Passion

level5 는 소스가 공개되어 있네요. 소스부터 살펴봤습니다.

BOF 군요. 바이너리도 한번 살펴봤습니다.

argv[1]의 값이 ebp-136의 주소로 들어가는걸로 봐서 return address 는 140byte를 채우고 난 다음부터 일거라 예상했습니다.

쉘코드는 wowhacker 달고나님이 쓰신 "buffer_overflow_foundation_pub"를 참고해서 만들어봤습니다.

만들어진 쉘코드를 아래 코드로 테스트 했습니다만 작동하지 않았습니다.

혹시나 하는 마음에 만들어진 바이너리를 디버깅해보니..

스택을 할당하는데 차이가 있어서 return address를 찾지 못하는 것이 이유 같네요.
따라서 리턴 어드레스를 쉘코드로 덮어 씌우고자 "+2" 값을 증가시켰습니다.
(return address가 ebp+4 의 위치에 있지 않았습니다. 값을 1씩 증가시키면서 확인해보았습니다.)

ret =(int *)&ret + 7;

다 준비됐으니 이제 넘치게 해보겠습니다.

처음엔 [Shellcode] [AAAA.....] [Shellcode address]  이렇게 해보고자 했지만 되질 않더군요.

어떻게 할까 고민하다가 구글링해보니 \x90을 이용한 방법이 있었습니다

[NOPNOPNOP...] [Shell code] [NOP address]  

return address를 NOP 중 어딘가로 지정해주면 흘러가다가 마지막엔 Shellcode가 실행.


./level5 `perl -e 'print "\x90"x95,"\x8d\x4c\x24\x04\x83\xe4\xf0\xff\x71\xfc\x55\x89\xe5\x51\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80\x59\x5d\x8d\x61\xfc\xc3","\x48\xde\xff\xbf"'`

  흠.. exploit 를 NOP + shellcode + NOP`s address 형태로 입력했을때 희안한 증상이
생기더군요. 예를 들어 NOP의 시작 어드레스가 ebp-0x88 에 위치해 있을때 이 주소가 0xbfffdc20
 이라고 하면 NOP`s address를 0xbfffdc20 으로 입력했을 때 세그 폴트가 발생하길래 확인해봤더
니 입력한대로 값이 들어가지 않고 이상한 값이 들어가 있었습니다.

혹시나 해서 0xbfffdc21 로 입력했더니 잘 입력이 되긴 했지만 역시 세그 폴트가 발생했습니다.
이것도 역시 입력한 쉘코드의 내용이 바뀌어 있었습니다. 결국 argv의 주소를 던져줬더니 쉘이
떨어지긴 했습니다만 이런 현상이 생기는 이유가 궁금하네요.

level3 를 실행했더니 위와같이 세그멘테이션 폴트가 발생합니다.
인자를 넣어보았습니다.

hmm 의 주소가 0x804847f 라고 나오는 걸로 봐서 이주소가 힌트가 될거라 생각되네요.
함수에 대한 심볼을 살펴보았더니..

함수 hmm 이 있습니다.

printf가 찍는 문자열을 확인해보았습니다.

Win 이라네요. 아무래도 0x0804847f의 함수 포인터를 어딘가에 덮어 씌우면 될거 같습니다.
해보는김에 good도 확인해봤습니다.

이녀석이 원래 호출되는 함수군요.
main 함수를 디스어셈블 해볼까요

중간중간에 섞여있는 이런 표현들이 헷갈리네요

0x080484c9 <main+26>:   lea    0x0(,%eax,4),%edx
0x080484d5 <main+38>:   cmpl   $0x0,(%eax,%edx,1)
0x080484ec <main+61>:   mov    (%eax,%edx,1),%eax

call %eax 가 결국 함수 포인터를 호출하는 부분일테니.. 이곳에 브레이크 포인트를 걸어봤습니다.

esp를 확인하고 스택을 들여다보니 다음과 같네요.

덮어 씌워야 하는 곳은 0x08048464 (good)의 함수 포인터 입니다. 따라서 36byte만큼 채우고 hmm의
함수 포인터를 던져줍니다.

음.. 다시 풀고 보니 왠지 뽀록으로 푼거 같네요. -0-



 

위와같이 levels 디렉토리에 바이너리들이 레벨 별로 있습니다.
level1을 실행해보았습니다.

strncmp 함수가 호출되기 전에 브레이크 포인트를 설정한 후 프로그램에 인자를 줘서 실행합니다

위의 내용을 따라 함수 호출을 유추해서 주소의 문자열을 찍어보았습니다.

패스워드를 입력 후 홈 디렉토리로 가서 ,pass 파일의 내용을 확인 :$

#include 
#include 

static void sig_quit(int);

int main(void)
{
    sigset_t    newmask, oldmask, pendmask;

    if (signal(SIGQUIT, sig_quit) == SIG_ERR)
        err_print("can`t catch SIGQUIT");

    //SIGQUIT 신호를 차단하고 현재 신호 마스크를 보존해둔다.

    sigemptyset(&newmask);  //signal을 비우고
    sigaddset(&newmask, SIGQUIT);  //SIGQUIT를 더하고
    if (sigprocmask(SIG_BLOCK, &newmask, &oldmask) < 0) // 추가한 SIGQUIT만 차단, oldmask로 보존 해 둔다
        err_print("SIG_BLOCK error");

    sleep(5);
    if (sigpending(&pendmask) < 0) // 현재 차단되고 유보중인 신호 집합을 pendmask로 저장
        err_print("sigpending error");

    if (sigismember(&pendmask, SIGQUIT)) //pendmask에 SIGQUIT가 있으면 출력
        printf("\nSIGQUIT pending\n");

    // 신호 마스크를 복원한다. (SIGQUIT 차단이 해제된다)

    if (sigprocmask(SIG_SETMASK, &oldmask, NULL) < 0)  // oldmask 를 복원한다.
        err_print("SIG_SETMASK error");

    printf("SIGQUIT unblocked\n");

    sleep(5); // 여기서 SIGQUIT에 의해 프로세스가 종료되고 코어 파일이 생성된다.

    exit(0);
}

static void sig_quit(int signo)
{
    printf("caught SIGQUIT\n");
    if (signal(SIGQUIT, SIG_DFL) == SIG_ERR)
        //SIG_DFL을 지정하면 신호 발생 시 신호의 기본 행동이 수행된다. 
        err_print("can`t reset SIGQUIT");
}

#include 

Sigfunc *signal(int signo, Sigfunc *func)
{
    struct sigaction    act, oact;

    act.sa_handler = func;
    sigemptyset(&act.sa_mask);
    act.sa_flags = 0;

    if (signo == SIGALRM) {
#ifdef SA_INTERRUPT
        act.sa_flags |= SA_INTERRUPT;
#endif
    }
    else {
#ifdef SA_RESTART
        act.sa_flags |= SA_RESTART;
#endif
    }

    if (sigaction(signo, &act, &oact) < 0)
        return(SIG_ERR);
    return (oact.sa_handler);
}

http://www.pythonchallenge.com/pc/return/mozart.html

let me get this straight 라는 글귀와 그림 파일 하나가 덩그라니 있다.
이번엔 소스보기를 해도 별다른 힌트가 보이지 않는다.

어쩌라는 걸까 -_-

이젠 이미지를 보면 먼저 getpixel 로 비비게 된다.. 그런데 특이하게도 getpixel로 리턴되는 값이
RGB 형태가 아닌 그냥 숫자 하나 뿐이다. 왜 그런 것일까.

찾아보니 GIF 파일 포맷에서 사용하는 Indexed Color 때문이라는 것을 알 수 있었다.

장미님 블로그 Indexed Color에 대하여 http://blog.daum.net/ms1719/14382711
Indexed Color WIKIPEDIA http://en.wikipedia.org/wiki/Indexed_color

mozart.gif 파일을 크게 확대해보면 한 라인당 하나의 보라색 뭉텡이 들이 있는 것이 보인다.
getpixel 로 한줄 씩 읽어보니 각 라인마다 195라는 5개의 같은 값이 나타났다.

이 값들을 기준으로 정렬해보니 romance 라는 글자가 희미하게 보인다.
(나중에 안 사실이지만 좀 틀린 부분이 있었다-_-;;)

import Image

im =Image.open("mozart.gif")
im_new = Image.new('RGB',(640,480))

x = im.size[0]
y = im.size[1]

for j in range(y):
        for i in range(x):
                pix = im.getpixel((i,j))
                if pix == 195:
                        num = i
                        break
                
        for a in range(x):
                if num == x:
                        num = 0
                pix = im.getpixel((num,j))
                im_new.putpixel((a,j),pix)
                num += 1
        
im_new.save('result.gif')

http://www.pythonchallenge.com/pc/return/uzi.html

January 1xx6 이라고 써진 달력 그림이 있다.
그리고 월요일인 26일에 동그라미가 쳐져있다. 소스 보기를 하면 다음의 2가지 힌트가 보인다.

<!-- he ain't the youngest, he is the second -->
<!-- todo: buy flowers for tomorrow -->

calendar 모듈로 찾아보니 weekday 라는 메소드를 이용하면 될 듯 하다.

calendar.weekday(year, month, day)
    Returns the day of the week (0 is Monday) for year (1970–...), month (1–12), day (1–31).

그리고 달력 그림 아래쪽에 보이는 2월의 날짜가 29일 까지 있는 걸로 보인다. 윤년이라는
소리다. 따라서 1월 26일이 월요일인 1xx6년 중에서 윤년인 것만 필요하다.
아래의 코드를 실행하면 1176, 1356, 1576, 1756,1976 이 나온다.

힌트에서 보면 가장 어린게 아니고 2번째라고 했으니 1756년,
내일을 위해 꽃을 사야 한다고 했으니 -_-; 27일.

1756년 1월 27일로 검색해보면 모짜르트 탄신일 이라고 나온다 -_-;;
(처음엔 1월 26일로 검색했는데 어떤 사이트에서는 26일이 탄신일이라고 나온 곳도 있었다;)

import calendar

def get_the_day(mon,day,year):
    calendar.setfirstweekday(6)
    ret = calendar.weekday(year, mon, day)
    
    if ret == 0 and year % 4 == 0:
        calendar.prmonth(year,mon)

mon = 1
day = 26

for i in range(100):
    year = int('1%02d6' % i)
    get_the_day(mon,day,year)