본문 바로가기

Write-Up/pwnable.kr

[pwnable.kr] passcode 풀이

 

 

 

#include <stdio.h>
#include <stdlib.h>

void login(){
	int passcode1;
	int passcode2;

	printf("enter passcode1 : ");
	scanf("%d", passcode1);
	fflush(stdin);

	// ha! mommy told me that 32bit is vulnerable to bruteforcing :)
	printf("enter passcode2 : ");
        scanf("%d", passcode2);

	printf("checking...\n");
	if(passcode1==338150 && passcode2==13371337){
                printf("Login OK!\n");
                system("/bin/cat flag");
        }
        else{
                printf("Login Failed!\n");
		exit(0);
        }
}

void welcome(){
	char name[100];
	printf("enter you name : ");
	scanf("%100s", name);
	printf("Welcome %s!\n", name);
}

int main(){
	printf("Toddler's Secure Login System 1.0 beta.\n");

	welcome();
	login();

	// something after login...
	printf("Now I can safely trust you that you have credential :)\n");
	return 0;	
}

 

코드에서 유심히 봐야할것은

scanf("%d", passcode1);

scanf("%d", passcode2);

이 두개이다.

원래 scanf를 쓸때면 &passcode1이라 쓰는게 맞다.

저렇게 scanf를 사용하면 passcode1에 있는 쓰레기값에 주소에 입력을 받겠다는 것이다.

여기서 passcode1 부분만 입력받고 바로 segmentation fault가 떠버리는데 이것은 리눅스에서 fflush함수가 제 기능을 못해서 passcode1 = 1234 / passcode2 = \n이 들어간다고 생각하면 된다.

 

 

gdb로 뜯어보자

welcome

welcome 함수를 분석했을때 +38번을 보면

lea  -0x70(%ebp),%edx

(edx에 ebp-0x70을 넣어줌)

+41에 mov되면서 이 값이 그대로 전달 입력 scanf로 전달

추론했을때 0x70이

name[100]의 주소일 확률이 다분하다.

 

login

login에 첫번째 scanf부분은

+34이니 passcode1은

login +24  mov -0x10(%ebp), %edx라는 것을 유추해 볼 수 있다.

두번째 scanf부분은

+80이니 위와같은 방법으로 passcode2를 유추한다면

login +70 부분인 0xc가 된다.

 

wlecome부분의 입력받는 부분 100byte -> 0x70 -> 112

login의 passcode1 -> 0x10 -> 16

112 - 16 = 96이므로

passcode1의 값을 조작할수 있다.

 

이 문제를 풀기위해서는 PLT와 GOT의 개념을 알아야한다.

(PLT GOT는 나중에 따로 포스팅할 예정)

 

passcode1부분의 주소를 조작할것이니 passcode1의 scanf까지는 정상 수행하고

 fflush가 해당하는 부분에 systme("/bin/cat flag")의 시작 부분 주소를 덮어쓴다면

system()이 호출되면서 쉘이 따질것이다.

 

알아야 할것은 fflush got, system 함수 시작지점이다.

 

fflush 호출시 fflush@plt를 참조한다.

자세히 보면

 

jmp 0x804a004 -> 0x804a004으로 점프하니 이 주소에 fflush got가 들어있을것이다.

나머지 system주소를 구하면

+127에 system 함수에 인자를 전달해주는 부분이 보이므로,

0x080485e3이다.

 

구한것들을 바탕으로 payload를 작성하면

dummy[96] + 0x0804a004 + 0x080485e3

여기서 0x080485e3를 10진수로 넘겨주어야 한다.

페이로드로 넣어주자!!

 

 

너무 어렵다...

'Write-Up > pwnable.kr' 카테고리의 다른 글

[pwnable.kr] input 풀이  (0) 2021.07.28
[pwnable.kr] random 풀이  (0) 2021.07.26
[pwnable.kr] blukat 풀이  (0) 2021.03.26
[pwnable.kr] memcpy 풀이  (0) 2021.03.25
[pwnable.kr] cmd2 풀이  (0) 2021.03.24