[LOB] assassin -> zombie_assassin 문제 풀이

대망의 Fake EBP 입니다 ! 말 그대로 EBP를 가짜로 만들어 주는 기법입니다 ~

문제 바로 보겠습니다.

전 문제와 달라진 부분은,

1. 버퍼를 초기화시키지 않는다.

2. strcpy가 strncpy가 되면서 48 글자까지만 입력이 가능하다.

두 부분입니다. 이제 환경변수도 이용하지 못하는군요...

남은 것은 leave 뿐입니다 ! 이 문제의 핵심은 leave로 다시 한 번 점프해서 자신이 원하는 곳을 EBP로 만들 수 있다는 것에 있습니다.

gdb를 이용해서 EBP로 만든다는 것이 무슨 뜻인지 확인해보겠습니다.

ebp의 값을 0xbfffa9c 로 조작하고, ret은 leave를 가리키도록 프로그램을 실행했습니다.(leave와 ret에만 브레이크포인트를 걸었습니다.)

처음 ret가 수행되기 전에는 ebp는 0xbfffa9c이고, esp는 0xbffffacc 입니다.

다시 continue를 하면 0xbffffacc에 있는 0x804872d(leave)로 점프를 하게 됩니다.

(ebp 값이 버퍼-4 주소를 정확하게 가리키는 이유는 사실 위에 실행하는게 두 번째 실행이라서 그렇습니다...)

continue를 하면 다시 leave로 가게 되고 continue를 한 후에 레지스터를 확인하면 예상했던대로 esp의 값이 버퍼의 맨 처음 주소를 가리키고 있습니다.

마지막 continue를 실행하면 0x41414141 이 수행되는데 제대로 된 주소가 아니므로 에러가 납니다.

이제 어떻게 공격해야 할지 감이 오시죠 ?

1. 환경변수에 쉘코드를 등록한 후에 버퍼의 맨 처음 주소를 환경변수 주소로 한다.

(이상하게 이게 안 되더군요;)

2. system 함수를 올리고 4 바이트 뒤에 공간에 /bin/sh을 넣어서 함수를 실행시킨다.

당연히 2번이 더 쉬우므로(1번이 잘 안되기도 하구요...) 2번 방법으로 가겠습니다.

풀었습니다 ! 는 페이크... 복사본에서는 되는데 왜 원본에서는 안될까요 -_-;; 이런적이 처음이라 왜 그런지 모르겠습니다... 그냥 스킵해야될 듯... 난중에 다시 풀어봐야겠습니다..

라고 생각하고 포기하려 했으나 마지막 희망을 갖고 gdb로 원본을 disass main 해보니까 leave의 주소가 다르네요 -_-;;

후... 어쨋든 해결...

no place to hide 숨을 곳은 없다 !