这篇文章记录的是吉林大学 2020 CTF 校赛的 babywasm
题解。用到的工具有 Chrome Developer Tool
和 wabt
。
记录基本偏移信息
上来先观察 data
段。
我们发现了一些有趣的东西。首先是 flag
必备的 Spirit{}
,然后是弹出对话框中的文本,中间夹杂了一些不明所以的 ASCII
字符。
我们把这些东西的偏移都记录下来。从前面的 i32 const 1048576
可以知道,基础偏移是 1048576
,a995
的偏移是 1048613
,Spirit
的偏移是 1048713
。
目前我们还不知道这些东西到底有什么用,带着准备好的偏移数据,我们进入正式的分析环节。
入口
首先我们需要定位目标函数。通过 JavaScript
,我们知道最终调用的函数是 greet
,于是就在 wasm
里寻找 greet
:
在分析过程中,最需要注意的就是访存指令。想要生成 flag
就一定需要访问内存。并且由于我们 greet
传入的参数是字符串,因此获得这个字符串本身也需要经过内存。于是我们需要重点关注的就是访存指令:i32.load
。
greet
的源码如下:
我们在 i32.load
处打断点,观察执行前后栈的情况。首先是 0x06cde
行:
执行完这一行后的栈中存储的是 1114120
,和 var0
的内容一致,即输入字符串的地址。
然后看 0x06ce5
行,这行执行完后栈中存储的是 4,和 var1
的内容一致,即输入字符串的长度。
虽然上面的步骤并没有发现有用的信息,但却是必不可少的。因此这里没有省略这些失败的尝试。
而接下来就是有用的了。后面跟着的就是一个 call 9
,我们不妨直接跳过:
我们发现,直接弹出了 alert
,说明主要的内容就在这个函数内。call 9
之后的内容都不需要深究了。
进入 func9
进入 func9
之后我们依然是在 i32.load
相关的地方打断点。在 0x048cf
处,我们有了发现。
执行完这一行之后,栈中的内容为 1114184
,查看内存:
再尝试变换为 ASCII
码:
试着找到字符串末尾:
就得到了这样一个 64 位的字符串:
IF 线:如果你会使用搜索引擎
其实这时候你就可以拿这个去搜了,可以得到这样的结果:
于是你会发现中间那一团 ASCII
码字符其实是 64+36 位的。你迅速猜测 64
位代表 sha256
,36
位代表 UUID
。但当你试图提交的时候,却发现答案错误。
于是,你又回来了。
发挥作用的偏移
与此同时,在 0x048d9
,我们看到了一个熟悉的数字:
这不就是 a995
的偏移吗!而在下面,我们发现了 1048713:Spirit
的偏移。
如果你看下去,会发现到了 0x049ef
就是我们熟悉的 alert
了:
因此关键的部分就在中间这一段:
关键逻辑分析
我们把这部分代码复制出来:
block $label3 (result i32) block $label2 block $label0 block $label1 local.get $var2 i32.load offset=28 i32.const 64 i32.eq if local.get $var2 i32.load offset=24 local.tee $var0 i32.const 1048613 i32.eq br_if $label0 ;; if $var0 == 1048613 -> goto $label0 local.get $var0 call $func54 ;; $func54($var0) local.get $var2 i32.const 192 i32.add call $func70 ;; $func70($var2 + 192) br_if $label1 ;; return != 0 -> goto $label1 br $label2 end local.get $var2 i32.const 192 i32.add call $func70 end $label1 local.get $var2 ;; if br_if $label_1 i32.const 32 i32.add br $label3 ;; force exit end $label0 local.get $var2 i32.const 192 i32.add call $func70 end $label2 local.get $var2 ;; if br $label2 i32.const 336 i32.add call $func50 local.get $var2 i32.const 32 i32.add call $func70 local.get $var2 i32.const 40 i32.add local.get $var2 i32.const 344 i32.add i32.load i32.store local.get $var2 local.get $var2 i64.load offset=336 i64.store offset=32 local.get $var2 i32.const 32 i32.add end $label3
经过观察,我们发现:如果我们执行了 br_if $label1
,那么直接就会跳出这一块的执行,因此我们尝试阻止其运行。暴力一点,我们直接把 br_if
注释掉:
local.get $var2 i32.const 192 i32.add call $func70 ;; $func70($var2 + 192) ;; br_if $label1 ;; return != 0 -> goto $label1 br $label2
修改 WASM
修改的步骤需要将 WASM
转换为 wat
,再回编译成 WASM
。用到的工具分别是 wasm2wat
和 wat2wasm
。
对于执行,你可以选择将整个站点都下载到本地,也可以选择使用 Chrome
的 Override
功能。
结果
在你修改完成时,一切就都结束了——
这就是真正的 flag
了。这段 WASM
的实际源码如下:
mod utils; use wasm_bindgen::prelude::*; use sha2::{Sha256, Digest}; use hex::encode; #[cfg(feature = "wee_alloc")] #[global_allocator] static ALLOC: wee_alloc::WeeAlloc = wee_alloc::WeeAlloc::INIT; #[wasm_bindgen] extern { fn alert(s: &str); } #[wasm_bindgen] pub fn greet(hint: &str) { let mut content = String::from("do_not_submit-where_is_the_real_flag?"); // hint = 'you-can-never-know-what-it-is/www' if hash_match(hint, "a9553e6a285a1f8e24167204d1ebb273cbe9254c6d4ad681dc1a2644e929da43") { // 6351789a-2107-4796-9f51-ba7b8cb9d92e content = rot13("6351789n-2107-4796-9s51-on7o8po9q92r"); } let prefix = "Spirit{"; let postfix = "}"; let result = format!("{}{}{}", prefix, content, postfix); alert(&result); } fn hash_match(s: &str, exp: &str) -> bool { let mut hasher = Sha256::new(); hasher.update(s); let result = hasher.finalize(); let hash = hex::encode(result); return &hash == exp; } fn rot13(text: &str) -> String { text.chars().map(|c| { match c { 'A'...'M' | 'a'...'m' => ((c as u8) + 13) as char, 'N'...'Z' | 'n'...'z' => ((c as u8) - 13) as char, _ => c } }).collect() }
也就是对 flag
进行了简单的 rot13
操作。是不是签到题(逃