2017. 7. 23. 18:42
## Samsung CTF_2017(Buildingblocks, Coding)
[Summary]
1. 어셈블리 블럭들의 조각을 던져줌.
2. 이 어셈블리 블럭들의 조각을 Segmentation Fault가 나지 않도록 순서만 맞춰주면 됨.
3. 각 블럭별로 eax레지스터가 비교값과, 연산을 끝낸 값을 구할 수 있음.
4. 구한 eax값과 다음 블럭의 비교값과 비교해 같으면 이어붙이면 됨.(이 조건일 때 seg fault가 안남.)
[Analysis]
[그림 1] Buildingblocks 문제
이 문제는 코딩을 해서 어셈블리 블럭을 완성시키면 플래그를 주는 문제였다. 위 문제서버로 접속하면 아래
[그림 2]와 같이 주어지는 Base64로 인코딩된 문자열들은 x64머신에서 돌아가는 코드이며 각각의 블럭들을
잘 이어붙여 실행했을 때 Segmentation Fault가 뜨지 않도록 하는 가장 긴 코드를 만든 후 바이트 코드를
sha256 hexsum을 서버에 보내달라고 한다.(총 10개의 스테이지가 있다.)
[그림 2] 문제 서비스 분석
그래서 위 base64로 인코딩된 문자열들을 하나하나 디코딩해 바이트 코드로 만든 후 pwntool 모듈을 이용해
어셈블리어로 변환하면 아래 [그림 3]과 같이 여러 개의 코드 뭉치로 나타난다.
[그림 3] 11개의 코드 뭉치 중 일부
위 [그림 3]을 보면 여러 개의 코드 뭉치들 중 일부를 나타낸 것인데 11개의 코드 뭉치가 위 [그림 3]의
아래와 같이 cmp문으로 시작하지 않고 eax에 값을 지정하는 유형의 코드뭉치 하나가 있고, 나머지는 전부
위 코드뭉치와 같은 유형이다.
이제 이 코드뭉치들이 Segmentation Fault 가 나지 않도록 이어 붙이기 위해서는 cmp문 바로 아래 je로
절대로 점프해서는 안된다. 따라서 각각의 코드 뭉치들의 비교 값과 각각의 코드뭉치에서 최종적으로 나오는
eax의 값을 비교하여 같은 것을 이어 붙여야 한다. 따라서 아래 [그림 4]와 같이 각 코드뭉치에 대해
[비교값, 최종 eax 값]만 나타내어 보면 아래 [그림 4]와 같다.
[그림 4] 코드뭉치 단순화
위 리스트를 보고 eax값과 cmp 비교 값이 같은 것끼리 이어 붙이는데 앞서 설명한 cmp문으로 시작하지
않는 유형은 무조건 코드뭉치의 제일 앞이므로 여기서부터 eax값과 비교문이 같은 0번째가 바로 뒤를 잇고
그 다음이 4번째... 이렇게 쭉 가면 [그림 4]의 아래에 나오는 리스트처럼 코드블럭의 순번을 알 수 있고
이를 바이트 코드로 이어붙여 sha256한 값을 서버에 보내는 과정을 stage10까지 반복하면 아래 [그림 5]와
같이 플래그를 확인할 수 있다.
[Exploit Code] - buildingblocks_exploit.py
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 | from pwn import * from pwnlib import asm import base64 import StringIO #import hexdump context(arch='amd64',os='linux') #local=True local=False if local: p = process("./xxxx") else: p = remote("buildingblocks.eatpwnnosleep.com", 46115) raw_input() byte_code = "" byte_code_tmp = [] disasm_str = [] disasm_str_tmp = [] def init_var(): global byte_code, byte_code_tmp, disasm_str, disasm_str_tmp byte_code = "" byte_code_tmp = [] disasm_str = [] disasm_str_tmp = [] def calc_eax(disasm_str_offset): eax = 0; edx = 0 for i in xrange(4, len(disasm_str[disasm_str_offset])): #print disasm_str[disasm_str_offset][i] if disasm_str[disasm_str_offset][i].find("mov") != -1: pos = disasm_str[disasm_str_offset][i].find(",") if disasm_str[disasm_str_offset][i].find("eax") != -1: eax = int(disasm_str[disasm_str_offset][i][pos+1:],16) & 0xffffffff elif disasm_str[disasm_str_offset][i].find("edx") != -1: edx = int(disasm_str[disasm_str_offset][i][pos+1:],16) & 0xffffffff elif disasm_str[disasm_str_offset][i].find("rax") != -1: eax = int(disasm_str[disasm_str_offset][i][pos+1:],16) & 0xffffffffffffffff else: edx = int(disasm_str[disasm_str_offset][i][pos+1:],16) & 0xffffffffffffffff elif disasm_str[disasm_str_offset][i].find("add") != -1: pos = disasm_str[disasm_str_offset][i].find(",") if disasm_str[disasm_str_offset][i].find("eax") != -1: eax = (eax + int(disasm_str[disasm_str_offset][i][pos+1:],16)) & 0xffffffff else: edx = (edx + int(disasm_str[disasm_str_offset][i][pos+1:],16)) & 0xffffffff elif disasm_str[disasm_str_offset][i].find("sub") != -1: pos = disasm_str[disasm_str_offset][i].find(",") if disasm_str[disasm_str_offset][i].find("eax") != -1: eax = (eax - int(disasm_str[disasm_str_offset][i][pos+1:],16)) & 0xffffffff else: edx = (edx - int(disasm_str[disasm_str_offset][i][pos+1:],16)) & 0xffffffff elif disasm_str[disasm_str_offset][i].find("mul") != -1: if disasm_str[disasm_str_offset][i].find("edx") != -1: mul_eax_edx = eax*edx eax = mul_eax_edx & 0x00000000ffffffff edx = (mul_eax_edx & 0xffffffff00000000) >> 32 else: print "[+] to be implement" return eax def first_calc_eax(disasm_str_offset): for i in xrange(len(disasm_str[disasm_str_offset])): #print disasm_str[disasm_str_offset][i] if disasm_str[disasm_str_offset][i].find("mov") != -1: pos = disasm_str[disasm_str_offset][i].find(",") if disasm_str[disasm_str_offset][i].find("eax") != -1: eax = int(disasm_str[disasm_str_offset][i][pos+1:],16) & 0xffffffff elif disasm_str[disasm_str_offset][i].find("edx") != -1: edx = int(disasm_str[disasm_str_offset][i][pos+1:],16) & 0xffffffff elif disasm_str[disasm_str_offset][i].find("rax") != -1: eax = int(disasm_str[disasm_str_offset][i][pos+1:],16) & 0xffffffffffffffff else: edx = int(disasm_str[disasm_str_offset][i][pos+1:],16) & 0xffffffffffffffff elif disasm_str[disasm_str_offset][i].find("add") != -1: pos = disasm_str[disasm_str_offset][i].find(",") if disasm_str[disasm_str_offset][i].find("eax") != -1: eax = (eax + int(disasm_str[disasm_str_offset][i][pos+1:],16)) & 0xffffffff else: edx = (edx + int(disasm_str[disasm_str_offset][i][pos+1:],16)) & 0xffffffff elif disasm_str[disasm_str_offset][i].find("sub") != -1: pos = disasm_str[disasm_str_offset][i].find(",") if disasm_str[disasm_str_offset][i].find("eax") != -1: eax = (eax - int(disasm_str[disasm_str_offset][i][pos+1:],16)) & 0xffffffff else: edx = (edx - int(disasm_str[disasm_str_offset][i][pos+1:],16)) & 0xffffffff elif disasm_str[disasm_str_offset][i].find("mul") != -1: if disasm_str[disasm_str_offset][i].find("edx") != -1: mul_eax_edx = eax*edx eax = mul_eax_edx & 0x00000000ffffffff edx = (mul_eax_edx & 0xffffffff00000000) >> 32 else: print "[+] to be implement" return eax if __name__ == '__main__': for stage in xrange(10): init_var() print p.recvuntil(')\n') data = p.recvuntil(']'); print data pos = data.find("'") while pos != -1: pos = data.find("'") data = data[pos+1:] pos = data.find("'") tmp = data[:pos]; print "wjdebug : "+tmp byte_code_tmp.append(base64.b64decode(tmp)) data = data[pos+1:] for i in xrange(len(byte_code_tmp)-1): print "##### wjdebug #####" disas_tmp = disasm(byte_code_tmp[i], arch='amd64', os='linux'); print disas_tmp print "###################" linenum = disas_tmp.count('\n') disasm_str_tmp = disas_tmp.split('\n',linenum) for j in xrange(len(disasm_str_tmp)): disasm_str_tmp[j] = disasm_str_tmp[j][32:] disasm_str.append(disasm_str_tmp) first_offset = -1; final_eax = 0 for i in xrange(len(disasm_str)): if disasm_str[i][0].find("cmp") == -1: first_offset = i if disasm_str[i][len(disasm_str[i])-1].find("syscall") != -1: pos = disasm_str[i][0].find(",") final_eax = int(disasm_str[i][0][pos+1:],16) simple_block = []; for i in xrange(len(disasm_str)): if disasm_str[i][0].find("cmp") == -1: simple_block_tmp = [] simple_block_tmp.append(-1) simple_block_tmp.append(first_calc_eax(i)) simple_block.append(simple_block_tmp) else: simple_block_tmp = [] pos = disasm_str[i][0].find(",") simple_block_tmp.append(int(disasm_str[i][0][pos+1:],16)) simple_block_tmp.append(calc_eax(i)) simple_block.append(simple_block_tmp) for i in xrange(len(simple_block)): print "["+hex(simple_block[i][0])+","+hex(simple_block[i][1])+"]" block_order = [first_offset] cur_eax = simple_block[first_offset][1] while cur_eax != 0x3c: for i in xrange(len(simple_block)): cmp_eax = simple_block[i][0] if cur_eax == cmp_eax: block_order.append(i) cur_eax = simple_block[i][1] break print block_order byte_code = "" for i in xrange(len(block_order)): byte_code += byte_code_tmp[block_order[i]] #print disasm(byte_code, arch='amd64', os='linux'); sha256_answer = hashlib.sha256(byte_code).hexdigest() print p.recvuntil('(code bytes): ') p.send(sha256_answer+'\n') p.interactive() # ref1) http://docs.pwntools.com/en/stable/asm.html # ref2) https://stackoverflow.com/questions/7472839/python-readline-from-a-string # ref3) https://dongyeopblog.wordpress.com/2016/06/24/python-%EB%AC%B8%EC%9E%90%EC%97%B4%EC%97%90%EC%84%9C-%ED%8A%B9%EC%A0%95%EB%AC%B8%EC%9E%90-%EC%B9%B4%EC%9A%B4%ED%8A%B8%ED%95%98%EB%8A%94%EB%B2%95/ # ref4) https://stackoverflow.com/questions/26538588/how-to-sha256-hash-a-variable-in-python | cs |
[Get Flag~~!!!!]
[그림 5] flag 확인
끝~!
'CTF writeup' 카테고리의 다른 글
| [Tokyo Westerns CTF_2017] swap(pwnable) (0) | 2017.09.13 |
|---|---|
| [Samsung CTF_2017] Easyhaskell(reversing) (0) | 2017.07.23 |
| [Samsung CTF_2017] dfa(Defense) (0) | 2017.07.23 |
| [Samsung CTF_2017] Readflag(Attack) (0) | 2017.07.23 |
| [Secuinside CTF_2017] snake(reversing) (0) | 2017.07.22 |
