#About


[그림 1] - darkelf.c 소스 코드 확인




#Solution


[ + ] 소스 코드 해석


1. 외부 다른 소스파일에 있는 environ 포인터 변수 사용


2. buffer라는 배열에 40바이트 및 변수 i 선언


3. 조건문을 통해 인자 값을 검사하며 2개가 되지 않을 경우 argv error를 출력 후 종료


4. 반복문을 이용하여 환경변수에 담긴 값의 길이만큼 메모리에서 초기화


5. 조건문을 통해 사용자 입력 값 중 48번째 바이트가 \xbf가 아니면 stack is still your friend.를 출력하고 종료


6. 사용자 입력 값인 첫 번째의 인자 값의 길이가 48바이트가 넘어가면 argument is too long!을 출력하고 종료


7. 사용자 입력 값을 buffer에 복사 후 buffer에 들어있는 사용자 입력 값 출력


8. memset 함수를 이용하여 buffer 값 전부 초기화


[그림 2] - 스택 할당 사이즈 확인


i 4바이트와 buffer 40바이트로 인해 스택에는 총 44바이트의 공간이 할당되었으며 스택 구조는 아래와 같다


| i (4) | buffer (40) | EBP (4) | RET (4) |


따라서 페이로드는 RET 전까지 \x90과 셸코드로 44바이트를 채운 뒤 RET 주소를 buffer의 시작주소로 덮어 씌워 줄 것이이며 사용할 셸코드는 아래와 같다


\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80


위 셸코드는 24바이트이며 buffer의 시작주소를 구하기 위해 아래의 과정을 진행해 주었다


[그림 3] - BreakPoint 설정


strcpy 함수까지 실행시키기 위해 0x8048603에 중단점을 걸었고


아래와 같이 임의의 페이로드를 작성한 뒤 메모리를 살펴 보았더니 buffer의 시작주소를 확인할 수 있었다


[그림 4] - buffer 시작 주소 확인


0xbffffc1b가 buffer의 시작주소이며 해당 주소를 RET 주소에 덮음으로써 문제를 해결할 수 있었고 아래는 공격 페이로드이다


| \x90 (20byte) | 셸 코드 (24byte) | buffer의 시작주소(4byte) |


[그림 5] - 셸 획득



+ Recent posts