# TinyCTF -> Speed WriteUp(rev300)
# Author : fr0g
# Twitter : https://twitter.com/fr0gSecurity / https://twitter.com/HexpressoCTF
# http://hexpresso.wordpress.com/
# Greetz to : Hask, Pastek, Soup42, Sakiir, NotFound, saxx, BitK, atmoner, ex0ns, kallimero, st0rn & Santa Claus
Je tiens à préciser que je n'expliquerai pas ici le fonctionnement de chaque fonction,
mais simplement comment résoudre l'épreuve, pour la simple et bonne raison qu'à l'heure où j'écris ce paper,
je n'ai pas encore entièrement saisi l'algo.
File : rev300: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.24, BuildID[sha1]=0x39fe3fa9ef192e30d8a18451110b726b4179a9a7, stripped
md5 : 0785bfc33a983c0e85eb261cfdf5a46b
-------------------------------------------------------------------------------------------
Première Execution :
$> ./rev300
Access denied
$> ./rev300 toto
Access denied
$> objdump -h rev300
...
12 .text 0000036c 08048360 08048360 00000360 2**4
CONTENTS, ALLOC, LOAD, READONLY, CODE
...
Désassemblage :
gdb-peda$ x/20i 0x08048360
0x8048360: xor ebp,ebp
0x8048362: pop esi
0x8048363: mov ecx,esp
0x8048365: and esp,0xfffffff0
0x8048368: push eax
0x8048369: push esp
0x804836a: push edx
0x804836b: push 0x8048690
0x8048370: push 0x8048620
0x8048375: push ecx
0x8048376: push esi
0x8048377: push 0x80485b5 ;; main() offset
0x804837c: call 0x8048340 <__libc_start_main@plt>
Posons donc un bp sur la fonction main (0x80485b5), et lançons le programme.
Au début de la fonction, on peut voir que velui ci attend un paramètre :
=> 0x80485be: cmp DWORD PTR [ebp+0x8],0x1
0x80485c2: jle 0x80485fe ;; jump sur le message d'erreur 'Access denied' si aucun paramètre donné
if (argc <= 1){
printf("Access denied\n");
return (0);
}
On relance donc le programme avec un password en param, une fois la condition remplie,
celui ci va appeler une fonction prenant en paramètre le password entré par l'user,
ainsi qu'un entier (qui ne m'as pas servi à résoudre l'épreuve, et dont je n'ai pas encore tout à fait saisi l'utilité) :
0x80485d4: mov DWORD PTR [esp],eax ;; ici EAX => argv[1]
=> 0x80485d7: call 0x8048414
A partir de là, plus qu'à suivre le chemin :) on break sur l'appel à cette fonction 0x8048414,
Une fois dans la fonction concernée, on peut voir que l'instruction cmp sur le registre al
(avec à chaque fois une valeur différente) est assez récurrente, on va donc parcourir les instructions (gdb> ni) jusqu'à atteindre le premier cmp:
0x8048491: cmp al,0x69
0x8048493: je 0x80484e8
0x8048495: mov eax,0x0
__0x804849a: jmp 0x8048536
|
|
|> 0x8048536: leave
0x8048537: ret
--------------------------------
gdb-peda$ set $al=0x69
gdb-peda$ continue
A ce moment là, le registre al contient la valeur du premier caractère du password entré par l'user,
et nous pouvons voir que le premier caractère du password attendu est 0x69 ('i'),
on set al à 'i', afin que le saut conditionnel suivant la comparaison soit pris, et
on continue jusqu'à tomber sur le rappel de la fonction (manifestement récursive), qui vas
comparer le caractère suivant.
Si les deux valeurs sont différentes lors d'une comparaison de caractère, un saut absolu sera pris plus bas afin de quitter la fonction courante avec un return 0;
il ne reste plus qu'à répéter cette operation pour les autres caractères,
aucune autre verification n'est susceptible d'intérrompre la procédure que
les sauts conditionnels après chaque "cmp al,0x??", un nuage de criquets, ou un THE GAME imprévu :þ.
Une fois tous les caractères passés, et le mot de passe attendu "isengard" découvert, la fonction courante fini par un return 1,
qui nous renvoie dans le main.
S'en suit l'appel de la fonction qui génère et affiche le flag (prenant en param le mot de passe entré),
que je n'ai pas encore analysée, disponible en *bas pour les intéressés
On exécute le programme avec le bon mot de passe en paramètre, et c'est tout bon :)
(2:716)$ ./rev300 isengard
Access granted
flag{s0me7hing_S0me7hinG_t0lki3n}
-------------------------------------------------------------------------------------------
*Fonction générant le flag :
0x8048538: push ebp
0x8048539: mov ebp,esp
0x804853b: push edi
0x804853c: push esi
0x804853d: push ebx
0x804853e: sub esp,0xac
0x8048544: lea edx,[ebp-0xa0]
0x804854a: mov ebx,0x8048760
0x804854f: mov eax,0x21
0x8048554: mov edi,edx
0x8048556: mov esi,ebx
0x8048558: mov ecx,eax
0x804855a: rep movs DWORD PTR es:[edi],DWORD PTR ds:[esi]
0x804855c: mov DWORD PTR [ebp-0x1c],0x0
0x8048563: jmp 0x8048598
0x8048565: mov eax,DWORD PTR [ebp-0x1c]
0x8048568: mov ecx,DWORD PTR [ebp+eax*4-0xa0]
0x804856f: mov eax,DWORD PTR [ebp-0x1c]
0x8048572: mov edx,eax
0x8048574: sar edx,0x1f
0x8048577: shr edx,0x1d
0x804857a: add eax,edx
0x804857c: and eax,0x7
0x804857f: sub eax,edx
0x8048581: add eax,DWORD PTR [ebp+0x8]
0x8048584: movzx eax,BYTE PTR [eax]
0x8048587: movsx eax,al
0x804858a: xor eax,ecx
0x804858c: mov DWORD PTR [esp],eax
0x804858f: call 0x8048350 <putchar@plt>
0x8048594: add DWORD PTR [ebp-0x1c],0x1
0x8048598: cmp DWORD PTR [ebp-0x1c],0x20
0x804859c: jle 0x8048565
0x804859e: mov DWORD PTR [esp],0xa
0x80485a5: call 0x8048350 <putchar@plt>
0x80485aa: add esp,0xac
0x80485b0: pop ebx
0x80485b1: pop esi
0x80485b2: pop edi
0x80485b3: pop ebp
0x80485b4: ret
fr0g