https://dreamhack.io/wargame/challenges/118
1. 코드 분석
#include <stdio.h>
#include <string.h>
#include <stdlib.h>
struct bookstruct{
char bookname[0x20];
char* contents;
};
__uint32_t booksize;
struct bookstruct listbook[0x50];
struct bookstruct secretbook;
void booklist(){
printf("1. theori theory\n");
printf("2. dreamhack theory\n");
printf("3. einstein theory\n");
}
int borrow_book(){
if(booksize >= 0x50){
printf("[*] book storage is full!\n");
return 1;
}
__uint32_t select = 0;
printf("[*] Welcome to borrow book menu!\n");
booklist();
printf("[+] what book do you want to borrow? : ");
scanf("%u", &select);
if(select == 1){
strcpy(listbook[booksize].bookname, "theori theory");
listbook[booksize].contents = (char *)malloc(0x100);
// 0x100(10진수=256) 할당
memset(listbook[booksize].contents, 0x0, 0x100);
strcpy(listbook[booksize].contents, "theori is theori!");
} else if(select == 2){
strcpy(listbook[booksize].bookname, "dreamhack theory");
listbook[booksize].contents = (char *)malloc(0x200);
memset(listbook[booksize].contents, 0x0, 0x200);
strcpy(listbook[booksize].contents, "dreamhack is dreamhack!");
} else if(select == 3){
strcpy(listbook[booksize].bookname, "einstein theory");
listbook[booksize].contents = (char *)malloc(0x300);
memset(listbook[booksize].contents, 0x0, 0x300);
strcpy(listbook[booksize].contents, "einstein is einstein!");
} else{
printf("[*] no book...\n");
return 1;
}
printf("book create complete!\n");
booksize++;
return 0;
}
int read_book(){
__uint32_t select = 0;
printf("[*] Welcome to read book menu!\n");
if(!booksize){
printf("[*] no book here..\n");
return 0;
}
for(__uint32_t i = 0; i<booksize; i++){
printf("%u : %s\n", i, listbook[i].bookname);
}
printf("[+] what book do you want to read? : ");
scanf("%u", &select);
if(select > booksize-1){
printf("[*] no more book!\n");
return 1;
}
printf("[*] book contents below [*]\n");
printf("%s\n\n", listbook[select].contents);
return 0;
}
int return_book(){
printf("[*] Welcome to return book menu!\n");
if(!booksize){
printf("[*] no book here..\n");
return 1;
}
if(!strcmp(listbook[booksize-1].bookname, "-----returned-----")){
printf("[*] you alreay returns last book!\n");
return 1;
}
free(listbook[booksize-1].contents);
memset(listbook[booksize-1].bookname, 0, 0x20);
strcpy(listbook[booksize-1].bookname, "-----returned-----");
printf("[*] lastest book returned!\n");
return 0;
}
int steal_book(){
FILE *fp = 0;
__uint32_t filesize = 0;
__uint32_t pages = 0;
char buf[0x100] = {0, };
printf("[*] Welcome to steal book menu!\n");
printf("[!] caution. it is illegal!\n");
printf("[+] whatever, where is the book? : ");
scanf("%144s", buf);
fp = fopen(buf, "r"); // 파일 확인 가능
if(!fp){
printf("[*] we can not find a book...\n");
return 1;
} else {
fseek(fp, 0, SEEK_END);
filesize = ftell(fp);
fseek(fp, 0, SEEK_SET);
printf("[*] how many pages?(MAX 400) : ");
scanf("%u", &pages);
if(pages > 0x190){ // 무조건 0x100인 1번 책이여야한다. (0x100의 10진수 --> 256)
//-->왜냐하면 훔친 책의 길이는 0x190을 넘으면 안된다. (0x190의 10진수 --> 400)
printf("[*] it is heavy!!\n");
return 1;
}
if(filesize > pages){
filesize = pages;
}
secretbook.contents = (char *)malloc(pages);
memset(secretbook.contents, 0x0, pages);
__uint32_t result = fread(secretbook.contents, 1, filesize, fp);
if(result != filesize){
printf("[*] result : %u\n", result);
printf("[*] it is locked..\n");
return 1;
}
memset(secretbook.bookname, 0, 0x20);
strcpy(secretbook.bookname, "STOLEN BOOK");
printf("\n[*] (Siren rangs) (Siren rangs)\n");
printf("[*] Oops.. cops take your book..\n");
fclose(fp);
return 0;
}
}
void menuprint(){
printf("1. borrow book\n");
printf("2. read book\n");
printf("3. return book\n");
printf("4. exit library\n");
}
void main(){
__uint32_t select = 0;
printf("\n[*] Welcome to library!\n");
setvbuf(stdin, 0, 2, 0);
setvbuf(stdout, 0, 2, 0);
while(1){
menuprint();
printf("[+] Select menu : ");
scanf("%u", &select);
switch(select){
case 1:
borrow_book(); // 빌리기
break;
case 2:
read_book(); // 읽기
break;
case 3:
return_book(); // 반납하기
break;
case 4:
printf("Good Bye!"); // 메뉴 창 나가기
exit(0);
break;
case 0x113: // 10진수 --> 275
// 즉 275를 입력 시 훔치기 기능을 실행한다.
steal_book();
break;
default:
printf("Wrong menu...\n");
break;
}
}
}-
빌리는 기능에서는 책을 고르면 listbook 리스트에서 0x100(256), 0x200(512), 0x300(768)을 할당하고 내용을 복사한다.
그 다음memset()함수를 통해 초기화한다.
훔치기 기능은 책 개수가 증가하지 않아서 책 목록에 추가되지 않았는데, 빌리는 기능에서는 책 목록에 추가된다. -
읽기 기능은 빌린 책 목록 중에서 선택한 책의 내용을 출력해준다.
-
반납하기 기능은 할당받았던 메모리를 해제해주는 기능을 한다.
✅ 중요한 점 : 메모리를 할당 후, 해제하고 다시 같은 크기의 메모리를 할당한다면 이전에 사용한 메모리를 재사용한다.
책의 길이는 0x100, 즉 10진수로 하면 256이 된다.
비밀 책을 할당해주어야 하는데, 크기가 이전에 할당받았다가 해제한 1번 책의 0x100과 똑같으므로 재사용한다.
읽는 기능으로 들어가면, 책 개수는 줄어들지 않았으며, 해제한 메모리가 재사용되어 flag.txt의 내용이 들어있는 것을 알고있다.
2. 문제 풀이
int steal_book(){
:
:
scanf("%u", &pages);
if(pages > 0x190){ // 무조건 0x100인 1번 책이여야한다. (0x100의 10진수 --> 256)
//-->왜냐하면 훔친 책의 길이는 0x190을 넘으면 안된다. (0x190의 10진수 --> 400)
printf("[*] it is heavy!!\n");
return 1;
}메모리를 재사용한다는 점을 이용하기 위해서 먼저 0x190을 넘지 않는 책인 1번 책을 빌린 후 다시 반납한다.
275번 메뉴를 사용하여 훔치기 기능으로 들어가서 훔치고 싶은 Book을 지정한다.
이때 플래그가 있다는 /home/pwnlibrary/flag.txt로 지정한다.
listbook[booksize].contents = (char *)malloc(0x100);주소로 지정한 Book으로 할당된 chunk는 사실 첫번째로 빌렸던 Book이다.
int read_book(){
__uint32_t select = 0;
printf("[*] Welcome to read book menu!\n");
if(!booksize){
printf("[*] no book here..\n");
return 0;
}
for(__uint32_t i = 0; i<booksize; i++){
printf("%u : %s\n", i, listbook[i].bookname);
}
printf("[+] what book do you want to read? : ");
scanf("%u", &select);
if(select > booksize-1){
printf("[*] no more book!\n");
return 1;
}
printf("[*] book contents below [*]\n");
printf("%s\n\n", listbook[select].contents);
return 0;
}0을 넣어서 0번째 책의 contents를 읽는다. 이는 훔쳐진 book인 flag값이 된다.
前) SWLUG 27기