고귀양이의 노트.

시리얼 값이 5B134977135E7D13 일때 Name값을 찾아야 한다.

실행 ㄱㄱ

이름과 시리얼을 똑같이 입력하니 역시나 실패한다.

디버거 ㄱㄱ

main의 시작점이다. 이름을 입력 받는다.

핵심인 입력받은 Name값을 Serial로 변형시키는 코드이다. (0x00401077 ~ 0x00401004)

ESI 레지스터값을 3이랑 비교하며 3보다 크거나 같으면 0으로 초기화 한다. (0x00401077 ~ 0x0040107C)

ESI 레지스터값에 따라 xor하는 메모리 번지가 다르다. (0x0040107E)

기본적으로 Name에서 1Byte를 EDX로 읽어와서 ECX와 xor한 뒤 (0x00401088)

Easy_Key.00401150 함수의 인자로 push하여 가공한다. (0x00401094 ~ 0x0040109A)

                    ( 참고로 ESI레지스터를 이용하여 가리키는 스택 번지는 0x0012FE1C에 10,20,30값을 왔다갔다 한다. )

스택에서 10을 ECX로 읽고

Name의 첫 값인 41("A")을 읽어서 xor하면

0x51이 된다.

Easy_Key.00401150 함수호출 뒤 가공된 값이 이렇게 저장이 된다. ASCII 값으로 보면

51이 된다. 따라서 시리얼값을 추출하는 대략적 시나리오는

1. Name에서 1Byte를 읽어들인다.

2. 특정메모리번지값 (10, 20, 30)을 읽어들인다.

3. 두 값을 xor한다.

4. 결과값의 16진수를 ASCII값으로 치환하는 Hex값을 저장한다.

확인을 위해 두번째 루프로 돌입 ( 42("B") xor 20 )

0x36, 0x32가 추가되었다. (little endian 헷갈리지 말자)

62가 맞다.

시리얼 입력 후 비교하는 코드

위 내용을 토대로 시리얼을 입력하니 맞았다. 

해서 5B134977135E7D13시리얼 값을 위 내용을 반대로 하면 Name값을 얻을 수 있다. 

fgets이 표준 입력으로부터 45byte를 읽어드리기 때문에 bufferoverflow가 일어난다.

check의 값을 0xdeadbeef와 맞추어야 한다.

gdb로 까 보면 buf는 ebp-56에 있고 check는 ebp-16에 있다.

다행히 둘의 차이가 45이하이다.

역시나 입력대기를 위해 cat을 붙여주어야 한다.

조금, 아주 조금 더 디테일한 바이트 조작이 필요 하다. 일단 i의 값을 변조 시키면 안된다.

바로 gdb로 열어서 확인 해 보면 long i 는 ebp-12에 있고

buf는 ebp-1048에 있다. 그렇다면 현재 스택은

-----------  [  buf(1024)  ][  dummy(12)  ][  long i(4)  ][  dummy(8)  ][  ebp  ][  ret  ]   ----------

이렇게 있다.

위 내용을 참고로 i의 위치 전까지 아무 문자열로 채우고 i의 값을 그대로 넣어주고

ret 전까지 12바이트를 또 아무 문자열로 채우고 쉘코드의 위치를 넣으면 끝.

소스를 보니 level11문제와 동일하다. 다만 11번은 프로그램인자로 str의 값을 입력받았다면

이번에는 stdin(표준 입력)으로 부터 값을 받고 출력을 해 준다.

똑같이 환경변수를 이용해서 쉘 코드를 등록한 뒤 공격코드를 넣었다.

##

cat을 붙이는 이유:

완전히 이해하지는 않았지만 cat을 붙이지 않을 경우 gets가 쉘 코드를 읽고 쉘 코드가 실행되어 쉘이 실행 될때

사용자의 입력을 대기해야하는데 바로 종료시키게 되어 원하는 명령을 할 수 없게 된다. 그래서 cat을 붙이게 되는데

괄호로 묶어주지 않을 경우 "python ....."실행 후 "cat | ./attackme"으로 실행되기때문에 괄호로 묶어서

위와 같이 쓰게 된다.

-- 참조 : http://cosyp.tistory.com/208

이 문제에는 2가지 취약점이 있다. 하나는 strcpy에 의한 buffer overflow취약점과

printf문에 의한 format string취약점이 있다. 어차피 level20에 fms문제가 나오므로 buffer overflow로 풀었다.

(사실 fms로 하다가 잘 안풀려서 일단 keep.)

쉘 코드를 메모리에 올리는 방법중 "환경 변수"를 이용하는 방법이 있다.

환경변수는 프로그램 실행 시 메모리에 함께 올라가기 때문이다.

이를 이용하면 쉘 코드를 메모리에 올리고 환경변수의 메모리 주소값을 이용하여 쉘 코드를 실행 시킬 수 있다.

##

위 사진에 있는 쉘 코드는 http://kaspyx.kr/4 이 블로그를 참조, 아니 copy하였다.

제작법까지 상세하게 나와있다.

쉘 코드 :

\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80

컴파일이 가능한 환경이면 이런 코드를 이용해서 환경변수가 메모리에 위치하게 되는 주소를 알 수 있다.

여러번 실행을 시켜 보았는데 지속적으로 고정된 주소값이 나왔다.

gdb로 까 보면 알 수 있듯이 ret의 스택상 위치는

[  buf(256)  ][  dummy(8)  ][  ebp(sfp)  ][  ret(여기)  ]

에 있으므로 공격코드는

./attackme `python -c 'print "A"*268+"환경변수주소(little endian)"'`

이 된다.

위 사진에서 보이듯이 setuid가 attackme에 걸려있어 level12의 쉘을 얻었다.

아마도 두 사람의 대화가 저 "공유메모리"에 있을 것이다. 그리고 저 메모리 번지에 접근하는 방법에

저 7530값이 필요 할 것이다. 해서 구글링을 하였더니 친절한 블로그가 있었다.

http://mintnlatte.tistory.com/27

위 블로그에 공유메모리에 대한 api설명이 잘 되어있다.

게으름뱅이여서 예외처리는 하지 않았다.

#include 
#include 
#include 
#include 

int main(void)
{
    char buf[100];      // 도청한 대화를 저장할 문자열 변수

    // 7530을 key로 하는 1024크기의 공유메모리 생성(IPC_CREAT 옵션) 이미 있을 경우 접근 권한 설정 (0660)
    // 성공시 공유메모리 식별 id를 리턴한다.
    unsigned long shmID = (unsigned long)shmget(7530, 1024, IPC_CREAT | 0660);   
    
    // 식별 id에 해당하는 공유메모리를 attach할 나의 프로세스의 주소지정
    // 성공시 attach된 공유메모리 주소 반환
    unsigned long shmADDR = (unsigned long)shmat(shmID, NULL, 0);

    // shmADDR에서 100byte만큼을 buf에 저장
    memcpy((void*)buf, (void*)shmADDR, 100);

    // buf 출력
    printf("%s\n",buf);

    return 0;
}

<공유메모리 원리>

의무적으로 hint를 열어 보니 소스 코드가 나온다.

buf에 40바이트만큼 표준입력으로부터 읽어드린 뒤

buf2와 "go"가 같으면 uid를 변경하여 bash쉘을 실행한다.

3010은 /etc/passwd파일을 보면 level10의 uid인 것을 알 수 있다.

buf는 buf2보다 코드 상에서 늦게 정의 되었으므로 실제 메모리 stack에서 buf2보다 낮은 주소에 위치하게 될 것이다.

fgets()에서 40바이트를 읽어서 buf에 저장한다. buf는 10byte이기 때문에 10보다 큰 데이터를 입력할 경우 overflow가 일어난다.

처음에 10바이트 입력후 overflow가 일어나는 줄 알았지만 찾아보니 쓰레기값이 있다고 한다.

실제 메모리에는 이렇게 들어있다.

##########메모리###############

낮은 주소

---------------------

|           1           |

|           1           |

|           1           |

|           1           |    ----> bof[10] (linux는 메모리가 4바이트씩 할당되어 12byte다.)

|           1           |

|           1           |

|           1           |

|           1           |

|           1           |

|           1           |

---------------------

|                       |

|       쓰레기         |

|                       |

|                       |

---------------------

|           g          |      -> 우리의 목표

|           o          |

|                       |

|                       |    ----> bof2[10] (역시 12byte다.)

|                       |

|                       |

|                       |

|                       |

|                       |

|                       |

---------------------

|                       |

|      쓰레기          |

|                       |

|                       |

---------------------

|                       |

|       쓰레기         |

|                       |

|                       |

---------------------  ----------------> ebp

|                       |

|        sfp           |

|                       |

|                       |

---------------------  

|                       |

|                       |

|        ret            |

|                       |

---------------------

높은 주소

################################

1을 16개와 go 를 입력하여 overflow가 일어났다.

Good Skill! 과 함께 level10의 쉘을 얻었다. my-pass 하면 끝.

gdb로 까 보면 (level10 권한 필요) buf (ebp-40)와 buf2 (ebp-24) 가 정확히 16 byte 차이가 난다.

## 기본적으로 gdb는 AT&T문법이므로 intel문법으로 변경하고 싶으면

## (gdb) set disassembly-flavor intel 라고 치자.

find부터 쓰자.

find를 보게 되면 size옵션에 "2700c"라고 크기 뒤 c를 붙였는데

default로 b로 되어있어 저렇게 지정을 해 주어야 한다.

/etc/rc.d/found.txt 를 확인 해 보자.

b(default) : 블록단위 512KB

c          : 바이트단위 1Byte

k          : 1 KB

w         : word단위 2Byte

shadow파일형식이다. " : " 로 구분되어 각 필드별로 의미가 있다. 필요한 것은 두번째 필드.

계정의 비밀번호가 암호화되어 들어있다.

John the Ripper(유닉스 계열 전용 password crack툴)을 이용해서 비밀번호를 크랙하자.

설치를 해야 하지만 ftz서버에 미리 푼 사람들이 이미 설치를 해 두었다. 

위 명령의 [shadowFile]에 아까 찾은 파일을 넣으면 풀린다.

힌트를 확인하자. 패스워드를 입력하면 다음레벨의 패스워드를 얻을 수 있다.

가까이 있다고 하니 같은 디렉토리인 /bin을 보았다.

뭔가 수상해 보이는 wrong.txt를 확인해 보니 다음과 같이 모스부호처럼 생긴 문자열이 출력이 되었다.

아무래도 언더바(_)는 0, 하이픈(-)은 1인 2진수 인 것 같다. 그리고 중간에 공백이 3개가 있으니 4글자 이라고 생각이 든다.

해서 다음과 같은 python 스크립트를 짜보았다.

간단히 설명하자면 wrong.txt파일을 열어서 첫 1라인을 읽어드린 뒤

하이픈은 1로, 언더바는 0으로 문자열 교체 후

공백에 따라 문자열을 잘라낸다.

int(i,2)는 i를 정수형으로 바꾸는데 두번째 인자는 i의 형태이다. (2진수 이므로 2)

그리고 chr()은 아스키값을 문자열로 치환한다.

실행 해 보면 mate라는 문자열을 얻게 된다.

/bin/level7 을 실행시켜 mate를 입력하면 끝 

로그인 하자마자 힌트가 뜬다. enter를 입력하니

이런 창이 뜬다. 텔넷 접속 서비스를 이용해 본 적이 없는 세대여서 뭔지 모르겠다.

찾아보니 텔넷 서비스에 접속되기전 Ctrl + C연타로

해킹이 이루어진 적이 있다고하여 힌트창에서 Ctrl + C를 누르니 허무하게 쉘이 뜬다.

그리고 매우 친절하게도 password도 있다.