Code1018

소스코드의 select_menu() 함수가 문제였다.

(문제 코드)

(문제코드)

2번의 과정은 없어도 되었다. 스택영역의 주소를 얻기위해 반복하는 과정에서 자연스레 엄청 낮아졌다.

(스택 영역 주소 구하기)

그렇게 되면 ret,leave 하면서 쭉 내려갈 테니까!

(clear 함수)

쉘코드 올리기

(쉘코드 올리기)

쉘코드를 올리는 부분이다.

(스택 영역 주소 덮기)

exploit!

(스택 주소 받기)

옆에 Stacking 옆의 값은 현재 ebp 값이다.

(clear 중)

clear 도 몇번 실행되었다.

(exploit)

여기서 5를 눌러 exit를 실행하면 최종적으로 shell을 획득할 수 있다.

(쉘 획득)

문제 풀이 끝!

먼저, 문제 프로그램의 보호기법을 확인하였다.

(보호기법)

그리고 암호화를 위해 선택지2번을 입력하면 아래와 같이 나온다.

(암호화)

그래서 스택의 어느 변수에 하나씩 받아 온 후, 한 자씩 어느 글로벌 배열변수에 저장한다.

(평문 버퍼)

그리고 이 버퍼에서 한 자씩 다시 가져와서 암호화 과정을 걸 친 후 글로벌 배열변수(암호화버퍼)에 저장한다.

(암호문 버퍼)

(overflow)

이것저것 시도하다가 생각이 트인 때가 있었다.

(p,q 설정과정)

그리고 우리가 원하는 평문버퍼 주소(0x602560)으로 나오는지 확인해보았다.

(확인)

(확인 결과)

func[0]부분까지만 덮어쓰려면 265만큼 넣으면 된다.

(265 바이트 입력)

(결과모습)

exploit을 작성했다.

(쉘코드 및 변수 설정)

(exploit)

(exploit 결과)

문제 풀이 끝

이 문제는 echo 서비스를 실행하는 프로그램을 연결해두었다.

(echo2 문제)

파일을 주기 때문에 직접 다운받아서 분석해볼 수 있다.

(보호기법)

그러면 FSB 취약점부터 확인해본다!

(fsb 취약점)

아래 사진을 보면서 설명하겠다.

(내 컴퓨터)

그런데 실제 서버에 연결을 하였을 때는 달랐다.

(실제 연결시)

실제로 연결하였을 때 문자열이 나오는 것을 보고 다시 메모리 정보를 leak하였다.

(눈에 띄는 주소)

그렇다! ret 주소였다.

(ret 주소)

그 앞에 있는 것은 rbp 주소! 스택주소를 알아내었다.

(rbp 주소)

main에서 함수가 호출 된 후 마지막에 cleanup함수가 호출된다.

(cleanup)

echo2함수 안에서 보면

(greeting 함수 호출)

greeting 함수 호출 할 때 o객체에 접근하여

(greeting 함수)

그렇다는 건 이 값을 덮어쓸 수 있다는것! 왜냐!
바로 UAF (3번)을 입력하면 malloc을 다시 주는데 이 주소를 다시 할당해주기 때문이다.

(재할당)

입력을 받는 부분은 아래와 같다.

(이름 영역)

exploit 코드를 보면서 정리하겠다.

(shellcode 업로드)

그 후 스택 주소를 찾아서 정확한 쉘코드 주소를 찾아야한다.

(쉘코드 주소 찾기)

그 후 UAF 취약점 공략이다.

(UAF 공략)

그리고 아무 기능이나 다시 시작하면 greeting 함수가 시작 될때 shellcode가 실행되어 쉘을 얻을 수 있다.

(쉘 획득)

문제 풀이 끝!

crypto1 문제로 암호학 문제이다.

(crypto1 문제 화면)

해당 프로그램은 클라이언트와 서버 두개로 이루어져있다. 클라이언트 프로그램을 먼저 분석해보았다.

(클라이언트 프로그램)

(클라이언트 프로그램)

이제 서버 프로그램을 분석해보았다

(서버 프로그램)

이런식으로 한글자씩 노출시키는 것이다.

(exploit 코드 일부)

(전체 exploit 코드는 공개하지 않겠습니다. 궁금하시면 글 주세요.)

(쿠키값)

(pw를 생성하기 위한 코드)

그 값을 pw로 admin으로 로그인 하면 플래그가 나온다.

(문제 해결)

하루종일 문제푼것은 아니지만 조금씩 풀었는데 그래서그런지 오래걸린 문제이다.

(dragon 문제)

(문제화면)

게임을 다운로드해서 실행해본다.

(dragon 게임 실행)

그러므로 PlayGame 함수부터 분석해보겠다.

(PlayGame 함수)

그러면 SecretLevel에서는 뭘 할까?

(SecretLevel 함수)

그래서 입력 문자열포멧과 비밀번호를 확인해보니

(입력 포멧, 입력해야할 문자열)

그러므로 우리가 쓸수있는 방법은 바로 이 system("/bin/sh") 이 실행되도록 0x08048dbf 이 주소로 실행 흐름을 돌리면 된다.

(우리가 사용할 쉘)

그러던 중 FightDragon 함수 아래쪽에서 문제 해결의 핵심을 찾았다.

(문제의 핵심)

위에서 malloc을 해주고 그 곳에 입력을 받고 게다가!

(16글자)

그러면 어떻게 해야하나 위로 올라가보니

(공격함수)

공격함수 끝난 후 eax 값을 ebp-0x18을 넣고

(비교)

dragon 구조체를 몇일을 들여다 보다 무릎을 탁 쳤다.

(dragon 구조체)

테스트!

(테스트 성공)

보니 dragon 구조체가 free 된걸 까먹은건지 dragon 구조체의 첫번째 인자인 몬스터정보 출력 함수를 호출하고 있다.

(취약점)

이 주소를 몬스터정보 출력 함수인줄 알고 이 주소를 호출하려 할 것이다.

(테스트)

AAAA 입력!

(확인)

pwn 모듈을 이용해 작성했다.

(exploit)

그리고 공격!

(쉘획득)

쉘을 획득하였다.!

오늘 해결한 문제는 fsb 문제!

(fsb)

문제의 소스코드!

(소스코드)

스택에서 사용할 수 있는 주소를 보자!

(사용할 수 있는 주소)

0xffedb0 주소에 먼저 key값의 주소를 적을 것이다.

(key값 주소 적기)

포멧스트링 공격을 하고 메모리를 살펴보면

(fsb공격 후 메모리)

key 주소가 덮여 쓰여진 것을 확인 할 수 있다.

(key주소)

(완성)

처음에는 0101010101010101 를 입력하려고 했다.

(key 덮어쓰기)

이렇게 덮어쓰면 key 첫 4바이트에 01010101 이 덮어쓰여지는 것을 볼 수 있다.

(key 변조)

그런데 어셈블 코드가 좀 수상했다.

(strtoull 근방 코드)

0101010101010101 를 만들기 위해 값을 입력해보겠다.

(테스트)

eax와 edx에 값이 잘 들어가는 것을 볼수 있다.

(잘 들어간 값)

그런데 그 뒤 코드들 때문에 4바이트가 날아간다...

(0이 되버림)

검색을 해보던 중 해결할 만한 방법을 찾아냈다.

(0 입력)

20번째 위치 인자 주소에 출력된 바이트 수를 입력한다. 여기서는 출력되는게 없으므로 0바이트!

(입력된 0바이트)

자! 그럼 공격을 해보자!

(key 주소 입력)

(key+4 주소 입력)

주소를 입력하고 그 주소에 있는 값을 0으로 덮어쓴다.

(key 값)

(key+4 값)

그 후 0을 입력하면 성공!~

(성공!)

쉘을 획득했다.

(문제 해결)

문제 이름대로 쉬운? (다른문제에 비해)

(ascii_easy)

문제내용은 이렇다.

(문제 내용)

일단 접속하여 소스코드부터 확인하였다.

(소스코드)

그리고 주목되는? 부분이 있었다.

(중요부분)

(mmap 함수 인자)

함수를 실행하여 덤프된 주소를 보자!

(덤프된 내용)

아래 내용은 hex모드로 so 파일을 연 것이다.

(so 파일)

00000000: ~~~~ 헥스모드에 나와있는 텍스트가 그대로 메모리에 올라간 것이다...

(헥스모드 상황)

(테스트!)

그 후 메모리 상황!

(메모리 모습)

이다. 그렇기에 해당 주소까지 놉이 몇개 필요한지 계산해본다.

(Nop 개수)

그 뒤에 쉘코드를 이어붙여준다.

(so 파일 구성)

이렇게 하고 UV!! (55562121) 주소로 가보면

(쉘코드)

취약 함수를 오버플로우 시켜 (더미 32개) ret 주소에 UV!! 를 넣어준다. (엔디안에 맞춰서)

(공격 성공!)

의도된 풀이를 보니 execve 함수를 이용하여 풀게 되어있다. execve 함수 주소를 보니 우리가 구성할 수 있는 아스키코드 주소로 되어있는 걸 확인 할 수 있다.

(의도된 방법)

UAF!!
새로 배운 취약점이다.
Use After Free
검색해보니 유명한 취약점이었다.

(몰랐다니...)

검색해서 공부한 후 문제를 풀어보았다. 

uaf 문제이다.

(uaf)

(uaf 문제 화면)

(소스코드)

(우리가 불러낼 함수)

(덮어쓸 함수)

(case 1)

(함수 호출)

(0x401570 주소)

(0x004012d2)

(0x0040117a)

(덮어쓸 위치)

(파일 생성)

그 후 free 해준 뒤 데이터를 2번 써준다. (그래야 우리가 원했던 위치에 값이 올라가므로 -> 이 사실은 내가 gdb를 이용해 실험을 해봐서 나온 결과이다.)

(공격 성공)

해당 쉘을 획득 할 수 있었다.

leg 라는 문제이다.

지금껏 Intel 기반의 어셈블리를 보았는데
이번에는 다른 기반의 아키텍쳐 ARM을 보게된 계기가 되었다.

(leg 문제)

leg 문제 화면이다.

(leg문제 화면)

들어가보면 leg라는 프로그램과 flag 파일이 있다.

(leg 문제 접속)

처음보는 ARM 어셈블리지만 함수의 리턴값이 어떻게 넘어오는지 확인하기 위해 소스 asm 코드를 보았다.

(leg.asm)

(key1)

먼저 Key1
pc 값을 r3에 넣고 그 값을 r0에 넣는다.
pc라는 것을 찾아보니 Program Counter 레지스터라고 다음 실행할 명령어의 주소를 담고 있는 레지스터라고 되어있다.
그렇다면 pc를 담고 있는 명령어에서 다음 주소는 8ce0 이므로 key1 = 8ce0

그 다음 Key2

(Key2)

pc값을 r3에 넣고 4를 더한다.
즉 r0 = 8d06 + 4

마지막 Key3

(key3)

lr 이라는 것을 살펴보니 함수가 호출되기 전에 복귀 주소를 lr 레지스터에 저장하고 넘어온다고 한다.
ARM 에서는 함수 호출할때 스택을 쓰지않고 lr 레지스터를 이용하나보다.

(lr 값)

복귀 주소를 확인!

이 값을 전부 더해주면 끝!

(오답)

(key1 pc값)

0x00008cdc 의 주소가 실행 단계에서 pc값을 r3에 넣는 것이다.
여기서 0x00008ce0 주소는 decode 단계이고
0x00008ce4 의 주소가 fetch 될 주소이다. 
그러므로 fetch될 주소인 0x00008ce4의 주소가 pc값이 된다.

이런식으로 계산을 하게 되면 정답을 찾을 수 있게 된다.

(문제 해결)

flag 문제이다!

문제를 풀다보면서 느낀거지만 조금 이 사이트 문제들이 짜임새 있다.
한단계 나가면서 조금씩 알아가는 느낌이 든다. :)

flag 문제 클릭!

(flag 문제)

문제를 보자

(문제 화면)

파파가 포장이된 선물을 주었다.
packed 라는 표현을 봐서 packing 된 실행파일인듯 하다. (느낌에)

일단 파일을 받아보자!

(파일 확인)

파일을 readelf 로 확인해보니 섹션이 없다.
패킹 되어있는 듯하다.

헥스 에디터로 확인해본다!

(바이너리 확인)

UPX로 패킹되어있는 것을 알 수 있었다.

먼저 UPX로 언패킹 해준다.

(언패킹)

그리고 다시 한번 확인해보자.

(flag 파일)

섹션 내용들이 자세히 나온다.
이제 디버깅 할수 있게 되었다.
그리고! 캡쳐는 깜빡했지만 실행하게되면
malloc을 실행하고 그 공간에 flag를 strcpy 할거야~ 라는 힌트가 나온다.

gdb를 열어 확인!

(main)

main 함수를 보니 malloc 함수가 호출되고 아래에 함수가 하나 더 호출된다.
함수가 하나밖에 없으니 보나마나다 이게 strcpy이다.

그러면 strpy하기 전에 break 하기!

(break 걸기)

자 이제 실행 한 후
실행 전 rax [eax] 를 확인한다.
-> 64비트에서는 함수 인자를 레지스터에 담아 넘기기 때문이다.
즉 rax 위치에 flag들이 복사될 것이다.   

(복사될 곳 확인)

strcpy까지 실행 후 이 주소의 값들을 보면 뭔가 채워져있다.

(flag)

이 값들을 string으로 보면 flag를 확인 할 수 있다.

(문제 해결)