FTZ - level 9

hint

 

다음은 /usr/bin/bof의 소스이다.

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

main(){

  char buf2[10];
  char buf[10];

  printf("It can be overflow : ");
  fgets(buf,40,stdin);

  if ( strncmp(buf2, "go", 2) == 0 )
   {
        printf("Good Skill!\n");
        setreuid( 3010, 3010 );
        system("/bin/bash");
   }

}

이를 이용하여 level10의 권한을 얻어라.

 

버퍼 오버플로우에 관한 문제이다. 

fgets 함수로 사용자로부터 최대 40바이트 크기의 입력을 받고 있다. 

문제는 buf2와 buf 변수의 사이즈는 10 밖에 안되기 때문에 버퍼가 오버플로우 돼서 프로그램의 흐름이 비정상적으로 바꿀 수가 있다. 

 

 

확인 삼아 입력으로 "0123456789gogogo"를 입력해 보았다. 

근데 해결이 안됐다. 

내 예상으로는 buf = {0, 1, 2, 3, 4, 5, 6, 7, 8, 9} buf2 = {g, o, g, o, g, o, \n} 이렇게 채워짐으로 해결될 줄 알았던 것이다. 

안된 이유가 아마 두 변수 사이에 더 큰 간격이 있었기 때문인 것으로 예상해 본다. 

 

 

두 번째 시도로 뒤에 go를 더 많이 붙여보았는데 

그러면 내 예상에 맞게 조건이 참이 되어 level10 권한으로 상승하게 되어 문제 해결이 된다.  

하지만 이런 식으로 싱겁게 끝나기가 아쉬워 구글링으로 좀 더 분석을 해보았다. 

 

 

방법. gdb(디버거)로 프로그램 들여다 보기

 

우선 hint에서 나온 소스 내용을 그대로 컴파일해서 실행 파일로 따로 만들어 주었다.

(/usr/bin/bof는 level10 외에는 프로그램 내부를 들여다볼 수 없어서 디버거로 열지 못함)

 

그다음 gdb로 생성한 실행 파일을 연다. 

gdb에는 사용자 입력을 기다리고 있는데 main 함수를 보기 위해서는 "disas main"을 입력한다. 

 

bof 프로그램의 내용물이다. 아주 친절하게 어떤 함수가 호출하였는지 써져 있다. 

 

집중해서 확인해 봐야할 곳은 fgets 함수 부분과 strncmp 함수 부분이다. 

 

 

그림판으로 대충 끄적인 것..

 

위 이미지와 아래의 C언어 소스 코드랑 같이 보면 이해하기 아주 쉽다. 

fgets(buf,40,stdin)
strncmp(buf2, "go", 2)

함수에 입력 받는 인자들을 확인할 수 있다. 우선 fgets에 0x8049698(stdin 주소)를 스택에다 넣고, 그다음 사이즈 0x28(40)을 스택에 넣고 buf 변수의 주소로 보이는 0xffffffd8도 스택에 넣는 내용들이 보인다.

(C언어 코드랑 다르게 어셈블리는 인자가 뒤에 것 부터 차례대로 전달함)

 

 

암튼 메커니즘을 파악했고 fgets 함수에 입력하는 buf 변수의 주소는 0xffffffd8이고 strncmp 함수에서 "go"문자와 비교될 buf2의 주소는 0xffffffe8인 것이었다. 즉 두 주소사이의 간격은 16만큼이나 차이가 있던 것

 

위의 사실을 인지하고 0123456789(buf1) + 012345(의미 없는 공간) + go(buf2)로 입력을 하면 해결이 되는 것이었다. 

 

0123456789012345go를 입력해 주면 level10으로 권한이 상승된다.