- Название: Царь-админ
- Категория: pwn
- Платформа: codeby.games
В архиве нас ждут 3 файла: cipher, gen и task_local. Все без расширений, все помечены как исполняемые - в общем, ничего непонятно. Поэтому прогоним их через file:
Как видно из скриншота, cipher - это просто текст, в то время как 2 остальных файла - ELF-бинари. Сначала заглянем в cipher:
Пока неясно, как это ковырять: вроде похоже на base64, но получается какая-то ересь;
Ссылка скрыта от гостей
тоже выпал в осадок, поэтому пока отложим в сторону cipher и глянем на первый бинарь - gen:
Ээ... Штош, увидели мы достаточно, поэтому кидаем его в IDA (переменные я переименовал для наглядности):
А тут уже всё выглядит интереснее: у нас создаются 10 файлов в папке /tmp, в которые записываются сначала текущее время в секундах, а затем случайно сгенерированные строки, где в качестве сида генерации использовалось как раз то время. И действительно, в папке /tmp нас ждут 10 файлов:
Всё это, конечно, интересно, но пока толком непонятно, для чего всё это и что от нас хотят. Поэтому теперь перейдём к task_local:
Уже что-то! Для начала глянем рейтинг:
Действительно рейтинг, ничего не скажешь. Попробуем залогиниться за какую-нить команду:
Мдэ, методом пристального взгляда и двух попыток можно понять, что логин сверяется с действительными командами, а пароль принимается любой. И опять непонятно: что от нас хотят? Поэтому и этот файлик летит в IDA (переменные переименованы, все строки в конструкциях вида
puts(&byte_23EC) заменены на читабельные):
Здесь представлена стандартная реализация консольного интерфейса. Предлагаю без промедлений заглянуть в login_function():
Полотно кода большое, поэтому давайте разберём его частично!
Сначала мы вводим название команды, которое сравнивается со всеми 50 вариантами существующих - и, если какая-то совпала, то партия довольна, идём дальше. Кстати, весьма интересно сделан итерационный переход от названия к названию:
На название каждой команды выделяется 44 байта, которыми и оперируют при проверке. Удобно, и нет массива в явном виде!
Далее, наше введённое название проверяется со строкой "admin" (если перейти по адресу admin_str, то там будет эта красота в чистом виде). А вот дальше начинается кое-что смутно знакомое - strange_func():
Здесь прослеживается связь с предыдущим файлом gen, генерирующим 10 файлов в папке /tmp. А эта функция как раз пытается какой-то из них прочесть и сохранить у себя первые 4 байта (сид генерации), и саму генерированную строку (всё остальное). После этого файл удаляется - мистика, да и только! Давайте вернёмся в функцию выше и глянем, что там происходит дальше:
Дальше, если в качестве команды мы указали admin, то у нас начинают просить какой-то PIN-код, причём, как видно невооружённым глазом, этот пинкод должен равняться числу 133 (Б - безопасность). А дальше интересный момент: Если byte_4943 будет равен символу 'A', то мы увидим на экране тот самый прочитанный сид из strange_func(), а в противном случае - лишь наш введённый PIN-код. Обратите внимание на адрес byte_4943:
Он идёт сразу же после pincode, для которой выделено 3 байта, но нам позволено ввести 4! (62-я строка, 1 картинка вверх) Поэтому мы можем спокойно перезаписать этот байт на 'A' и зачем-то увидеть сид генерации из того tmp-файла. Пока непонятно, зачем он, поэтому двигаемся дальше!
А вот здесь - самый сок: нас просят ввести пароль админа (да сколько можно-то...), причём тот не должен начинаться с символа 'q', иначе мы просто вернёмся в меню. А судя по адресам переменной, этот пароль - и есть та самая сгенерированная строка! И если мы её введём, то вызовется функция print_flag(), печатающая флаг (это локальный бинарь, так что флаг фейковый). Поэтому нам нужно лишь скопировать строку из файла
/tmp/pass[i].txt, где [i] - минимальное число из оставшихся файлов, и получить флаг!Давайте теперь с полученной информацией проверим ту на практике:
Действительно, admin принимается в качестве названия. Попробуем ввести в качестве PIN-кода не просто 133, а 133A:
А 0x6696d7b0, как вы уже догадались, наш сид в виде шестнадцатиричного числа. Теперь от нас просят пароль, так что скопируем его из самого первого оставшегося файла:
Обратите внимание, команды, вывод которых представлен на переднем окне, выполнялись до запуска task_local, т.к. последний читает файл из /tmp и сразу же его удаляет. Так что на момент ввода пароля из pass3.txt, этого файла уже не существовало
И вот, флаг получен! Осталось лишь повторить эти действия на сервере... Но как же нам прочитать там файлы из /tmp? А никак! Поэтому мы их будем генерировать сами! Ведь, по сути, для этого нам необходим лишь сид, который мы можем получить через переполнение с 'A'. Так что ноги в руки и бегом переписывать скрипт:
C:
#include <stdio.h>
#include <stdlib.h>
void main(void) {
char secret[100] = {0};
int seed;
printf("enter seed: ");
scanf("%x", &seed);
printf("seed: %x\n", seed);
srand(seed);
for (int i = 0; i < 10; i++) {
for (int j = 0; j < 50; j++) {
secret[j] = rand() % 26 + 97;
}
printf("Passwd %d: %s\n", i + 1, secret);
}
}Обратите внимание! Так как нам неизвестно, сколько файлов с паролями в /tmp на сервере осталось, мы будем генерировать все 10, и каждый пробовать пихать программе - и на каком-то из них она должна сдаться. Скомпилируем этот код с помощью gcc и оформим тестовый запуск:
Вроде всё работает, так что давайте протестируем на локальном бинаре:
Получилось! Единственное - мне немного не повезло с сидом и первый пароль начинался с 'q' - так что я его пропустил. Но один из следующих подошёл, а значит, можно то же самое проделать на сервере и получить реальный флаг!
А вот тут поподробнее... Почему не работает наша хитрость с PIN-кодом? А всё дело в хинте, который любезные разработчики оставили на странице с заданием:
Как по мне, это что-то из разряда обязательных хинтов. Искренне сожалею тем людям, кто таски проходит только без них - им могу пожелать лишь фаззить символ после 133. А нам, судя по хинту, нужен вместо 'A' символ с кодом 1. Я недавно писал райтап, где тоже нужен был такой символ, и им оказалась комбинация
CTRL+A, которую можно ввести с клавиатуры. Попробуем её:
Получилось! Осталось дело за малым - сгенерировать пароли с выданным нам сидом:
Странно, но ни один из наших паролей не подошёл. И дело даже не в том, что один из них начинался с 'q' (невезучее время). Что же делать, мы же были так близки?!
Давайте рассуждать логически: генерация псевдопростых чисел имеет два фактора, которые на неё влияют: это сам сид, передающийся в srand() и... libc! А если быть точнее, сам алгоритм генерации. И если с первым пунктом итак всё понятно, то давайте детальнее разберём второй.
Возможно, кто-то из читателей не знал, но существуют несколько видов реализации libc:
- всем привычная glibc
- musl libc
- uClibc
- BSD libc
Сперва попробуем musl:
Bash:
sudo apt update
sudo apt install musl musl-dev musl-toolsТеперь скомпилируем программу под musl libc:
Bash:
musl-gcc solve.c -o solveСравним вывод программ из под musl и gcc на одном сиде:
Как и предполагалось, мы получили совершенно разный результат. Так что теперь попробуем сгенерировать пароли для сервера через musl_solve:
Первый пароль подошёл! Копируем флаг, лутаем баллы и кайфуем)
Кстати, а помните тот самый файл cipher из начала? Оказывается, в нём зашифрован какой-то текст, говорящий о том, что на сервере стоит докер с alpine linux - а там по умолчанию не glibc, а musl libc. Правда, я так и не понял, как этот файл расшифровать, спросил в чате - никто тоже не понял. Такая вот петрушка :/
Если вы знаете, как этот файл расшифровать - поделитесь, интересно!
Надеюсь, этот довольно длинный райтап помог вам в нашей нелёгкой стезе.
Удачного пывына!
made 4 @rev_with_da_boys