[bof] Writeup

이번 문제는 앞선 문제와 달리 nc로 접근한다.

ssh : 네트워크 상의 다른 컴퓨터에 로그인하거나 원격 시스템에서 명령을 실행하고 다른 시스템으로 파일 복사

nc : netcat은 TCP/UDP 프로토콜을 사용하는 네트워크 연결에서 데이터를 읽고 쓰는 간단한 유틸리티 프로그램.

cat이 파일에 쓰거나 읽듯이 nc는 network connection에 읽거나 쓴다.

 

즉, ssh는 직접 그 원격 시스템에 로그인해서 시스템 안에 들어가서 명령어를 실행 할 수 있는 것이고

nc는 cat을 이용해서 network connection에 읽거나 쓰는 것이다.

 

그리고 문제 코드의 주소가 있는데 wget 명령어를 통해 다운받을 수 있다.

 

bof.c

main함수는 func(0xdeadbeef)를 한다.

func()함수를 보면 overflowme[32] 배열에 gets() 로 문자를 입력받는다.

그리고 인자인 key (앞의 0xdeadbeef) 의 값과 0xcafebabe가 같다면 /bin/sh 를 할 수 있다.

 

gets()는 입력 받는 글자 수의 제한이 없기 때문에 overflowme 32를 넘겨서 buffer over flow로 key의 위치를 0xcafebabe로 덮어 씌우며 된다.

 

main()

func()

key와 overflowme[]의 위치를 찾기 위해 gdb를 이용했다.

func+12를 보면 ebp-0xc가 overflowme[]의 위치임을 확인할 수 있고

func+40을 보면 ebp+0x8이 key의 위치임을 확인할 수 있다.

 

overfloweme[]와 key의 차이는 20 만큼 있고 overflowme[]의 크기가 32이므로

"A"*32 + "\xbe\xba\fe\xca"를 하면 된다.

 

exploit

+ 앞서 말했듯이 nc는 cat을 이용해서 네트워크에 입력할 수 있기 때문에 gets()로 넣어줄 값과 ;를 이용해 cat 명령어를 함께 사용한다. 또 pipe를 이용해 그 결과를 nc pwnable.kr 9000에 넣을 수 있다.

+ 여기서 든 의문점은 bof 파일을 실행하지 않았는데 알아서 bof의 gets()에 들어갔다는 점이다.

이를 이해하기 위해 데몬에 대해 설명하겠다.

 

데몬 : 사용자의 요청을 기다리고 있다가 요청이 발생하면 이에 적절히 대응하는 리스너와 같은 역할 수행.

즉, 메모리에 상주하면서 특정 요청이 오면 즉시 대응 할 수 있도록 대기중인 프로세스

 

시스템소프트웨어보안이론 및 실습 수업에서 init이 init을 fork하고 getty가 사용자의 입력을 기다리다가 입력을 받으면 login shell을 수행한다고 배웠다. 이 pwnable.kr에서는 입력을 기다리다가 bof를 수행하는 셈인 것이다.