[HackCTF] Basic_BOF #2 문제 풀이

준비물

---

IDA Pro 7.0, Linux 작업환경 (본인은 kali linux를 사용함)

https://hex-rays.com/ida-pro/

IDA Pro – Hex Rays

 

문제소개

---

[HackCTF] Basic_BOF #2

 

문제풀이

---

앞선 문제인 Basic_BOF #1과 마찬가지로, 32bit binary 파일이 주어져 있다.

IDA로 열어보도록 하자.

 

bof_basic2를 IDA로 열어본 화면

 

뭔가 많이 간결한듯한 코드이다.

스크린샷에 다 담지는 않았지만, main 함수 외에도 sup, shell 함수가 존재한다.

sup 함수는 puts함수를 통해 s 를 출력하는 역할,

shell 함수는 예상하기 쉽게도 쉘 권한을 따오는 역할을 한다.

 

그럼 처음부터 파일을 해석해보자.

 

char 형 변수 s가 총 128byte(8Ch - Ch)의 크기로 선언되어 있다.

그리고 곧 이어 void형 함수 포인터 v5가 선언되어 있다.

 

우선 v5에 sup 함수가 들어가고,

그 다음 fget로 s의 값을 받으며,

마지막으로는 v5가 실행되겠다고 파일은 해석된다.

 

 

그렇다면 우리가 해야할 것은 상당히 간단하다.

 

스택상으로는 s가 v5보다 선행하므로,

s를 입력받는 코드에서 s의 크기보다 넘치는 값을 입력하면

넘치는 만큼 v5로 흘러갈 것이다.

 

그래서 s를 입력해줄 때, shell함수의 주소값을 넘겨준다면,

v5를 실행할 때, shell 함수가 실행될 것이다.

 

그러면 shell 함수의 주소값을 알아낸 후,

페이로드를 짜서 s를 덮은 후에 바로 주소값을 보내주면 되겠다.

 

shell 함수의 주소는 다음과 같이 알아낼 수 있다.

 

리눅스에서 gdb를 통해 bof_basic2를 실행시키고,

shell 함수를 검색하면 된다.

 

shell함수의 주소(0x804849b)를 알아낸 화면

 

그리고 이를 토대로 페이로드를 짜주면,

 

basic_bof2.py

 

이렇게 짜줄 수 있고,

위 코드를 그대로 실행시키면?

 

올바르게 쉘이 가져와진 모습

 

올바르게 쉘을 가져올 수 있었고,

flag도 예쁘게 나온 모습이다.