unkn0wnR2ver5er

▲ LOB 12번 문제. golem -> darkknight 문제이다. darkknight.c과 darkknight 파일이 존재한다.

▲ 소스코드가 많이 간결해 졌다. argv[1]을 problem_child 인자값으로 넘겨 준다.

그런데 이번엔 strcpy가 아닌 strncpy로 BOF를 방지한다. 이럴 땐 어떻게 해야 할까?

▲ 바로 FPO(Frame Point Overwrite) 공격 기법을 사용하면 된다.

▲ 모든 함수들은 함수 프롤로그와 함수 에필로그로 구성되어 있어 스택 프레임을 유지하는데 사용한다. 우리는 이 특성을 이용해 SFP를 변조해준다.

▲ 원래의 SFP값은 0xbfffa94. 우리는 이를 이 뒤인 0xbfffa90을 이용한다. 이렇게 진행을 하게 되면 함수 에필로그 과정에서 다시 우리 쉘코드의 시작 주소로 이동하게 된다.

▲ LOB 11번 문제. skeleton -> golem 문제이다. golem.c와 golem 파일이 존재한다.

▲ 스택을 buffer+48에서 0xBFFFFFFF 까지 전부 날려버린다.

▲ buffer 안에도, buffer 밖에도, 이름에도 전부 공격 불가능이다.

그럼 도대체 어떻게 풀란 말인가??

▲ 구글님은 말해주었다. 공유 라이브러리와 LD_PREDLOAD를 사용하라고..

▲ 프로그램은 원래 libc.so.6을 불러오게 되는데, 이것을 내가 임의로 만든 파일로 바꿔치기 해 주면 된다.

▲ 따라서 아무 내용 없는 파일을 만든 뒤 공유 라이브러리에 올려둔다. 그리고 LD_PRELOAD에 export하고 스택을 확인해 보면 우리가 만든 쉘 코드가 존재한다.

▲ 공격은 아무 것도 없이 RET[4]에 shellcode 입력 주소만 입력해 주면 된다.