#About
[그림 1] - orc.c 소스 코드 확인
#Solution
[ + ] 소스 코드 해석
1. 외부 다른 소스파일에 있는 environ 포인터 변수 사용
2. buffer라는 배열에 40바이트 및 변수 i 선언
3. 조건문을 통해 인자 값을 검사하며 2개가 되지 않을 경우 argv error를 출력 후 종료
4. 반복문을 이용하여 환경변수에 담긴 값의 길이만큼 메모리에서 초기화
5. 조건문을 통해 사용자 입력 값 중 48번째 바이트가 \xbf가 아니면 stack is still your friend.를 출력하고 종료
6. 사용자 입력 값을 buffer에 복사 후 buffer에 들어있는 사용자 입력 값 출력
[그림 2] - 스택 할당 사이즈 확인
i 4바이트와 buffer 40바이트로 인해 스택에는 총 44바이트의 공간이 할당되었으며 스택 구조는 아래와 같다
| i (4) | buffer (40) | EBP (4) | RET (4) |
따라서 페이로드는 RET 전까지의 44바이트를 \x90과 셸코드로 채운 뒤 RET 주소를 buffer의 시작주소로 덮어 씌워 줄 것이며 사용할 셸코드는 아래와 같다
\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80
위 셸코드는 24바이트이며 buffer의 시작주소를 구하기 위해 아래와 같은 과정을 거쳤다
[그림 3] - BreakPoint 설정
strcpy 함수까지 실행시키기 위해 0x80485c2에 중단점을 걸었고
아래와 같이 임의의 페이로드를 작성한 뒤 메모리를 살펴 보았더니 buffer의 시작주소를 확인할 수 있다
[그림 4] - Buffer 시작 주소 확인
0xbffffc27이 buffer의 시작주소이며 해당 주소를 RET 주소에 덮음으로써 문제를 해결할 수 있고 아래는 공격 페이로드이다
| \x90 (20byte) | 셸 코드 (24byte) | buffer의 시작주소 (4byte) |
[그림 5] - 셸 획득
'Wargame' 카테고리의 다른 글
[Lord of Buffer Overflow] Wolfman > Darkelf (0) | 2017.11.18 |
---|---|
[Lord of Buffer Overflow] Orc > Wolfman (0) | 2017.11.18 |
[Lord of Buffer Overflow] Cobolt > Goblin (0) | 2017.11.17 |
[Lord of Buffer Overflow] Gremlin > Cobolt (0) | 2017.11.17 |
[Lord of Buffer Overflow] Gate > Gremlin (0) | 2017.11.17 |