[ DoPwn ] Week1 - "Magic Spell" Write Up

Magic Spell 실행 결과

Magic Spell 프로그램은 주문을 입력받으면 해당 주문에 따라 정해진 명령을 실행하는 프로그램이다.

따라서 프로그램 안에는 주문을 비교하는 cmp 명령이 존재할 것 이라 유추한 뒤 접근했다.

 

gdb - pd main 실행결과

main 함수의 내용은 spell1 함수를 실행하는 것을 제외하고는 별 내용이 없었다.

따라서 spell1 함수의 내용을 함께 확인했다.

 

spell1 함수에 예상한 바와 같이 비교하는 부분이 존재한다. 0x4d와 비교하는 것으로 보아, 문자열 "M"이 입력되면 같은 것으로 인식되어 아래에 jump가 되지 않고 spell2로 넘어갈 수 있음을 알 수 있다.

gdb - 문자열 입력 직전 (scanf)

문자열 입력 직전을 보면, 0x7fffffffe4c0 위치, 즉 rsi에 입력받는 문자열에 들어감을 알 수 있다. 비교하는 부분은 rbp-1, 즉 입력받는곳보다 8*4 더 간 곳에서 확인하므로, 이런 크기의 임의의 문자열로 채워주면 될 것이라 생각했다.

 

하지만 여기에서 간과한 것이 하나 있는데, rbp-1 이므로 8*4보다 1개 작은 곳에서 확인한다는 것과, BYTE PTR 이므로 글자 1개만 확인한다는 점이었다. (여기에서 20시간 넘게 걸림)

 

따라서 앞에 31개 문자를 아무거나 채우고, 마지막 문자를 M 으로 입력했다.

gdb - M 32개 입력 후 화면

의도한 바와 같이 overflow가 발생하여 jump가 수행되지 않는다고 표시되었다.

 

gdb - spell2 내부 비교부

spell2 함수 안에도 내부에 비교하는 부분이 있다. 여기에서는 문자열을 비교하기 위해 strncmp 함수가 사용되었고, 이 함수에 들어가는 문자열 2개가 rsi와 rdi에 설정되었다.

gdb - x/s 실행결과

각 문자열을 확인하기 위해 x/s 명령을 사용했다. x/s는 특정 메모리 위치의 내용을 문자열로 보여준다.

확인결과 첫번째 위치는 "pwnable!", 두번째 위치는 비어있다. 위에서 입력되는 scanf의 위치와 아래 주소의 주소값 차이가 16byte밖에 차이나지 않기 때문에, overflow를 이용해 두번째 위치를 채우면 될 것으로 보인다.

 

'차이나는 칸 수 (16) + 입력할 문자열'을 통해 입력값을 정했다

 

gdb - A 16개 + 'pwnable!' 입력 후 화면

정상적으로 의도하는 위치에 의도하는 문자열이 들어갔음을 확인할 수 있다.

마음편하게 ni를 연타하며 다음 단계로 이동한다.

 

이를 통해 프로그램이 종료된다. 위의 입력들을 파이썬 코드로 작성하여 커맨드라인에서 파이프라인을 통해 입력을 자동화시켰다.

 

print "M"*32 + "\n" + "M"*16 + "pwnable!"

 

python pipeline 실행결과

 

이를 원격서버 파일에서 실행해 flag를 획득했다.

 

flag 획득

완료!