Jubil의 프로그래밍 블로그

FTZ 20 Level printf에 bleh라는 문자열을 바로 집어 넣으면서 FSB 취약점이 생기게 됩니다. printf에서 %x를 쓰면 ebp-8부터 -4씩 감소하면서 인자를 읽어 오게 됩니다. 여기서 확인할 수 있는 것은 bleh 배열의 시작 위치와 printf의 ebp+8 사이에는 12byte의 공간이 존재한다는 것입니다. bleh 배열의 시작 위치는 ebp+20이라는 것을 알 수 있습니다. 그리고 %n와 %정수c를 이용해서 원하는 주소의 메모리에 원하는 값을 넣을 수 있습니다. 고정된 주소인 main 함수의 소멸자 부분 .dtors의 __DTOR_END__의 값을 셸코드의 주소로 변조하면 main 함수가 끝난 후에 쉘이 실행될 것입니다. 0x08049594입니다. __DTOR_END__는 +4 ..

FTZ 19 Level ebp-40, buf의 시작 주소입니다. level19_parents.py 입니다. code에 setreuid 함수가 없기 때문에, setreuid가 걸린 셸코드를 사용했습니다. 환경 변수를 등록하고 level19_2.py를 실행합니다. level19_1.py 입니다. 여기서 getSC는 환경 변수 SC의 주소를 가져오는 C 코드입니다. level19_2.py 입니다.

FTZ 18 Level ebp-100, string의 시작 주소입니다. ebp-104, check의 주소입니다. level18_1.py 입니다. count를 -4로 만들고 check의 값을 변조합니다. level18_2.py 입니다.

FTZ 17 Level ebp-56, buf의 시작 주소. ebp-16, call 함수 포인터의 주소. level17_parents.py 입니다. putenv 함수는 자식 프로세스에서 영향을 미치기 때문에, 제일 위에서 프로그램이 돌고 있도록 만들었습니다. level17_1.py 입니다. 여기서 사용하는 getSC 코드는 이렇습니다. 여기서 출력하는 환경 변수의 주소 문자열을 읽어와서 long 타입으로 캐스팅합니다. level17_2.py 입니다. 이 파일이 출력된 payload를 읽어서 attackme 파일에 전달해줍니다. 감사합니다.

FTZ 16 Level ebp-56, buf의 시작 주소. ebp-16, call 함수 포인터 주소. shell 함수 주소. level16_1.py 입니다. level16_2.py 입니다.

FTZ 15 Level ebp-56, buf의 시작 주소. ebp-16, *check의 주소. 두 번 참조하는 것을 볼 수 있다. 0xdeadbeef를 가지는 메모리 주소. level15_1.py 입니다. level15_2.py 입니다.

FTZ 14 Level ebp-56 버퍼 시작 주소. ebp-16 check 주소 level14_1.py 입니다. level14_2.py 입니다.

FTZ 13 Level gdb로 확인해보면 ebp까지 0x418(1048) 떨어져 있고, 변수 i는 ebp-12에 위치합니다. 스크립트를 짜고 돌려봅시다.

FTZ 12 Level level12_1.py입니다. payload를 짜고 gets로 입력을 받기 때문에 print를 해줍니다. level12_2.py입니다. 여기서 실행을 반복해서 수작업을 줄여줍니다. 이 상태에서 Enter를 여러 번 입력하면, Enter를 입력해도 무반응이 됩니다. 높은 권한의 쉘을 획득했습니다.

FTZ 11 Level os.execv는 프로그램을 종료하고 인자를 실행하기 때문에, 손수 돌리지 않고 반복문을 이용하려던 목적을 잃게 된다. 그래서 해결책으로 os.system을 이용하였다. 처음으로 파이썬 스크립트를 이용해서 문제를 풀어봤다. 파이썬은 중요하니 많이 연습해서 실력을 키우고 싶다.