[DreamHack] [Pwnable] ssp_001

Canary있고, NX있다.

소스코드 분석부터 하겠다.

#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>
void alarm_handler() {
    puts("TIME OUT");
    exit(-1);
}
void initialize() {
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);
    signal(SIGALRM, alarm_handler);
    alarm(30);
}
void get_shell() {
    system("/bin/sh");
}
void print_box(unsigned char *box, int idx) {
    printf("Element of index %d is : %02x\\n", idx, box[idx]);
}
void menu() {
    puts("[F]ill the box");
    puts("[P]rint the box");
    puts("[E]xit");
    printf("> ");
}
int main(int argc, char *argv[]) {
    unsigned char box[0x40] = {};
    char name[0x40] = {};
    char select[2] = {};
    int idx = 0, name_len = 0;
    initialize();
    while(1) {
        menu();
        read(0, select, 2);
        switch( select[0] ) {
            case 'F':
                printf("box input : ");
                read(0, box, sizeof(box));
                break;
            case 'P':
                printf("Element index : ");
                scanf("%d", &idx);
                print_box(box, idx);
                break;
            case 'E':
                printf("Name Size : ");
                scanf("%d", &name_len);
                printf("Name : ");
                read(0, name, name_len);
                return 0;
            default:
                break;
        }
    }
}

get_shell() 함수가 보인다. 해당 함수를 활용하는 문제인 것 같다.

입력에 따라서 입력부와 출력부가 둘다 존재하는 것을 볼 수 있다.

• [F]ill the box → 0x40 바이트 스택 버퍼에 read
• [P]rint the box → 인덱스 경계검증 없이 box[idx] 한 바이트를 출력
• [E]xit → read(0, name, name_len)으로 길이 제한 없는 스택 오버플로우

따라서,

• print_box(box, idx)의 out-of-bounds read로 스택 카나리 4바이트를 유출한다.
• name 버퍼로 정확한 카나리 값을 포함하는 오버플로우를 일으켜 ret를 get_shell()로 덮어 쉘을 띄운다.

는 절차로 익스를 시도하면 될 것 같다.

필요한 값들을 모아보겠다.

&get_shell = 0x080486b9