HackMD
ASIS CTF QUALS 2023 Writeup
Đôi lời tâm sự
Author: SeaWind (J4ckP0t) Trong giải lần này thì mình đã giải được 2 bài pwn dễ trong tổng số 4 challenges về pwn.
Đối với mình thì tuy 2 challenges còn lại rất khó nhưng mình phần nào cũng khá buồn khi mà thậm chí mình không thể có được ý tưởng giải bài cả
- The image file may be corrupted
- The server hosting the image is unavailable
- The image path is incorrect
- The image format is not supported
Thôi cố gắng nâng cao dân trí về mảng pwn này vậy
- The image file may be corrupted
- The server hosting the image is unavailable
- The image path is incorrect
- The image format is not supported
1. Hipwn
- Đề bài: Challenge_file
- Solution: Đầu tiên đề bài cho ta một loạt các file theo cấu trúc như sau:
Ta thấy được file challenge đã cho ta dockerfile, khá là tiện để ta có thể xác định được libc của chương trình khi chạy remote Đầu tiên ta sẽ tiến hành kiểm tra các mitigations của file challenges sau: Challenge này đã bật full mitigations rồi sẽ gây không ít khó khăn trong việc khai thác lỗ hổng. Tiếp đến ta sẽ check mã giả của file challenge này thông qua IDA Pro. Ở đây ta thấy được rằng ta có thể leak được cả canary và cũng như libc thông qua hàm read và hàm puts khi mà hàm read sẽ không thêm kí tự NULL byte vào cuối input mà trong khi hàm puts sẽ tiến hành đọc cho đến khi gặp NULL byte thì dừng. Để xác định được vị trí của canary cũng như vị trí của libc trong stack thì mình sẽ tiến hành đặt breakpoint ở hàm main sau khi hàm read. Ta có thể thấy được khoảng cách từ input của ta cho đến canary là 72 và 88 đối với rip chứa địa chỉ của libc. Xác định được vị trí của rip với cả canary rồi thì ta sẽ tiến hành leak nó thông qua hàm read + put, và một điều cần lưu ý nữa là để leak được thì mình cần duy trì trong vòng lặp này, cho nên ta cần nhập 1337 khi chương trình hỏi "wanna do it again?" Sau khi leak được cả canary và libc thì ta sẽ tiến hành sử dụng kỹ thuật ret2libc để tiến hành chiếm shell thôi Vì ta đã leak được libc và offset giữa các hàm trong libc không đổi cho nên ta có thể tính offset ấy và thực hiện phép tính với libc ta vừa leak được ấy. Và để chiếm được shell ta sẽ cần địa chỉ của 3 thứ:
- Địa chỉ của hàm system(): = leak_libc + 0x26fd0
- Địa chỉ của string /bin/sh: = leak_libc + 0x1ae908
- Địa chỉ của gadgets pop rdi, ret: = (leak_libc-0x1d90)+0x23e5
- Answer: Đây là script giải bài này của mình:
- The image file may be corrupted
- The server hosting the image is unavailable
- The image path is incorrect
- The image format is not supported
2.Text-editor
- Đề bài: Challenge_link
- Solution: Đầu tiên ta sẽ phân tích cấu trúc của file challenge đã cho ta sẵn ngay từ đầu.
Cấu trúc của file cũng giống như file challenge hipwn, từ đó ta có thể xác định libc của mà remote challenge đang sử dụng cùng loại libc với trên máy của mình Tiếp đến thì mình sẽ kiểm tra mitigations của file challenge này. Lại là một challenge với full mitigations nữa. Khá là khó cho việc khai thác lỗ hổng sau này. Tiếp đến ta sẽ check mã giả của challenge này = IDA Pro.
Ta tiến hành phân tích luồn thực thi chương trình này thì chương trình có 3 options là:
1. Edit text: Đọc 264 bytes ký tự từ input của ta
2. Save text: Copy 264 bytes input của ta vào trong stack:
3. Exit: Đơn giản là thoát khỏi vòng lặp và thoát chương trình 4. Ngoài ra còn một hàm nữa là hàm show_error() sẽ được gọi khi ta nhập sai options:
Khi đầu thoát tưởng chương trình nhìn như không có lỗ hổng để ta có thể khai thác. Nhưng mất một thời gian thì mình đã nhìn ra được lỗi format string ở ngay trong printf trong hàm show_error() Cụ thể hơn thì ta sẽ tiến hành debug và đặt breakpoints ngay trước hàm printf để xem chuyện gì xảy ra. Ta sẽ thấy thanh RAX sẽ lấy địa chỉ của 0x55555555608 (text+256) và xem nó như địa chỉ và trỏ đến chuỗi string "Invalid choice!"
Nhưng mà ta lại nhớ đến option 1 edit text cho phép ta ghi tổng cộng 264 bytes vào đây, cho nên ta có thể partial overwrite địa chỉ tại <text+256> 2 bytes đầu. Vì ta đã biết PIE đã bật nên địa chỉ sẽ luôn random ngoài trừ 3 nibbles cuối. Cho nên tại nibble thứ 4 của địa chỉ ta phải bruteforce với xác suất để làm sao cho địa chỉ tại <text+256> sẽ trỏ đến chính địa chỉ chứa input của ta. Xác suất khá là cao đấy. Đồng thời ta cũng thấy được lỗi format strings trong hàm printf nên ta sẽ lợi dụng nó để leak ra được địa chỉ của stack, địa chỉ của hàm main và quan trọng nhất là địa chỉ của libc. Ta thấy được địa chỉ của stack nằm tại offset 6, địa chỉ của hàm main tại offset 7 và địa chỉ của libc tại offset 45. Sau khi thành công thì mình sẽ tiến hành dùng lỗi format string để tiến hành arbitrary write lên stack. Ở đây mình thấy sau khi thực hiện lệnh printf thì hàm sẽ tiến hành pop rbp và ret (tương đương với pop rip). Cho nên mình có ý tưởng là sử dụng kỹ thuật stack pivot, cụ thể là:
- Ta sẽ tiến hành ghi đè rbp của hàm là địa chỉ trỏ đến input của ta trên stack (mà bằng cách edit text + save text)
- Ta sẽ ghi đè rip của ta là địa chỉ chứa gadget leave; ret có trong hàm main để stack pivot
- Và cuối cùng là ta sẽ tiến hành build rop chain spam shell ngay trên chính input của ta luôn. Còn về ROPchain thì vì ta đã leak được libc rồi nên mình có thể biết được địa chỉ của hàm system, string "/bin/sh" và gadgets pop rdi; ret.
- Answer: Đây là script giải bài của mình:
- The image file may be corrupted
- The server hosting the image is unavailable
- The image path is incorrect
- The image format is not supported
