CTF - 윈도우 스택 버퍼 오버플로우 예제(bof.c)

bof.c

#include <stdio.h>
#include <string.h>
#include <windows.h>

void shell_code(){
	printf("WELCOME SHELLCODE!");
	system("cmd");
}

int main(int argc, char **argv){
	char buffer[12];
	memset(buffer, 0x00, sizeof(buffer));
	if(argc != 2){
		printf("Usage : ./bof.exe data\n");
		exit(-1);
	}
	strcpy(buffer, argv[1]);
	printf("sizeof %d \n", sizeof(argv[1]));
	printf("strlen %d \n", strlen(argv[1]));
	return 0;
}

 

compile

gcc -m32 bof.c -o bof.exe

 

풀이

 

1. shellcode 주소 찾기

"WELCOME SHELLCODE!" 스트링을 참조하는 주소를 찾으면 쉽다. (00401501)

 

2. buffer 변수의 시작 주소 찾기

buffer를 인자로 받는 strcpy(mbscpy)를 호출하는 부분을 찾고 lea 오퍼랜드를 찾는다. ([esp+14])

 

 

3. EBP와 buffer 오프셋 차이 구하기

디버거의 레지스터 영역을 참고한다. 

EBP(0061FEA8) - [ESP+14](0061FE94) = 20

 

4. 페이로드 만들기

 

dummy data(20개) + sfp(4개) + return address(00401501) = 쉘 코드 호출 페이로드

 

 

aaaaaaaaaaaaaaaaaaaabbbb
@

 

return address는 인코딩이 필요하기 때문에 아래와 같은 변환 사이트를 이용하면 된다. 

 

https://codebeautify.org/hex-string-converter

Hex to String Converter Online to Convert Hex to Text

 

* 리틀엔디언 체계일 경우엔 리턴 주소를 거꾸로 집어 넣는다. 

00 40 15 01 -> \x01\x15\x40\x00

 

5. 실행 결과

윈도우 프롬프트가 열리면서 쉘 코드 실행에 성공한다.