assassin, assassin.c
코드를 보면 RET에 0xbf, 0x40으로 시작하는 주소로 덮게 되면 프로그램이 종료된다.
argc는 2이상이어야하고 SFP와 버퍼를 초기화 하는 코드가 있다.
RET에 스택, 라이브러리의 주소가 오지 못하기 때문에 RTL을 사용하여 공격해야 한다.
ROP를 작성 할 때 '어셈 + ret'으로 된 가젯을 순서대로 나열하여 원하는 행동을 실행하도록 한다. ret는 pop eip/ jmp eip로 pop을 한번 하기 때문에 스택에서 esp가 4바이트 내려가고 다음 가젯의 끝에 ret가 있기 때문에 4바이트씩 가젯의 주소를 써주어 공격을 할 수 있다.
이와 비슷한 방법으로 RET를 ret코드가 있는 곳으로 덮어버리면 다음 4바이트를 ret코드를 이용해서 점프시킬수 있다.
페이로드는
[버퍼][SFP][RET]
[ 버퍼 ][ret가젯주소][system][AAAA][bin/sh]
로 공격을 할 수 있다.
ret의 주소를 찾은 후 페이로드를 작성하여 공격을 하면
공격에 성공 할 수 있다.
쉘코드 :
./assassin `python -c 'print "A"*44 + "\x1e\x85\x04\x08" + "\xe0\x8a\x05\x40" + "AAAA" + "\xf9\xbf\x0f\x40"'`
0 개의 댓글:
댓글 쓰기