오랜만에 포너블 문제를 풀었다.
그간 다른 것들을 공부하느라 워게임을 못풀었는데
감떨어질까봐 하나 풀어봤는데, 역시 감이 떨어진 느낌이 들었다.
틈틈히 다시 풀어봐야겠다.!
pwnable.kr 사이트의 echo2 문제이다.
그래서 50점 짜리였나보다. (오래걸리진 않았지만 그닥 쉽게 풀진 않은것으로 보아 감이 많이 떨어진 느낌이다.)
echo2 프로그램에서는 2가지 서비스를 제공한다.
FSB 라는 항목인데 여기서는 스택에 입력을 받았다가, 입력한 문자열을 그대로 다시 화면에 보여주는 기능
UAF 라는 항목에서는 힙영역에 입력을 받아 저장했다가 다시 화면에 보여주는 기능을 한다.
대놓고 어떤 취약점이 있는지 알려주었다.
이렇게 되면 fsb 취약점이 생기게 된다.
그런데 실제로 문제를 풀 때 여기서 조금 헤메었다.
그 이유는
실제 내 컴퓨터에서는 메모리 노출 정보가 달랐다.
64비트 컴퓨터의 함수 전달 방식처럼 레지스터의 값들을 출력해주었다.
rdi, rsi rdx, rcx, r8, r9 이 순서대로 출력이 된다.
실제 위 사진처럼 해당 레지스터 정보가 출력된다.
위 사진을 보면 문자열이 나오고 있는 것을 확인 할 수 있다.
이유는 잘 모르겠지만...
이 것 때문에 처음에 만든 exploit을 뜯어고쳤다.
처음에 만든 exploit은 내 컴퓨터에서는 돌아갔는데 서버에서는 동작하지 않았다.
그 이유가 stack 주소를 잘 찾지 못했기 때문이었다.
400acb라는 값이 눈에 띄었다.
나는 이 값이 무엇인지 알고 있었다. 이 주소는 main 함수의 주소였다.
나는 그 동안 heap 영역에 대해서 정리를 해왔는데
이 부분에 있어서 너무 쉽게 응용할 수 있게 되었다.
o객체 안에는 greeting함수와 byebye함수 주소가 있고
실제로 greeting과 byebye함수를 호출할 때 o객체에 접근하여 호출한다.
여기서 4를 입력으로 주어 종료를 시도하면 cleanup 함수가 실행된다.
문제는 그 다음에 다시 정말 종료할 지 묻는다.
이 때 n을 눌러 종료하지 않게 되면
다시 main의 루프로 돌아가게 되는데 이 때는 이미 o객체가 free 된 후에서 프로그램이 진행된다.
이제 이 주소에다가 0x20 만큼 적을 수 있으므로 greeting 함수위치에 다른 주소를 적을 수 있다는 것이다.
우리는 쉘코드를 스택에 올리고 그 쉘코드 주소를 여기다 적어줄 것이다.
쉘코드를 스택에 올릴 것인데, 바로 맨 처음 이름을 입력받는 부분이다.
0x20 차이가 난다.
이 부분은 스택영역이다.
그간 다른 것들을 공부하느라 워게임을 못풀었는데
감떨어질까봐 하나 풀어봤는데, 역시 감이 떨어진 느낌이 들었다.
틈틈히 다시 풀어봐야겠다.!
pwnable.kr 사이트의 echo2 문제이다.
이 문제는 echo 서비스를 실행하는 프로그램을 연결해두었다.
(echo2 문제)
파일을 주기 때문에 직접 다운받아서 분석해볼 수 있다.
(보호기법)
그래서 50점 짜리였나보다. (오래걸리진 않았지만 그닥 쉽게 풀진 않은것으로 보아 감이 많이 떨어진 느낌이다.)
echo2 프로그램에서는 2가지 서비스를 제공한다.
FSB 라는 항목인데 여기서는 스택에 입력을 받았다가, 입력한 문자열을 그대로 다시 화면에 보여주는 기능
UAF 라는 항목에서는 힙영역에 입력을 받아 저장했다가 다시 화면에 보여주는 기능을 한다.
대놓고 어떤 취약점이 있는지 알려주었다.
그러면 FSB 취약점부터 확인해본다!
(fsb 취약점)
이렇게 되면 fsb 취약점이 생기게 된다.
그런데 실제로 문제를 풀 때 여기서 조금 헤메었다.
그 이유는
실제 내 컴퓨터에서는 메모리 노출 정보가 달랐다.
아래 사진을 보면서 설명하겠다.
(내 컴퓨터)
64비트 컴퓨터의 함수 전달 방식처럼 레지스터의 값들을 출력해주었다.
rdi, rsi rdx, rcx, r8, r9 이 순서대로 출력이 된다.
실제 위 사진처럼 해당 레지스터 정보가 출력된다.
그런데 실제 서버에 연결을 하였을 때는 달랐다.
(실제 연결시)
위 사진을 보면 문자열이 나오고 있는 것을 확인 할 수 있다.
이유는 잘 모르겠지만...
이 것 때문에 처음에 만든 exploit을 뜯어고쳤다.
처음에 만든 exploit은 내 컴퓨터에서는 돌아갔는데 서버에서는 동작하지 않았다.
그 이유가 stack 주소를 잘 찾지 못했기 때문이었다.
실제로 연결하였을 때 문자열이 나오는 것을 보고 다시 메모리 정보를 leak하였다.
(눈에 띄는 주소)
400acb라는 값이 눈에 띄었다.
나는 이 값이 무엇인지 알고 있었다. 이 주소는 main 함수의 주소였다.
그렇다! ret 주소였다.
(ret 주소)
그 앞에 있는 것은 rbp 주소! 스택주소를 알아내었다.
(rbp 주소)
나는 그 동안 heap 영역에 대해서 정리를 해왔는데
이 부분에 있어서 너무 쉽게 응용할 수 있게 되었다.
main에서 함수가 호출 된 후 마지막에 cleanup함수가 호출된다.
(cleanup)
o객체 안에는 greeting함수와 byebye함수 주소가 있고
실제로 greeting과 byebye함수를 호출할 때 o객체에 접근하여 호출한다.
여기서 4를 입력으로 주어 종료를 시도하면 cleanup 함수가 실행된다.
문제는 그 다음에 다시 정말 종료할 지 묻는다.
이 때 n을 눌러 종료하지 않게 되면
다시 main의 루프로 돌아가게 되는데 이 때는 이미 o객체가 free 된 후에서 프로그램이 진행된다.
echo2함수 안에서 보면
(greeting 함수 호출)
greeting 함수 호출 할 때 o객체에 접근하여
(greeting 함수)
그렇다는 건 이 값을 덮어쓸 수 있다는것! 왜냐!
바로 UAF (3번)을 입력하면 malloc을 다시 주는데 이 주소를 다시 할당해주기 때문이다.
(재할당)
이제 이 주소에다가 0x20 만큼 적을 수 있으므로 greeting 함수위치에 다른 주소를 적을 수 있다는 것이다.
우리는 쉘코드를 스택에 올리고 그 쉘코드 주소를 여기다 적어줄 것이다.
쉘코드를 스택에 올릴 것인데, 바로 맨 처음 이름을 입력받는 부분이다.
입력을 받는 부분은 아래와 같다.
(이름 영역)
0x20 차이가 난다.
exploit 코드를 보면서 정리하겠다.
(shellcode 업로드)
이 부분은 스택영역이다.
그 후 스택 주소를 찾아서 정확한 쉘코드 주소를 찾아야한다.
(쉘코드 주소 찾기)
그 후 UAF 취약점 공략이다.
(UAF 공략)
그리고 아무 기능이나 다시 시작하면 greeting 함수가 시작 될때 shellcode가 실행되어 쉘을 얻을 수 있다.
(쉘 획득)
문제 풀이 끝!
'WarGame > 500 Project' 카테고리의 다른 글
| (67/500) pwnable.kr - note (0) | 2018.03.29 |
|---|---|
| (66/500) pwnable.kr - rsa_calculator (1) | 2018.03.10 |
| (64/500) backdoor - Enter the matrix (0) | 2017.10.31 |
| (63/500) pwnable.kr - syscall (2) | 2017.10.22 |
| (62/500) NOE.systems - BURYBURY (0) | 2017.10.01 |