소스코드 & 보호기법 확인
#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>
void alarm_handler()
{
puts("TIME OUT");
exit(-1);
}
void initialize()
{
setvbuf(stdin, NULL, _IONBF, 0);
setvbuf(stdout, NULL, _IONBF, 0);
signal(SIGALRM, alarm_handler);
alarm(30);
}
void get_shell()
{
system("/bin/sh");
}
int main()
{
char buf[256];
int size;
initialize();
signal(SIGSEGV, get_shell);
printf("Size: ");
scanf("%d", &size);
if (size > 256 || size < 0)
{
printf("Buffer Overflow!\n");
exit(0);
}
printf("Data: ");
read(0, buf, size - 1);
return 0;
}
공격 계획
get_shell()을 호출해 shell을 실행해야 한다.
그러려면, SIGSEGV을 일으키면 된다.
그러려면, Buffer Overflow를 일으키면 된다.
그러려면, read(0, buf, size - 1);에서 size - 1 값이 buf 크기인 256보다 커야 한다. 이때, size > 256 || size < 0에서 size 검사도 통과해야 한다.
만약 scanf("%d", &size);에서 0을 입력했다면,
size 검사를 우회할 수 있고,
아래의 read는 read(0, buf, -1);가 된다.
이때 read는 ssize_t read(int fildes, void *buf, size_t nbyte);이므로,
마지막 인자인 -1은 size_t 즉 unsigned int로 해석되어, -1 = 0xff_ff_ff_ff = 4294967295로 해석되어, Buffer Overflow를 발생시킬 수 있다.
마지막으로 read(0, buf, size - 1);에서 buf의 크기인 256자를 넘는 300자의 a를 전달함으로써 SIGSEGV를 일으키자.
Exploit 결과
'보안 > Wargame' 카테고리의 다른 글
| [System Hacking] validator (0) | 2025.03.17 |
|---|---|
| [System Hacking] cmd_center (0) | 2025.03.13 |
| [System Hacking] tcache_dup2 (0) | 2025.03.10 |
| [System Hacking] tcache_dup (0) | 2025.03.07 |
| [System Hacking] Tcache Poisoning (0) | 2025.02.13 |