Code1018

BOF 원정대의 nightmare를 잡아보자!

* 소스코드

(nightmare.c)

nightmare 특징!
ret 주소에 strcpy를 써야한다는 점.
(이번 문제풀이는 엉뚱땅 삽질을 많이했다. 이 포스트에는 삽질의 과정이 그대로 있습니다. 빠른 해법이 궁금하다면 아래쪽부터!, 초반의 잘못된 판단?생각? 들도 그대로 과정대로 적었습니다.)

strcpy를 통해 쓸만한 영역에다가 system 주소와 /bin/sh 문자열을 구성하여 쉘을 획득하자!
먼저 strcpy 주소를 알아내보자!

(strcpy 주소)

(gdb 실행)

(쓸만한 영역)

(leave-ret 주소)

(좋은것 발견?)

(버퍼?)

(gdb 실행)

(어라?)

(버퍼주소)

(공격)

(버퍼 찾기)

(41414141 위치)

(공격 성공)

쉘을 획득하였다. :)

BOF 원정대의 succubus를 잡아보자!

* 소스코드

(succubus.c)

succubus의 main함수이다. 특징을 보면 ret주소에 DO라는 함수 주소가 적혀야한다는 점이다.

위에 보면 도 개 걸 윷 모 라는 함수들이 정의되어있다.

(도개걸윷모)

즉 도->개->걸->윷->모 를 차례대로 호출하고 마지막 모의 인자로 "/bin/sh"의 문자열을 전달 하면 쉘을 획득 할 수 있다.

각각의 함수들의 시작 주소를 찾았다.
DO : 0x80487ec 
GYE : 0x80487bc 
GUL : 0x804878c 
YUT : 0x804875c 
MO : 0x8048724

ret주소에 차례대로 넣어주고 마지막 MO의 인자로는 "/bin/sh"의 주소를 넣어주어야하는데 라이브러리 함수를 못쓰니 직접 넣어줄 것이다. 지금은 이 주소를 모르니 C로 채워넣고 뒤에 /bin/sh 주소를 넣어 메모리를 확인해보겠다.

(gdb 실행)

(메모리 상황)

0xbffffa78 주소에 /bin/sh 문자열이 들어가 있는 것을 확인 할 수 있다.

이제 C로 채웠던 부분에 이 문자열 주소를 넣고 공격을 해보자!

(공격 실패)

여기서 스택영역의 주소라 0x10바이트 간격으로 오차가 있다.
core 덤프파일을 확인하여 정확한 주소를 찾아보자.

(core 덤프파일)

파일을 보니 0xbffffa98 부터 /bin/sh 문자열이 들어가있는 것을 확인 할 수 있다.

문자열 주소에 0xbffffa98 주소를 입력하여 다시 공격!

(공격 성공)

쉘을 획득하였다. :)

BOF 원정대의 zombie_assassin 잡기!

* 소스코드

(zombie_assassin.c)

(leave-ret 주소)

(fake ebp 할 주소)

(gdb 실행)

(fake ebp)

(버퍼)

(공격 실패)

(core 덤프 파일)

(공격 성공)

쉘을 획득하였다. :)

BOF 원정대의 Assassin을 잡아보자!

* 소스코드

(assassin.c)

assassin의 특징이다.
1. 버퍼 40바이트
2. ret주소에 스택주소 입력 불가.
3. ret주소에 라이브러리주소 입력 불가.
4. 버퍼 초기화

바로 전 문제까지 ret주소에 라이브러리 함수를 이용하여 쉘을 획득해왔다.
하지만 이제 라이브러리 함수를 사용하지 못한다??
-> 잘보면 ret주소만 체크하고 있다. 그러므로 우리는 ret주소 그 옆에 주소(4바이트 높은주소)에 넣고 인자를 구성하여 사용할 것이다.

그렇다면 문제는 어떻게 ret주소에 무엇을 넣어야 eip가 그 다음 4바이트를 꺼내갈까?
바로 ret 명령을 이용하는 것이다!

ret 명령은 pop eip 로 이루어져있다. main 함수의 ret 명령 때 ret주소에 적혀있는 주소를 꺼내어 그 곳의 명령을 실행한다. 즉 eip를 그 주소에 있는 것을 가져간다.
여기서 트릭을 쓰는 것이다. ret 주소에 ret명령어를 넣으면?
-> ret 명령이 일어날 때 ret명령의 주소를 가져가게 된다. 그러면 eip에는 ret 명령 주소가 들어가있고 ret명령을 실행시킬 준비가 되있다. 그러면서 pop 이기 때문에 esp가 증가하게 된다.(다음 4바이트를 가리키게 된다.) 여기서 ret 명령을 실행하게 되면 우리가 준비해둔 라이브러리 함수를 만나고 그 주소를 꺼내어 실행하게 되는 것이다.

이런 트릭을 이용해 ret 슬레이딩이라고도 한다. 여기서는 4바이트만 내려가 주는 용도로 사용하여 ret주소 검열을 우회하여 쉘을 획득할 것이다.

필요한 것
1. system 주소

(system 주소)

2. /bin/sh 문자열

(/bin/sh 주소)

3. ret 명령 주소

(ret 명령 주소)

필요한 주소들은 전부 구했다. 이제 gdb에서 메모리에 잘 들어갔는지 체크해보자.
(돌다리도 두들겨보라)

(gdb 실행)

(체크)

0x0804851e (ret명령)이 ret주소에 잘 들어갔고 그 뒤로 system 주소가 잘 들어간 것을 체크!

공격!

(공격 성공)

쉘을 획득하였다. :)

BOF 원정대의 giant를 잡아보자!

* 소스코드

(giant.c)

중간에 복잡해보이는 코드가 있는데 친절하게 주석으로 설명이 되어있다.
ret주소에 execve 함수 주소가 들어가있는지 체크하기 위한 부분이다. 그렇기에 ret 주소에 execve를 넣어 execve 함수를 사용해서 문제를 해결하라는 의도같다.

그렇다면 execve를 어떻게 써야하나 구성인자를 살펴보자!

(execve 함수)

execve 함수의 인자
1. 파일이름(실행할파일)
2. 인자 주소(파일이름 문자열의 주소)
3. Null 문자열

예를 들기위해 C언어로 표현하여 실행해 보겠다

(execve c 코드)

(실행화면)

(ret 주소)

ret 주소는 0x400a9d48 (execve 함수 주소) 를 넣었다.
이제 이 뒤에는 더미(4바이트) 를 넣은 후 그 뒤부터 인자가 들어가게된다.

execve 함수로 실행할 파일은 /bin/sh이다. 이 문자열을 직접 써주어도 되지만 그렇게 되면 문자열 주소를 넘겨주는 두번째 인자를 구성할 때 어려워진다. 왜냐하면 두번째 인자는 포인터 배열이기 때문에 주소와 널문자(4바이트)로 이루어져야하기 때문이다.

그렇기에 이미 로딩된 라이브러리에서 /bin/sh 문자열을 찾아 사용할 것이다.
system 함수 근처에 /bin/sh 문자열이 존재한다는 것을 알고 있기에 간단히 c코드를 만들어 /bin/sh 문자열 위치를 찾아낼 것이다.

(/bin/sh 주소찾기)

(/bin/sh 주소)

직접 gdb를 열어 해당 주소를 검색해보자.

(/bin/sh)

해당 주소에 /bin/sh 문자열이 들어있는 것을 확인 했다.

이제 첫번째 인자로 우리가 찾은 주소를 넣을 것이다.
두번째 인자를 구성해야한다. 일단 지금까지 만든 것을 토대로 메모리를 확인해보자.

A*44 + execve함수주소 + A*4(더미) + "/bin/sh주소" + "/bin/sh주소가 적힌 포인터배열 주소" + NULL

포인터배열을 만들계획이다. 일단 포인터배열 주소를 C*4 로 대체하고 메모리를 확인해보자!

(gdb 실행)

(4바이트 NULL)

(포인터배열)

(포인터 배열)

(최종 확인)

(공격 성공)

쉘 획득!

BOF 원정대의 bugbear를 잡아보자!

* 소스코드 분석

(bugbear.c)

소스코드를 보니 스택을 사용하지 못할 것 같다.
ret 주소에 bf로 시작하는 주소를 입력하면 빠져나오게 되있는 코드를 볼 수 있다.

그렇다면? 문제의 의도대로 RTL ( Return To Library ) 를 이용해보겠다.
내가 사용할 라이브러리 함수는 system 함수이다.

system 함수를 이용하여 shell을 실행시킬 것이다.
나의 계획은 
더미(44바이트) +  system주소 + 더미(4바이트) + system 주소 인자 + "/bin/sh"
이렇다.
맨 뒤 /bin/sh 문자열은 system 주소의 인자로 넘겨주기 위한 문자열이다. 이 위치의 주소를 알아내어 system 주소 인자 위치에 넣어줄 것이다.

먼저 system 주소의 위치를 파악한다.

(system 주소 확인)

자 이제 system 주소 인자의 위치인 /bin/sh 문자열의 시작위치를 찾아야한다. 일단 주소를 D 4개로 채워넣은 후 실행하여 확인해본다.

(주소 확인)

D 4개가 보이고 그 다음 부터 문자열이 시작된다.
저 주소는 바로 0xbffffaa8이다. 이 주소를 D 4개 넣었던 곳에 넣으면 된다.

(최종 확인)

(공격 성공)

쉘 획득

BOF 원정대의 Darkknight를 잡아보자!

* 소스코드 분석

(darkknight.c)

소스코드를 보니 return 문장이 없고 바로 problem_child 라는 함수를 호출하고 있다.
그리고 그 안에서 argv[1]을 strncpy를 하면서 1바이트 오버플로우를 내고 있다.

fake ebp를 이용해 문제를 해결할 수 있다.
어떤 상황에 처해져있는지 메모리를 확인해보자!

늘 그랬듯이 44더미와 D 4개를 입력해준다. (실제로는 40바이트에 1바이트 오버플로우가 나지만 하던데로 입력해보았다.)

(gdb로 실행)

(leave 명령어 전)

(leave 명령어 후)

(0xbffffa41로 옮겨간 ebp)

(버퍼 시작 앞 주소)

(0xbffffaa0으로 fake ebp)

(ebp 자리)

(ebp 상태)

(ret 전 상황)

(입력인자 구성)

(마지막 체크 메모리 상황)

(최종 확인)

(공격 성공)

쉘을 획득하였다. :)

bof 원정대의 golem을 잡아보자!

* 소스코드 분석

(golem.c)

...! 스택영역을 사용해야하는데 버퍼부터 스택 밑바닥까지 싹 초기화 시킨다.

기존의 방법으로는 접근이 안된다... 그래도 한번 실화인지 눈으로 체크해보자.

(스택 초기화)

우리가 쓰던 그리고 찾아내었던 구석구석 0으로 전부 초기화가 되었다.

여기서는 LD_PRELOAD를 제외하고는 방법이 없었다..

LD_PRELOAD란 유닉스계열에서 전역후킹을 위한 방법이다. 

예를 들어 간단한 LD_PRELOAD를 이용한 getuid 후킹 파일을 만들어보겠다.

(hook.c 파일)

(hook.so)

컴파일 방식이 조금 다르다.

그 후 export!

(export)

이제 getuid함수가 호출되면 내가 만든 hook.so가 일을 할 것이다. getuid가 불리는 대표적인 명령어 id를 사용해 보겠다.

(id 명령어)

id를 사용해보니 uid 가 7777로 나온다. 바로 내가 만든 so 파일이 일을 한 것이다.

그렇다면 이걸 여기서 어떻게 이용한단 말인가?...
물론 여기서 후킹을 이용해 my-pass 명령을 실행하여 답을 알아내는 방식이 있지만 그 방법은 불법이므로 정석대로 가볼것이다!

gdb를 통해 메모리 낮은 쪽을 찬찬히 훑다보면 LD_PRELOAD로 export한 내용이 담겨있는 것을 볼 수 있다.

(hook파일)

이 것을 이용할 것이다.
바로 hook파일에 링크를 걸어 바로 저 위치에 쉘코드를 올리고 ret주소로 저 주소를 입력하는 것이다!!!!

늘 그렇듯 경로 생성!

(경로 생성)

생성 후! 링크를 걸어준다. 바로 내가 만든 후킹파일에!

(링크 생성)

이제 export해준다.

(export)

(메모리 상황)

짠!
내가 넣은 Nop코드와 쉘코드가 보인다. 이제 Nop영역의 아무 주소나 하나 골라서 ret주소에 입력해주면 공격에 성공하게 된다.

(공격 성공!)

쉘 획득!

bof 원정대의 skeleton을 잡아보자!

* 소스코드 분석

(skeleton.c)

skeleton의 소스코드를 보면 argc를 저장해 두었다가 넘어온 인자를 전부 0으로 초기화하는 코드가 눈에 띈다. 우리가 지금까지 했던 인자를 이용하는 건 못한다는 뜻이다.

gdb를 이용해 메모리를 확인해보겠다.

(gdb를 통한 실행)

(메모리 상태)

메모리를 보면 인자 데이터 영역이 모두 0으로 초기화 된 것을 확인할 수 있다...

그러다 맨 아래 스택 밑바닥에 가보니 뭔가가 있다?

(스택 밑바닥)

혹시?

(스택 밑바닥)

밑바닥을 확인해보니 프로그램 명(경로)가 적혀 있는 것을 확인 할 수 있었다.

그렇다면..! 링크를 이용하여 여기에 쉘코드를 올릴 수 있겠구나! 라는 생각이 들었다. :)

바로 링크를 만들어주기 위해 경로를 만들었다.

(경로 생성)

그 후 링크!

(링크 생성)

링크를 만들었다면 끝이다! Nop 코드도 충분히 넣었겠다! 이제 공격하면 된다.

(공격 성공)

쉘 획득!

bof 원정대의 vampire 를 잡아보자!

생각보다 쉬운 문제이다.

먼저 소스코드를 분석해보자!

(소스코드)

소스코드를 보면 ret 주소가 bf로 시작하되 그 다음이 ff면 안된다.

그렇다면 주소를 낮춰주어야한다. 전에 문제를 풀면서 인자가 길어지거나 프로그램명(이것도 인자니까)이 길어지면 주소가 내려가는 것을 확인할 수 있었다.

즉 이걸 이용해서 주소를 ff가 아니도록 낮춰볼 것이다. 가볍게 5000 바이트의 Nop을 달면서 시작해보자!

(Nop 5000바이트)

주소가 0xbfffe7@@ 대역으로 왔다.
많이 낮춰졌지만 우리의 목표에는 멀다 더 낮춰야한다.

100000 바이트를 줘보자!

(100000 바이트 Nop)

주소가 눈에 띄게 낮아졌다. 0xbffe@@@@ 대역으로 낮춰졌다. 이정도면 충분하니 0xbffe@@ 대역의 주소를 ret 주소로 넣고 Nop 코드 뒤에 쉘코드를 붙여서 실행하면 가볍게 공격에 성공할 수 있을 것 같다.

(공격 성공)

직접 해보니 쉘을 획득 할 수 있었다. :)