[FTZ(Free Training Zone)] level12 -> level13
ID : level12
PW : it is like this
[level12@ftz level12]$ ls -l total 28 -rwsr-x--- 1 level13 level12 13771 Mar 8 2003 attackme -rw-r----- 1 root level12 204 Mar 8 2003 hint drwxr-xr-x 2 root level12 4096 Feb 24 2002 public_html drwxrwxr-x 2 root level12 4096 Feb 22 12:39 tmp |
hint파일을 한 번 읽어보겠다.
#include <stdio.h> #include <stdlib.h> #include <unistd.h> int main( void ) { char str[256]; setreuid( 3093, 3093 ); printf( "문장을 입력하세요.\n" ); gets( str ); printf( "%s\n", str ); } |
str문자열이 제한없이 입력이 되고, 그로인해 ret을 변조시켜 shellcode를 실행시키는 문제이다.
일단 가장먼저 str과 sfp 사이의 dummy값이 얼마나 있는지 한 번 보도록 하겠다.
Dump of assembler code for function main: 0x08048470 <main+0>: push ebp 0x08048471 <main+1>: mov ebp,esp 0x08048473 <main+3>: sub esp,0x108 0x08048479 <main+9>: sub esp,0x8 0x0804847c <main+12>: push 0xc15 0x08048481 <main+17>: push 0xc15 0x08048486 <main+22>: call 0x804835c <setreuid> 0x0804848b <main+27>: add esp,0x10 0x0804848e <main+30>: sub esp,0xc 0x08048491 <main+33>: push 0x8048538 0x08048496 <main+38>: call 0x804834c <printf> 0x0804849b <main+43>: add esp,0x10 0x0804849e <main+46>: sub esp,0xc 0x080484a1 <main+49>: lea eax,[ebp-264] 0x080484a7 <main+55>: push eax 0x080484a8 <main+56>: call 0x804831c <gets> 0x080484ad <main+61>: add esp,0x10 0x080484b0 <main+64>: sub esp,0x8 0x080484b3 <main+67>: lea eax,[ebp-264] 0x080484b9 <main+73>: push eax 0x080484ba <main+74>: push 0x804854c 0x080484bf <main+79>: call 0x804834c <printf> 0x080484c4 <main+84>: add esp,0x10 0x080484c7 <main+87>: leave 0x080484c8 <main+88>: ret 0x080484c9 <main+89>: lea esi,[esi] 0x080484cc <main+92>: nop 0x080484cd <main+93>: nop 0x080484ce <main+94>: nop 0x080484cf <main+95>: nop End of assembler dump. |
str의 공간은 256byte, 즉 0x100이 할당되어있는데, sfp까지의 거리는 0x108, 즉 264byte의 공간이 할당되어있다.
그러므로 str과 sfp의 사이에는 8byte의 dummy가 껴있다는 것을 알 수 있다.
이제 ret을 변조하기 위해서는, 총 268byte(str[256] + dummy[8] + sfp[4])를 덮어주어야 한다는 것을 알 수 있다.
이제 한 번 tmp디렉토리에 있는 복사파일에 ret을 덮어주고, 그 뒤에는 nop과 shellcode로 덮어주어보겠다.
gets함수등 사용자의 입력을 main함수의 인자로 받지않는 경우에는 (python -c 'print "~~~"';cat)|./file name의 형태로
값을 넘겨주어야 한다.
일단 core dump를 보도록 하겠다.
eip가 제대로 변조된 것을 확인할 수 있다.
이제 메모리를 확인해보도록 하겠다.
nop이 쌓여있는 위치를 확인했다.
이제 저 위치 중 아무 것이나 ret으로 변조해주면, ASLR로 인한 몇 번의 segmentation fault 이후에 shell이 가져와질 것이다.
한 번 밖에 segmentation fault가 뜨지 않았고, 성공적으로 shell이 가져와진 것을 확인할 수 있다.
이제 홈디렉토리로 돌아가서 원본파일을 공격해서, 권한이 상승된 shell을 가져오겠다.
성공적으로 몇 번의 segmentation fault를 거쳐서 권한이 상승한 shell을 가져왔다.
NEXT ID : level13
NEXT PW : have no clue