WriteUp PWN 500pts - PwC Hackaday

Map - PWN 500pts - PwC Hackaday

Thực sự mà nói hôm thi thì cũng chưa có ngó đến được bài này thì phải. Nhưng tình cờ được "thần tượng" yêu cầu làm lại bài này.


Sau một thời gian vật lộn với nó thì cũng đã xong (khá vất vả nhưng rất bổ ích).
Sau đây mình sẽ trình bày write up về bài này để cho những ai quan tâm có thể tham khảo.
Ở bài này mình chỉ thực hiện exploit ở local.

Trước tiên đây là file cho những ai quan tâm: Map (Mình đã patch bỏ qua phần alarm để cho dễ debug)

Như thường lệ mình đưa file vào IDA pro để đọc code ( Mình đã rename một vài hàm cũng như biến để cho tiện theo dõi ).


__int64 sub_555555554B95()



{



  puts("---------- Menu ------------");



  puts("0. Select Map.");



  puts("1. Add Map.");



  puts("2. Edit Map.");



  puts("3. View Map.");



  puts("4. Delete Map.");



  puts("5. Exit.");



  putchar('>');



  return (unsigned int)read_int();



}
Chương trình gồm có 5 chức năng chính.
Bây giờ ta duyệt qua từng chức năng

Chức năng Select Map:

Chức năng Add Map:

Chức năng Edit Map:

Chức năng View Map:

Chức năng Delete Map:

Nhìn vào hàm Add Map thì ta thấy có một vấn đề trong code như sau:



  v4 = listMap_202040[i];



  *(_QWORD *)(v4 + 16) = malloc(0x40uLL);



  printf("Name : ");



  read_input(*(_QWORD *)(listMap_202040[i] + 16LL), 0x40u);



  printf("Map Description Size:", 0x40LL);



  v5 = listMap_202040[i];



  *(_DWORD *)(v5 + 12) = read_int();



  if ( *(_DWORD *)(listMap_202040[i] + 12LL) > 0x400u )



    *(_DWORD *)(listMap_202040[i] + 12LL) = 0x400;



  v6 = listMap_202040[i];



  *(_QWORD *)(v6 + 24) = malloc(*(unsigned int *)(listMap_202040[i] + 12LL));



  return (unsigned __int64)read_input(*(_QWORD *)(listMap_202040[i] + 16LL), *(_DWORD *)(listMap_202040[i] + 12LL));
Description được malloc nhưng lại không được ghi trực tiếp vào đó mà lại được ghi vào vùng nhớ của Name.
Tương tự hàm edit cũng có lỗi tương tự.

Sử dụng kỹ thuật fastbin dup tôi có thể dễ dàng dùng một Map để overflow vùng nhớ của Map tiếp theo.



gdb-peda$ telescope 0x0000555555756040



0000| 0x555555756040 --> 0x555555757010 --> 0x0 



0008| 0x555555756048 --> 0x555555757100 --> 0x0 



0016| 0x555555756050 --> 0x0 



0024| 0x555555756058 --> 0x0 



0032| 0x555555756060 --> 0x0 



0040| 0x555555756068 --> 0x0 



0048| 0x555555756070 --> 0x0 



0056| 0x555555756078 --> 0x0 



gdb-peda$ telescope 0x555555757010



0000| 0x555555757010 --> 0x0 



0008| 0x555555757018 --> 0x19000000000 



0016| 0x555555757020 --> 0x555555757040 --> 0x555555757100 --> 0x0 



0024| 0x555555757028 --> 0x5555557571f0 --> 0x0 



0032| 0x555555757030 --> 0x0 



0040| 0x555555757038 --> 0x51 ('Q')



0048| 0x555555757040 --> 0x555555757100 --> 0x0 



0056| 0x555555757048 --> 0x0 
Tuy nhiên sau khi control được một Map thì tôi lại rơi vào bế tắc không biết phải tiếp tục như thế nào nữa vì bài này checksum: PIE enable

Vào một ngày đẹp trời một đại ca "giang hồ" đã tới và thông não cho mình được cái skill khá hay "unsorted bin attack"

Từ kỹ thuật này tôi có thể leak được địa chỉ main arena qua đó leak được base của libc.

gdb-peda$ telescope 0x555555757010
0000| 0x555555757010 --> 0x0 
0008| 0x555555757018 --> 0x19000000000 
0016| 0x555555757020 --> 0x555555757040 --> 0x0 
0024| 0x555555757028 --> 0x555555757090 --> 0x7ffff7dd1b78 --> 0x555555757440 --> 0x0 
0032| 0x555555757030 --> 0x0 
0040| 0x555555757038 --> 0x51 ('Q')
0048| 0x555555757040 --> 0x0 
0056| 0x555555757048 --> 0x0 

Sau khi leak được libc có thể tính được địa chỉ của environ, system, '/bin/sh'
Quay lại việc control một Map ta đưa địa chỉ cần đọc vào Description của Map đó để đọc giá trị tại vùng nhớ đó.
==> tính được địa chỉ của stack
==> tính được địa chỉ base của file
==> tính được địa chỉ "pop rdi; ret"
Tiếp tục control Return address của Hàm Edit Map để exploit ta có được solution.




chung96vn@ubuntu:~/Downloads/CTF-GAME$ python solve.py 



[*] '/lib/x86_64-linux-gnu/libc-2.23.so'



    Arch:     amd64-64-little



    RELRO:    Partial RELRO



    Stack:    Canary found



    NX:       NX enabled



    PIE:      PIE enabled



[+] Starting local process './map': pid 3529



[*] leak: 0x7f5cd47aab78



[*] base: 0x7f5cd43e6000



[*] inviron: 0x7f5cd47acf38



[*] system: 0x7f5cd442b390



[*] sh: 0x7f5cd4572d17



[*] 0x7fff342fd558



[*] rbp: 0x7fff342fd460



[*] 0x5593b4ee9530



[*] Base of File: 0x5593b4ee8000



[*] Switching to interactive mode



$ whoami



chung96vn



$

File Solution: solve.py

Qua bài này thì mình gửi lời cảm ơn đến "thần tượng" Peter cũng như đại ca "giang hồ" Phiêu Lãng đã giúp mình có được một bài học rất bổ ích sau khi làm xong bài này.

Comments

Post a Comment

Popular posts from this blog

Exploit deaslr through _dl_runtime_resolve

Image
Chào tất cả mọi người, cuối cùng thì tôi cũng đã quay lại sau bao ngày im hơi lặng tiếng :)) Abstract: Hôm nay nhân một ngày đẹp trời, để đánh dấu sự trở lại của mình tôi có một bài viết để phân tích về một kỹ thuật exploit khi mà bạn không thể leak được bất kì thông tin gì và ASLR (Address space layout randomization) đang được bật và cũng không có bất kỳ thông tin về phiên bản libc được sử dụng trên server.  Explain: Đã bao giờ bạn đặt ra một câu hỏi "WTF? Tại sao chương trình nó chạy lại có thể run đến một cái hàm ở trong thư viện libc?" Để tìm hiểu thì bây giờ hãy thử compiler một file dơn giản sử dụng một hàm của thư viện nhé! File: test.c Hãy thử debug và next từng dòng lệnh assembly để khám phá!! Debug nào :)) Hãy chú ý đến từng lệnh vì tất cả nó đề có ý nghĩa rất quan trọng. Nhìn qua flow của chương trình thì thấy chương trình call đến hàm _dl_runtime_resolve_avx với 2 tham số được push vào stack. Trong trường hợp nà
Read more

[Night St0rm CTF] - WRITE UP PWN

Image
Ban đầu cũng không có ý định viết write up bởi cũng rất lười viết :v . Nhưng nghe phong phanh được tin là có thưởng cho write up hay và thú vị :) thế là lại phải viết rồi :) Cũng mong BTC đọc được dòng này rồi trao giải cho mình :)) vì để viết được chỗ write up này mình phải ngồi download lại file cũng như ngồi debug lại để chụp ảnh rồi balabala :)) ( Nói chung là kể khổ :v ) * PWN 1 - 50 pts nc motacoin.nightst0rm.net 1337 FILE Bước đầu tiên khi mình làm pwn là luôn kéo file binary vào IDA để hex-rays đọc code c :)) Ở bài này thì mình có được đoạn code sau :)) Thoạt nhìn qua thì mình đã copy nguyên xâu "KhongGiongTrenServer" để send lên server vì thấy là hàm memcmp chứ cũng chẳng quan tâm xâu đấy ý nghĩa là gì :v Nhưng sau khi gửi lên thì thấy không thành công mới đọc kĩ lại @@ "KhongGiongTrenServer" bây giờ thì mới hiểu ý nghĩa của nó :v mình cũng nghĩ ngay ra cách khác để nhập vào bài này, tuy nhiên để cho mọi người hiểu rõ hơn mình sẽ phân t
Read more