https://dreamhack.io/wargame/challenges/974

BOF 관련 문제이다.

문제 코드

---

// gcc -o baby-bof baby-bof.c -fno-stack-protector -no-pie
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <string.h>
#include <fcntl.h>
#include <signal.h>
#include <time.h>

void proc_init ()
{
  setvbuf (stdin, 0, 2, 0); setvbuf (stdout, 0, 2, 0);
  setvbuf (stderr, 0, 2, 0);
}

void win () 
{
  char flag[100] = {0,};
  int fd;
  puts ("You mustn't be here! It's a vulnerability!");

  fd = open ("./flag", O_RDONLY);
  read(fd, flag, 0x60);
  puts(flag);
  exit(0);
}

long count;
long value;
long idx = 0;
int main ()
{
  char name[16];

  // don't care this init function
  proc_init (); 

  printf ("the main function doesn't call win function (0x%lx)!\n", win); //win 함수의 주소 알려줌!

  printf ("name: ");
  scanf ("%15s", name);

  printf ("GM GA GE GV %s!!\n: ", name);

  printf ("|  addr\t\t|  value\t\t|\n");
  for (idx = 0; idx < 0x10; idx++) {
    printf ("|  %lx\t|  %16lx\t|\n", name + idx *8, *(long*)(name + idx*8));
  }

  printf ("hex value: ");
  scanf ("%lx%c", &value);

  printf ("integer count: ");
  scanf ("%d%c", &count);


  for (idx = 0; idx < count; idx++) {
    *(long*)(name+idx*8) = value;
  }

  
  printf ("|  addr\t\t|  value\t\t|\n");
  for (idx = 0; idx < 0x10; idx++) {
    printf ("|  %lx\t|  %16lx\t|\n", name + idx *8, *(long*)(name + idx*8));
  }

  return 0;
}

문제 풀이

---

문제를 실행해보면 win함수의 주소(0x40125b)를 알려주고, name을 입력받도록 되어있다.

코드를 보면 scanf ("%15s", name);로 입력받고 있으므로 아래와 같이 15글자를 입력해본다.

입력 후 출력된 스택 값들을 보면 첫 줄(7ffd4bd3c170)과 두번째 줄(7ffd4bd3c178)에 여러 개의 0x31과 한 개의 0x32가 있다.
이는 각각 1과 2의 아스키코드의 16진수값이므로 이 두 줄에 name 배열이 저장되어 있음을 알 수 있다.

또한 4번째 줄(7ffd4bd3c188)의 7fb8fc2dcd90는 main함수 실행 후에 이동할 곳, 즉 main 함수를 실행시킨 곳인 것 같다.
이제 이 부분을 win 함수의 주소로 바꾸는 것이 목표이다.

주어진 문제 코드를 보면 main 함수 안에 아래와 같은 코드가 있다.
이 코드는 name배열이 저장된 다음 줄부터 count 줄만큼 value로 수정한다. (스택 한 줄에 8바이트)

즉, count는 2이상으로, value는 0x40125b으로 입력하면 name이 저장되어 있는 곳을 넘어서 다른 값들이 수정되는 BOF가 발생하게 된다.

  for (idx = 0; idx < count; idx++) {
    *(long*)(name+idx*8) = value;
  }

만약 main 함수의 리턴 주소 위치를 모르더라도 다음과 같이 출력된 스택의 모든 값을 0x40125b으로 바꿔버리면 main 함수 실행 후 win 함수가 실행되어 flag 값이 출력된다.

🔑 DH{62228e6f20a8b71372f0eceb51537c7f94b8191651ea0636ed4e48857c5b340c}