개노답의 개노답 탈출기

Level17로 접속하여 hint를 확인해 줍니다.

Level16의 코드와 비슷한데 shell 함수가 없네요.

그렇다면 쉘을 띄워주는 함수를 어딘가에 넣어주고, call 변수에 쉘을 띄워주는 함수의 주소값을 넣어주면 될 것 같습니다.

코드 구조가 비슷하니 call 변수에 쉘을 띄워주는 함수의 주소값을 넣어주는 것은 Level16과 동일한 방법을 사용하면 될 듯 하구요.

쉘을 띄워주는 함수는 Level11에서 환경변수에 Shell 코드를 삽입했던 것을 떠올리면 될 듯 합니다.

그럼 우선 환경변수에 shell을 넣도록 하겠습니다.

정상적으로 환경변수에 쉘 코드가 등록이 되었네요.

그럼 환경변수에 등록된 쉘코드의 시작 주소를 가져오도록 하겠습니다.

0xbffffc8a에 등록이 되어 있군요. 이제 call 포인터 변수에 0xbffffc8a를 넣어주면 됩니다.

어렵지 않게 Level18의 쉘이 획득 되었습니다.

Level18의 패스워드는 why did you do it 이네요.

Level16로 접속해서 항상 그렇듯이 파일 목록과 hint를 확인해 보도록 하겠습니다.

가볍게 코드에 대해서 짚고 넘어가면,

Level17의 권한으로 쉘을 띄워주는 shell()함수가 선언 되어 있고, “Hello there!”라는 문장을 출력해주는 printit()함수가 있네요.

main에서는 *call이라는 포인터 변수에 printit의 주소값을 넣어 주었구요.

이로 인하여 call()하였을 때 printit함수가 호출되게 됩니다.

쉘을 띄우려면 shell() 함수를 호출해야하니 call 포인터 변수에 shell()의 주소값을 넣어 주면 될 것 같습니다.

우선 gdb로 어셈블리어를 확인해 보도록 하겠습니다.

shell함수와 printit함수는 다음과 같구요.

Main은 다음과 같습니다.

<main+6>을 보면 ebp-16에 0x8048500을 넣는 것을 확인 할 수 있는데요. 위에서 알 수 있듯이 0x8048500은 printit 함수의 시작지점입니다.

우리가 원하는 건 shell함수이니 ebp-16에 shell함수의 시작 주소 0x080484d0을 넣어주면 됩니다.

Fgets 함수는 ebp-56지점부터 입력을 하니 ebp-16에 원하는 값을 넣기 위해서는 40byte를 채우고 0x080484d0을 넣어주면 될 듯 하네요.

예상대로 값을 입력하도록 하겠습니다.

맞았네요. 정상적으로 level17의 쉘이 획득 되었습니다.

Level17의 패스워드는 king poetic입니다.

맥에서만 하다가 오늘은 윈도우에서 하네요. ㅎㅎ

Level15로 접속하고 hint를 확인해 보겠습니다.

Level14의 힌트와 굉장히 유사합니다.

참고로 Level14의 힌트는 다음과 같습니다.

Level15에서는 Level14에 비해서 check변수가 포인터 변수로 변경 되었다는 점만 다르네요.

따라서 Level14에서는 check에 직접 0xdeadbeef를 넣어 주었지만, Level15에서는 check에 0xdeadbeef가 들어있는 메모리의 주소값을 넣어 주어야 합니다.

코드에 deadbeef가 있으니 따로 입력은 하지 않고 저 값이 있는 주소를 얻어오면 될 듯 합니다.

Gdb로 열어서 값을 확인해 보도록 하겠습니다.

x/10x main은 main으로부터 40byte 만큼의 메모리 내용을 16진수로 보여달라는 명령어 입니다.

확인해보니 0x080484b2에 0xdeadbeef가 있네요.

스택에서 *check의 위치를 알기 위하여 어셈블리어를 확인해 보겠습니다.

Level14와 스택구조가 똑같음을 알 수 있습니다.

그럼 40byte를 채워주고 그 다음 4byte가 *check이니깐 이 부분에 0x080484b2를 넣어주면 되겠네요.

빙고~ Level16 쉘이 획득 되었습니다.

Level16의 암호는 about to cause mass 입니다.

Level14로 로그인하고 hint를 확인해 줍시다.

fgest를 통해 사용자로부터 입력을 45개 만큼 받아오고, check부분이 0xdeadbeef라면 조건을 통과해 level15권한의 쉘을 띄워주는 코드네요.

어셈블리어 코드를 한번 확인해 봅시다.

56byte 만큼의 스택을 잡고, 4byte를 추가로 잡아주네요.

Fgest를 통해 받아온 입력값은 ebp-56에 저장이 되구요.

Ebp-16이 deadbeef라면 조건을 통과하네요.

필요한 정보는 다 획득한 듯 싶습니다.

스택을 그려보면 다음과 같이 됩니다.

Buf에 값을 입력해서 40byte를 채우고 check에 0xdeadbeef를 입력하면 끝나네요.

Fgest도 딱 맞춰서 45자를 입력받고 있습니다. 44가 아니고 45인것은 뒤에 개행문자 1byte가 포함 되기 때문입니다.

40개의 A와 0xdeadbeef를 넣어주도록 하겠습니다.

어렵지 않게 level15의 쉘을 획득할 수 있었네요.

level15의 암호는 guess what입니다.

Level13으로 접속해서 우선 hint를 열어봅니다.

attackme의 코드이겠구요.

취약한 함수 strcpy를 사용하고 있음을 알 수 있으며, 아마 저부분을 이용해서 공격을 해야겠죠.

그런데 i에 있는 0x1234567값이 변조가 된다면 프로그램은 i를 통해 스택의 데이터가 변조 되었음을 감지하고 Warnning: Buffer Overflow !!!라는 문장을 출력하고 프로그램이 종료 될듯 합니다.

즉 i의 값을 변조 하지 않고 ret값을 바꾸는것이 핵심이겠네요.

어셈블리로 코드를 확인해 보니 <main+3>에서 1048만큼의 공간을 확보하고 있습니다.

그후 movl $0x1234567, 0xfffffff4(%ebp)를 통하여 ebp-12지점에 0x1234567을 입력 하네요.

<main+9>까지 진행 된다음 스택 구조는 다음과 같이 됩니다.

Python –c ‘print “A”*1036+”\x67\x45\x23\x01”+”A”*12+[쉘코드주소] 이렇게 넣어주면 아마 문제 없이 돌아갈듯 합니다.

그럼 이제 환경변수에 쉘 코드를 등록하고 쉘 코드의 주소를 얻어오면 되겠습니다.

이제 i를 바꾸지 않고 ret를 덮어주면 됩니다.

문제 없이 level14계정의 쉘이 획득 되었습니다.

level14의 패스워드는 what that nigga want?이네요.

Level12에 접속하고 파일목록을 확인해 보니 level11과 별 차이가 없군요.

attackme 파일을 공격해서 권한을 획득하라는 것 같습니다.

hint를 확인해 봅시다.

attackme의 코드인듯 하고, 취약한 코드로 보이는 gets( str );가 보이네요.

gets는 사용자의 입력을 \0을 만날때까지 받으라는 함수입니다. 몇자를 입력받는지 제한이 없으므로 이 함수로 인하여 BOF가 발생합니다.

strcpy대신에 gets함수가 사용된 것을 제외하고는 level11과 완전 동일합니다.

풀이법 또한 level11과 똑같은 방식으로 스택의 ret를 쉘코드가 있는 메모리의 주소로 바꿔주면 됩니다.

메모리에 str의 영역이 0x108로 잡혀있으니, “A”*268+[쉘코드]주소를 입력해 주면 되겠네요.

다만 프로그램이 실행되고 사용자 입력 대기때 값을 넣어주어야 하니 파이프를 사용해야 합니다.

우선 환경변수에 쉘코드를 등록해주도록 하겠습니다.

이제 쉘코드의 주소를 가져오구요.

level11과 여기까지는 동일합니다. 이제 파이프를 통해 입력값을 전달하여 ret를 덮어 주면 됩니다.

level13의 쉘이 떴네요. 

패스워드는 have no clue입니다.

Level11과 공격 방법이 동일하여 쉽게 풀 수 있는 문제였네요.

수고하셨습니다.

여담이지만 투명색의 터미널창이 편집을 하면 검은색으로 바뀌는건 안이쁘네여;;

이번 문제풀이에는 shell코드, NOP 등 추가적으로 필요한 개념이 들어갑니다. 그 모든 내용을 여기서 설명하기에는 내용이 길어질 뿐더러 앞서 잘 정리되어 있는 자료가 있으니 그것을 먼저 보는것을 추천해 드립니다. 자료를 잘 정리해주신 달고나님 항상 감사합니다.

buffer_overflow_foundation_pub.pdf

Level 11에 들어가서 파일 목록을 확인하면 다음과 같이 나옵니다.

hint가 보이고 attackme라는 실행파일이 보이네요.

hint의 내용은 다음과 같습니다.

느낌이 attackme의 코드인 듯 합니다.

attackme는 권한을 상승시키고 실행시 매개변수를 str에 복사하고 출력해주는 프로그램입니다.

$./attackme test라고 입력했더니 test를 출력해주네요.

최신 ide에서는 strcpy 대신 strncpy를 사용하길 권장합니다. strcpy는 복사할 문자열의 길이를 명시해 줄 수 없기 때문입니다. 즉 입력값의 길이가 256이 넘어가게 된다면 스택의 str[256]영역을 넘어 다른 영역까지 침범하게 됩니다.

gdb로 attackme를 확인해 보겠습니다.

<main+3>를 통해 char str[256]의 공간을 스택에 마련했습니다. 256에 대항하는 0x100공간에 dummy로 0x8만큼 더 할당해 주었네요.

<main+3>까지 실행이 되면 스택은 다음과 같이 되어 있을것입니다.

Strcpy함수를 사용하여 스택을 채우기 때문에 str의 영역을 넘어 ret영역까지 건드릴 수 있습니다.

아무 값 268(256+8+4)과 추가로 4byte를 넣어 주면 우리가 ret에 원하는 값을 덮어 씌울 수 있습니다.

$./attackme `python –c ‘printf “A”*268 + “\x2c\x5a\xff\2f”’` 라고 실행하면 스택에 다음과 같이 들어갈 것입니다.

그럼 프로그램이 끝날때 eip가 0x2fff5a2c로 바뀌고 0x2fff5a2c번지에 있는 코드를 실행하게 되겠죠.

Eip를 변조하는 것은 되었으니, 이제 실행할 코드를 삽입하고 그 위치를 구해야 합니다.

사실 스택에는 윗부분이 더 있습니다. 그부분은 다음과 같이 구성되어 있습니다.

여기서 핵심은 제일 위인 env, 즉 환경변수 부분입니다. 이 부분에 우리가 원하는 어셈블리어 코드를 삽입해주고, ret를 코드가 들어있는 부분의 주소로 설정해 주면 됩니다.

삽입할 코드는 쉘을 띄우기 위한 쉘코드 입니다.

\x31\xc0\x31\xdb\xb0\x46\xcd\x80\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80\x31\xc0\xb0\x01\xcd\x80

환경 변수에 쉘코드를 등록하면 스택의 환경변수 영역에 자동으로 올라갑니다.

환경변수에 쉘코드를 등록하고 확인까지 하였습니다.

이제 이 쉘코드가 들어있는 주소를 획득하여 attackme스택의 ret부분에 넣어주면 됩니다.

쉘코드의 주소는 다음과정을 통해 얻을 수 있습니다.

이제 얻은 쉘코드의 주소를 ret에 덮어 주기만 하면 됩니다.

획득한 쉘코드의 주소로 ret를 덮어 주었더니 정상적으로 쉘이 떴고, 사용자 또한 level12가 맞습니다.

level 12의 패스워드는 it is like this네요.

BOF를 이용하여 푸는 방법 이외에 Format String Bug를 이용한 풀이 방법도 있으니 그것도 한번 찾아보셔서 시도해도 좋을 것 같습니다.

수고하셨습니다.

Level10을 들어가서 hint를 입력하면 다음과 같이 나옵니다.

두 명의 사용자가 대화방을 이용하여 비밀스런 대화를 나누고 있다.

그 대화방은 공유 메모리를 이용하여 만들어졌으며,

key_t의 값은 7530이다. 이를 이용해 두 사람의 대화를 도청하여 level11의 권한을 얻어라.

이번 문제는 공유 메모리를 도청하는 문제로 보입니다.

공유 메모리는 여러 프로세스가 같이 쓰는 메모리를 말합니다. 이 기술을 이용하면 프로세스 끼리 통신을 할 수 있으며, 같은 데이터를 공유할 수 있습니다.

같은 메모리 영역을 공유하기 위해서는 공유메모리를 생성한 후 프로세스 자신의 메모리를 사용하듯 사용하면 됩니다.

ipcs를 쓰면 현재 사용하고 있는 공유 메모리의 정보가 출력됩니다.

Key: 0x1D6A(7530)

Owner: root

Perms: 666

Bytes: 1028

권한이 666으로 되어 있으니 모든 사용자가 볼 수 있겠군요.

C언어로 공유메모리 접근 프로그래밍을 해줍니다.

http://forum.falinux.com/zbxe/index.php?document_srl=423456&mid=C_LIB

코드는 위 링크를 참고하여 작성했습니다.

컴파일 한 후 프로그램을 돌리면 level11 암호가 출력됩니다.

Level11의 암호는 what!@#$?이네요.

공유메모리를 사용할때는 권한 설정을 잘 해야겠습니다.

Level9에 로그인하고 힌트를 확인해 봅니다.

/usr/bin/bof의 코드를 주고 이를 이용해서 level10의 권한을 얻으라고 하네요.

파일 이름도 그렇고 코드 내용을 봤을 때 buffer overflow를 이용하여 문제를 풀으라고 하는것 같네요.

Buffer Overflow란 메모리의 크기보다 더 큰 데이터가 들어와서 다른 메모리에까지 영향을 주는 것을 말합니다.

해킹 공격의 기본이 되는 기법이기도 하죠. Buffer Overflow에 대한 추가 내용은https://ko.wikipedia.org/wiki/버퍼_오버플로를 참고하시기 바랍니다.

프로그램을 실행하면 메모리에 우선 할당이 되는데, 다음과 같은 형식으로 할당이 됩니다.

여기서 함수에서 선언한 지역변수는 stack영역에 들어가게 됩니다. 스택은 위에서부터 아래로 자라므로.

buf2[10]가 들어가고 그 아래에 buf[10]가 할당 되게 됩니다.

즉 프로그램에서 입력을 받아 값을 buf에 넣으므로 만약 buf[10]보다 큰 데이터가 들어오면  buf2[10]에도 영향을 주는 것입니다.

여기서 알아야 하는것은 메모리에 값이 들어갈때 어떻게 들어가는 지도 알아야 합니다.

지금 buf2[10]과 buf[10]은 메모리의 스택영역에 다음과 같이 들어가 있습니다.

메모리에 공간을 할당할때 Full Word Boundary에 맞춰 8의 배수로 할당 되므로, Buf[10]과 Buf2[10]사이에는 빗금친 6칸의 사용하지 않는 공간이 존재합니다.

입력이 buf[10]에 되니깐 만약 01234라는 5자리의 데이터를 집어넣으면 다음과 같이 들어갑니다.

즉 할당된 메모리의 오른쪽부터 값이 들어갑니다. 왜냐하면 메모리의 번지가 낮은쪽 부터 채우기 때문입니다. 그림상에서 왼쪽이 높은 주소이고 오른쪽이 낮은 주소입니다.

입력값이 hackerschool ftz level9이라면 10자리가 넘고 Buffer Overflow가 발생해 다음과 같이 들어갑니다.

코드를 보면 strncmp(buf2, “go”, 2) ==0 즉 buf2의 앞 두 글자가 “go”면 권한이 상승이 되고 쉘이 열리게 되어 있네요. 즉 메모리에 go가 다음과 같이 들어가도록 해야 합니다.

이렇게 값이 들어가려면 16자리의 글자 뒤에 go를 붙여 주면 될것 같습니다.

0123456789123456go라고 입력해 보겠습니다.

원했던 Good Skill!이 출력되고 level10권한으로 쉘이 실행됨을 볼 수 있습니다.

이제 my-pass로 비밀번호를 확인하면 level10의 비밀번호를 획득 하실 수 있습니다.

Level10의 비밀번호는 interesting to hack!입니다.

사실상 이문제는 go를 8번 이상 출력하기만 하면 풀리는 문제입니다만, 원리를 확실히 짚고 넘어가시는 것이 좋습니다. 메모리에 프로그램이 할당 되는 것과, 변수가 스택에 어떻게 할당 되는지, full word boundary가 무엇인지 등 중요한 개념이 많이 나오니 꼭 숙지하고 넘어가셨으면 합니다.

Level8에 접속하여 우선 힌트를 확인합니다.

level9의 shadow파일이 서버 어딘가에 숨어있다.

그 파일에 대해 아려진 것은 용량이 “2700”이라는 것 뿐이다.

이번 문제는 우선 용량이 2700인 파일을 찾아야 겠네요.

근데 여기서 발생하는 문제는 단위가 무엇인지 모른다는 것입니다.

단위가 b일수도 k일수도 c일수도 있습니다.

Find명령어의 메뉴얼을 보면 –size옵션에 대한 설명이 나와있습니다.

       -size n[bckw]

              File uses n units of space.  The units are  512-byte  blocks  by

              default  or  if ??b?? follows n, bytes if ??c?? follows n, kilobytes

              if ??k?? follows n, or 2-byte words if ??w?? follows  n.   The  size

              does  not  count  indirect  blocks,  but it does count blocks in

              sparse files that are not actually allocated.

단위로 사용할수 있는것은 b, c, k, w가 될것 같습니다.

운좋게 두번만에 찾아졌네요.

4가지 항목 중에서 2번째 /etc/rc.d/found.txt.가 가장 의심스러우니 내용을 확인해 보죠.

level9의 shadow내용이네요.

level9:$1$vkY6sSlG$6RyUXtNMEVGsfY7Xf0wps.:11040:0:99999:7:-1:-1:134549524

level9계정의 암호가 되는 부분은$1$vkY6sSlG$6RyUXtNMEVGsfY7Xf0wps.입니다.

암호화된 이것을 복호화 해주면 level9의 암호가 나오는 것입니다.

암호는 MD5방식으로 암호화 되어 있으니 이를 복호화 해주면 되겠습니다.

MD5에 대한 내용은 위키를 참고해주세요 : https://ko.wikipedia.org/wiki/MD5

Shadow암호는 John the Ripper라는 프로그램으로 복호화 가능합니다.

http://www.openwall.com/john/에서 자신의 운영체제와 맞는 것을 설치해 주시면 됩니다.

John the Ripper를 설치한 후 run폴더 아래에 passwd.txt파일로 shadow내용을 집어 넣습니다.

그리고 터미널을 실행시킨후 run폴더로 들어가 john passwd.txt를 입력합니다.

위와 같이 복호화가 되면 암호를 보여줍니다. 자세히 보기 위해 john –-show passwd.txt를 입력합니다.

shadow형식에 맞춰 암호부분이 복호화 되어 들어나 있음을 알수 있습니다.

Level9의 암호는 apple이네요.

파일 사이즈로 find명령어를 사용하는 것과 shadow파일의 형식에 대한 지식, shadow파일을 복호화 하는 방법을 아는 지를 묻는 문제였습니다.