1) egghunter 환경변수를 못씀

2) argv[1][47] 에 \xbf가 없으면 종료(ret 주소) -> 스택 내에 쉘코드를 써야한다는 것을 뜻합

3) buffer hunter 버퍼를 비움 -> 버퍼내에 쉘코드 쓰기불가

4) argv[1](첫번째 인자) 길이를 48로 제한

5) ultra argv hunter! argv 모두 초기화

버퍼에 인자도 모두 못써서 난감했는데 스택의 끝에 프로그램경로가 저장된다고 한다

argv가 모두 초기화 된 후main+368에 브포를 걸고

경로가 나올때까지 계속찾아본다

.....(엄청난 노가다)

메모리의 맨 끝, 스택으로 보면 맨 처음에 경로가 있는걸 확인할 수 있다

전레벨처럼 쉘코드를 이름으로 한 심볼릭링크를 생성한다

\x68\x8a\xe2\xce\x81\x68\xb1\x0c\x53\x54\x68\x6a\x6f\x8a\xe4\x68\x01\x69\x30\x63\x68\x69\x30\x74\x69\x6a\x14\x59\xfe\x0c\x0c\x49\x79\xfa\x41\xf7\xe1\x54\xc3

여기서 쉘코드앞에 경로 "/home/vampire/"부분을 빼야하는데 간단하게 0xbfffffd2에서 14를 더하면

0xbfffffe5+14=0xbffffff3 을 ret에 덮어주면 된다

?? 분명 제대로했는데;; 주소가 바뀐건가

심볼릭링크 원본을 skeleto1로 바꿔 core를 떨어트린 후 분석해보자

역시 주소가 바뀌었다. 그런데 왜 아까 절대경로이던게 상대경로가 된건지는 잘 모르겠다

"./"를 빼기 위해 2바이트를 더한 0xbfffffd4 를 ret에 덮어주고 페이로드를 다시 짜보자

페이로드와 Password

1) ret중 bf와 ff체크 -> bff00000 보다 낮은 주소를 써야한다

스택은 높은주소부터 낮은주소로 거꾸로 자란다 

argv[2]까지 전달했다면 스택에는 argv[2],argv[1],argv[0] 순서로 저장이 된다 즉, 숫자가 높은 인자부터 스택에 저장이된다

higher address

| argv[2] |         

| argv[1] |       ↓ 스택의 진행 방향     

| argv[0] |

lower address

여기서 argv[2], 즉 세번째 인자가 길어지면? 그 다음 스택에 저장되는 argv[1]는 더 낮은 주소에서 시작하게 된다

vampire의 소스를 변경해 argv[1]의의 주소를 출력하도록 하는 vampir1를 컴파일하고 실행했다.
argv[2]를 주지 않았을 때 argv[1]는 bffffc65에서 시작한다

그리고 argv[2]에 A를 20000개 주었더니 주소가 낮아진 것을 확인할 수 있다.

90000개쯤 늘려보니 드디어 bf"fe"9cd4, ff가 아닌 주소가 나왔다.

페이로드와 Password

1) egghunter 환경변수를 못씀

2) argv[1][47] 에 \xbf가 없으면 종료(ret 주소) -> 스택 내에 쉘코드를 써야한다는 것을 뜻합

3) buffer hunter 버퍼를 비움 -> 버퍼내에 쉘코드 쓰기불가

4) argv[1](첫번째 인자) 길이를 48로 제한

5) 인자 두개(argv[0],argv[1]) 제한  -> argv[2]를 이용한 익스플로잇 불가

6) argv[1] 를 비움

버퍼도 막히고 argv[1]도 막혔으니 심볼릭링크와 argv[0]를 이용하자

전레벨에서는 길이만 77로 맞추면 됐었으나 이번엔 쉘코드를 써야 한다

이번엔 좀 다른 쉘코드를 쓰는데 \x2f가 없는 쉘코드이다(48bytes)

\x2f는 '/' 를 의미하는데 심볼릭링크를 생성할 때 /는 경로를 의미하기 때문에 심볼릭링크 생성이 안되므로 다음 쉘코드를 쓴다

\xeb\x11\x5e\x31\xc9\xb1\x32\x80\x6c\x0e\xff\x01\x80\xe9\x01\x75\xf6\xeb\x05\xe8\xea\xff\xff\xff\x32\xc1\x51\x69\x30\x30\x74\x69\x69\x30\x63\x6a\x6f\x8a\xe4\x51\x54\x8a\xe2\x9a\xb1\x0c\xce\x81

troll.c 소스를 tro11.c로 복사해 버퍼를 출력하는 부분을 argv[0]의 주소를 출력하게 수정하고 tro11로 컴파일한다

tro11에 대한 심볼릭 링크의 파일명을 쉘코드로 하고 심볼릭링크를 실행하면 argv[0]의 주소인 bffffbb4가 나온다

같은방법으로 troll에 대한 심볼릭링크를 만들어 ret 주소를 bffffbb4로 페이로드를 짜면된다

페이로드와 Password

1) egghunter 환경변수를 못씀

2) argv[1][47] 에 \xbf가 없으면 종료(ret 주소) -> 스택 내에 쉘코드를 써야한다는 것을 뜻합

3) buffer hunter 버퍼를 비움 -> 버퍼내에 쉘코드 쓰기불가

4) argv[1](첫번째 인자) 길이를 48로 제한

5) argv[0] 길이 77이 되어야함

argv[0]은 프로그램을 호출하는 데 사용하는 명령이 저장되는데,

argv[0]의 길이가 77이 아니면 프로그램을 종료한다

프로그램의 경로를 늘려 77로 맞추는데에 두 가지 방법이 있다

./orge [전달할 인자] 이렇게 실행하면 argv[0]에 6이 들어가게 되는데, 스크립트를 써서

.////////////////////////...../////////////orge [인자]

이런식으로 '/'를 72개를 채워 77자를 맞추면 argv[0] error 분기점을 무사히 넘어가 stack is still your friend가 나온다.

또 다른 방법은 심볼릭링크를 생성해 파일명을 77자로 맞추는것이다

성공적으로 넘어가 stack is still your friend이 떴다

나머지는 전레벨과 똑같다

arge.c 소스를 argv[1]의 주소를 출력하게 바꿔서 argv[1]의 주소를 구하고

페이로드와 Password

1) egghunter 환경변수를 못씀

2) argv[1][47] 에 \xbf가 없으면 종료(ret 주소) -> 스택 내에 쉘코드를 써야한다는 것을 뜻합

3) buffer hunter 버퍼를 비움 -> 버퍼내에 쉘코드 쓰기불가

4) argv[1](첫번째 인자) 길이를 48로 제한

argv[1]의 길이를 48까지 줄 수 있게 제약이 추가되었지만 

전단계에서도 buffer[40] + sfp[4] + ret[4] 딱 48까지 인자를 전달했기 때문에 있으나마나한 제약이다,

argv[1]의 주소를 구해 전레벨의 페이로드를 그대로 갖다쓰면된다.

페이로드와 Password

전레벨과 같은 소스에서 buffer hunter가 추가되어 버퍼를 비운다.

1) egghunter 환경변수를 못씀

2) argv[1][47] 에 \xbf가 없으면 종료(ret 주소) -> 스택 내에 쉘코드를 써야한다는 것을 뜻합

3) buffer hunter 버퍼를 비움 -> 버퍼내에 쉘코드 쓰기불가

strcpy함수를 보자

argv[1], 즉 프로그램에서 받은 인자를 buffer에 복사한다면 argv[1]의 주소에도 인자가 쓰여져 있으므로 buffer hunter 때문에  ret에 buffer의 주소를 덮지 못한다면 argv[1]의 주소를 덮으면 된다.

printf("%s\n",buffer);를 printf("%p"\n",argv[1]);로 바꾸고 argv[1]의 주소를 알아내 ret에 덮어쓰면 끝

전레벨과 동일하지만 ret에 argv[1]의 주소를 덮는다는 것이 차이점이다

페이로드와 Password

여러 제약조건이 추가되었다

1) egghunter 환경변수를 못씀

2) argv[1][47] 에 \xbf가 없으면 종료(ret 주소) -> 스택 내에 쉘코드삽입을 뜻함

gdb로 분석해보면

스택에 2c(44)바이트만큼의 공간이 할당되어있다.

메모리구조는

(row) | i[4] | buffer[40] | sfp[4] | ret[4] | (high)

strcpy 함수가 호출된 직후 브포를 걸어 buffer의 시작주소를 찾는다

NOP(19)+쉘코드(25)+버퍼의 시작주소(4)로 페이로드를 짜서 공격해봤다

Segmentation fault가 뜬다. 어떻게 된건지 찾아봤더니 gdb로 디버깅해서 나오는 주소값과 실제 프로그램상의 주소가 차이가 난다고 한다.

정확한 버퍼 주소를 알아보기 위해 orc.c 소스에서 printf("%s",buffer);를 %p로 바꿔 주소를 출력하게 했다.

페이로드와 Password

- goblin 소스

gets로 buffer에 입력을 받아 출력하는데 gets함수 역시 입력문자열의 길이를 제한하지 않아
버퍼오버플로우 취약점이 발생한다.

스택에 16바이트 할당했으므로
메모리구조
| buffer(16) | sfp(4) | ret(4) |

전레벨과 똑같은 환경변수 shellcode를 등록하고 주소를 찾는다.

앞의 문제와는 다르게 실행할 때 인자를 받지 않고 프로그램 내에서 입력을 받으므로
파이프 명령어 | (shift + \)를 이용해 스크립트를 전달한다.

성공

Password

bash2실행하고 gdb로 까봤다

스택에 16바이트가 할당되어있다. 역시 더미가 없으므로 메모리구조를 생각해보면

| buffer(16Byte) | sfp(4Byte) | ret(4Byte) |

이렇게 된다. 버퍼의 크기가 작아 버퍼에 쉘코드를 쓰는 대신 환경변수를 이용해 풀겠다

NOP과 쉘코드가 있는 환경변수 shellcode를 등록하고 주소를 찾았다.

*환경변수 주소를 구하는 소스

페이로드와 결과

LOB 첫문제다. gate:gate로 접속하면 실행파일 gremlin과 소스가 보인다.

(Color Scripter 개꿀)

단순히 인자를 받아 strcpy 함수로 버퍼에 복사하고 출력하는 프로그램이다

gdb로 까보자

스택에 256바이트가 할당되었다.

메모리구조를 보자면

| buffer(256Byte) | sfp(4Byte) | ret(4Byte) |

이렇게 간단하게 구성되어있다.

브포걸어주고 buffer의 시작주소를 찾는다. 대충 원하는 NOP 주소를 골라서,

페이로드를 작성하고 실행한결과

끗

참고로 LOB에서는 bash에 버그가있어 메모리주소를 입력할 때 00이나 \xff가 있으면 널값으로 보기 때문에 bash2를 써야한다