Code1018

소스코드의 select_menu() 함수가 문제였다.

(문제 코드)

(문제코드)

2번의 과정은 없어도 되었다. 스택영역의 주소를 얻기위해 반복하는 과정에서 자연스레 엄청 낮아졌다.

(스택 영역 주소 구하기)

그렇게 되면 ret,leave 하면서 쭉 내려갈 테니까!

(clear 함수)

쉘코드 올리기

(쉘코드 올리기)

쉘코드를 올리는 부분이다.

(스택 영역 주소 덮기)

exploit!

(스택 주소 받기)

옆에 Stacking 옆의 값은 현재 ebp 값이다.

(clear 중)

clear 도 몇번 실행되었다.

(exploit)

여기서 5를 눌러 exit를 실행하면 최종적으로 shell을 획득할 수 있다.

(쉘 획득)

문제 풀이 끝!

먼저, 문제 프로그램의 보호기법을 확인하였다.

(보호기법)

그리고 암호화를 위해 선택지2번을 입력하면 아래와 같이 나온다.

(암호화)

그래서 스택의 어느 변수에 하나씩 받아 온 후, 한 자씩 어느 글로벌 배열변수에 저장한다.

(평문 버퍼)

그리고 이 버퍼에서 한 자씩 다시 가져와서 암호화 과정을 걸 친 후 글로벌 배열변수(암호화버퍼)에 저장한다.

(암호문 버퍼)

(overflow)

이것저것 시도하다가 생각이 트인 때가 있었다.

(p,q 설정과정)

그리고 우리가 원하는 평문버퍼 주소(0x602560)으로 나오는지 확인해보았다.

(확인)

(확인 결과)

func[0]부분까지만 덮어쓰려면 265만큼 넣으면 된다.

(265 바이트 입력)

(결과모습)

exploit을 작성했다.

(쉘코드 및 변수 설정)

(exploit)

(exploit 결과)

문제 풀이 끝

이 문제는 echo 서비스를 실행하는 프로그램을 연결해두었다.

(echo2 문제)

파일을 주기 때문에 직접 다운받아서 분석해볼 수 있다.

(보호기법)

그러면 FSB 취약점부터 확인해본다!

(fsb 취약점)

아래 사진을 보면서 설명하겠다.

(내 컴퓨터)

그런데 실제 서버에 연결을 하였을 때는 달랐다.

(실제 연결시)

실제로 연결하였을 때 문자열이 나오는 것을 보고 다시 메모리 정보를 leak하였다.

(눈에 띄는 주소)

그렇다! ret 주소였다.

(ret 주소)

그 앞에 있는 것은 rbp 주소! 스택주소를 알아내었다.

(rbp 주소)

main에서 함수가 호출 된 후 마지막에 cleanup함수가 호출된다.

(cleanup)

echo2함수 안에서 보면

(greeting 함수 호출)

greeting 함수 호출 할 때 o객체에 접근하여

(greeting 함수)

그렇다는 건 이 값을 덮어쓸 수 있다는것! 왜냐!
바로 UAF (3번)을 입력하면 malloc을 다시 주는데 이 주소를 다시 할당해주기 때문이다.

(재할당)

입력을 받는 부분은 아래와 같다.

(이름 영역)

exploit 코드를 보면서 정리하겠다.

(shellcode 업로드)

그 후 스택 주소를 찾아서 정확한 쉘코드 주소를 찾아야한다.

(쉘코드 주소 찾기)

그 후 UAF 취약점 공략이다.

(UAF 공략)

그리고 아무 기능이나 다시 시작하면 greeting 함수가 시작 될때 shellcode가 실행되어 쉘을 얻을 수 있다.

(쉘 획득)

문제 풀이 끝!

(matrix 문제)

먼저 바이너리를 받아서 handray로 직접 c로 바꾸었다.

(main 중 구문)

위와 같이 main문에서 choice를 입력받고 이름을 입력받은 후, 해당 choice에 따라 함수가 분기되는 구문이 있었다.

(zion 함수)

(command injection 구상)

(blue_pill 함수 중)

(기대값)

A*B의 값이 위와같이 나와야한다.

(기대값 수치)

(matric 출력코드)

값을 해당 배열의 위치를 고려하여 출력하였다.

(exploit)

그렇게 해서 태어난 exploit코드
A의 값에는 해당값과 B에는 곱셈의 항등원으로 7x7 단위행렬을 넣어주어 곱셈의 결과가 기대되는 행렬이 나오도록 하였다.

(실패)

즉, Neo뒤에 null을 추가하고 뒤에 payload를 넣는다는 생각은 너무 짧았었다..

(메모리 상황)

마침 name바로 위에 있으니 덮어 쓸 수 있지 않을 까 생각했다.

(입력값 검증 헛점)

(exploit)

다시 작성한 exploit 코드

(쉘 획득)

*저건 플래그가 아니고 저 파일을 읽어야합니다 :)

System call을 이용해 커널모드로 전환되었을 때 root권한으로 상승시켜야 하는 문제이다.
커널 exploit을 맛볼 수 있는 기회가 되었다.

(문제화면)

커널 exploit에서는 시원하게 uid를 0으로 만들어버리는 방법을 사용한다. 그 후 shell을 실행시키면 root권한의 쉘을 얻을 수 있는 것이다.

(시스템 확인)

(커널모듈)

(커널 모듈 소스코드)

(dmesg 확인)

나는 getuid와 geteuid를 덮어썼다.

(내 exploit코드)

여기서 주의할 점은 영어 소문자의 범위가 되면 -0x20이 된다는 점이다. 그렇기에 60까지 쓸 수 있는데 그러면 geteuid를 실행하게 되면 0x8003f560으로 넘어 가게 될텐데, 6c 까지 슬라이딩해서 넘어가야한다. nop으로 깔아주려 했으나 arm 계열에서 nop의 코드는 0x00이다.

(nop 코드)

(mov r1, r1)

이 코드를 컴파일 한 후 실행해보면

(권한상승)

권한이 상승된 것을 확인할 수 있고 flag까지 안전하게 확인할 수 있었다.

(문제 화면)

이름을 봤을 때 힙영역 취약점이라고 예상했다. 그리고 확인해보니 힙영역의 취약점을 이용한 문제였다.

(프로그램 실행)

먼저 문제 프로그램을 살펴보자

(프로그램)

이 프로그램은 shared object 파일이었다.

(파일 정보)

Break 잡아주는 위치는 _dl_start_user 여기로 잡아준다. 이건 내가 찾아낸 부분인데 이 부분 전에 starter 어쩌구 함수에서 실행이 되고 이 함수로 넘어오는데 여기에 break 잡아준다.

(main 찾아가기(1))

main 찾아가기(2)

그 후 위 사진처럼 저 위치에서 si로 함수 안으로 들어가준다.

main 찾아가기(3)

여기 call rax에서 si로 함수 안으로 들어가주면 여기서부터 main 함수이다.

main 함수

바로 입력한 문자열을 출력할 때 null 값까지 쭉 출력한다는 점을 이용하여 스택영역에 값들을 노출 시킬수 있겠다는 생각이 들었다.

(스택 모양)

카나리를 노출시킬 수 있으면 카나리 위치에 카나리를 넣을 수 있고 그렇다면 stack overflow를 할 수 있다는 생각이 들었다.

(카나리 구하기 함수)

문제 해결에 도움을 준 프로그램은 ROPgadget이라는 프로그램이었다. 여기서 엄청 핵심인 가젯을 찾아주었다.

(퍼펙트 가젯)

(exploit 코드)

exploit 해주면

(문제 해결)

crypto1 문제로 암호학 문제이다.

(crypto1 문제 화면)

해당 프로그램은 클라이언트와 서버 두개로 이루어져있다. 클라이언트 프로그램을 먼저 분석해보았다.

(클라이언트 프로그램)

(클라이언트 프로그램)

이제 서버 프로그램을 분석해보았다

(서버 프로그램)

이런식으로 한글자씩 노출시키는 것이다.

(exploit 코드 일부)

(전체 exploit 코드는 공개하지 않겠습니다. 궁금하시면 글 주세요.)

(쿠키값)

(pw를 생성하기 위한 코드)

그 값을 pw로 admin으로 로그인 하면 플래그가 나온다.

(문제 해결)

하루종일 문제푼것은 아니지만 조금씩 풀었는데 그래서그런지 오래걸린 문제이다.

(dragon 문제)

(문제화면)

게임을 다운로드해서 실행해본다.

(dragon 게임 실행)

그러므로 PlayGame 함수부터 분석해보겠다.

(PlayGame 함수)

그러면 SecretLevel에서는 뭘 할까?

(SecretLevel 함수)

그래서 입력 문자열포멧과 비밀번호를 확인해보니

(입력 포멧, 입력해야할 문자열)

그러므로 우리가 쓸수있는 방법은 바로 이 system("/bin/sh") 이 실행되도록 0x08048dbf 이 주소로 실행 흐름을 돌리면 된다.

(우리가 사용할 쉘)

그러던 중 FightDragon 함수 아래쪽에서 문제 해결의 핵심을 찾았다.

(문제의 핵심)

위에서 malloc을 해주고 그 곳에 입력을 받고 게다가!

(16글자)

그러면 어떻게 해야하나 위로 올라가보니

(공격함수)

공격함수 끝난 후 eax 값을 ebp-0x18을 넣고

(비교)

dragon 구조체를 몇일을 들여다 보다 무릎을 탁 쳤다.

(dragon 구조체)

테스트!

(테스트 성공)

보니 dragon 구조체가 free 된걸 까먹은건지 dragon 구조체의 첫번째 인자인 몬스터정보 출력 함수를 호출하고 있다.

(취약점)

이 주소를 몬스터정보 출력 함수인줄 알고 이 주소를 호출하려 할 것이다.

(테스트)

AAAA 입력!

(확인)

pwn 모듈을 이용해 작성했다.

(exploit)

그리고 공격!

(쉘획득)

쉘을 획득하였다.!

오늘 해결한 문제는 fsb 문제!

(fsb)

문제의 소스코드!

(소스코드)

스택에서 사용할 수 있는 주소를 보자!

(사용할 수 있는 주소)

0xffedb0 주소에 먼저 key값의 주소를 적을 것이다.

(key값 주소 적기)

포멧스트링 공격을 하고 메모리를 살펴보면

(fsb공격 후 메모리)

key 주소가 덮여 쓰여진 것을 확인 할 수 있다.

(key주소)

(완성)

처음에는 0101010101010101 를 입력하려고 했다.

(key 덮어쓰기)

이렇게 덮어쓰면 key 첫 4바이트에 01010101 이 덮어쓰여지는 것을 볼 수 있다.

(key 변조)

그런데 어셈블 코드가 좀 수상했다.

(strtoull 근방 코드)

0101010101010101 를 만들기 위해 값을 입력해보겠다.

(테스트)

eax와 edx에 값이 잘 들어가는 것을 볼수 있다.

(잘 들어간 값)

그런데 그 뒤 코드들 때문에 4바이트가 날아간다...

(0이 되버림)

검색을 해보던 중 해결할 만한 방법을 찾아냈다.

(0 입력)

20번째 위치 인자 주소에 출력된 바이트 수를 입력한다. 여기서는 출력되는게 없으므로 0바이트!

(입력된 0바이트)

자! 그럼 공격을 해보자!

(key 주소 입력)

(key+4 주소 입력)

주소를 입력하고 그 주소에 있는 값을 0으로 덮어쓴다.

(key 값)

(key+4 값)

그 후 0을 입력하면 성공!~

(성공!)

쉘을 획득했다.

(문제 해결)