format string bug - level10, 11, 12

1. intro

 

2. code 및 분석

2.1.  code

생략

2.2. 분석

level 10 : exit로 func 함수가 종료되며, PIE, relro가 걸려있지 않고, 한번만 입력 가능하다.

level 11 : exit로 func 함수가 종료되며, PIE, Full relro가 걸려있고, 두번 입력 가능하다.

level 12 : func 함수가 leave, ret으로 종료되며, 대부분의 보호 기법과 동시에 "$" 문자를 필터링하며 두번 입력 가능하다.

 

3. 취약점 확인 및 공격 준비

3.1. 취약점

format string bug

3.2. 공격 준비

level 10 : PIE가 걸려있지 않기 때문에 주소 확인이 간단하고 relro가 걸려있지 않아 got overwrite가 가능하다.

통상적으로 하는 것과 같이 exit 함수를 특정 위치로 돌려 두번 입력하고, 특정 함수를 ogt으로 돌리면 된다.

 

level 11 : fsb가 가능하기에 leak은 일도 아니다. 다만 full relro로 인해 쓸 곳이 애매한데... printf 함수도 다시 func 함수로 return하기 때문에 이 위치를 이용해 ROP chainning을 하면 된다.

 

level 12 : $가 필터링되기 때문에 offset을 어떻게 넣느냐가 주요점인 문제.

 

4. exploit

생략