코드게이트의 Angry_Doraemon이라는 문제를 풀어보겠다....
angry_doraemon_c927b1681064f78612ce78f6b93c14d9
카나리가 걸려있는 문제를 풀지를 못해서..
풀어보고자 이문제를 풀어보게 되었다.
릭에 관한 문서는 cd80님의 문서를 보고 도움을 얻었다.
http://cd80.tistory.com/attachment/cfile28.uf@2759B138531B3F211639BA.pdf
파일을 분석을 해보자...
32비트 파일에 SSP와NX와 Partial RELRO가 걸려있다.
그럼 이번에는 ida로 열어보자
main함수를 확인을 하니 대충봐도 소켓 프로그램인거 같다.
8888번 포트를 이용을 하는 것이 보인다..
8888번 포트로 연결을 해보니.. open() error가 뜬다.
왜그런지 확인을 해보니 doraemon.txt라는 파일이 있어야지 정상적으로 작동이 된다.
파일을 만들어준후 다시 실행해 보자.
그러면 정상적으로 실행이 될 것이다.
코드를 확인하던 중 취약한 곳을 찾았다.
read함수에서 버퍼 오버플로우가 일어나는 것을 볼 수 있다.
카나리를 릭을 하고 libc주소를 릭을 해서 쉘을 따내자.
카나리와 buf의 차이가 10이 나는데 y를 10개 줘도 카나리가 나오지 않는 이유는 카나리의 첫바이트가 00이기 때문이다.
그럼 카나리를 릭을 해보자.
실행을 시켜보면 카나리의 값이 나온다!!
일단 이번에는 write_plt로 write_got의 값을 읽어와 보겠다..
실행을 시키면 write의 got값이 출력이 될 것이다.
그러면 이것을 이용해서 system의 주소를 구하자...
익스플로잇 코드를 확인하자!
nc를 이용해서 flag의 값을 보내주겠다.
nc -lvp 23233을 해서 23233번 포트로 연결을 받아보자...
익스플로잇 코드를 실행을 하면
flag를 출력을 해주는 것을 볼 수 있다...
.
.
.
이문제를 풀면서 카나리에 대해서 대충 감을 잡았다...
재미있는 문제였고.. 난이도도 그렇게 높지 않아서 좋았던 것 같다.
'SYSTEM HACKING > 문제 풀이' 카테고리의 다른 글
| 2017 Codegate -babypwn (0) | 2018.01.12 |
|---|---|
| 2014 Codegate -nuclear (0) | 2018.01.10 |
| Plaid CTF 2018 - EBP (0) | 2018.01.05 |
| Backdoor CTF-2015 forgot문제 (0) | 2018.01.04 |
| [ROP 문제]2013 Pico ctf rop-4 (0) | 2017.12.20 |