음..문제를 보니 buffer을 지우고, 스택부분도 사용할 수 없게했다. 거기에 ret에 바로 system주소를 걸 수 없어서 코드부분을 이용해야겠다.
일단 코드를 disas 하면
\x80으로 시작하는 것을 알 수 있다. ret를 이용해 ret위치에서 한번더 ret를 하고 그 뒤에 system함수를 놓아 쉘을 따면 될 것 같다.
성공...ㅎ
| LOB-level17(function calls) (0) | 2019.07.03 |
|---|---|
| LOB-level16(fake ebp) (0) | 2019.07.03 |
| LOB-level14(RTL2, only execve) (0) | 2019.07.02 |
| LOB-level13(RTL1) (0) | 2019.07.02 |
| LOB-level12(sfp) (0) | 2019.07.02 |
우선 argv[1]의 44번째 부터의 주소를 execve_addr과 같도록 맞춰주고, execv함수의 인자에 /bin/sh를 넣어주거나, system을 다시 호출해서 해결하는 두가지 방법이 있을 것 같다.
execve 주소를 찾아주고
system 주고소 찾아준 뒤
/bin/sh주소 찾은 뒤
실패... 찾아보니 \0a가 \x00으로 들어간다더라. 따라서 밖을 "로 감싸줘야한다.
해결~
| LOB-level16(fake ebp) (0) | 2019.07.03 |
|---|---|
| LOB-level15(no stack, no RTL) (0) | 2019.07.02 |
| LOB-level13(RTL1) (0) | 2019.07.02 |
| LOB-level12(sfp) (0) | 2019.07.02 |
| LOB-level11(stack destroyer) (0) | 2019.06.30 |
이번에도 strcpy에서 인자 검사를 해주지 않는데, rtl을 이용해 문제를 풀라 제시했기에 rtl을 이용해보려한다.
system 주소를 구하고,
/bin/sh가 들어있는 주소를 구하고
주소를 뽑아준 뒤
성공ㅎ
참고로 쉘코드는 [버퍼]+[system주소]+[system ret]+[system 인자]순으로 넣었다,
| LOB-level15(no stack, no RTL) (0) | 2019.07.02 |
|---|---|
| LOB-level14(RTL2, only execve) (0) | 2019.07.02 |
| LOB-level12(sfp) (0) | 2019.07.02 |
| LOB-level11(stack destroyer) (0) | 2019.06.30 |
| LOB-level10(argv hunter) (0) | 2019.06.30 |
해당문제는 스택프레임포인터 오버플로우문제인것 같다. 보면 provlem_child에서 인자를 하나 더 받기에 sfp를 조작할 수 있고, 조작된 sfp는 leave를 할때 ebp를 다른 곳으로 튀게 만들어 쉘을 딸 수 있을 듯 하다.
buf 시작주소를 확인해주고
쉘코드 넣고 잘 들어간거 확인하고,
했는데 안되서 core을 분석했다.
주소가 다르게 들어가있다...;;
해결..ㅎ
| LOB-level14(RTL2, only execve) (0) | 2019.07.02 |
|---|---|
| LOB-level13(RTL1) (0) | 2019.07.02 |
| LOB-level11(stack destroyer) (0) | 2019.06.30 |
| LOB-level10(argv hunter) (0) | 2019.06.30 |
| LOB-level9(check 0xbfff) (0) | 2019.06.29 |
.....????? 이번에는 스택을 통째로 날린다... (정확히는 bfffffff부터 버퍼 시작 주소까지...)
음...공유라이브러리를 이용해보자..ㅎ
이름이 쉘코드인 공유라이브러리 파일이 만들어졌다.
export LD_PRELOAD = 로 공유라이브러리를 등록하고,(절대경로로 입력하는거 주의! "/tmp/" 넣기)
잘 들어간거 확인하고
쉘코드 위치도 찾고,
깔끔하게 풀렸다.
| LOB-level13(RTL1) (0) | 2019.07.02 |
|---|---|
| LOB-level12(sfp) (0) | 2019.07.02 |
| LOB-level10(argv hunter) (0) | 2019.06.30 |
| LOB-level9(check 0xbfff) (0) | 2019.06.29 |
| LOB-level8(check argc) (0) | 2019.06.28 |
이번 문제는 더 황당하다. argv를 초기화 해버리다니..;; 해결방법을 고민하다가 argv[0]인자를 따로 저장한다는 것을 알았다.
argv인자가 저장되는 부분
실행파일 이름이 저장되는 부분인것 같다.
주소 정확하게 찾고,
진행을 더 시켜봤지만 argv인자만 지워지고 실행파일명은 지워지지 않는다!
쉘코드 작성해서 쓰면 끝
사실 오류가 계속나서 너무 오래 풀었다.
ln -sf로 심볼릭 링크를 걸어주는게 더 좋은거 같다.(길이제한이 없는듯...)
심볼릭링크 뒤에 nop을 꼭 넣어줘야되는 것 같다....
| LOB-level12(sfp) (0) | 2019.07.02 |
|---|---|
| LOB-level11(stack destroyer) (0) | 2019.06.30 |
| LOB-level9(check 0xbfff) (0) | 2019.06.29 |
| LOB-level8(check argc) (0) | 2019.06.28 |
| LOB-level7(check argv[0]) (0) | 2019.06.28 |
argv[1]인자에서 ret주소 두개를 맞춰줘야겠다.
인자를 엄청 많이 넣어주니 argv[2]의 주소가 바뀌었다.
가볍게 해결~
| LOB-level11(stack destroyer) (0) | 2019.06.30 |
|---|---|
| LOB-level10(argv hunter) (0) | 2019.06.30 |
| LOB-level8(check argc) (0) | 2019.06.28 |
| LOB-level7(check argv[0]) (0) | 2019.06.28 |
| LOB-level6(check length of argv[1] + egghunter + bufferhunter) (0) | 2019.06.28 |
이번에는 받는 인자가 두개로 제한되어있고 거기에 argv[1]까지 제한해준다. 다만 argv[0]의 길이는 검사하지 않음으로, 아무래도 심볼릭링크에 쉘코드를 삽입하고 권한을 따줘야 할듯 싶다...
안되서 찾아보니 \x2f가 '/'여서 안된다더라
쉘코드를 다시 만들어야겠지만..귀찮음으로...
\xeb\x11\x5e\x31\xc9\xb1\x32\x80\x6c\x0e\xff\x01\x80\xe9\x01\x75\xf6\xeb\x05\xe8\xea\xff\xff\xff\x32\xc1\x51\x69\x30\x30\x74\x69\x69\x30\x63\x6a\x6f\x8a\xe4\x51\x54\x8a\xe2\x9a\xb1\x0c\xce\x81
https://d4m0n.tistory.com/62
[Linux/x86] Shellcode without 0x2f
Shellcode without 0x2f 이번 글에서는 0x2f가 없는 쉘코드를 만들어 볼 것이다. 0x2f는 문자로 '/'이며 이 문자는 리눅스에서 경로를 구분할 때 쓰인다. 간혹 argv[0]. 즉, 파일 이름에 쉘코드를 사용해야 할 때..
d4m0n.tistory.com
해당 블로그를 참고해 다음에 만들어 보자.
주소를 찾아주고.
생각보다 쉽게 땄다.
| LOB-level10(argv hunter) (0) | 2019.06.30 |
|---|---|
| LOB-level9(check 0xbfff) (0) | 2019.06.29 |
| LOB-level7(check argv[0]) (0) | 2019.06.28 |
| LOB-level6(check length of argv[1] + egghunter + bufferhunter) (0) | 2019.06.28 |
| LOB-level5(egghunter + bufferhunter) (0) | 2019.06.24 |
문제를 보면 level6과 유사하지만 argv[0]의 길이가 77이 되어야 한다. 심볼릭링크를 이용하면 되겠다.
심볼릭링크 명령어는 ln -s [원본] [링크명] 이다.
분석하기 위해 파일을 만들고
두번째 인자의 주소도 알아낸다.
해결했다.
| LOB-level9(check 0xbfff) (0) | 2019.06.29 |
|---|---|
| LOB-level8(check argc) (0) | 2019.06.28 |
| LOB-level6(check length of argv[1] + egghunter + bufferhunter) (0) | 2019.06.28 |
| LOB-level5(egghunter + bufferhunter) (0) | 2019.06.24 |
| LOB-level4(egghunter) (0) | 2019.06.13 |
이번 문제는 환경변수도 안되고, 버퍼도 못쓰고, \xbf도 맞춰주면서, 길이까지 맞춰줘야 되는 문제같다.
다행히 ASLR은 안걸려있는거 같고... argv[1]의 주소를 이용해 봐야겠다.
주소 확인해주고
음....실패... nop이 짧아서 그런걸까... argv[2]를 이용해보자
argv인자의 각 주소가 들어있는 주소이다,.
앞부터 argv[0], argv[1], argv[2]
이제 공격 구문을 짜서 넣으면
성공!
| LOB-level8(check argc) (0) | 2019.06.28 |
|---|---|
| LOB-level7(check argv[0]) (0) | 2019.06.28 |
| LOB-level5(egghunter + bufferhunter) (0) | 2019.06.24 |
| LOB-level4(egghunter) (0) | 2019.06.13 |
| LOB-level3(small buffer + stdin) (0) | 2019.06.09 |