Diberikan sebuah binary dengan konfigurasi seperti di bawah Ketika binary dijalankan akan meminta input sebagai berikut. Dengan konfigurasi seperti tadi dan juga input beserta segfault, maka dapat dipastikan bahwa soal ini adalah soal shellcoding dan namanya mengacu pada shellcode sandbox. Untuk memahami bagaimana cara kerja program, kita lihat hasil disassembly nya. Bisa dilihat bahwa main functionnya […]
Category: Binary Exploitation
[PicoCTF 2019] – NewOverflow2
Diberikan sebuah binary dengan konfigurasi sebagai berikut: Berikut adalah list fungsi yang ada dalam binary: Jika kita lihat isi fungsi win_fn akan terlihat sebagai berikut:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
int win_fn() { int result; // eax@6 char s; // [sp+0h] [bp-40h]@4 FILE *stream; // [sp+38h] [bp-8h]@1 stream = fopen("flag.txt", "r"); if ( !stream ) { puts("'flag.txt' missing in the current directory!"); exit(0); } fgets(&s, 48, stream); if ( win1 && win2 ) result = printf("%s", &s); else result = puts("Nope, not quite..."); return result; } |
Untuk bisa mendapatkan flag, kita harus membuat fungsi win_fn1 dan win_fn2 menjadi true. Berikut isi dari kedua fungsi tersebut:
|
1 2 3 4 5 |
void __fastcall win_fn1(int a1) { if ( a1 == 0xDEADBEEF ) win1 = 1; } |
|
1 2 3 4 5 6 7 8 9 |
__int64 __fastcall win_fn2(int a1, int a2, int a3) { __int64 result; // rax@1 result = (unsigned __int8)win1; if ( win1 && a1 == 0xBAADCAFE && a2 == 0xCAFEBABE && a3 == 0xABADBABE ) win2 = 1; return result; } |
Disini terlihat bahwa untuk membuat value dari win1 […]
[PicoCTF 2018] – ropchain
Untuk soal ini, kita diberikan sebuah file binary dan source code C.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 |
#include <stdio.h> #include <stdlib.h> #include <string.h> #include <unistd.h> #include <sys/types.h> #include <stdbool.h> #define BUFSIZE 16 bool win1 = false; bool win2 = false; void win_function1() { win1 = true; } void win_function2(unsigned int arg_check1) { if (win1 && arg_check1 == 0xBAAAAAAD) { win2 = true; } else if (win1) { printf("Wrong Argument. Try Again.\n"); } else { printf("Nope. Try a little bit harder.\n"); } } void flag(unsigned int arg_check2) { char flag[48]; FILE *file; file = fopen("flag.txt", "r"); if (file == NULL) { printf("Flag File is Missing. Problem is Misconfigured, please contact an Admin if you are running this on the shell server.\n"); exit(0); } fgets(flag, sizeof(flag), file); if (win1 && win2 && arg_check2 == 0xDEADBAAD) { printf("%s", flag); return; } else if (win1 && win2) { printf("Incorrect Argument. Remember, you can call other functions in between each win function!\n"); } else if (win1 || win2) { printf("Nice Try! You're Getting There!\n"); } else { printf("You won't get the flag that easy..\n"); } } void vuln() { char buf[16]; printf("Enter your input> "); return gets(buf); } int main(int argc, char **argv){ setvbuf(stdout, NULL, _IONBF, 0); // Set the gid to the effective gid // this prevents /bin/sh from dropping the privileges gid_t gid = getegid(); setresgid(gid, gid, gid); vuln(); } |
Untuk konfigurasi file binary masih sama seperti writeup ini. Dilihat dari source code C yang kita dapat, kita harus mendapatkan value true pada fungsi win1 dan win2 untuk bisa mendapatkan flag yang terdapat pada fungsi flag. Tapi permasalahannya ketiga fungsi tersebut tidak […]
[CSAW CTF Qualification Round 2019] – baby boi
Diberikan sebuah binary, libc library, dan source code C:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
#include <stdio.h> #include <stdlib.h> int main(int argc, char **argv[]) { setvbuf(stdout, NULL, _IONBF, 0); setvbuf(stdin, NULL, _IONBF, 0); setvbuf(stderr, NULL, _IONBF, 0); char buf[32]; printf("Hello!\n"); printf("Here I am: %p\n", printf); gets(buf); } |
Dari konfigurasi binary ini, tiap poin mempunyai maksud tersendiri: Binary yang diberikan adalah 64-bit binary dan Not Stripped Partial RELRO: RELRO sendiri adalah singkatan dari Relocation Read-Only, dimana dalam hal ini yang digunakan adalah Partial RELRO yang berarti untuk Global Offset Table (GOT) dan Procedure […]
[Cyber Jawara 2019 Qualification] – Starlight
Diberikan sebuah zip yang berisi binary. language directory dan juga source code dari soal yang dapat didonwload di sini. Disclaimer: Penulis tidak melakukan solve pada jalannya kompetisi dikarenakan oleh ketidak telitian penulis dalam mengerjakan soal ini. Writeup ini dibuat untuk menjadi sebuah refleksi pembelajaran dari kegagalan yang telah dilakukan. Part I: Percobaan Analisis Karena soal […]
[HSCTF6] – hardheap
|
1 2 3 4 5 |
Written by: poortho Remember halcyon heap? Well, it was too easy so I made it hard ;) nc pwn.hsctf.com 5555 |
Pada saat penulisan writeup, challenge ini memiliki poin sebesar 480 dan total 16 solve. Binary dan libc. Sebelum melanjutkan, ada baiknya pembaca mengenali cara kerja malloc, dan FSOP. Terima kasih pada writeup ini, karena writeup ini membantu saya menemukan langkah umum untuk menyelesaikan challenge ini pada saat CTF berlangsung. Analisa Diberikan binary dengan konfigurasi […]
[35c3CTF] – Collection
Sebenarnya saya baru solve ini +12 jam setelah CTF berakhir, dengan bantuan rekan tim Auxy dan Kileak. File berada di sini. Kita diberikan 5 file:
|
1 2 3 4 5 |
python3.6: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=9dae0eec9b3f9cb82612d20dc0c3088feab9e356, stripped libc-2.27.so: ELF 64-bit LSB shared object, x86-64, version 1 (GNU/Linux), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, BuildID[sha1]=b417c0ba7cc5cf06d1d1bed6652cedb9253c60d0, for GNU/Linux 3.2.0, stripped Collection.cpython-36m-x86_64-linux-gnu.so: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, BuildID[sha1]=241f5274d685b0cd35c64b14f024fb7171ea04b2, stripped server.py: Python script, ASCII text executable test.py: ASCII text |
Mari kita lihat isi dari server dan test:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 |
import os import tempfile import os import string import random def randstr(): return ''.join(random.choice(string.ascii_uppercase + string.digits + string.ascii_lowercase) for _ in range(10)) flag = open("flag", "r") prefix = """ from sys import modules del modules['os'] import Collection keys = list(__builtins__.__dict__.keys()) for k in keys: if k != 'id' and k != 'hex' and k != 'print' and k != 'range': del __builtins__.__dict__[k] """ size_max = 20000 print("enter your code, enter the string END_OF_PWN on a single line to finish") code = prefix new = "" finished = False while size_max > len(code): new = raw_input("code> ") if new == "END_OF_PWN": finished = True break code += new + "\n" if not finished: print("max length exceeded") sys.exit(42) file_name = "/tmp/%s" % randstr() with open(file_name, "w+") as f: f.write(code.encode()) os.dup2(flag.fileno(), 1023) flag.close() cmd = "python3.6 -u %s" % file_name os.system(cmd) |
|
1 2 3 4 5 6 7 |
import Collection a = Collection.Collection({"a":1337, "b":[1.2], "c":{"a":45545}}) print(a.get("a")) print(a.get("b")) print(a.get("c")) |
Ingat bahwa file flag sudah dibuka dan berada pada fd nomor 1023. Pada pertamanya, mungkin ini akan terlihat seperti […]
[HCTF 2018] – babyprintf
|
1 2 3 4 5 6 7 8 9 10 |
baby printf comes again :) nc 150.109.44.250 20005 nc 150.109.46.159 20005 URL http://phx0fp4pe.bkt.clouddn.com/babyprintf_ver2_99aaef89552b3713c7dc756f96475b9bdd6c6558f5ba44572bde923f33a30f23.zip Base Score 1000.00 Now Score 480.42 Team solved 19 |
Sebelum ke writeup, ada baiknya pembaca membaca artikel ini terlebih dulu, agar mendapat gambaran tentang struktur FILE dan FSOP. Script dan container ada di sini. Kita diberikan binary dan libc dengan konfigurasi sebagai berikut: printf dan fortifikasi yang dinyalakan adalah kombinasi yang sangat buruk, berikut screenshot yang menjelaskan mengapa: Singkatnya, kita tidak […]
[HCTF 2018] – the end
|
1 2 3 4 5 6 7 8 9 10 |
where is the end? nc 150.109.44.250 20002 nc 150.109.46.159 20002 URL http://phx0fp4pe.bkt.clouddn.com/the_end_890eb79d67925bd059ffb9ba60697f4d19cc2bbd923f474b2a84daaa22e59068.zip Base Score 1000.00 Now Score 298.34 Team solved 46 |
Sebelum ke writeup, ada baiknya pembaca membaca tentang struktur FILE dan FSOP pada artikel ini (karena orang ini menjelaskan dengan lebih baik dibandingkan penulis sendiri). script exploit dan container dapat diambil di sini. Diberikan binary dan libc dengan konfigurasi sebagai berikut: Mari kita lihat pseudocode dari IDA:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
void main() { void *buf; sleep(0); printf("here is a gift %p, good luck ;)\n", &sleep); fflush(stdout); close(1); close(2); for (int i=0; i<=4;i++) { read(0, &buf, 8); read(0, buf, 1); } exit(1337); } |
Ini terlihat buruk… stdout […]
[P.W.N. CTF 2018] – Exploitation Class
Exploitation Class – 200 + 156 points (11 solves) File di sini. Diberikan binary dan libc dengan konfigurasi sebagai berikut:
|
1 2 3 4 5 6 7 8 9 |
exploitClass: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=ecd82897ed2390ae18cc6617ce41dc4e7a163333, not stripped [*] '/home/tempest/CTF/pwnuni18/pwn/exploitclass/exploitClass' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled GNU C Library (GNU libc) stable release version 2.28. |
Konfigurasi ini terlihat buruk… Mari kita jalankan programnya:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
Welcome to the student registration service for the binary exploitation class in WS18! Enter 1 to read, 2 to write and any other number to exit! 1 Which entry to show? 0 John Enter 1 to read, 2 to write and any other number to exit! 2 Which entry to write? 0 What to write? abcdabcd Enter 1 to read, 2 to write and any other number to exit! 0 Closing session! |
Penulis berasumsi bahwa akan ada vulnerability seperti Out of Bound (OOB) read/write. Berikut pseudocode dari IDA Pro untuk read dan write […]