这篇文章记录的是吉林大学 2020 CTF 校赛的 babywasm 题解。用到的工具有 Chrome Developer Tool 和 wabt。
ToC
记录基本偏移信息
上来先观察 data 段。
我们发现了一些有趣的东西。首先是 flag 必备的 Spirit{},然后是弹出对话框中的文本,中间夹杂了一些不明所以的 ASCII 字符。
我们把这些东西的偏移都记录下来。从前面的 i32 const 1048576 可以知道,基础偏移是 1048576,a995 的偏移是 1048613,Spirit 的偏移是 1048713。
目前我们还不知道这些东西到底有什么用,带着准备好的偏移数据,我们进入正式的分析环节。
入口
首先我们需要定位目标函数。通过 JavaScript,我们知道最终调用的函数是 greet,于是就在 wasm 里寻找 greet:
在分析过程中,最需要注意的就是访存指令。想要生成 flag 就一定需要访问内存。并且由于我们 greet 传入的参数是字符串,因此获得这个字符串本身也需要经过内存。于是我们需要重点关注的就是访存指令:i32.load。
greet 的源码如下:
我们在 i32.load 处打断点,观察执行前后栈的情况。首先是 0x06cde 行:
执行完这一行后的栈中存储的是 1114120,和 var0 的内容一致,即输入字符串的地址。
然后看 0x06ce5 行,这行执行完后栈中存储的是 4,和 var1 的内容一致,即输入字符串的长度。
虽然上面的步骤并没有发现有用的信息,但却是必不可少的。因此这里没有省略这些失败的尝试。
而接下来就是有用的了。后面跟着的就是一个 call 9,我们不妨直接跳过:
我们发现,直接弹出了 alert,说明主要的内容就在这个函数内。call 9 之后的内容都不需要深究了。
进入 func9
进入 func9 之后我们依然是在 i32.load 相关的地方打断点。在 0x048cf 处,我们有了发现。
执行完这一行之后,栈中的内容为 1114184,查看内存:
再尝试变换为 ASCII 码:
试着找到字符串末尾:
就得到了这样一个 64 位的字符串:
IF 线:如果你会使用搜索引擎
其实这时候你就可以拿这个去搜了,可以得到这样的结果:
于是你会发现中间那一团 ASCII 码字符其实是 64+36 位的。你迅速猜测 64 位代表 sha256,36 位代表 UUID。但当你试图提交的时候,却发现答案错误。
于是,你又回来了。
发挥作用的偏移
与此同时,在 0x048d9,我们看到了一个熟悉的数字:
这不就是 a995 的偏移吗!而在下面,我们发现了 1048713:Spirit 的偏移。
如果你看下去,会发现到了 0x049ef 就是我们熟悉的 alert 了:
因此关键的部分就在中间这一段:
关键逻辑分析
我们把这部分代码复制出来:
block $label3 (result i32)
block $label2
block $label0
block $label1
local.get $var2
i32.load offset=28
i32.const 64
i32.eq
if
local.get $var2
i32.load offset=24
local.tee $var0
i32.const 1048613
i32.eq
br_if $label0 ;; if $var0 == 1048613 -> goto $label0
local.get $var0
call $func54 ;; $func54($var0)
local.get $var2
i32.const 192
i32.add
call $func70 ;; $func70($var2 + 192)
br_if $label1 ;; return != 0 -> goto $label1
br $label2
end
local.get $var2
i32.const 192
i32.add
call $func70
end $label1
local.get $var2 ;; if br_if $label_1
i32.const 32
i32.add
br $label3 ;; force exit
end $label0
local.get $var2
i32.const 192
i32.add
call $func70
end $label2
local.get $var2 ;; if br $label2
i32.const 336
i32.add
call $func50
local.get $var2
i32.const 32
i32.add
call $func70
local.get $var2
i32.const 40
i32.add
local.get $var2
i32.const 344
i32.add
i32.load
i32.store
local.get $var2
local.get $var2
i64.load offset=336
i64.store offset=32
local.get $var2
i32.const 32
i32.add
end $label3
经过观察,我们发现:如果我们执行了 br_if $label1,那么直接就会跳出这一块的执行,因此我们尝试阻止其运行。暴力一点,我们直接把 br_if 注释掉:
local.get $var2
i32.const 192
i32.add
call $func70 ;; $func70($var2 + 192)
;; br_if $label1 ;; return != 0 -> goto $label1
br $label2
修改 WASM
修改的步骤需要将 WASM 转换为 wat,再回编译成 WASM。用到的工具分别是 wasm2wat 和 wat2wasm。
对于执行,你可以选择将整个站点都下载到本地,也可以选择使用 Chrome 的 Override 功能。
结果
在你修改完成时,一切就都结束了——
这就是真正的 flag 了。这段 WASM 的实际源码如下:
mod utils;
use wasm_bindgen::prelude::*;
use sha2::{Sha256, Digest};
use hex::encode;
#[cfg(feature = "wee_alloc")]
#[global_allocator]
static ALLOC: wee_alloc::WeeAlloc = wee_alloc::WeeAlloc::INIT;
#[wasm_bindgen]
extern {
fn alert(s: &str);
}
#[wasm_bindgen]
pub fn greet(hint: &str) {
let mut content = String::from("do_not_submit-where_is_the_real_flag?");
// hint = 'you-can-never-know-what-it-is/www'
if hash_match(hint, "a9553e6a285a1f8e24167204d1ebb273cbe9254c6d4ad681dc1a2644e929da43") {
// 6351789a-2107-4796-9f51-ba7b8cb9d92e
content = rot13("6351789n-2107-4796-9s51-on7o8po9q92r");
}
let prefix = "Spirit{";
let postfix = "}";
let result = format!("{}{}{}", prefix, content, postfix);
alert(&result);
}
fn hash_match(s: &str, exp: &str) -> bool {
let mut hasher = Sha256::new();
hasher.update(s);
let result = hasher.finalize();
let hash = hex::encode(result);
return &hash == exp;
}
fn rot13(text: &str) -> String {
text.chars().map(|c| {
match c {
'A'...'M' | 'a'...'m' => ((c as u8) + 13) as char,
'N'...'Z' | 'n'...'z' => ((c as u8) - 13) as char,
_ => c
}
}).collect()
}
也就是对 flag 进行了简单的 rot13 操作。