[ DoPwn ] Week1 - "system" Write Up

shell 실행결과

shell 프로그램은 어떤 문자열을 입력하면 쉘의 ls -al 명령과 같은 응답을 출력하는 프로그램이다. 해당 파일이 있는 디렉토리의 응답과 일치하기 때문에 분명 프로그램 안에서 ls -al 명령을 실행하는 시스템 함수를 호출할 것임을 유추할 수 있다.

 

gdb - pd main 실행결과

이 프로그램에서 입력은 gets 함수로 처리된다.

c언어에서 gets는 입력받기 위해 사용되는 함수인데, 개행 앞 부분까지 잘라 char* 타입으로 마지막에 NULL을 붙여 저장해주는 함수라고 한다. 허나 버퍼 오버플로우를 발생시킬 수 있는 문제가 존재해 gets_s 함수의 사용을 권장한다고 한다.

 

+) 참조

https://blockdmask.tistory.com/343

[C언어/C++] gets, puts 문자열 입출력 함수에 대해서.

 

 

이 프로그램에서 사용된 gets 함수는 오버플로우를 내서 어떤 형식으로 입력되는 명령어를 수정함이 목적일 것이다. 따라서 기존에 입력되어있을 ls -al 명령어의 위치를 먼저 확인해보기로 계획하였다.

 

마침 시스템 함수 실행 직전에 친절히 인자가 전달되는 것을 확인할 수 있다. 전달되는 인자의 문자열을 x/s 명령으로 확인해보았다.

pd - x/s 명령 실행결과

예측한 바와 마찬가지로 ls -al 명령이 전달됨을 확인했다. 따라서 0x555555558090주소의 내용을 변경하여 flag 파일을 열면 된다.

문제에서 flag 파일의 위치는 최상단 디렉토리에 'flag'라는 파일명을 따른다고 했다. 따라서 해당 파일을 열 수 있는 명령어를 저 주소에 입력하면 된다.

 

gets 함수의 입력값이 저장되는 주소는 0x555555558060이다. 48byte 차이가 gets 함수의 입력값 저장위치와 명령어 저장위치 사이에 존재하므로, 필요없는 문자 48개를 명령어 앞에 먼저 입력하면 된다는 결론에 도달할 수 있다. 

 

이를 통해 python 코드를 작성했다

print 'a'*48 + 'cat /flag'

python pipeline 실행결과

원하는 명령이 실행됨을 확인할 수 있었다.

이를 원격서버 파일에서 실행해 flag를 획득했다.

 

flag 획득

 

완료!