Code1018

먼저, 문제 프로그램의 보호기법을 확인하였다.

(보호기법)

그리고 암호화를 위해 선택지2번을 입력하면 아래와 같이 나온다.

(암호화)

그래서 스택의 어느 변수에 하나씩 받아 온 후, 한 자씩 어느 글로벌 배열변수에 저장한다.

(평문 버퍼)

그리고 이 버퍼에서 한 자씩 다시 가져와서 암호화 과정을 걸 친 후 글로벌 배열변수(암호화버퍼)에 저장한다.

(암호문 버퍼)

(overflow)

이것저것 시도하다가 생각이 트인 때가 있었다.

(p,q 설정과정)

그리고 우리가 원하는 평문버퍼 주소(0x602560)으로 나오는지 확인해보았다.

(확인)

(확인 결과)

func[0]부분까지만 덮어쓰려면 265만큼 넣으면 된다.

(265 바이트 입력)

(결과모습)

exploit을 작성했다.

(쉘코드 및 변수 설정)

(exploit)

(exploit 결과)

문제 풀이 끝

이 문제는 echo 서비스를 실행하는 프로그램을 연결해두었다.

(echo2 문제)

파일을 주기 때문에 직접 다운받아서 분석해볼 수 있다.

(보호기법)

그러면 FSB 취약점부터 확인해본다!

(fsb 취약점)

아래 사진을 보면서 설명하겠다.

(내 컴퓨터)

그런데 실제 서버에 연결을 하였을 때는 달랐다.

(실제 연결시)

실제로 연결하였을 때 문자열이 나오는 것을 보고 다시 메모리 정보를 leak하였다.

(눈에 띄는 주소)

그렇다! ret 주소였다.

(ret 주소)

그 앞에 있는 것은 rbp 주소! 스택주소를 알아내었다.

(rbp 주소)

main에서 함수가 호출 된 후 마지막에 cleanup함수가 호출된다.

(cleanup)

echo2함수 안에서 보면

(greeting 함수 호출)

greeting 함수 호출 할 때 o객체에 접근하여

(greeting 함수)

그렇다는 건 이 값을 덮어쓸 수 있다는것! 왜냐!
바로 UAF (3번)을 입력하면 malloc을 다시 주는데 이 주소를 다시 할당해주기 때문이다.

(재할당)

입력을 받는 부분은 아래와 같다.

(이름 영역)

exploit 코드를 보면서 정리하겠다.

(shellcode 업로드)

그 후 스택 주소를 찾아서 정확한 쉘코드 주소를 찾아야한다.

(쉘코드 주소 찾기)

그 후 UAF 취약점 공략이다.

(UAF 공략)

그리고 아무 기능이나 다시 시작하면 greeting 함수가 시작 될때 shellcode가 실행되어 쉘을 얻을 수 있다.

(쉘 획득)

문제 풀이 끝!

BOF 원정대의 giant를 잡아보자!

* 소스코드

(giant.c)

중간에 복잡해보이는 코드가 있는데 친절하게 주석으로 설명이 되어있다.
ret주소에 execve 함수 주소가 들어가있는지 체크하기 위한 부분이다. 그렇기에 ret 주소에 execve를 넣어 execve 함수를 사용해서 문제를 해결하라는 의도같다.

그렇다면 execve를 어떻게 써야하나 구성인자를 살펴보자!

(execve 함수)

execve 함수의 인자
1. 파일이름(실행할파일)
2. 인자 주소(파일이름 문자열의 주소)
3. Null 문자열

예를 들기위해 C언어로 표현하여 실행해 보겠다

(execve c 코드)

(실행화면)

(ret 주소)

ret 주소는 0x400a9d48 (execve 함수 주소) 를 넣었다.
이제 이 뒤에는 더미(4바이트) 를 넣은 후 그 뒤부터 인자가 들어가게된다.

execve 함수로 실행할 파일은 /bin/sh이다. 이 문자열을 직접 써주어도 되지만 그렇게 되면 문자열 주소를 넘겨주는 두번째 인자를 구성할 때 어려워진다. 왜냐하면 두번째 인자는 포인터 배열이기 때문에 주소와 널문자(4바이트)로 이루어져야하기 때문이다.

그렇기에 이미 로딩된 라이브러리에서 /bin/sh 문자열을 찾아 사용할 것이다.
system 함수 근처에 /bin/sh 문자열이 존재한다는 것을 알고 있기에 간단히 c코드를 만들어 /bin/sh 문자열 위치를 찾아낼 것이다.

(/bin/sh 주소찾기)

(/bin/sh 주소)

직접 gdb를 열어 해당 주소를 검색해보자.

(/bin/sh)

해당 주소에 /bin/sh 문자열이 들어있는 것을 확인 했다.

이제 첫번째 인자로 우리가 찾은 주소를 넣을 것이다.
두번째 인자를 구성해야한다. 일단 지금까지 만든 것을 토대로 메모리를 확인해보자.

A*44 + execve함수주소 + A*4(더미) + "/bin/sh주소" + "/bin/sh주소가 적힌 포인터배열 주소" + NULL

포인터배열을 만들계획이다. 일단 포인터배열 주소를 C*4 로 대체하고 메모리를 확인해보자!

(gdb 실행)

(4바이트 NULL)

(포인터배열)

(포인터 배열)

(최종 확인)

(공격 성공)

쉘 획득!

bof 원정대의 golem을 잡아보자!

* 소스코드 분석

(golem.c)

...! 스택영역을 사용해야하는데 버퍼부터 스택 밑바닥까지 싹 초기화 시킨다.

기존의 방법으로는 접근이 안된다... 그래도 한번 실화인지 눈으로 체크해보자.

(스택 초기화)

우리가 쓰던 그리고 찾아내었던 구석구석 0으로 전부 초기화가 되었다.

여기서는 LD_PRELOAD를 제외하고는 방법이 없었다..

LD_PRELOAD란 유닉스계열에서 전역후킹을 위한 방법이다. 

예를 들어 간단한 LD_PRELOAD를 이용한 getuid 후킹 파일을 만들어보겠다.

(hook.c 파일)

(hook.so)

컴파일 방식이 조금 다르다.

그 후 export!

(export)

이제 getuid함수가 호출되면 내가 만든 hook.so가 일을 할 것이다. getuid가 불리는 대표적인 명령어 id를 사용해 보겠다.

(id 명령어)

id를 사용해보니 uid 가 7777로 나온다. 바로 내가 만든 so 파일이 일을 한 것이다.

그렇다면 이걸 여기서 어떻게 이용한단 말인가?...
물론 여기서 후킹을 이용해 my-pass 명령을 실행하여 답을 알아내는 방식이 있지만 그 방법은 불법이므로 정석대로 가볼것이다!

gdb를 통해 메모리 낮은 쪽을 찬찬히 훑다보면 LD_PRELOAD로 export한 내용이 담겨있는 것을 볼 수 있다.

(hook파일)

이 것을 이용할 것이다.
바로 hook파일에 링크를 걸어 바로 저 위치에 쉘코드를 올리고 ret주소로 저 주소를 입력하는 것이다!!!!

늘 그렇듯 경로 생성!

(경로 생성)

생성 후! 링크를 걸어준다. 바로 내가 만든 후킹파일에!

(링크 생성)

이제 export해준다.

(export)

(메모리 상황)

짠!
내가 넣은 Nop코드와 쉘코드가 보인다. 이제 Nop영역의 아무 주소나 하나 골라서 ret주소에 입력해주면 공격에 성공하게 된다.

(공격 성공!)

쉘 획득!

bof 원정대의 vampire 를 잡아보자!

생각보다 쉬운 문제이다.

먼저 소스코드를 분석해보자!

(소스코드)

소스코드를 보면 ret 주소가 bf로 시작하되 그 다음이 ff면 안된다.

그렇다면 주소를 낮춰주어야한다. 전에 문제를 풀면서 인자가 길어지거나 프로그램명(이것도 인자니까)이 길어지면 주소가 내려가는 것을 확인할 수 있었다.

즉 이걸 이용해서 주소를 ff가 아니도록 낮춰볼 것이다. 가볍게 5000 바이트의 Nop을 달면서 시작해보자!

(Nop 5000바이트)

주소가 0xbfffe7@@ 대역으로 왔다.
많이 낮춰졌지만 우리의 목표에는 멀다 더 낮춰야한다.

100000 바이트를 줘보자!

(100000 바이트 Nop)

주소가 눈에 띄게 낮아졌다. 0xbffe@@@@ 대역으로 낮춰졌다. 이정도면 충분하니 0xbffe@@ 대역의 주소를 ret 주소로 넣고 Nop 코드 뒤에 쉘코드를 붙여서 실행하면 가볍게 공격에 성공할 수 있을 것 같다.

(공격 성공)

직접 해보니 쉘을 획득 할 수 있었다. :)

bof 원정대의 troll을 잡아보자!

*소스코드 분석

(troll.c)

소스코드를 보면 우리가 늘 사용하던 인자영역이 초기화 되는 코드가 추가된 것을 확인 할 수 있다.
하지만 argv[0]은 초기화가 안되는데 이점을 이용해서 전 문제에서 풀던것 처럼 풀수가 있다.

실제로 사용할 메모리 주소먼저 확인해본다.

(gdb를 통한 실행)

(초기화된 부분)

(argv[0] 영역)

argv[0]영역을 보면 뭔가가 있다. 바로 프로그램명(경로) 이다! 확인해보면

(프로그램명)

프로그램 이름(경로)인 것을 확인 할 수 있다.
그러면 전에 문제처럼 링크를 걸어서!

경로 먼저 생성해준다. \x2f가 경로의 구분자로 사용되기 때문에

(경로 생성)

그 후 링크!

(링크 생성)

Nop이 200개 정도니 충분하겠지? 바로 공격해본다.

(Segmentation Fault)

Segmentation Fault가 난다.. 이런.. 확인해봐야겠다. tromy 라고 내가 복사시킨 복사본을 가지고 링크를 똑같이 생성한 후 메모리를 확인해본다.

(링크생성(복사본에게))

(메모리 모습)

아하 조금 달랐다. 프로그램 이름이 길어져서 메모리 주소가 조금 바뀌었나보다.

다시 원본에 링크를 걸어주고!

(링크 생성(원본))

(공격)

공격! 은.. 또 실패!
Segmentation Fault...
뭐지!!!! 다시 복사본으로 링크를 만든 후 core 파일을 열어보았다. ( 복사본 링크과정은 똑같아서 생략했다.)

(core 파일)

음... 위치가 또 다르네..
어쨋건 nop영역의 주소를 하나 가져다가 공격!

(공격 성공)

쉘 획득!

bof 원정대 orge를 잡아보자!

소스코드를 분석한다.

(orge.c)

(경로명 77바이트)

(gdb로 실행)

(메모리 확인(인자영역))

(에러발생)

(디렉토리 생성)

(링크 연결)

(Segmentation Fault)

(링크 재생성(복사본으로))

(메모리 확인(인자영역))

(core 파일)

(원본 파일에 링크)

(공격 성공)

쉘을 획득하였다 :)

bof 원정대의 darkelf를 잡아보자!

차근차근 darkelf 소스코드부터 분석해보자.

(소스코드)

추가 된 것은 인자 길이를 체크하고 있다. 게다가 인자를 1개만 넘겨줘야한다.

하나만 넘겨주는데 그 길이도 48바이트를 넘어서는 안된다.

전전 문제에서 풀었던 방법으로 하면 위 조건들을 모두 충족시킨 체로 공격에 성공시킬 수 있었다.

전략은 바로
인자 주소로 ret주소를 넘기는 것이다.
44개 바이트 뒤에 ret 주소가 오는데 여기 ret 주소에 첫번째 인자의 주소를 넘기는 것이다.
그리고 첫번째 인자에 쉘코드를 올리면된다. (아직 인자를 초기화시키지 않기 때문에 공격 가능하다.)

그렇다면 메모리 주소부터 확인해보자!

(gdb 실행)

(메모리 확인 (사용가능한 영역))

예상대로 첫번째 인자의 주소 영역은 날라가지 않았다.
여기에 쉘코드를 올리고 이 주소를 ret주소로 넘겨줄 것이다.

그냥하면 주소를 딱 맞춰야 하기 때문에 Nop 슬레이딩을 쓸것이다. 비록 44바이트 중 내가 쓸 쉘코드는 32바이트 이기 때문에 12바이트 Nop 밖에 쓰지 못하지만 그래도 유용할 것이다.

(gdb 실행)

gdb를 통해 메모리 주소를 확인해본다. 먼저 0xbffffc28 주소로 ret 주소를 넘겨준다.

(메모리 확인(ret주소))

ret 주소에 0xbffffc28 이 잘 넘어간 것을 체크!

(메모리 확인(0xbffffc28))

0xbffffc28 주소 메모리를 확인해보면 Nop코드 위치이고 여기서 Nop이 실행되면서 쉘코드까지 실행될 수 있을거라는 것을 확인 할 수 있다.

그렇다면 darkelf를 공격해보자!

(공격 성공)

BOF 원정대 ORC 를 잡아보자!

(orc.c 소스코드)

orc 의 특징
1. 버퍼 40바이트이다. 
2. 인자로 프로그램명을 제외하고 하나 이상을 넣어줘야한다.
3. 모든 환경변수를 0으로 초기화한다. ( 환경변수 사용X )
4. 스택영역(\xbf) 영역을 사용해야한다.

그렇다면 gdb를 이용하여 실제 메모리에 어떻게 들어가나 확인해보자.!

(gdb로 프로그램 실행)

메모리 상태(환경변수 초기화)

메모리 상태를 확인해보니 환경변수 있을 자리에 전부 0으로 초기화 되어있는 모습을 볼 수 있다.

그런데?..!

메모리 상태(이용할만한 공간)

바로 ebp 아래 부분에 우리가 인자로 넘겨주는 값을 저장하는 영역을 발견하였다.
이 곳에 쉘코드를 넣고 이 주소를 ret주소로 넘겨주면 쉘을 획득할 수 있을 것 같다 :)

그렇다면 앞에 44바이트 중 우리의 쉘코드(32바이트)를 넣을 것이므로 
쉘코드 + 12바이트(더미) + ret 주소 형식에 맞추어 입력할 것이다. 우리 쉘코드가 위치할 주소 두번째 인자가 저장되는 곳이 0xbffffc2f 이므로 ret 주소에 이 주소를 넣어서 실행해본다.

메모리 확인(ret주소)

ret 주소에 우리가 의도한 0xbffffc2f가 잘 들어가 있는 것 체크!

(메모리 확인(쉘코드))

0xbffffc2f에 쉘코드가 올라가 있는지 체크!

전부 딱 맞게 올라가 있다. 그러므로 이제 gdb를 나와서 직접 실행해보자!

실제로는 메모리 주소가 조금씩 차이가 날 수 있다. 그러므로 일단 core dump를 위해 우리가 복사한 프로그램으로 실행시켜본다.

(bof 시도)

역시 한방에 안됬다. core 덤프 파일을 확인해본다!

우리가 입력한 ret 주소 0xbffffc2f 주소 근처를 확인해본다.

(core dump 파일)

확인해보니 0xbffffc2f에는 다른 것이 들어가있고 우리가 원하는 쉘코드 주소는
0xbffffc32 라는 것을 알 수 있다.

이제 ret 주소에 0xbffffc32를 넣어주고 실행!

(bof 성공)

쉘을 획득 할 수 있었다.

이렇게 orc를 처치하였다. :)