티스토리 뷰

WARGAME/dreamhack

[pwnable] shell_basic

daydreamtalker 2024. 5. 5. 23:32
입력한 셸코드를 실행하는 프로그램이 서비스로 등록되어 작동하고 있습니다.
main 함수가 아닌 다른 함수들은 execve, execveat 시스템 콜을 사용하지 못하도록 하며, 풀이와 관련이 없는 함수입니다.
flag 파일의 위치와 이름은 /home/shell_basic/flag_name_is_loooooong입니다.감 잡기 어려우신 분들은 아래 코드를 가지고 먼저 연습해보세요!

일단 쉘코드를 작성해야한다는 것을 알겠고 main함수가 아닌 execve, execveat 시스템 콜을 사용하지 못하게 했다. 이 뜻은 orw 쉘코드를 사용해야한다는 뜻!

또한 flag가 위치해있는 곳은 /home/shell_basic/flag_name_is_looooooong이다.

먼저 우분투로 들어가 다운받은 파일을 압축해제하고 소스코드를 먼저 보자

// Compile: gcc -o shell_basic shell_basic.c -lseccomp
// apt install seccomp libseccomp-dev

#include <fcntl.h>
#include <seccomp.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/prctl.h>
#include <unistd.h>
#include <sys/mman.h>
#include <signal.h>

void alarm_handler() {
    puts("TIME OUT");
    exit(-1);
}

void init() {
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);
    signal(SIGALRM, alarm_handler);
    alarm(10);
}

void banned_execve() {
  scmp_filter_ctx ctx;
  ctx = seccomp_init(SCMP_ACT_ALLOW);
  if (ctx == NULL) {
    exit(0);
  }
  seccomp_rule_add(ctx, SCMP_ACT_KILL, SCMP_SYS(execve), 0);
  seccomp_rule_add(ctx, SCMP_ACT_KILL, SCMP_SYS(execveat), 0);

  seccomp_load(ctx);
}

void main(int argc, char *argv[]) {
  char *shellcode = mmap(NULL, 0x1000, PROT_READ | PROT_WRITE | PROT_EXEC, MAP_PRIVATE | MAP_ANONYMOUS, -1, 0);   
  void (*sc)();
  
  init();
  
  banned_execve();

  printf("shellcode: ");
  read(0, shellcode, 0x1000);

  sc = (void *)shellcode;
  sc();
}

 

pwntools을 사용해서 문제를 풀이해보자.

그럼 이렇게 flag을 얻을 수 있다.

🔑: DH{ca562d7cf1db6c55cb11c4ec350a3c0b}

2023/Feb/01 solved.

저작자표시 비영리 변경금지 (새창열림)

'WARGAME > dreamhack' 카테고리의 다른 글

[web] - csrf-2  (0) 2024.05.05
[forensic] - Windows Search  (0) 2024.05.05
[Pwnable] Return address overwrite  (0) 2024.05.05
[pwnable] basic_exploitation_002  (0) 2024.05.05