문제확인


Level13의 힌트를 확인하면 아래와 같은 소스가 출력이 된다. 인자를 입력 받고 그 인자를 buf에 복사하여 넣는 것으로 strcpy가 취약점이 있는 함수의 위치이다. 그리고 i 의 값 0x1234567이 변화 될경우 "Warnning Buffer Overflow !!!를 출력하며 그대로 프로그램이 종료가 된다. 여기서 i 와 같은 것을 바로 Stack Guard 라고 부른다. 이제 이 프로그램을 GDB로 분석하여 보자 디버깅 권한을 위하여 cp 명령어를 통하여 tmp 로 복사한 후에 분석을 시작하면 된다. 



아래 사진과 같이 프롤로그에서 0x418(1048)만큼의 스택이 할당 되는 것을 확인 할 수가 있다. 그렇다면 스택의 구조는 1048 + SFP + RET 라는 것을 이제는 충분히 예상 할 수가 있다. 하지만 여기서 중요한 것은 바로 i의 값이 변하면 안된다는 것이다. 그렇다면 i의 값을 찾기위해서 디버깅을 계속 실행하여 보자.



i를 찾기 위하여 buf[1024]에 A의 값을 넣고 BP를 걸어 실행을 해보자. r `python -c 'print "A"*1024'`를 입력하여 준다. 그리고 esp의 값을 확인하여 보면 아래와 같이 A(ASCII:41)의 값이 연속적으로 잘 입력된 것을 확인 할 수가 있다. 그렇게 쭉 따라 내려가보자.



0xbfffefc0로부터 "41"의 값이 입력되어서 0xbffff3c0 바로 전까지 "41"이 입력 된 것을 확인 할 수가 있다. 그리고 붉게 표시한 부분에 바로 i의 값이 저장이 되어있는 것을 확인 할 수가 있다. 그렇게 총 1048만큼 버퍼 뒤에는 SFP와 RET가 위치하고 있는 것을 확인 할 수가 있다. 이제 이 값은 유지한 채로 공격을 진행하여 보자.



RTL



디버깅을 통하여 system()과 exit()의 주소를 구한 다음에 "/bin/sh"의 주소를 구하여 공격을 진행하면 된다. 명령어에 대한 설명을 하자면 우선 i 의 값을 유지하기 위하여 i 바로 앞까지 1036만큼은 A로 채워주고 그 후 기존의 i 값을 다시 써준 후에 RET까지의 이동을 위하여 A를 12바이트 더 추가하여 준다. 그 후 system() 함수의 주소를 입력하여 주고 잘못된 종류로 인하여 로그에 기록이 되지 않게 하기 위하여 exit()의 주소를 넣어주고 그 후에 "/bin/sh"의 주소를 넣어 주면 쉽게 공격에 성공 한 것을 확인 할 수가 있다.






ENV-EGG Shell



에그쉘의 경우는 추가적인 설명을 하지는 않겠다.

'Hacking > System Hacking' 카테고리의 다른 글

FTZ Level15 //Hard Coding, EGG  (2) 2015.05.21
FTZ Level14 //Distance  (0) 2015.05.17
FTZ Level12 //BOF,RTL,EGG,Backdoor  (0) 2015.05.10
FTZ Level11 //BOF,EGG,Format String  (0) 2015.05.09
#25 Bytes Shell Code  (0) 2015.05.07