LOB darkknight Write-Up

728x90

LOB darkknight 풀어보자.

 

[사진 1]

이전 문제들과는 달리 첫 번째 인자의 48번째 값이 "\xbf"이면 프로그램을 종료시킨다. 아래에서 확인하겠지만 첫 번째 인자의 48번재 값은 ret 주소이다. 즉, ret를 변조할 값으로 0xbf로 시작하는 값을 쓸 수 없다는 것이다.

 

 

[사진 2]

위와 같이 0xbf로 시작하면 프로그램이 종료된다. 이 경우에 RTL 기법을 이용해야 하는데 system 함수를 이용할 것이다. 다음 링크를 참고하면 된다.

참고 링크: https://jade9reen.tistory.com/73

RTL / Return To Library

 

 

[사진 3]

main 함수의 어셈블리어 코드를 보면 strcpy 함수를 호출하기 전에 ebp-0x28 주소를 eax 레지스터에 저장한다. 즉, 이 곳이 buffer 변수의 시작점이다.

 

 

[사진 4]

따라서 스택은 위와 같이 형성될 것이고, buffer 변수부터 44bytes를 입력하면 ebp까지 변조할 수 있다.

 

 

[사진 5]

위와 같이 ret를 공유 라이브러리 내의 함수인 system 함수 주소로 변조하고 그에 필요한 인자인 "/bin/sh" 문자열의 주소를 입력해주면 된다. system 함수와 "/bin/sh" 문자열 주소를 찾는 것은 다음 링크를 참고하면 된다.

참고 링크: https://jade9reen.tistory.com/72

리눅스 환경에서 공유 라이브러리 내의 함수 주소와 필요한 인자 주소 알아내기

 

 

[사진 6]

위와 같이 임의의 값 "\x90"* 44bytes로 ebp까지 변조하고, system 함수의 주소로 ret를 변조한다. 그리고 dummy 4bytes(system 함수의 ret)를 입력하고 "/bin/sh" 문자열의 주소를 입력하면 다음 계정인 bugbeard의 password를 확인할 수 있다.