매번 pwnable 문제를 풀때 그러지만 엄한데서 삽질을 하며 시간을 날렸습니다...허허

역시 풀이의 방향성을 잡는게 가장 어렵고 중요한것같습니다.

===============================================================================================

참고자료 1. (출처:https://wikidocs.net/64)

3.5. 축약함수(Lambda)

lambda 인자 : 표현식

>>> def hap(x, y):
...   return x + y
...
>>> hap(10, 20)
30

>>> (lambda x,y: x + y)(10, 20)
30

참고자료 2. (https://en.wikipedia.org/wiki/Block_cipher_mode_of_operation#Cipher_Block_Chaining_.28CBC.29)

암호 블록 체인 방식 (CBC)[편집]

암호 블록 체인 (cipher-block chaining, CBC) 방식은 1976년 IBM에 의해 개발되었다.^[4] 각 블록은 암호화되기 전에 이전 블록의 암호화 결과와 XOR되며, 첫 블록의 경우에는 초기화 벡터가 사용된다. 초기화 벡터가 같은 경우 출력 결과가 항상 같기 때문에, 매 암호화마다 다른 초기화 벡터를 사용해야 한다.

CBC 방식은 현재 널리 사용되는 운용 방식 중 하나이다. CBC는 암호화 입력 값이 이전 결과에 의존하기 때문에 병렬화가 불가능하지만, 복호화의 경우 각 블록을 복호화한 다음 이전 암호화 블록과 XOR하여 복구할 수 있기 때문에 병렬화가 가능하다.

문제 푸느라, 사실 삽질하느라 날아간 일요일을 기리며 허허...

주말저녁에 문제 풀고 writeup 쓰고 있는게 싱숭생숭하면서도 보람차네요(사실 풀고나면 별거 아니지만요)

======================================================

보호 기법 확인(checksec)

CANARY, NX 확인, 서버 환경 상 ASLR enable.

x86 binary, 실행 시 사용자의 입력을 받고 프로그램 종료.

겉보기엔 모르니 리버싱을 해봅시다

main() 에서 사용자 입력을 받아 한 글자씩 파싱. do_brainfuck() 함수 내부에서 각 case에 알맞는 기능을 처리

여기서 p 변수를 살펴보면 main() 에서 p = &tape 로 초기화하고 이때 값은 0x804a0a0 .

이 함수에서 p 의 값을 이용해 ++, --, putchar ... 등등 처리를 해주므로 이것을 이용해 볼 수 있겠다.

정성 들여 쓴글이 다 날라갔습니다 허허허

인생은 참 무엇인지... 최소한의 기록만 남겨야겠습니다.

======================================================

보호 기법 확인(checksec)

CANARY, NX 확인, 서버 환경 상 ASLR enable.

Canary 계산

Canary 계산을 위해 unix timestamp 값과 captcha 를 입력 받아 계산해주는 코드를 짰다. 대~~충

python 코드에서 위 프로그램 호출 후 return 된 값을 & 0xffffffff 해 4바이트 처리를 해 줌

EIP control 시도

Canary 및 return address 위치 확인을 위해 gdb로 메모리 분석

A*512 를 base64 encoding 후 입력 했을 때

Payload = A * 512 + Canary 4byte + A*12 + Return addr 4byte 

위 Payload 를 base64 encoding 해 입력하면 정상적으로 EIP control 이 될 것이고 로컬 테스트 완료 함

/bin/sh 실행 방법 구상

EIP control 은 됐고... 쉘은 어떻게 잡아야될 지 생각해보자

ASLR이 적용되어 있으므로

1. Memory leak  -> libc base addr 계산 -> system(/bin/sh) 실행

2. 고정된 주소(code, bss .... ) 사용

둘 중 하나의 방법을 사용해야 할텐데 main() 함수를 보면 다음과 같이 system() 을 call 하는 곳이 있다

이제 /bin/sh 문자열만 메모리에 올리고 주소만 알면 되는건데, 변수를 살펴보면 다음과 같이 고정된 주소를 사용하는 g_buf가 있다

근데 g_buf에 들어가는 값은 base64 encoding된 값이고, decoding된 값은 스택에 들어가서 주소가 유동적임

-  "/bin/sh\n00" + encoded value  로 payload를 구성해 보내볼까?

     :  base64 decoding 이 정상적으로 될 리 없음.

- 그냥 memory leak 할까...

     :  leak 없이 해보려고 했는데 약간 아쉬움?

- 설마 base64 encoding해 /bin/sh 문자열이 될 수 있나?

     :  /bin/sh 로 디코딩 시 패딩 에러... 발생해 /bin//sh 로 사용해 정상적으로 인코딩, 디코딩 되는 것을 확인함

     : base64 인코딩으로 NULL은 만들지 못하지만 Payload 제일 마지막에 붙이면 NULL 삽입 없이 되지 않을까

결과적으로 

Payload = A * 512 + Canary 4byte + addr_of_system_call + addr_of_/bin//sh + 0xfdb8a7fffb21

로 Payload 구성, base64 encoding된 값을 입력해 정상적으로 쉘 획득 함

공격 코드

바이너리 보안기법 검사(checksec.sh)

소스코드 확인

main() 에서 /dev/urandom을 이용해 8바이트 읽고 이것을 key 값으로 사용한다

이후 alloca를 이용해 0x12345 & key 만큼 메모리 할당하는데 fsb를 이용해 직접적으로 key 값에 접근하짐 못하게 하기위한 것 같다.

뭐 아무튼 fsb() 함수 내에서 다음과 같은 코드로 인해 format string bug가 발생

gdb를 이용해 fsb 발생 전, 후 스택 상태를 살펴보자 

GDB를 이용한 스택 값 확인

fsb() 에서 printf 하기 직전에 break point 설정

소스코드 상 사용자 입력은 data 영역(변수 buf)로 들어가기 때문에 스택에서 사용할 수 없다

하지만 위에서 빨간색으로 표시한 것과 같이

i) 스택의 특정 위치를 가리키는 포인터가 저장되어 있고

ii) 위 위치에 접근 가능하기 때문에

Double staged fsb를 사용할 수 있다

그럼 어디 메모리 주소를 쓰고 그 주소를 뭘로 덮을까

objdump 를 이용해 바이너리의 GOT 주소를 확인

for loop를 돌면서 printf를 호출해주기때문에 printf의 GOT 주소를 덮어주면 되겠고

control flow hijacking 해서 뛸 주소는

fsb() 내에서 execve(/bin/sh) 해주는 부분으로 뛰면 되겠다.

정리해보면 

i) 첫번째 fsb로 스택 내 0x804a004 값 쓰기

ii) 두번째 fsb로 0x804a004 값을 0x080486ab 로

(여기서 먼저 쓸 값보다 두번째 쓸 값이 작으므로 fsb 한번에 두개 값을 써야 하면 성가셔질뻔? 두번째 fsb사이의 값을 엄청 크게해서 0x1080486ab 로 만들어야하나? 어차피 여기선 4번 쓸 수 있기때문에 편함)

Exploit 진행 및 결과 확인

FSB 발생 확인

Exploit 코드

바이너리 보안기법 검사 (checksec.sh)

NX, Stack canary enable 확인

바이너리 리버싱

소스코드를 보면 Base64Decode한 값을 input으로 memcpy 하는 것을 확인할 수 있음.

여기서 auth(v6) 함수의 return 값이 1이면 correct() 함수 실행

correct() 함수 내부는 

input의 4바이트 값이 0xDEADBEEF 와 같으면 /bin/sh 실행하게 됨.

if 조건을 확인하는 auth() 함수는 아래와 같으며 함수를 대충 살펴보면 md5 계산한 해쉬 값이 f87... 와 같으면 True를 리턴하는 것 같다.

calc_md5, base64 decode 함수 따라가보면서 값을 tracking 해보려다가 다음과 같이 같은 값을 넣어도 hash 값이 계속 변동되는 것을 확인했다

즉 이 hash 값을 비교해서 correct() 로 넘어가는 게 의미 없는 상황이 됨. 어떻게 /bin/sh를 실행시킬까

여기서 AAAABBBBCCCC 12바이트를 인코딩한 QUFBQUJCQkJDQ0ND 를 입력값으로 넣으면 프로그램이 Segmentation fault를 뜨면서 죽는다.

Error 분석(main() 0x08049424)

Segmentation fault 시 register 값 확인

위 레지스터 값에서 보이는 것과 같이 12바이트 중 마지막 4바이트 값이 ebp로 설정된다는 것을 알 수 있다.

이 상황에서 Segmentation fault 뜨는 원인을 찾아보면 leave; ret;은 즉

leave 

mov esp,ebp

pop ebp

ret

pop eip

jmp eip

과 같다.

잘못된 ebp의 값이 esp로 들어간 후 pop 명령을 수행하게 되므로 문제가 생기는 상황.

정리해보면

1. ebp를 통한 esp 컨트롤 가능.

2. 2번째 pop 명령 결과가 eip로 들어감.

이 두가지 조건을 이용해 조작가능한 메모리공간 8바이트(dummy 4바이트 + EIP 4바이트)가 추가로 있으면 EIP 컨트롤이 가능할 수 있다

바이너리가 돌고 있는 서버는 ASLR이 적용되어있으므로 스택의 임의주소는 사용하지 못함

main 함수의 코드를 다시 보면 input은 전역 변수이므로 메모리 주소(0x0811eb40)가 고정임을 알 수 있다

Exploit을 위한 입력값은 다음과 같이 구성한다.

AAAA +  0x08049278  + 0x0811eb40

   1.               2.                 3.

1. dummy 4바이트

2. main() 에서 /bin/sh를 실행하는 주소

3. input 메모리 시작 주소

little endian 이므로 이를 고려하고 base64 encoding 해주면 결과값(QUFBQXiSBAhA6xEI)을 구할 수 있다

(pwntools 이용해서 깔끔하게 코드 짜려다가 다음 기회로...)

결과 확인