这篇文章记录的是吉林大学 2020 CTF 校赛的 babywasm 题解。用到的工具有 Chrome Developer Tool 和 wabt。
ToC
记录基本偏移信息
上来先观察 data 段。
我们发现了一些有趣的东西。首先是 flag 必备的 Spirit{},然后是弹出对话框中的文本,中间夹杂了一些不明所以的 ASCII 字符。
我们把这些东西的偏移都记录下来。从前面的 i32 const 1048576 可以知道,基础偏移是 1048576,a995 的偏移是 1048613,Spirit 的偏移是 1048713。
目前我们还不知道这些东西到底有什么用,带着准备好的偏移数据,我们进入正式的分析环节。
入口
首先我们需要定位目标函数。通过 JavaScript,我们知道最终调用的函数是 greet,于是就在 wasm 里寻找 greet:
在分析过程中,最需要注意的就是访存指令。想要生成 flag 就一定需要访问内存。并且由于我们 greet 传入的参数是字符串,因此获得这个字符串本身也需要经过内存。于是我们需要重点关注的就是访存指令:i32.load。
greet 的源码如下:
我们在 i32.load 处打断点,观察执行前后栈的情况。首先是 0x06cde 行:
执行完这一行后的栈中存储的是 1114120,和 var0 的内容一致,即输入字符串的地址。
然后看 0x06ce5 行,这行执行完后栈中存储的是 4,和 var1 的内容一致,即输入字符串的长度。
虽然上面的步骤并没有发现有用的信息,但却是必不可少的。因此这里没有省略这些失败的尝试。
而接下来就是有用的了。后面跟着的就是一个 call 9,我们不妨直接跳过:
我们发现,直接弹出了 alert,说明主要的内容就在这个函数内。call 9 之后的内容都不需要深究了。
进入 func9
进入 func9 之后我们依然是在 i32.load 相关的地方打断点。在 0x048cf 处,我们有了发现。
执行完这一行之后,栈中的内容为 1114184,查看内存:
再尝试变换为 ASCII 码:
试着找到字符串末尾:
就得到了这样一个 64 位的字符串:
IF 线:如果你会使用搜索引擎
其实这时候你就可以拿这个去搜了,可以得到这样的结果:
于是你会发现中间那一团 ASCII 码字符其实是 64+36 位的。你迅速猜测 64 位代表 sha256,36 位代表 UUID。但当你试图提交的时候,却发现答案错误。
于是,你又回来了。
发挥作用的偏移
与此同时,在 0x048d9,我们看到了一个熟悉的数字:
这不就是 a995 的偏移吗!而在下面,我们发现了 1048713:Spirit 的偏移。
如果你看下去,会发现到了 0x049ef 就是我们熟悉的 alert 了:
因此关键的部分就在中间这一段:
关键逻辑分析
我们把这部分代码复制出来:
block $label3 (result i32) block $label2 block $label0 block $label1 local.get $var2 i32.load offset=28 i32.const 64 i32.eq if local.get $var2 i32.load offset=24 local.tee $var0 i32.const 1048613 i32.eq br_if $label0 ;; if $var0 == 1048613 -> goto $label0 local.get $var0 call $func54 ;; $func54($var0) local.get $var2 i32.const 192 i32.add call $func70 ;; $func70($var2 + 192) br_if $label1 ;; return != 0 -> goto $label1 br $label2 end local.get $var2 i32.const 192 i32.add call $func70 end $label1 local.get $var2 ;; if br_if $label_1 i32.const 32 i32.add br $label3 ;; force exit end $label0 local.get $var2 i32.const 192 i32.add call $func70 end $label2 local.get $var2 ;; if br $label2 i32.const 336 i32.add call $func50 local.get $var2 i32.const 32 i32.add call $func70 local.get $var2 i32.const 40 i32.add local.get $var2 i32.const 344 i32.add i32.load i32.store local.get $var2 local.get $var2 i64.load offset=336 i64.store offset=32 local.get $var2 i32.const 32 i32.addend $label3经过观察,我们发现:如果我们执行了 br_if $label1,那么直接就会跳出这一块的执行,因此我们尝试阻止其运行。暴力一点,我们直接把 br_if 注释掉:
local.get $var2 i32.const 192 i32.add call $func70 ;; $func70($var2 + 192) ;; br_if $label1 ;; return != 0 -> goto $label1 br $label2修改 WASM
修改的步骤需要将 WASM 转换为 wat,再回编译成 WASM。用到的工具分别是 wasm2wat 和 wat2wasm。
对于执行,你可以选择将整个站点都下载到本地,也可以选择使用 Chrome 的 Override 功能。
结果
在你修改完成时,一切就都结束了——
这就是真正的 flag 了。这段 WASM 的实际源码如下:
mod utils;
use wasm_bindgen::prelude::*;use sha2::{Sha256, Digest};use hex::encode;
#[cfg(feature = "wee_alloc")]#[global_allocator]static ALLOC: wee_alloc::WeeAlloc = wee_alloc::WeeAlloc::INIT;
#[wasm_bindgen]extern { fn alert(s: &str);}
#[wasm_bindgen]pub fn greet(hint: &str) { let mut content = String::from("do_not_submit-where_is_the_real_flag?"); // hint = 'you-can-never-know-what-it-is/www' if hash_match(hint, "a9553e6a285a1f8e24167204d1ebb273cbe9254c6d4ad681dc1a2644e929da43") { // 6351789a-2107-4796-9f51-ba7b8cb9d92e content = rot13("6351789n-2107-4796-9s51-on7o8po9q92r"); }
let prefix = "Spirit{"; let postfix = "}"; let result = format!("{}{}{}", prefix, content, postfix);
alert(&result);}
fn hash_match(s: &str, exp: &str) -> bool { let mut hasher = Sha256::new(); hasher.update(s); let result = hasher.finalize(); let hash = hex::encode(result); return &hash == exp;}
fn rot13(text: &str) -> String { text.chars().map(|c| { match c { 'A'...'M' | 'a'...'m' => ((c as u8) + 13) as char, 'N'...'Z' | 'n'...'z' => ((c as u8) - 13) as char, _ => c } }).collect()}也就是对 flag 进行了简单的 rot13 操作。