[HackCTF] pwnable: Simple_Overflow_ver_2 풀이

Mitigation

Vulnerability Analysis

바이너리 파일 실행

1. Data : 입력 값
2. 어떤 값: 입력 값을 한 자씩 공백을 두고 출력
3. Again(y/n): y 입력 시 다시 1번과정으로 n 입력 시 프로그램 종료

 

2번 과정에서 보이는 어떤 값에 대해서 알아보면

1번 과정에서 입력 받았던 [ebp-0x88] 공간이

2번 과정에서 주소 값으로 주어짐

[rbp-0x88]영역의 주소 값을 확인 가능하다 또한 처음 scanf함수를 통해 입력을 받는 공간 역시 [rbp-0x88]이다

알 수 있는 사실을 정리해 보면 다음과 같다

1. [rbp-0x88]이 되는 이 곳의 주소를 알 수 있다
2. [rbp-0x88]이 되는 이 곳에 입력 값을 줄 수 있다

또한 scanf함수의 경우 입력 값에 제한을 두지 않기 때문에 canary가 없는 이 바이너리 파일의 ret영역을 overwrite 가능

위의 사실을 토대로 NX disabled라는 점을 이용해 [rbp-0x88]이라는 buf에 shellcode를 입력하고 이 주소를 ret영역에 overwrite를 한다면 shell을 얻을 수 있을 것이다

 

이 때 Again을 통해 다시 1번 과정으로 돌아갈 수 있기 때문에  첫 사이클에서 [rbp-0x88]의 주소 값 획득

두번째 사이클에서 shellcode 입력 및 ret영역 overwrite해 exploit하자

Exploit code

Result