본문 바로가기

wargame/lob

LOB level6 (wolfman->darkelf)



LOB level 6



LOB (wolfman -> darkelf)




1. cat 명령어를 통하여 darkelf.c 의 소스 코드를 확인합니다.




2. 소스코드 분석 


1. char 형 buffer  [40] 선언



2. argc 가 2 미만일 경우는 오류 메시지 출력 후 종료

 


3. 에그 헌터 환경 변수 사용 금지.



4. argv[1][47]과  "\xbf"와 같지 않다면 오류 메시지 출력 후 종료



* strlen(arg[1]) 는 길이를 체크하는 함수입니다. arg[1]의 길이가 48을 넘을 경우에는 오류를 출력하고 종료합니다.

  제가 풀었던 level5의 방법과 동일하게 푸셨다면 신경쓰지 않으셔도 됩니다.



5.strcpy 함수 : argv[1]에 있는 것을 buffer에 복사 합니다.



6.printf 로 buffer를 출력 합니다.



7.memset 으로 buffer를 40까지 0으로 초기화 합니다.





3. gdb 권한 문제를 우회하기 위해 tmp에 복사합니다.


      

명령어 cp 를 통해서 복사 하실 수 있습니다.




4. tmp 로 이동 하여 gdb darkelf 명령어를 입력합니다.



disas main 으로 main을 어셈블리어로 확인합니다.




  5. 공격 방법 



1. argv[2]에 쉘코드를 넣습니다.



2. gdb로 argv[2]가 메모리에 올라오는 주소를 찾습니다.



3. buffer(40)+ebp(4)+argv[2]의 주솟값 (return adress)

   gdb로 argv[2]가 시작되는 주소를 찾습니다.



첫 번째 우회해야하는 것은 argv[1][47]!="\xbf" 입니다.

배열은 0 부터 시작되기 때문에 47을 채우고 "\bf"를 채우면 47의 자리에는 bf가 들어가게 됩니다.


두 번째 우회해야할 것은 argv[1]의 길이가 48 이상이라는 것입니다.

이것은 44+ret 이기 때문에 48을 넘지 않게 되어 걱정하지 않으셔도 됩니다.


그후 제가 실제로 쉘코드를 넣어줄 장소에는 B라는 문자를 넣어줍니다.


x/1000x $esp명령어로 확인 하실 수 있습니다.




자 그럼 42(B)가 시작하는 주소를 찾을 수 있습니다.

넉넉하게 0xbfffc10으로 잡아 줍니다.




그렇다면 아까 위에서 했던 것 처럼

40(buffer)+4(ebp)+argv[2]의 주소)  argv[2](쉘코드)


(쉘코드= 주소값의 오차를 제거하기위해 nop을 사용합니다.)





이렇게 입력주면 되겠습니다. 




'wargame > lob' 카테고리의 다른 글

lob tips (풀기전 알아야할 것들)  (0) 2017.06.12
LOB 5 (darkelf -> orge)  (0) 2017.06.12
LOB level6 (wolfman->darkelf)  (0) 2016.09.13
LOB level5(orc->wolfman)  (0) 2016.09.13
LOB level 4 (goblin -> orc)  (1) 2016.08.01
LOB level 3 (cobolt -> goblin)  (0) 2016.08.01