpy를 이용해서 딱 41바이트만 buf에 저장 시키는 것을 볼 수 있다.그렇기 때문에 40바이트(buf) + 1바이트를 이용해서 공격을 해야한다.버퍼의 크기는 40바이트이고 dummy가 없기 때문에 1바이트는 SFP의 최하위바이트를 수정한다.SFP는 지금 함수가 종료되고 난 후의 ebp값을 가지고 있다. ( 함수 시작할 때, push ebp, mov ebp, esp 이 부분에서 sfp에 ebp가 저장된다.)함수가 종료될 때 , leave명령어가 있는데, 이 부분에서 ebp에 sfp의 값을 받아온다. (leave명령어는 mov esp, ebp, pop ebp와 기능이 같다.)따라서 problem_child 함수를 호출하고 복귀 할때, main의 ebp를 바꿀수 있다. 이를 이용해서 풀..

golem.c를 보면 문제가 간단해 진거 같은 느낌인데 마지막을 보면 ret주소를 빼고는 모두 0으로 초기화 시켜버린다.따라서 앞에서 사용했던 방식들은 사용할 수가 없다.(환경변수, buffer이용, argv이용)따라서 다른 방법을 이용해야한다.다른 방법중 한개로 공유라이브러리를 사용하는 것인데,LD_PRELOAD를 환경변수에 등록시켜 놓으면 실행을 할때 우선적으로 설정해놓은 라이브러리를 참조한다.이 라이브러리의 정보들이 실행을 시킬 때, 스택어딘가에 저장이 되고 이를 이용해서 쉘을 따면된다. -fPIC는 독립적인 코드로 만들어 주며, 목적파일을 만들며, -shared는 목적파일을 이용해 공유라이브러리를 생성할 때 사용하는 옵션이다. 공유라이브러리를 만들때는 보통 두 옵션을 함께 사용한다. 위에서 만들어..

문제를 보면 환경변수,buffer도 초기화시키고, argv를 main함수 종료전에 모두 초기화 시킨다.troll문제에서 풀면서 봤듯이 모두 초기화되도 경로는 남아있는 것을 보았다.그렇기 때문에 파일이름을 쉘코드로 심볼릭링크를 이용해서 만들고 ret주소를 bruteforcing하면 된다. 브루트포싱을 하는 python exploit이다. 파일이름의 앞에 nopslide를 만들지 않았기 때문에 최하위비트를 -1씩 감소시킨다.(nopslide를 적당한 크기로 주면 루프횟수를 줄일수 있으나 속도차이가 없음) 실행을 시키면 쉘이 따진다.

문제를 보면 길이가 좀 줄어들었다. ret주소의 두번째byte가 \xff이면 안된다는 새로운 조건이 생겼다.따라서 \xff에서 제일 가까운 \xfe로 ret주소를 돌려야한다.스택은 거꾸로 커진다. 예를 들어 배열 크기가 10만이면 높은 주소에서 낮은주소로 10만만큼 크기를 할당한다.이를 이용해서 argv[1]에 큰수를 인자로 줘서 ebp가 0xbffe~로 가게해야한다. 일단 65535이상은 할당이 되야 0xbffe~부분에 ret를 설정할 수 있다. nop을 7만개 넣었을때 대략적인 스택구조 gdb로 값이 제대로 들어가는지 확인을 했다.ebp부분을 보면 0xbffeeb0c이니 조건은 만족한다. ret주소는 적당히 0xbffefeaf로 정했다.0xbffefeaf를 보면 nop으로 가득차있어서 nopslide..

코드를 보면 좀 골치아프게 되어있다.이전 까지의 문제에서는 argv의 갯수에 제한이 없었는데, 이 문제는 2개로 제한이 되어있다.따라서 argv[2]를 이용할 수 없다.또한 마지막 부분에 argv[1]부분을 0으로 초기화 하고 있다.따라서 argv[0]을 이용하거나, python으로 exec류의 함수를 써서 exploit을 작성해야한다. 우선 첫번째 방법으로 argv[0]을 이용한다.argv[0]에는 실행시키는 파일의 이름이 나온다.보통 환경변수와 같이 스택의 제일 마지막 부분에 있다. 확인을 해보면 argv[0]에 해당하는 string이 2개가 있다.c로 argv[0]의 주소를 출력해주는 프로그램을 만들어서 확인해보면 위의 빨간줄에 해당하는 주소가 나온다. 하지만 memset을 하고난 이후에 break..

이전 문제에서 조건이 한개 더 늘었다.argv[0]의 길이가 77이 아니면 종료가 되는 조건이 생겼다.따라서 gdb로 분석을 할때는 홈폴더파일 /tmp 하위경로로 복사를 한 후,그 파일이름의 길이를 (77-경로 이름의 길이)로 바꿔준 후 진행했다. 실행파일의 길이만 잘 맞으면 이전문제의 exploit을 ret주소만 빼고 그대로 사용할 수 있다.ret주소를 알기위해 *(argv+2)의 주소를 확인했다.0xbffffd69라고 나와있고 \x90값이 잘 채워져 있는것을 확인할 수 있다. 이를 토대로 전의 익스플로잇에서 약간만 수정했다. [exploit code]./orge `python -c 'print "\x90"*44 + "\x0f\xfc\xff\xbf"'` `python -c 'print "\x90"*51..

코드를 보면 환경변수초기화 + ret주소 최상위비트가'\xbf' + argv[1]의 길이 제한이렇게 3개의 조건이 붙어있다. gdb로 살펴보면 buf의 크기는 40이고, argv[1]을 buf에 복사하므로,argv[1]로 ret까지 덮어주고, ret주소를 argv[2]에 해당하는 범위로 해준다.그리고 argv[2]에는 nop sled와 shellcode를 적는다. strcpy의 뒷부분에 브레이크를 잡아놓고 적당한 인풋값을 넣어 실행을 시킨 후,스택의 주소들을 확인한다.ebp+c에는 **argv값이 들어있고, 그 값을 따라가면*argv[0~]주소들이 차례대로 있다.3번째 값에 해당하는 주소를 보면 argv[2]에 값들이 정확이 들어가 있는것을 볼 수 있다.이 주소를 토대로 익스플로잇을 작성했다. argv[..

코드를 보면 이전 문제와 거의 비슷한데 한가지 조건이 더 추가가 되었다.입력 버퍼를 0으로 모두 초기화 시킨다.따라서 ret주소를 입력버퍼로 하지 못하고, 쉘코드를 입력버퍼에 넣지 못한다.이전 문제에서도 어처피 ret주소를 입력버퍼 주소로 하지 않았기 때문에 거의 동일한 exploit를 가지고 공격을 할 수 있다. 입력버퍼의 크기도 딱 40이다.따라서 이전과 같이 스택의 구조는 다음과 같다. ret를 계산하기 위해 strcpy뒤에 브레이크를 걸어놓고 대충 인자를 넣어 스택주소를 확인을 했다. exploit code./wolfman `python -c 'print "\x90" * 44 + "\xa0\xfc\xff\xbf" + "\x90" * 300 + "\x31\xc0\x50\x68\x2f\x2f\x73\..