Trước tiên, ta sẽ sử dụng file để kiểm tra thông tin cơ bản:
$ file vuln
vuln: ELF 32-bit LSB pie executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, BuildID[sha1]=5788619d307e852a6bb996dcf05536b6600823b6, for GNU/Linux 3.2.0, not stripped
Đây là file 32 bit không bị ẩn code. Tiếp theo, ta sẽ sử dụng checksec để kiểm tra tất cả các lớp bảo vệ của file:
$ checksec vuln
Arch: i386-32-little
RELRO: No RELRO
Stack: No canary found
NX: NX disabled
PIE: PIE enabled
RWX: Has RWX segments
Chỉ có PIE enabled. Cuối cùng, ta sẽ dịch ngược file với ghidra để hiểu được cách chương trình hoạt động. Hàm main() không có gì thú vị ngoại trừ lệnh lin().
Trong hàm lin(), trước tiên nó kiểm tra xem đầu vào của chúng ta (là các giá trị khi ta nhập trong hàm main()) có chứa bất kỳ ký tự nào trong chuỗi 3456789:;\357ghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ của biến toàn cục arr hay không. Nếu input của chúng ta có ký tự với chuỗi đó thì chương trình sẽ thoát, nhưng nếu không, ta có thể thực thi đoạn code bên dưới hàm check.
Khi thực thi tới đoạn code như ảnh trên, đầu tiên chương trình sẽ fget(local_90, 0x7f, stdin) và sau đó là printf(local_90). Chờ đã, ta thấy rằng hàm printf không có bất kỳ định dạng nào cho biến local_90 -> Format string .
Sau hàm printf() là fflush() và putchar() trông có vẻ không thú vị.
Đó là tất cả những gì chúng ta có thể tìm thấy. Bây giờ chúng ta hãy chuyển sang phần tiếp theo: Ý tưởng!
2. Ý tưởng
Vì chương trình chỉ thực hiện 1 lần nên nếu chúng ta nhảy vào hàm lin() và thực hiện printf thành công thì chúng ta vẫn kết thúc chương trình và không thể làm gì khác. Vì vậy, điều đầu tiên chúng ta cần làm là ghi đè fflust@got hoặc putchar@got để nhảy trở lại hàm lin() nhưng ở vị trí sau khi kiểm tra input với biến toàn cục arr.
Tiếp theo, ta sẽ cần phải leak địa chỉ __libc_start_main_ret để tìm libc tương ứng cho cuộc tấn công tiếp theo.
Cuối cùng, chúng ta sẽ ghi đè printf@got bằng system() để khi chúng ta fget() một lần nữa, chúng ta chỉ cần nhập /bin/sh và khi chương trình thực thi printf(), nó chỉ thực thi system("/bin/sh") và chúng ta tạo được shell.
P/s: Mình nhận ra rằng nó cho mình địa chỉ của main là do chúng ta có một hàm tên là nic() có thể làm một cái gì đó thú vị nhưng mình nghĩ đó là cờ giả vì khi mình lấy shell thì có 2 tệp được gọi flag và not_flag. Vì vậy cách của chúng ta là tốt nhất.
Tóm lược:
Ghi đè fflush@got thành lin () + 116
Leak địa chỉ __libc_start_main_ret
Ghi đè printf@got thành system()
3. Khai thác
Ta sẽ chuyển đến hàm lin() với đoạn code bên dưới vì hàm main() không có gì để chúng ta tập trung:
# Get the main address and binary base address
p.sendlineafter(b'your name? \n', b'AAAAAAAA')
p.recvline()
main_addr = int(p.recvline()[:-1].split(b'. is ')[1], 16)
log.success("Main address: " + hex(main_addr))
exe.address = main_addr - exe.sym['main']
log.success("Exe address: " + hex(exe.address))
p.sendlineafter(b'2.No', b'1')
p.sendlineafter(b'2.No', b'1')
p.sendlineafter(b'2.No', b'\x01') # Jump to lin() now
Lý do vì sao mình send \x01 ở dòng cuối cùng là bởi vì như bên trên ta đã nói, ở đầu hàm lin(), có một vòng for dùng để kiểm tra xem mỗi ký tự khi ta nhập ở hàm main() (đầu vào ở trên là 0x013131) có xuất hiện trong chuỗi arr hay không và sẽ thoát hoặc tiếp tục thực thi tương ứng. Để tránh việc kết thúc, mình chỉ đơn giản sử dụng \x01.
Và bây giờ, chúng ta bắt đầu!
Giai đoạn 1: Ghi đè fflush@got thành lin() + 116
Đầu tiên, chúng ta sẽ muốn biết tại %p thứ mấy sẽ trỏ tới phần đầu của dữ liệu mà ta nhập vào:
Và ta biết rằng tại %7$p sẽ trỏ về phần đầu của chuỗi:
Vì đây là tệp 32 bit nên ta chỉ việc đặt địa chỉ của fflush@got ở payload và thay đổi giá trị bằng %n. Để ghi đè fflush@got bằng lin()+116 (Ví dụ là 0x565ae6a7), chúng ta không thể ghi gửi 0x565ae6a7 ký tự lên server để ghi đè vào fflush@got được vì đó là một số rất lớn và sẽ mất nhiều thời gian để thực thi.
Để giải quyết vấn đề này, ta sẽ chia địa chỉ thành một nửa và viết 2 byte của fflush@got với 2 byte thấp của địa chỉ lin()+116 và 2 byte của fflush@got+2 với 2 byte cao của địa chỉ lin()+116. Với ví dụ về địa chỉ lin() ở trên, chúng ta sẽ muốn ghi 0x565ae6a7 vào fflush@got (ví dụ đang chứa 0x11111111), vì vậy chúng ta sẽ thay đổi theo thứ tự như sau:
# fflush@got = 0x11111111
# Overwrite fflush@got with 2 lower bytes: 0xe6a7
# fflush@got = 0x1111e6a7
# Overwrite fflush@got+2 (the address is added with 2) with 2 higher bytes: 0x565a
# fflush@got = 0x565ae6a7
Để làm điều đó, ta sẽ cần đặt địa chỉ của fflush@got trên stack và chọn offset của %p để có thể trỏ tới địa chỉ của fflush@got của payload:
payload = p32(exe.got['fflush'])
payload += b'PPPP'
payload += p32(exe.got['fflush']+2)
payload += b'%c'*5
payload += b'%c%p' # %c point to some address before payload and %p point to 'exe.got['fflush']'
payload += b'%c%p' # %c point to 'PPPP' and %p point to 'exe.got['fflush']+2'
p.sendlineafter(b'But....', payload)
p.recvline()
print(p.recvline())
print(hex(exe.got['fflush']))
Thực thi script và chúng ta có thể thấy được địa chỉ fflust@got và fflust@got+2:
Bây giờ, ta sẽ lấy địa chỉ của lin()+116 và chia thành 2 phần:
Ta sẽ muốn thay đổi 2 byte thấp hơn trước bằng cách sử dụng %hn để viết 2 byte và ta sẽ sử dụng %<k>c với k là số byte dùng cho số byte của pad để ta không cần phải gửi một lúc nhiều byte đến máy chủ:
Chúng ta muốn ghi part1 nhưng trước part1, ta đã ghi một số byte. Vì vậy ta chỉ cần lấy part1 trừ với số byte đó và chúng ta sẽ có được số byte chính xác mà chúng ta muốn ghi. Chạy và debug bằng GDB, ta thấy rằng địa chỉ đã thay đổi:
Chúng ta có thể thấy rằng 2 byte thấp hơn đã được thay đổi thành công và chính xác. Bây giờ là lúc cho 2 byte cao hơn, nhưng trước tiên, hãy thử với %hn mà không có bất kỳ byte thêm nào của padding. Payload sẽ trở thành:
Ta thấy rằng 2 byte cao hơn sẽ lấy số byte trước nó (0xe577) cộng thêm 1 (của %c) trước %hn. Vì vậy, ta chỉ cần lấy byte cao hơn và trừ với 2 byte thấp hơn và ghi vào fflush@got là xong.
Có một vấn đề, nếu 2 byte cao hơn đó nhỏ hơn 2 byte thấp hơn, phép trừ sẽ dẫn đến một số âm. Để tránh điều đó, ta sẽ cộng thêm 2 byte cao hơn với 0x10000 khi 2 byte cao nhỏ hơn 2 byte thấp.
Và với %hn (tức là chỉ ghi nhiều nhất 2 byte, không lấn sang byte thứ 3), thì số 0x1 trong byte thứ ba sẽ không được viết. Vì vậy, sau khi ta tách địa chỉ của lin()+116, ta sẽ thêm dòng kiểm tra này:
Sau khi thực thi script, ta có thể thấy rằng fflush@got đã thay đổi thành công:
Tốt lắm! Hãy chuyển sang giai đoạn tiếp theo nào: Leak địa chỉ __libc_start_main_ret!
Giai đoạn 2: Leak địa chỉ __libc_start_main_ret
Bởi vì ta chỉ việc leak địa chỉ và không bắt buộc phải thay đổi bất kỳ thứ gì nên ta sẽ bao gồm code để leak địa chỉ __libc_start_main_ret với payload ghi đè fflush@got bên trên. Nhưng trước tiên, ta sẽ kiểm tra vị trí của __libc_start_main_ret khi dừng tại printf():
P / s: __libc_start_main_ret là nơi mà main() ret đến
Sau khi đếm offset, ta thấy rằng %87$p sẽ trỏ đến địa chỉ __libc_start_main_ret. Vì vậy, payload ở giai đoạn 1 của chúng ta sẽ viết thêm %87$p (không cần phải overwrite nên sử dụng format %<k>$p là ổn) vào payload như sau:
Pragyan CTF 2022 - TBBT
Liên kết gốc: https://ctf.pragyan.org/
Bạn cũng có thể tải challenge ở đây: TBBT.zip
Zip sẽ bao gồm 1 file:
Tải xuống và giải nén, sau đó chúng ta bắt đầu!
1. Tìm lỗi
Trước tiên, ta sẽ sử dụng
fileđể kiểm tra thông tin cơ bản:Đây là file 32 bit không bị ẩn code. Tiếp theo, ta sẽ sử dụng
checksecđể kiểm tra tất cả các lớp bảo vệ của file:Chỉ có
PIE enabled. Cuối cùng, ta sẽ dịch ngược file với ghidra để hiểu được cách chương trình hoạt động. Hàm main() không có gì thú vị ngoại trừ lệnh lin().Trong hàm lin(), trước tiên nó kiểm tra xem đầu vào của chúng ta (là các giá trị khi ta nhập trong hàm main()) có chứa bất kỳ ký tự nào trong chuỗi
3456789:;\357ghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZcủa biến toàn cụcarrhay không. Nếu input của chúng ta có ký tự với chuỗi đó thì chương trình sẽ thoát, nhưng nếu không, ta có thể thực thi đoạn code bên dưới hàm check.Khi thực thi tới đoạn code như ảnh trên, đầu tiên chương trình sẽ fget(local_90, 0x7f, stdin) và sau đó là printf(local_90). Chờ đã, ta thấy rằng hàm printf không có bất kỳ định dạng nào cho biến local_90 -> Format string .
Sau hàm printf() là fflush() và putchar() trông có vẻ không thú vị.
Đó là tất cả những gì chúng ta có thể tìm thấy. Bây giờ chúng ta hãy chuyển sang phần tiếp theo: Ý tưởng!
2. Ý tưởng
Vì chương trình chỉ thực hiện 1 lần nên nếu chúng ta nhảy vào hàm lin() và thực hiện printf thành công thì chúng ta vẫn kết thúc chương trình và không thể làm gì khác. Vì vậy, điều đầu tiên chúng ta cần làm là ghi đè fflust@got hoặc putchar@got để nhảy trở lại hàm lin() nhưng ở vị trí sau khi kiểm tra input với biến toàn cục
arr.Tiếp theo, ta sẽ cần phải leak địa chỉ
__libc_start_main_retđể tìm libc tương ứng cho cuộc tấn công tiếp theo.Cuối cùng, chúng ta sẽ ghi đè printf@got bằng system() để khi chúng ta fget() một lần nữa, chúng ta chỉ cần nhập
/bin/shvà khi chương trình thực thi printf(), nó chỉ thực thi system("/bin/sh") và chúng ta tạo được shell.P/s: Mình nhận ra rằng nó cho mình địa chỉ của main là do chúng ta có một hàm tên là nic() có thể làm một cái gì đó thú vị nhưng mình nghĩ đó là cờ giả vì khi mình lấy shell thì có 2 tệp được gọi
flagvànot_flag. Vì vậy cách của chúng ta là tốt nhất.lin () + 116__libc_start_main_ret3. Khai thác
Ta sẽ chuyển đến hàm lin() với đoạn code bên dưới vì hàm main() không có gì để chúng ta tập trung:
Lý do vì sao mình send
\x01ở dòng cuối cùng là bởi vì như bên trên ta đã nói, ở đầu hàm lin(), có một vòng for dùng để kiểm tra xem mỗi ký tự khi ta nhập ở hàm main() (đầu vào ở trên là0x013131) có xuất hiện trong chuỗiarrhay không và sẽ thoát hoặc tiếp tục thực thi tương ứng. Để tránh việc kết thúc, mình chỉ đơn giản sử dụng\x01.Và bây giờ, chúng ta bắt đầu!
Giai đoạn 1: Ghi đè fflush@got thành
lin() + 116Đầu tiên, chúng ta sẽ muốn biết tại
%pthứ mấy sẽ trỏ tới phần đầu của dữ liệu mà ta nhập vào:p.sendlineafter(b'your name? \n', b'AAAAAAAA') p.recvline() main_addr = int(p.recvline()[:-1].split(b'. is ')[1], 16) log.success("Main address: " + hex(main_addr)) exe.address = main_addr - exe.sym['main'] log.success("Exe address: " + hex(exe.address))
Và ta biết rằng tại
%7$psẽ trỏ về phần đầu của chuỗi:Vì đây là tệp 32 bit nên ta chỉ việc đặt địa chỉ của fflush@got ở payload và thay đổi giá trị bằng
%n. Để ghi đè fflush@gotbằng lin()+116(Ví dụ là0x565ae6a7), chúng ta không thể ghi gửi0x565ae6a7ký tự lên server để ghi đè vào fflush@got được vì đó là một số rất lớn và sẽ mất nhiều thời gian để thực thi.Để giải quyết vấn đề này, ta sẽ chia địa chỉ thành một nửa và viết 2 byte của
fflush@gotvới 2 byte thấp của địa chỉlin()+116và 2 byte củafflush@got+2với 2 byte cao của địa chỉlin()+116. Với ví dụ về địa chỉ lin() ở trên, chúng ta sẽ muốn ghi0x565ae6a7vào fflush@got (ví dụ đang chứa0x11111111), vì vậy chúng ta sẽ thay đổi theo thứ tự như sau:Để làm điều đó, ta sẽ cần đặt địa chỉ của fflush@got trên stack và chọn offset của
%pđể có thể trỏ tới địa chỉ của fflush@got của payload:Thực thi script và chúng ta có thể thấy được địa chỉ
fflust@gotvàfflust@got+2:Bây giờ, ta sẽ lấy địa chỉ của
lin()+116và chia thành 2 phần:Ta sẽ muốn thay đổi 2 byte thấp hơn trước bằng cách sử dụng
%hnđể viết 2 byte và ta sẽ sử dụng%<k>cvớiklà số byte dùng cho số byte của pad để ta không cần phải gửi một lúc nhiều byte đến máy chủ:Chúng ta muốn ghi
part1nhưng trướcpart1, ta đã ghi một số byte. Vì vậy ta chỉ cần lấypart1trừ với số byte đó và chúng ta sẽ có được số byte chính xác mà chúng ta muốn ghi. Chạy và debug bằng GDB, ta thấy rằng địa chỉ đã thay đổi:Chúng ta có thể thấy rằng 2 byte thấp hơn đã được thay đổi thành công và chính xác. Bây giờ là lúc cho 2 byte cao hơn, nhưng trước tiên, hãy thử với
%hnmà không có bất kỳ byte thêm nào của padding. Payload sẽ trở thành:Thực thi script và ta có:
Ta thấy rằng 2 byte cao hơn sẽ lấy số byte trước nó (
0xe577) cộng thêm 1 (của%c) trước%hn. Vì vậy, ta chỉ cần lấy byte cao hơn và trừ với 2 byte thấp hơn và ghi vào fflush@got là xong.Có một vấn đề, nếu 2 byte cao hơn đó nhỏ hơn 2 byte thấp hơn, phép trừ sẽ dẫn đến một số âm. Để tránh điều đó, ta sẽ cộng thêm 2 byte cao hơn với
0x10000khi 2 byte cao nhỏ hơn 2 byte thấp.Và với
%hn(tức là chỉ ghi nhiều nhất 2 byte, không lấn sang byte thứ 3), thì số0x1trong byte thứ ba sẽ không được viết. Vì vậy, sau khi ta tách địa chỉ củalin()+116, ta sẽ thêm dòng kiểm tra này:Và ta sẽ viết 2 byte cao hơn vào địa chỉ
fflush@got+2với đoạn mã sau:Sau khi thực thi script, ta có thể thấy rằng fflush@got đã thay đổi thành công:
Tốt lắm! Hãy chuyển sang giai đoạn tiếp theo nào: Leak địa chỉ
__libc_start_main_ret!Giai đoạn 2: Leak địa chỉ
__libc_start_main_retBởi vì ta chỉ việc leak địa chỉ và không bắt buộc phải thay đổi bất kỳ thứ gì nên ta sẽ bao gồm code để leak địa chỉ
__libc_start_main_retvới payload ghi đè fflush@got bên trên. Nhưng trước tiên, ta sẽ kiểm tra vị trí của__libc_start_main_retkhi dừng tại printf():Sau khi đếm offset, ta thấy rằng
%87$psẽ trỏ đến địa chỉ__libc_start_main_ret. Vì vậy, payload ở giai đoạn 1 của chúng ta sẽ viết thêm%87$p(không cần phải overwrite nên sử dụng format%<k>$plà ổn) vào payload như sau:Thực thi script và ta lấy được địa chỉ:
Kiểm tra trong GDB và đó là địa chỉ chính xác:
Vì vậy, ta sẽ lấy địa chỉ này và tính toán địa chỉ base của libc với đoạn code sau:
Bây giờ, ta sẽ chuyển sang bước cuối cùng: Ghi đè printf@got thành system()!
Giai đoạn 3: Ghi đè printf@got thành system()
Ở giai đoạn này, ta sẽ làm tương tự như ta đã làm trong giai đoạn 1, vì vậy đây là code cho giai đoạn 3:
Sau khi thực thi code thành công, ta chỉ cần nhập chuỗi
/bin/shvà printf() sẽ thực thi system() với tham số là chuỗi/bin/sh.Full code: solve.py
4. Lấy cờ
Cờ là
p_ctf{Sh3ld0N_1s_H4ppY_1H4t_u_4re_h4cK3R_7u9r4J}