Ciscn2021和2022都有一道名为Satool的题目，它是LLVM-PASS类Pwn题。

由于高版本glibc的IO题比较模板化，近两年ciscn半决赛对LLVM-PASS等逆向难度较高的题目也都有所涉及。

本科期间在《编译原理》这门课学习过LLVM的一些基础知识，这里系统的总结下LLVM-PASS在二进制安全中的应用。

LLVM是构架编译器(compiler)的框架系统，以C++编写而成，用于优化以任意程序语言编写的程序的编译时间(compile-time)、链接时间(link-time)、运行时间(run-time)以及空闲时间(idle-time)，对开发者保持开放，并兼容已有脚本。

简单来说，LLVM是编译器框架，用于优化编写的程序。

LLVM又分为前端和后端：

其中，LLVM-IR有三种形式：

通过下面的命令可以实现不同格式代码互相转换：

PASS是一种结构化技术，通常作用于IR中间代码，通过opt利用写好的so库优化已有的IR中间代码。

其中，opt是LLVM的优化器和分析器，可以加载指定的模块，对LLVM IR或LLVM字节码进行分析和优化。

CTF题目一般会给出opt，通过./opt --version查看版本，或在README.md文档中告知opt版本。

LLVM核心库中提供了一些可以继承的pass类，可以对IR中间代码遍历实现代码优化、代码插桩等操作。

而LLVM-PASS类的pwn题，就是利用这一过程中可能出现的漏洞。

LLVM PASS类题目都会给出一个xxx.so，即自定义的LLVM PASS模块，漏洞点就自然会出现在其中。

我们可以使用opt -load ./xxx.so -xxx ./exp.{ll/bc}命令加载模块并启动LLVM的优化分析（其中-xxx是xxx.so中注册的PASS的名称，README文档中一般会给出，也可以通过逆向PASS模块得到）。（注意，新版本需要加-enable-new-pm=0 -f参数）

需要注意的是，若题目给了opt文件，就用题目指定的opt文件启动LLVM并调试（如命令./opt-8 ...），直接使用opt-8 ...命令是用的系统安装的opt，可能会和题目所给的有不同。

在打远程的时候，与Kernel和QEMU逃逸的题类似：将exp.ll或exp.bc通过base64加密传输到远程服务器，远程服务器会解码，并将得到的LLVM IR传给LLVM运行。

通过apt安装二进制安全中常用的三个版本clang和llvm：

安装好llvm后，可在/usr/lib/llvm-xx/bin/opt路径下找到对应llvm版本的opt文件（一般不开PIE保护）。

官方文档：https://llvm.org/docs/WritingAnLLVMPass.html

这里直接引用Winmt师傅编写的LLVM-Pass Demo和关键语法解释：

通过下面的命令编译为LLVMHello.so模块（llvm安装后的可执行文件在/usr/lib/llvm-xx/bin/目录）：

上述代码中的Hello结构体继承了LLVM核心库中的FunctionPass类，并重写了其中的runOnFunction函数（一般的CTF题都是如此）。runOnFunction函数在LLVM遍历到每一个传入的LLVM IR中的函数时都会被调用。

下面解释一下上述代码中的一些常用LLVM语法：

一般来说，CTF题目中的LLVM-Pass也重写FunctionPass类中的runOnFunction函数。

拿到一个so模块，我们首先需要定位runOnFunction函数，漏洞点一般就在其中。

找到.data.rel.ro模块末尾的vtable：

<img src="https://image.xxxb.cn/blog/image-20240610104031503.png" alt="image-20240610104031503" />

最后一项即重写的runOnFunction函数，而PASS注册的名称一般会在README.md文件中给出。

如果没有给出，可以对__cxa_atexit函数交叉引用来定位。

首先用gdb调试opt，并用set args设置参数传入，然后在main函数下断点后运行。

程序运行后，会先call一些初始化函数：

然后执行真正的代码加载so模块：

此时，so模块被加载到程序中：

opt通过下面这条调用链重写runOnFunction函数：

题目给了opt-8、libc-2.31.so和VMPass.so文件：

显然是LLVM-Pass类题目，并且opt的版本为8，我们将VMPass.so拖入IDA分析：

根据对__cxa_atexit函数交叉引用发现模块名为VMPass。

定位到上图中的runOnFunction函数，首先调用getName获取当前函数名，然后判断函数名是否为o0o0o0o0。

如果函数名为o0o0o0o0则调用memcmp(Name, "o0o0o0o0", v5)，然后根据是否调用memcpy调用sub_6AC0(a1, a2)。

显而易见，关键函数为sub_6AC0(a1, a2)，我们需要传入的函数名为o0o0o0o0。

继续分析sub_6AC0函数：

这段代码遍历所有函数，然后遍历每个函数的块并将每个块作为参数调用sub_6B80函数，继续跟进分析：

对于pop、push、store、load、add、min函数调用会做出不同的处理，以pop为例：

所有的函数第一个参数为int类型，值为1或2，确定操作哪个全局变量。

这两个全局变量1和2中存储地址，因此是二级指针类型的变量。

对于push函数，实现压栈操作，将全局变量i的值压入栈中。

对于pop函数，实现弹栈操作，将栈顶元素弹出到全局变量i中。

对于store函数，实现任意地址写，将全局变量i指向的地址处的值赋值给全局变量k。

对于load函数，实现任意地址读，将全局变量i存储的地址赋值给全局变量k指向的地址处。

对于add函数，实现加法操作。对于min函数，实现减法操作。

可以考虑通过任意地址读泄露got表中函数地址，以此泄露libc基地址。

然后通过add、min函数对其进行修改，再利用任意地址写劫持got表为one_gadget。

exp如下所示：

分析方法同上，找到模块名为SApass。然后找到vtable最后一项函数：

字符串为r0oDkc4B，转为小端序为B4ckDo0r。

根据compare函数，可以大概把程序划分为save、takeaway、stealkey、fakeway函数四个部分。

由于反编译后的代码都很奇怪，需要结合动态调试来分析。

动态调试发现save主要执行这段代码：

即将参数1和参数2分别放入fd、bk中，v32和byte_2040f8是0x20大小chunk的指针。

takeaway函数比较复杂，但是好像没有什么用。

stealkey函数代码比较简单，将0x20大小chunk的值赋值给全局变量。

fakekey函数也比较简单，将全局变量的值加上参数值，然后赋值回到chunk中。

run函数最简单，直接call *chunk。

思路很明显，先通过save函数创建chunk，然后将fd指针的值放到全局变量，加上偏移到one_gadget后写回chunk。

最后调用run函数执行one_gadget。这里的关键是fd位置能否是libc上的值？

经过调试发现，程序初始状态有很多chunk。我们可以申请完tcache后从small bin或unsorted bin中取chunk。

然后绕过第一个memcpy，这样申请到的chunk的fd指针位置就会有残留的libc地址。

完整exp如下所示：

按照之前的方法，发现模块名为ayaka。函数名为gamestart。

这道题比起来Ciscn2021-satool简单多了，因为代码可读性非常高，而且做多了LLVM-PASS发现很多代码语法都是相似的。

fight函数，传入参数index，若weaponList[index] > 5000，scroe = weaponList[index] - 5000，否则失败。

若score > 0x12345678触发后门函数，执行system(cmd)。cmd开始时被初始化为[0x92, 0x68, 0x7B, 0x27, 0x6D, 0x93, 0x68, 0x66]。

merge函数，执行weaponlist[merge_arg1] += weaponlist[merge_arg2]。

destory函数，执行weaponlist[destory_arg1] = 0。

upgrade函数，执行256次weaponlist[i] += upgrade_arg1;。

wuxiangdeyidao函数，执行--boss和异或操作，其中boss即bss段初始化为5000的全局变量。

zhanjinniuza函数，执行下面的操作：

guobapenhuo函数，执行下面的操作：

tiandongwanxiang函数，执行下面的操作：

若为其它函数，会进入最后一个代码块：

若当前函数第一次调用，会执行map[func_name] = arg加入map成员。

若当前函数不是第一次调用，会执行weaponlist[idx] = map[func_name]。

通过这个函数，我们可以实现任意地址写。更有意思的是：

weaponlist、score和cmd在bss段相邻，而idx是char类型变量，可以让它发生整数溢出。

从而覆盖score指针，让其指向很大的数，并覆盖cmd为sh字符串地址。完整exp如下所示：

这里有个坑调试了1个多小时，map里是按字典序进行排的！

分析发现模块名为mba，并且对函数名没有要求。

核心代码在这个地方，先设置为可读可写，然后设置为可读可执行，最后call调用。

然后分析一下这个handler函数：

先来分析几个程序实现的关键函数，分析一下关键函数writeMovImm64：

this+5应该为当前的指针ptr，这个函数根据在内存中写入48 BB [arg] 或 48 B8 [arg]，10字节的汇编指令。

经过分析发现对应的汇编代码为：

即writeMovImm64(this, 0, arg)是movaps rax arg。

继续分析writeRet函数，发现是在末尾写ret指令：

继续分析writeInc函数，发现是对rax寄存器进行inc或dec操作：

继续分析writeOpReg函数，发现是进行rax = rax + rbx 或 rax = rax - rbx操作：

了解了所有函数的工作，对整个handler的流程进行分析。

首先，为我们的shellcode汇编代码区域设置了边界，大小为0xFF0。

然后，判断末尾指令第一个操作数是否为常数，若为常数，执行writeMovImm64(this, 0, SExtValue)和writeRet(this)。

接着，判断末尾指令第一个操作数是否为函数参数，若为函数参数，执行writeMovImm64(this, 0, SExtValue)和writeRet(this)。

如果都不是，说明为变量。执行else中的代码，先执行writeMovImm64(this, 0, 0LL)。

然后将操作数压入栈中，找到这个变量对应的指令行，只能为add或sub指令，然后取指令的操作数：

动态调试发现成功写入汇编代码，并且初始值全部为ret：

movabs和add命令共占0xd字节，(0xff0 - 0xa) / 0xd = 313。可以先使用313次填充完0xFF0大小的边界区域。

不过经过动态调试，有315个指令时会溢出几个字节：

如果将最后一条指令的数据部分修改为jmp指令，第二次执行完0xff0大小区域后会ret执行这个数据部分。

然后在之前的部分填充shellcode即可：

需要注意的是shellcode必须分段填充进去，每句指令不能超过6字节，留2个字节jmp到下一个指令：

完整exp如下所示：

winmt师傅：https://bbs.kanxue.com/thread-274259.htm

Ayakaaa师傅：https://bbs.kanxue.com/thread-273119.htm

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！