[pwnable] leg

 

leg - 2 pt [writeup]

 

문제

 

 

ssh leg@pwnable.kr -p2222 (pw:guest)를 통해 접속에 성공했다.

 

 

 

ls -al

ls -al 명령어를 통해서 존재하는 모든 파일들과 디렉토리들을 출력해주었다.

 

우선 문제에서 주어진 leg.c를 확인해주었다.

#include <stdio.h>
#include <fcntl.h>
int key1(){
	asm("mov r3, pc\n");
}
int key2(){
	asm(
	"push	{r6}\n"
	"add	r6, pc, $1\n"
	"bx	r6\n"
	".code   16\n"
	"mov	r3, pc\n"
	"add	r3, $0x4\n"
	"push	{r3}\n"
	"pop	{pc}\n"
	".code	32\n"
	"pop	{r6}\n"
	);
}
int key3(){
	asm("mov r3, lr\n");
}
int main(){
	int key=0;
	printf("Daddy has very strong arm! : ");
	scanf("%d", &key);
	if( (key1()+key2()+key3()) == key ){
		printf("Congratz!\n");
		int fd = open("flag", O_RDONLY);
		char buf[100];
		int r = read(fd, buf, 100);
		write(0, buf, r);
	}
	else{
		printf("I have strong leg :P\n");
	}
	return 0;
}

key를 입력받아서 key1(), key2()와 key3()의 값을 합했을 때 key가 된다면 flag를 얻을 수 있을 것 같다.

 

 

 

문제에서 주어진 leg.asm도 확인해보았다.

각각 main 함수, key1함수, key2함수 그리고 key3함수를 disassemble한 결과값이다.

disassemble main

main함수를 디스어셈블한 결과에서, main +48 / main +56, main +60 / main +68, main +72부분을 보면 각각 key1, key2, key3함수를 호출하고 공통적으로 r0에 저장되는 걸 확인할 수 있다.

각각의 함수를 디스어셈블한 값에서 r0의 값을 확인해보자.

 

 

 

disassemble key1

key1 +8을 보면 pc의 값이 r3에 저장되고, key1 +12에서 r3의 값이 r0에 저장된다.

그렇기 때문에 r0에는 pc의 값이 저장된다.

 

이때 pc는 Program Counter로, 다음 실행할 명령어의 주소를 담고 있다.

따라서 key1 +8에 존재하는 pc에는 0x00008ce0이 저장되어 있을 것이다.

 

 

 

disassemble key2

key2 +20에서 pc의 주소값이 r3으로 옮겨지고, key2 + 22에서 r3에 4를 더했으며,

key2 + 32에서 r3의 값이 r0로 옮겨졌기 때문에 r0에는 key2 + 20에서의 pc값인

0x00008d06 + 4 = 0x00008d0A이 저장되어 있다는 걸 알 수 있다.

 

 

 

key3 + 8에서 lr의 값이 r3으로 옮겨지고, key +12에서 r3의 값이 r0으로 이동했기 때문에 r0에는 lr의 값이 저장된다.

lr은 Link Register로, 함수를 호출한 뒤 리턴하는 주소를 저장한다. 

위의 disassemble main에서 key3함수를 호출하고 리턴하는 주소가 저장되는 것이다.

따라서 main +68의 주소 0x00008d80이 저장된다.

 

---

 

각각의 함수에서 r0에 저장될 값을 합쳐보면,

8ce0 + 8d0A + 8d80 = 1a76a

1a76a을 10진수로 변환하면,108394이다.

 

틀렸다,, 구글링을 더 해보니 pc값이 잘못된 걸 알게 됐다.

 

ARM에서는 명령을 실행하는 게 4단계로 이루어져있다.

fetch → decode → execute → write

그리고 pc는 fetch할 주소를 담고 있다.

첫번째 명령어가 execute 단계라면 그 다음 명령어는 decode 단계이고, 또 그 다음 명령어는 fetch단계인 것이다.

 

pipe line에 의해 0x00008ce4가 fetch될 부분이다.

쉽게 생각하자면 pc는 현재 실행되고 있는 명령의 다다음 명령어라고 생각하면 된다.

그러므로 pc의 값은 0x00008ce4이다.

 

마찬가지로 key2의 r0의 값을 다시 구해보자.

key2 +24의 주소에 해당하는 0x00008d08이 pc값이 되고, 따라서 key2에서 r0의 값은

0x00008d08 + 4 = 0x00008d0c이다.

 

 

 

key1, key2, key3의 r0값을 다 더한 key값을 구해보자.

 

0x00008ce4 + 0x00008d0c + 0x00008d80 = 1a770

1a770을 10진수로 변환하면 108400이다.

 

 

플래그 획득 !!

귀엽