basic_rop_x86
๋ฌธ์ ํ์ด
NX์ Partial RELRO๊ฐ ๊ฑธ๋ ค์๋ค์ ๊ทธ๋ฆฌ๊ณ ์ฝ๋๋ฅผ ์ ๊ทผํด๋ณด๋ฉด
Canary๋ ์ ์ฉ๋์ด ์์ง ์๋ค์ ๋คํ์ด์์
์ฝ๋๋ฅผ ๋ณด์๋ฉด ์ด์ ๋ด์ฉ์ด๋ ์ ์ฌํ ๋ฐฉ๋ฒ์ด๋ค์ read()ํจ์์ bof๊ฐ ๋ฐ์ํ๋๊น์
๊ทธ๋ผ ์ค์ ๋ก ์ด๋ค ์์ผ๋ก ๋ฉ๋ชจ๋ฆฌ๋ฅผ ํ ๋น๋์๋์ง๋ ํ์ธํด๋ด
์๋ค.
์ค์ ๋ก๋ 0x44๋ก ์กํ์๋ค์
Exploit ์ค๊ณ
๊ทธ๋ผ ์ ํฌ๋ ์ด์ ์ ํ๋ ๊ฑฐ์ฒ๋ผ system()ํจ์์ ์ฃผ์๋ฅผ ์์๋ด์ด ์ต์ข
์ ์ผ๋ก system("/bin/sh") ํธ์ถ!
๊ทธ๋ฌ๊ธฐ ์ํด read()ํจ์์ write()๋ฅผ ์ฌ์ฉํ ๊ฒ์
๋๋ค. ์ค์ ์ฃผ์๋ฅผ leakํ๋ ๋ฐฉ์์
์ด์ ์ ๋ฐฐ์ ์ผ๋ฏ๋ก ์๋ตํ๊ฒ ์ต๋๋ค.
๊ทธ ๋ค์์ผ๋ก ์ ํฌ๋ rop chain์ ์ด์ฉํด overwirte ํด์ฃผ๊ณ ์ด๋ฒ์ bss ์์ญ์ ํ์ฉํ์ฌ ์ ๊ทผํ ๊ฑฐ์์
์ฐธ๊ณ ๋ก bss ์์ญ์ ์ฌ์ฉํ ์ ์๋ ์ด์ ๋ Paritial RELRO ๋๋ฌธ์ธ๋ฐ ์ถํ์ ๋ฐฐ์ธ ๋ด์ฉ์ด๋๊น ๋์ด๊ฐ์ฃ
Exploit
๋ฉ๋ชจ๋ฆฌ์ ํฌ๊ธฐ๋ ์์๋ณด์๊ณ 32bit์ OS์ด๋ฏ๋ก ๊ทธ์ ํจ์ ํธ์ถ์ ๋ฐ๋ผ
bof์ ๋ฐ์์ํค๋ ์ต์ํ ๋ฐ์ดํฐ ํฌ๊ธฐ 0x48(buf+sfp) ๊ทธ๋ฆฌ๊ณ ์ ํ์์ ๋ณด์๋ฉด canary๊ฐ ์ ๊ฑธ๋ ค์์ฃ
์ด์ ์ ํผ ๋ฌธ์ ๋ return to scu๋ผ๋ ๊ณต๊ฒฉ๊ธฐ๋ฒ์ธ๋ฐ ์ด๋ ์ถํ ์ ๋ฆฌํ๊ฒ ์ต๋๋ค.
๊ทธ๋ฌ๊ธฐ์ rop์ ํ์์ธ return gadget์ ์ด์ฉํด ํ์ด๋ณด๊ฒ ์ต๋๋ค.
๋ค์ํ gadget ๋ฐฉ์์ด ์์ผ๋ ์๊ฐ ๊ด๊ณ์ ํด์ ์ฌ์ฉํ์์ต๋๋ค.
์ ํฌ๊ฐ ์ด์ ์ pwntools๋ฅผ ์ฌ์ฉํด check_lib์ ํ์์ผ๋ก ์์๋ณด์๋๋ฐ ์ฌ๊ธฐ์๋ ๊ทธ๋ฐ ๋ฌธ์ ๊ฐ ์๋ ๋ฏ ์ถ๊ธฐ์
๊ทธ๋ฅ ํ์ด๋ดค๋ค๋ ์ ์ ์ํด์ฃผ์ธ์ ใ
cs
exploit ์ฝ๋๋ฅผ ๊ฐ๋จํ ์ค๋ช
ํ์๋ฉด ์ฐ์ buf์ ์์๋ถํฐ ebp๊น์ง ๊ทธ๋ฆฌ๊ณ sfp๊น์ง ์ฑ์ด ๊ฒ์ด ์์์ผ๋ก
ret ๋ถ๋ถ์ write()์ plt๋ก ๋ฎ์์ต๋๋ค. ๊ทธ๋์ main์ด ๋๋๋ฉด ์์ฐ์ค๋ฝ๊ฒ write()๋ก
๋ํ write์ ์ธ์๋ pop์ 3๊ฐ ์ฌ์ฉํ๊ธฐ์ ํด๋น gadget์ ํ์ํ ์ฃผ์๋ฅผ ๋ฃ์์ต๋๋ค.
์ด์ ์ ํ๋ ํ์ ๊ทธ๋ฆฌ๊ณ syscall์ ํํ๋ฅผ ์ฐธ๊ณ ๋ฐ์์ ์ฑ์ ์ต๋๋ค.
๊ทธ๋ฌ๋ฉด lib์ ์ฃผ์๋ฅผ ํ์ธ ํด๋น ๋๋จธ์ง ์ฃผ์๋ ํ์ธํ ์ ์์ต๋๋ค. ๊ทธ ์ธ๋ถ์ ์ธ ๋ด์ฉ์
์ด์ ์ ํ์ธํด๋ดค์ผ๋ฏ๋ก ๊ฐ๋จํ lib base = ์ค์ ์ฃผ์ - offset์ธ ํํ์์
๊ทธ๋ผ system์ ์ฃผ์๋ lib_base + system offset์ ํ๋ฉด ๋๊ฒ ์ฃ
๋๋จธ์ง๋ ์ฐฌ์ฐฌํ chain rtl๋ฅผ ์ฌ์ฉํ์ฌ system์ ์ฃผ์๋ฅผ ํ์ธ ํ system()์ฃผ์๋ฅผ write() got๋ก ret
write()์ bss(์์ ๋ฐ์ดํฐ ๊ฐ ๋ฑ)์ "/bin/sh" ๋ฌธ์์ด์ ๋ด์์ฃผ๊ณ write("/bin/sh")์ ํด์ฃผ๋ฉด ๋!
์ฐธ๊ณ ์๋ฃ
์ฐธ๊ณ ์ด๋ฏธ์ง
'๐โSystem_Study > ๐โDreamhack_Hacking' ์นดํ ๊ณ ๋ฆฌ์ ๋ค๋ฅธ ๊ธ
| hook (0) | 2022.10.30 |
|---|---|
| fho (0) | 2022.10.30 |
| out_of_bound (0) | 2022.10.30 |
| oneshot (0) | 2022.10.30 |
| basic_exploitation_002 (0) | 2022.10.30 |
