Pada soal ini, sesuai dengan deskripsi soal, kita diminta untuk melakukan syscall. Mari kita coba lihat isi netcat. Program memberikan address untuk alamat flag yang akan berubah setiap saat nc di eksekusi. Kemudian, program akan meminta input nomor syscall, kemudian argument yang diperlukan untuk syscall yang ingin dipanggil. Namun, terdapat beberapa syscall yang di blacklist. […]
Category: Binary Exploitation
[Cyber Jawara 2020 Qualification] – ROP
Pada soal ini, peserta tidak diberikan binary, melainkan hanya informasi mengenai binary yang berjalan di server. Dari informasi yang diberikan pada deskripsi soal, binary yang berjalan memiliki konfigurasi kurang lebih sebagai berikut: RELRO: Partial RELRO Canary: Disabled NX: Enabled PIE: No PIE Selain itu diberikan informasi dari file elf_info dimana kita dapat mengetahui architecture dari […]
[Angstrom CTF 2020] – canary
Diberikan sebuah binary dengan konfigurasi sebagai berikut: Berikut adalah list dari semua fungsi pada binary: Berikut adalah pseudocode dari fungsi yang memiliki celah:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
unsigned __int64 greet() { char format; // [rsp+0h] [rbp-60h] char v2; // [rsp+20h] [rbp-40h] unsigned __int64 v3; // [rsp+58h] [rbp-8h] v3 = __readfsqword(0x28u); printf("Hi! What's your name? "); gets(&format); printf("Nice to meet you, "); strcat(&format, "!\n"); printf(&format); printf("Anything else you want to tell me? "); gets(&v2); return __readfsqword(0x28u) ^ v3; } |
Dilihat program menggunakan gets() yang memiliki kelemahan buffer overflow dan printf(&format) memiliki kelemahan format string attack. Tujuan dari soal ini adalah untuk memanggil fungsi flag(). Namun dari nama soal dan konfigurasi binary, terdapat stack canary […]
[KKSI 2019] – Sandbox1
Diberikan sebuah binary dengan konfigurasi seperti di bawah Ketika binary dijalankan akan meminta input sebagai berikut. Dengan konfigurasi seperti tadi dan juga input beserta segfault, maka dapat dipastikan bahwa soal ini adalah soal shellcoding dan namanya mengacu pada shellcode sandbox. Untuk memahami bagaimana cara kerja program, kita lihat hasil disassembly nya. Bisa dilihat bahwa main functionnya […]
[PicoCTF 2019] – NewOverflow2
Diberikan sebuah binary dengan konfigurasi sebagai berikut: Berikut adalah list fungsi yang ada dalam binary: Jika kita lihat isi fungsi win_fn akan terlihat sebagai berikut:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
int win_fn() { int result; // eax@6 char s; // [sp+0h] [bp-40h]@4 FILE *stream; // [sp+38h] [bp-8h]@1 stream = fopen("flag.txt", "r"); if ( !stream ) { puts("'flag.txt' missing in the current directory!"); exit(0); } fgets(&s, 48, stream); if ( win1 && win2 ) result = printf("%s", &s); else result = puts("Nope, not quite..."); return result; } |
Untuk bisa mendapatkan flag, kita harus membuat fungsi win_fn1 dan win_fn2 menjadi true. Berikut isi dari kedua fungsi tersebut:
|
1 2 3 4 5 |
void __fastcall win_fn1(int a1) { if ( a1 == 0xDEADBEEF ) win1 = 1; } |
|
1 2 3 4 5 6 7 8 9 |
__int64 __fastcall win_fn2(int a1, int a2, int a3) { __int64 result; // rax@1 result = (unsigned __int8)win1; if ( win1 && a1 == 0xBAADCAFE && a2 == 0xCAFEBABE && a3 == 0xABADBABE ) win2 = 1; return result; } |
Disini terlihat bahwa untuk membuat value dari win1 […]
[PicoCTF 2018] – ropchain
Untuk soal ini, kita diberikan sebuah file binary dan source code C.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 |
#include <stdio.h> #include <stdlib.h> #include <string.h> #include <unistd.h> #include <sys/types.h> #include <stdbool.h> #define BUFSIZE 16 bool win1 = false; bool win2 = false; void win_function1() { win1 = true; } void win_function2(unsigned int arg_check1) { if (win1 && arg_check1 == 0xBAAAAAAD) { win2 = true; } else if (win1) { printf("Wrong Argument. Try Again.\n"); } else { printf("Nope. Try a little bit harder.\n"); } } void flag(unsigned int arg_check2) { char flag[48]; FILE *file; file = fopen("flag.txt", "r"); if (file == NULL) { printf("Flag File is Missing. Problem is Misconfigured, please contact an Admin if you are running this on the shell server.\n"); exit(0); } fgets(flag, sizeof(flag), file); if (win1 && win2 && arg_check2 == 0xDEADBAAD) { printf("%s", flag); return; } else if (win1 && win2) { printf("Incorrect Argument. Remember, you can call other functions in between each win function!\n"); } else if (win1 || win2) { printf("Nice Try! You're Getting There!\n"); } else { printf("You won't get the flag that easy..\n"); } } void vuln() { char buf[16]; printf("Enter your input> "); return gets(buf); } int main(int argc, char **argv){ setvbuf(stdout, NULL, _IONBF, 0); // Set the gid to the effective gid // this prevents /bin/sh from dropping the privileges gid_t gid = getegid(); setresgid(gid, gid, gid); vuln(); } |
Untuk konfigurasi file binary masih sama seperti writeup ini. Dilihat dari source code C yang kita dapat, kita harus mendapatkan value true pada fungsi win1 dan win2 untuk bisa mendapatkan flag yang terdapat pada fungsi flag. Tapi permasalahannya ketiga fungsi tersebut tidak […]
[CSAW CTF Qualification Round 2019] – baby boi
Diberikan sebuah binary, libc library, dan source code C:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
#include <stdio.h> #include <stdlib.h> int main(int argc, char **argv[]) { setvbuf(stdout, NULL, _IONBF, 0); setvbuf(stdin, NULL, _IONBF, 0); setvbuf(stderr, NULL, _IONBF, 0); char buf[32]; printf("Hello!\n"); printf("Here I am: %p\n", printf); gets(buf); } |
Dari konfigurasi binary ini, tiap poin mempunyai maksud tersendiri: Binary yang diberikan adalah 64-bit binary dan Not Stripped Partial RELRO: RELRO sendiri adalah singkatan dari Relocation Read-Only, dimana dalam hal ini yang digunakan adalah Partial RELRO yang berarti untuk Global Offset Table (GOT) dan Procedure […]
[Cyber Jawara 2019 Qualification] – Starlight
Diberikan sebuah zip yang berisi binary. language directory dan juga source code dari soal yang dapat didonwload di sini. Disclaimer: Penulis tidak melakukan solve pada jalannya kompetisi dikarenakan oleh ketidak telitian penulis dalam mengerjakan soal ini. Writeup ini dibuat untuk menjadi sebuah refleksi pembelajaran dari kegagalan yang telah dilakukan. Part I: Percobaan Analisis Karena soal […]
[HSCTF6] – hardheap
|
1 2 3 4 5 |
Written by: poortho Remember halcyon heap? Well, it was too easy so I made it hard ;) nc pwn.hsctf.com 5555 |
Pada saat penulisan writeup, challenge ini memiliki poin sebesar 480 dan total 16 solve. Binary dan libc. Sebelum melanjutkan, ada baiknya pembaca mengenali cara kerja malloc, dan FSOP. Terima kasih pada writeup ini, karena writeup ini membantu saya menemukan langkah umum untuk menyelesaikan challenge ini pada saat CTF berlangsung. Analisa Diberikan binary dengan konfigurasi […]
[35c3CTF] – Collection
Sebenarnya saya baru solve ini +12 jam setelah CTF berakhir, dengan bantuan rekan tim Auxy dan Kileak. File berada di sini. Kita diberikan 5 file:
|
1 2 3 4 5 |
python3.6: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=9dae0eec9b3f9cb82612d20dc0c3088feab9e356, stripped libc-2.27.so: ELF 64-bit LSB shared object, x86-64, version 1 (GNU/Linux), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, BuildID[sha1]=b417c0ba7cc5cf06d1d1bed6652cedb9253c60d0, for GNU/Linux 3.2.0, stripped Collection.cpython-36m-x86_64-linux-gnu.so: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, BuildID[sha1]=241f5274d685b0cd35c64b14f024fb7171ea04b2, stripped server.py: Python script, ASCII text executable test.py: ASCII text |
Mari kita lihat isi dari server dan test:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 |
import os import tempfile import os import string import random def randstr(): return ''.join(random.choice(string.ascii_uppercase + string.digits + string.ascii_lowercase) for _ in range(10)) flag = open("flag", "r") prefix = """ from sys import modules del modules['os'] import Collection keys = list(__builtins__.__dict__.keys()) for k in keys: if k != 'id' and k != 'hex' and k != 'print' and k != 'range': del __builtins__.__dict__[k] """ size_max = 20000 print("enter your code, enter the string END_OF_PWN on a single line to finish") code = prefix new = "" finished = False while size_max > len(code): new = raw_input("code> ") if new == "END_OF_PWN": finished = True break code += new + "\n" if not finished: print("max length exceeded") sys.exit(42) file_name = "/tmp/%s" % randstr() with open(file_name, "w+") as f: f.write(code.encode()) os.dup2(flag.fileno(), 1023) flag.close() cmd = "python3.6 -u %s" % file_name os.system(cmd) |
|
1 2 3 4 5 6 7 |
import Collection a = Collection.Collection({"a":1337, "b":[1.2], "c":{"a":45545}}) print(a.get("a")) print(a.get("b")) print(a.get("c")) |
Ingat bahwa file flag sudah dibuka dan berada pada fd nomor 1023. Pada pertamanya, mungkin ini akan terlihat seperti […]