특이점이 상당히 많다.

먼저 malloc과 free를 구현하였다.

그리고 메세지를 2개밖에 만들지 못한다.

heap overflow의 직감이 왔었다.

unsafe_unlink라는 것을 확인하기 위해서는 두가지만 보면된다.

왼쪽은 Update하는 부분의 코드이고 오른쪽은 free를 구현한 소스 내부이다.

Update부분에 사이즈를 다시 설정할수 있다는 것을 확인할 수 있다.

사이즈를 다시 할당할 수 있으므로 heap overflow를 일으킬 수 있다.

vmmap을 이용해서 확인한 결과 heap영역에 실행권한이 있다는 사실을 알게 되었다.

나는 페이로드를 unsafe_unlink를 이용해서 exit의 주소를 쉘코드 있는 곳으로 뛸 수 있게 만들 것이다.

change -> Remove(Unsafe_unlink) -> Change(nop sled + shellcode)

그러기 위해서는 heap주소의 릭이 필요하다.

heap의 메모리를 보니 malloc_chunk에 heap영역이 저장되는것을 알 수 있었다.(func_malloc을 보면 그 이유도 알 수 있다.)

이를 이용해 릭을 할 수 있었고 

나머지는 unsafe_unlink를 이용해서 풀면된다.!

작성한 exploit은 다음과 같다.

codegate 2017에 출시되었던 babypwn 문제이다.  단순한 BOF문제 였다.

핵심 코드는 이 두가지다.

v2 는 ebp로부터 0x34만큼 떨어져 있지만 recv르 100만큼 받으므로 buffer overflow가 난다.

v3은 카나리가 있는 것을 확인할 수있는데 v2를 recv한후 다시 v2를 send로 출력시켜 줌으로  카나리 릭을 할 수 있다.

카나리릭이 된다는 것을 확인할 수 있었다.

이제 카나리 릭이 됨으로 ROP를 이용해서 exploit을 하면 된다.

bss에 "/bin/sh <&4 >&4"(소켓이므로 파일디스크립터를 신경쓰자)를 넣고 

system을 호출시켰다. system함수가 구현되어 있어서 릭은 필요가 없었다.(만세)!

exploit은 다음과 같이 구현하였다.

리눅스 디렉토리 구조

루트(/)

절대경로 상태의 첫 꼭대기 디렉토리 이다.

/bin

리눅스의 기본적인 명령어 들이 저장된 디렉토리 이다.

root 사용자와 일반사용자가 함께 사용할 수 있다.

보면 rm, ls, ln 등이 있는 것을 확인 할 수 있다 . ㅎㅎ

/sbin

시스템 관리를 위한 명령들이 있음(루트 유저)

/home

사용자의 홈 디렉토리이다.

/root

루트의 홈 디렉토리이다.

/lib

라이브러리가 들어가 있다.

+ /usr/lib

/lib 에 없는 프로그램의 라이브러리가 들어가 있다.

/var

리눅스에서 자주 변경되는 데이터를 임시 저장하기 위한 장소

+ /var/log

로그가 저장됨

+ /var/run

시스템의 현재 정보가 들어있음

/boot

부팅에 필요한 파일이 저장됨(grub)

/usr

리눅스에서 가장 큰 공간을 사용하는 디렉토리로 일반사용자들이 사용한다.

+ /usr/bin

일반사용자들이 사용하는 명령어들

+ /usr/src/

커널 소스가 들어있는 디렉토리