FTZ level19 풀이

FTZ level19 풀이

 

 

 

level19의 홈디렉토리 내용을 확인 level20의 권한으로 setuid가 걸려는 attackme 프로그램 확인

 

hint 파일을 열어보자

 

 

hint 파일의 내용에는 c언어 소스코드가 있다. 18번 문제에 비하면 코드가 매우 심플해졌다 ㅎ 해석해보자

 

 

소스 코드를 보면 사용자 입력에 대한 길이 검사를 하는 부분 없이 사용하는 gets에 의한 취약점이 존재한다. 하지만 setretuid() 등의 권한 상승에 필요한 계정에 대한 부분이 없다. 그렇다는 것은 chaining return to lib 기법을 사용하여 문제에 접근하라는 의미이다.

 

TIP.chaining retrun to lib 기법?

- 라이브러리에 필요한 함수(system(),setretud() 등) 의 주소를 알아내어 사용하는 기법

 

 

어떤 식으로 문제를 풀어야할지 생각해보자

1 : buf 에서부터 ret 까지의 거리 

2 : system() , setreuid() 함수의 주소를 획득

3 : system 함수 내부에 존재하는 /bin/bs 주소 획득

4 : setreuid 인자 정보

5 : chaining 를 위한 pop과 ret 명령어 그룹

 

 

 

먼저 buf에서 부터 ret까지의 거리를 알아보자.

 

 

0x08048458 <main+24>:   lea    eax,[ebp-40] 해당 부분을 참조하게 되면 buf에서부터 ebp까지의 거리를 알수있다.

 

buf[20] 에서부터 ebp 까지의 거리는 40이다 그렇다면 buf에서 부터 ret까지의 거리는 4Byte 낮은 주소인 44가 될것이다.

 

buf[20] 에서부터 ret까지의 거리 = 44

 

 

 

이제 system() 함수와 setreuid() 함수의 주소를 획득해 보자

 

디버깅을 위해 attackme 프로그램을 tmp/ 디렉터리로 복사

 

 

 

gdb로 디버깅을 시작하고 브레이크 포인트를 시작 main함수 시작부터 걸어준다. 그리고 프로그램을 r 명령으로 시작하고

p 명령어를 통해 system 함수와 setreuid 함수의 주소를 알아낸다.

 

system 함수의 주소 = 0x4005f430

 

setreuid 함수의 주소 = 0x400f9cc0

 

 

 

 

이제 system 함수 내부에 존재하는 /bin/bs의 주소를 알아보자

 

ㄴ

 

system 함수 내부에 /bin/bs 주소를 가져오는 코드이다.

 

컴파일 후 실행시켜 보자

 

 

실행시키면 /bin/bs의 주소가 출력되는것을 확인할 수 있다.

 

/bin/bs의 주소 = 0x4014ad24

 

 

이제 setreuid의 인자 정보에 대해 알아보자

 

setreuid(sub_t ruid, uid_t euid)

 

setreuid 에대한 내용을 구글링 해본결과 2개의 인자를 받아서 처리한다고 되어있다. ruid는 실제 ID euid는 프로세스에 적용할 ID가 된다.

 

 

우리는 level20 계정의 권한을 흭득 해야하므로 level20에 대한 GID를 /etc/passwd 파일에서 출력시켰다.

 

level20의 uid = 3100(페이로드 작성시 0x0000C1C로 HEX값 변환후 사용)

 

그리고 setreuid에 인자로 줄때 ruid에 3100 euid에 3100의 인자를 주면 된다.

 

 

마지막으로 chaining 를 위한 pop과 ret 명령어 그룹을 가져오도록 하자.

setreuid 를 사용하기 위해서 2개의 인자가 사용된다는 것을 확인했다. 그러므로 pop2개와 ret1개로 구성된 chaining 명령어 그룹이 필요하게된다.

 

pop-pop-ret 가 모두 연결되어 나오는 부분인 "804849d" 를 확인 할 수 있다.

 

PPR의 주소 = 804849d

 

 

 

이제 본격적인 페이로드를 작성해보자

 

기본적인 페이로드의 구조는 [buf에서 부터 ret까지의 거리] + [setreuid시작주소] + [PPR주소] + [ruid값] + [euid값] + [system시작주소] + [4Byte 공간] + [/bin/sh주소] 이런식으로 작성할 것 이다.

 

 

최종적인 페이로드는 (python -c 'print "\x90"*44+"\xc0\x9c\x0f\x40"+"\x9d\x84\x04\x08"+"\x1c\x0c\x00\x00"+"\x1c\x0c\x00\x00"+"\x30\xf4\x05\x40"+"\x90"*4+"\x24\xad\x14\x40"';cat) | ./attackme

 

 

 

성공적으로 RTL 기법으로 셸을 흭득했고 my-pass 명령어로 level20의 패스워드를 출력시켰다.

 

level19 clear ~