Pwnable.kr [Toddler's Bottle] Writeup

README.MD

1. fd

ssh [email protected] -p2222 (pw:guest)

🍑 SSH

출처

시큐어 셸(Secure Shell, SSH)는 네트워크 상의 다른 컴퓨터에 로그인하거나 원격 시스템에서 명령을 실행하고 다른 시스템으로 파일을 복사할 수 있도록 해 주는 응용 프로그램 또는 그 프로토콜을 가리킨다. 기존의 rsh, rlogin, 텔넷 등을 대체하기 위해 설계되었으며, 강력한 인증 방법 및 안전하지 못한 네트워크에서 안전하게 통신을 할 수 있는 기능을 제공한다.

SSH는 암호화 기법을 사용하기 때문에, 통신이 노출된다 하더라도 이해할 수 없는 암호화된 문자로 보인다.

SSH의 주요 기능은 다음과 같다.

• 보안 접속을 통한 rsh, rcp, rlogin, rexec, telnet, ftp 등을 제공
• IP spoofing (IP스푸핑, 아이피 위/변조 기법중 하나)을 방지하기 위한 기능을 제공
• X11 패킷 포워딩 및 일반적인 TCP/IP 패킷 포워딩을 제공

pwnable.kr의 문제에서는 다음과 같은 형식을 사용해서 SSH에 접속하도록 한다.

ssh [email protected] -p2222

여기서 fd는 원격 서버의 유저명을(pwnable에서는 문제의 이름을 유저명으로 사용하고 있다.), pwnable.kr은 원격 서버의 도메인을 나타낸다. -p2222는 포트 번호이다.

🍑 원격 서버에 접속하기

터미널에서 ssh [email protected] -p2222를 치고 Are you sure you want to continue connecting (yes/no)? 라는 질문이 나오면 yes를 친다. password는 문제에서 알려준 guest를 치면 원격 서버에 접속이 된다.

🍑 서버에 있는 파일 살펴보기

터미널에서 ls -l을 치면 파일을 읽을 수 있는 권한을 볼 수 있다. root 권한으로만 볼 수 있는 파일의 경우 permission denied라는 문구가 뜨면서 내용을 볼 수 없다.

fd.c

이 문제는 toddler's bottle이기 때문에 c 파일을 제공한다.

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
char buf[32];
int main(int argc, char* argv[], char* envp[]){
        if(argc<2){
                printf("pass argv[1] a number\n");
                return 0;
        }
        int fd = atoi( argv[1] ) - 0x1234;
        int len = 0;
        len = read(fd, buf, 32);
        if(!strcmp("LETMEWIN\n", buf)){
                printf("good job :)\n");
                system("/bin/cat flag");
                exit(0);
        }
        printf("learn about Linux file IO\n");
        return 0;

}

코드를 살펴보면 fd를 실행하기 위해서는 매개 변수가 필요한 것을 알 수 있다. fd는 매개 변수를 입력받은 뒤 매개 변수가 2보다 작다면 "pass argv[1] a number" 구문을 출력한다. 2 이상일 경우에는 atoi()를 이용해 정수로 변환한 후에 16진수 0x1234(10진수 4660)을 빼서 정수형 변수 fd에 저장한다. 이 값은 read(fd, buf, 32)에서 file descriptor 값으로 사용 된다.

이 다음 코드를 보면 buf에 저장된 문자열이 "LETMEWIN"과 같아야 실행되기 때문에 (strcmp는 문자열 비교 후 두 문자열이 같을 때 0을 반환한다.) buf에 "LETMEWIN"이라는 문자열을 넣어주어야 하는 것을 알 수 있다. buf에 문자열을 넣기 위해서는 file descriptor 값이 standard input인 0이어야 한다.

file descriptor의 값이 0이기 위해서는 정수형 변수 fd의 값이 0이 되어야 하기 때문에 fd 실행파일을 실행할 때 매개변수를 4660으로 넣어주면 된다. 그러면 if(!strcmp("LETMEWIN\n", buf))문이 실행되어 /bin/cat flag를 볼 수 있다. 이 flag 값 정답이 된다.

🍑 file descriptor

출처

file descriptor는 시스템으로부터 할당받은 파일이나 소켓을 대표하는 정수이다. 표준 입력 및 표준 출력도 file descriptor로 표현되는데 이들은 프로그램이 시작되면 기본적으로 열리고, 종료시 자동으로 닫히게 된다.

• 0: Standard Input(표준 입력)
• 1: Standard Output(표준 출력)
• 2: Standard Error(표준 에러)

따라서 파일을 열거나 소켓을 생성할 때 부여되는 file descriptor는 3부터 시작된다.

🍑 read

출처

ssize_t read (int fd, void *buf, size_t nbytes)

• int fd : 파일 디스크립터
• void *buf : 파일을 읽어 들일 버퍼
• size_t nbytes : 버퍼의 크기

open() 함수로 열기를 한 파일의 내용을 읽는다. 정상적으로 실행되었다면 읽어들인 바이트 수를, 실패했다면 -1을 반환한다.

2. collision

ssh [email protected] -p2222 (pw:guest)

🍑 MD5

출처1 출처2

MD5(Message-Digest algorithm 5)는 128비트 암호화 해시 함수로 주로 프로그램이나 파일이 원본 그대로인지를 확인하는 무결성 검사 등에 사용된다.

MD5는 설계상 오류가 발견되어 현재는 MD5 알고리즘을 보안 관련 용도로 쓰는 것은 권장하지 않으며, 심각한 보안 문제를 야기할 수도 있다. 다만 고속 연산이 가능하고 (정수 연산 및 비트 시프트 연산만 사용한다.) 임의로 변경된 패턴에 대해서는 충돌 가능성이 충분히 낮기 때문에, 현재는 주로 네트워크로 전송된 큰 파일의 무결성을 확인하는데 사용한다.

단방향 암호화이기 때문에 MD5 hash 값에서 원래 데이터를 찾아내는 것은 불가능하지만 같은 MD5를 갖는 문자열, 즉 충돌(collision)이 발생할 수 있다. MD5 값이 같으면 데이터가 다르더라도 같은 문자열이라고 판단하기 때문에 문제가 될 수 있다. 이는 모든 단방향 암호화에 통용되는 기법이다.

🍑 서버에 있는 파일 살펴보기

col.c

#include <stdio.h>
#include <string.h>
unsigned long hashcode = 0x21DD09EC;
unsigned long check_password(const char* p){
        int* ip = (int*)p;
        int i;
        int res=0;
        for(i=0; i<5; i++){
                res += ip[i];
        }
        return res;
}

int main(int argc, char* argv[]){
        if(argc<2){
                printf("usage : %s [passcode]\n", argv[0]);
                return 0;
        }
        if(strlen(argv[1]) != 20){
                printf("passcode length should be 20 bytes\n");
                return 0;
        }

        if(hashcode == check_password( argv[1] )){
                system("/bin/cat flag");
                return 0;
        }
        else
                printf("wrong passcode.\n");
        return 0;
}

매개변수없이 코드를 실행할 경우 "usage : [passcode]"라는 문장이 출력되고 매개변수 문자열의 길이가 20이 아닐 경우 "passcode length should be 20 bytes"라는 문장이 출력된다. 만약 우리가 입력한 매개변수 문자열을 check_password함수에 넣은 결과값이 hashcode값인 0x21DD09EC와 같으면 /bin/cat flag를 볼 수 있다.

check_password 함수를 살펴보면 char형을 포인터인 p를 정수형 포인터로 형변환한다. passcode의 길이는 20byte이고 정수형 포인터ip는 4byte이기 때문에 ip에 저장되어있는 값 5개를 더해서 hascode 값인 0x21DD09EC로 만들어주면 된다.

res값 넣어주기

res 값은 정수형 다섯개를 더해서 구해진다. res 에 들어가야할 0x21DD09EC를 5로 나누면 0x6C5CEC8가 나온다. 나머지가 발생하기 때문에 0x6C5CEC8를 네 번 더한 후 0x6C5CECC를 한 번 더해주면 0x21DD09EC가 나오게 된다.

▶️ 0x21DD09EC = 0x6C5CEC8 * 4 + 0x6C5CECC

그런데 ip 에 넣어야 할 값은 아스키 코드 범위를 넘기 때문에 값 대입으로 넣어줄 수 없다. 그래서 코드로 직접 넣어주되 시스템은 little-endian을 따르기 때문에 little-endian방식으로 넣어주어야 한다.

결과적으로 다음과 같은 방법으로 넣어주면 /bin/cat flag를 볼 수 있다.

./col $(perl -e 'print "\xc8\xce\xc5\x06"x4 . "\xcc\xce\xc5\x06"')

./col `python -c 'print "\xc8\xce\xc5\x06"*4+"\xcc\xce\xc5\x06"'`

🍑 아스키 코드

출처1 출처2

미국정보교환표준부호(American Standard Code for Information Interchange; ASCII)는 영문 알파벳을 사용하는 대표적인 문자 인코딩이다. 아스키는 컴퓨터와 통신 장비를 비롯한 문자를 사용하는 많은 장치에서 사용되며, 대부분의 문자 인코딩이 아스키에 기초를 두고 있다.

아스키 코드는 미국에서 표준화한 정보교환용 7비트 부호체계이다. 000(0x00)부터 127(0x7F)까지 총 128개의 부호가 사용된다. 이는 영문 키보드로 입력할 수 있는 모든 기호들이 할당되어 있는 부호 체계이며, 매우 단순하고 간단하기 때문에 어느 시스템에서도 적용가능하다는 장점이 있으나, 2바이트 이상의 코드를 표현할 수 없다.