하루종일 문제푼것은 아니지만 조금씩 풀었는데 그래서그런지 오래걸린 문제이다.
(dragon 문제)
(문제화면)
게임을 다운로드해서 실행해본다.
(dragon 게임 실행)
이길 수 없다...
gdb로 분석을 시작했다.
main 함수에는 입출력 버퍼 설정하고 PlayGame 함수로 넘어간다.
그러므로 PlayGame 함수부터 분석해보겠다.
(PlayGame 함수)
직업을 고를 때 3을 입력하면 이 함수로 넘어갈 수 있다.
그러면 SecretLevel에서는 뭘 할까?
(SecretLevel 함수)
그래서 입력 문자열포멧과 비밀번호를 확인해보니
(입력 포멧, 입력해야할 문자열)
입력해야할 글자는 10글자가 훨씬 넘는다
즉 불가능.! 이다.
(그러면 저 문자열 10번째 다음 바이트를 00으로 바꿔서 해보자라는 생각이 들었는데, 저 문자열은 코드영역에 있기 때문에 쓰기 권한이 없어 불가능했다..)
그러므로 우리가 쓸수있는 방법은 바로 이 system("/bin/sh") 이 실행되도록 0x08048dbf 이 주소로 실행 흐름을 돌리면 된다.
(우리가 사용할 쉘)
FightDragon함수를 보면 malloc과 free를 2번씩 사용하는 모습을 확인하고 uaf 취약점이 아닐까 생각이 들었다.
그런데 uaf 취약점이든 bof든 무슨 취약점이든 입력할 곳이 있어야하는거 아닌가?...
전부 scanf %d 로 입력을 받고 우리가 뭐 어떤 값을 입력할 곳이 없는 것이다
그러던 중 FightDragon 함수 아래쪽에서 문제 해결의 핵심을 찾았다.
(문제의 핵심)
위에서 malloc을 해주고 그 곳에 입력을 받고 게다가!
(16글자)
이 부분에서 우리의 payload를 넣을 수 있다는 생각이 들었다.
그러면 어떻게 해야하나 위로 올라가보니
(공격함수)
공격함수 끝난 후 eax 값을 ebp-0x18을 넣고
(비교)
즉, 용을 잡아야 기회가 주어진다.
또 여기서 시간을 많이 썼다.
용을 어떻게 잡는담... 인터넷에서 힌트를 좀 받았다. dragon 구조체를 잘 보면 된다고 나왔다.
dragon 구조체를 몇일을 들여다 보다 무릎을 탁 쳤다.
(dragon 구조체)
처음에는 몬스터 정보를 출력하는 함수 주소.
두번째는 몬스터 체력과 그 옆에 5가 체력회복량이다.
여기서 잘 보면 몬스터 체력이 바이트 단위로 설정되어있다. C언어로 표현하면 char자료형 처럼 1바이트 짜리이다.
범위로는 -127~127 이다.
엄마용이 80체력에 공격력이 10이니깐 계속 공격안하고 버티면 127을 넘길수 있을거 같다.
그러면 음수 값이 되고 용이 죽는다?
테스트!
(테스트 성공)
그리고 16바이트 입력을 넣을 수 있는 기회가 주어졌다.
그러면 취약점은?
scanf 로 입력받고 아래 코드를 보니 call eax 가 보인다.
보니 dragon 구조체가 free 된걸 까먹은건지 dragon 구조체의 첫번째 인자인 몬스터정보 출력 함수를 호출하고 있다.
(취약점)
같은 크기의 메모리 할당이니 전에 사용했던 그 주소가 재사용 된다.
확인해보자.!
이름을 AAAA로 입력하였다. 그러면 처음 4바이트가 0x41414141 가 될것이고 아래 call eax에서
이 주소를 몬스터정보 출력 함수인줄 알고 이 주소를 호출하려 할 것이다.
(테스트)
AAAA 입력!
(확인)
그렇다면? 입력을 해줄 때 아까 우리가 봤던 SecretLevel에서의 쉘을 실행시키는 부분 주소를 입력해주면 된다.
pwn 모듈을 이용해 작성했다.
(exploit)
그리고 공격!
(쉘획득)
쉘을 획득하였다.!
'WarGame > 500 Project' 카테고리의 다른 글
| (61/500) NOE.systems - double_input (0) | 2017.09.17 |
|---|---|
| (60/500) pwnable.kr - crypto1 (0) | 2017.08.27 |
| (58/500) pwnable.kr - fsb (0) | 2017.08.12 |
| (57/500) pwnable.kr - ascii_easy (2) | 2017.08.09 |
| (56/500) pwnable.kr - asm (0) | 2017.07.14 |