Reverse Engineering – Page 2 – Petir Cyber Security

April 27, 2018

[0x00ctf-2017] – Hello – 50

Posted in Reverse Engineering by Putu Krisna Leave a Comment

Original Writeup : https://github.com/SPRITZ-Research-Group/ctf-writeups/tree/master/0x00ctf-2017/reverse/challenge-004-50 Download : https://drive.google.com/file/d/1KxJjtybOlBtr2vHzBqgyx7JnoFqsJ7S2/view?usp=sharing Untuk challenge kali ini kita diberikan sebuah ELF 64-bit. Saat kita check menggunakan command “file” di linux, terdapat error yang aneh.

$ file hello

hello: ERROR: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.24, BuildID[sha1]=b8ccefeffb8978b2289ec31802396333def9dfad error reading (Invalid argument)

$ file hello

hello: ERROR: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.24, BuildID[sha1]=b8ccefeffb8978b2289ec31802396333def9dfad error reading (Invalid argument)

Ketika dijalankan, program akan memberikan output seperti ini:

$ ./hello

Welcome to the Twinlight Zone!!!

Password: test

Keep Trying!

$ ./hello

Welcome to the Twinlight Zone!!!

Password: test

Keep Trying!

Akhirnya, kami mencoba membukanya di IDA Pro

    __int64 __fastcall main(__int64 a1, char **a2, char **a3)

    {

    puts("Hello World!\n");

    return 0LL;

    }

__int64 __fastcall main(__int64 a1, char **a2, char **a3)

{

puts("Hello World!\n");

return 0LL;

}

Kita melihat ini, kami makin bingung, karena function main […]

April 27, 2018

[TUCTF 2017] – Unknown – 200

Posted in Reverse Engineering by Putu Krisna Leave a Comment

Original Writeup : https://github.com/rkmylo/ctf-write-ups/tree/master/2017-tuctf/reverse-engineering/unknown-200 Download : https://drive.google.com/file/d/1yI6eseSj-0-TOAZA5mfGykkSq3SFm0QS/view?usp=sharing Seperti biasa, pada challenge reversing kali ini kita diberikan sebuah ELF 64-bit. Setelah kami coba jalankan, program tidak meminta input apa-apa. Hanya mem-print “Try again.” Setelah itu, kita meng-disassemble nya dengan menggunakan IDA sehingga kita dapat melihat pseudo nya dengan mudah. Berikut adalah gambaran source code dari program […]

April 27, 2018May 6, 2019

[CSAW CTF 2017 Finals] – DEFCON 1

Posted in Reverse Engineering by Henky Tornado Leave a Comment

untuk Write up asli ada di : https://github.com/SPRITZ-Research-Group/ctf-writeups/tree/master/csaw-finals-2017/rev/defcon1-50 binary file : https://drive.google.com/file/d/11xh4ycnS873OEDeCf2SPQIF6Vp2mLfOb/view?usp=sharing pertama yang akan kita lakukan adalah mengecek apa jenis file dari binary tersebut setalah dicek terlihat bahwa

:~/Desktop$ file cyberwar\(1\).rom 
cyberwar(1).rom: DOS/MBR boot sector

1 2	:~/Desktop$ file cyberwar$1$.rom cyberwar(1).rom: DOS/MBR boot sector

step nya habis itu kita buka dulu filenya di IDA pro untuk mengecek segmen dari apa yang dilakukan program itu jadi itu dibuka dan bikin […]

April 26, 2018

[TUCTF 2016]: Reverse for The Holy Grail – Static Analysis

Posted in Reverse Engineering by Khallisa Mediana Leave a Comment

File. Saat kita mencoba menjalankan file, terlihat bahwa file meminta 3 input.

nacl@ubuntu:~/Documents/CTF/Reverse Engineering$ ./44f8fe99f38c0ec9e398f1c1f674ad4a78aaf144
What... is your name?
Lancelot
What... is your quest?
Tomfoolery
What...  is the secret password?
RoundTable
Auuuuuuuugh

nacl@ubuntu:~/Documents/CTF/Reverse Engineering$ ./44f8fe99f38c0ec9e398f1c1f674ad4a78aaf144

What... is your name?

Lancelot

What... is your quest?

Tomfoolery

What... is the secret password?

RoundTable

Auuuuuuuugh

Selanjutnya saya mencoba membuka file di IDA. Ternyata input pertama dan kedua tidak digunakan. Hanya input ketiga saja yang digunakan, yaitu saat program meminta password. Selanjutnya string password melalui sebuah function stringMod yang akan print “Go on. Off you go. tuctf{” jika berhasil […]

April 5, 2018

[TUCTF 2017] – Funmail2.0 – 50

Posted in Reverse Engineering by Putu Krisna Leave a Comment

Original Writeup : https://github.com/Ov3rflow/TUCTF/tree/master/funmail2.0 Download : https://drive.google.com/file/d/1ziYB3XpoFWLw1GmthQGAHnDRoAQcNoAQ/view?usp=sharing Soal: john galt is having some problems with his email again. But this time it’s not his fault. Can you help him? funmail2.0 – md5: badb9b50dce8539a142c851b9c2c9165 Soal merupakan file ELF 32-bit, ketika dijalankan ia akan meminta username dan password. Program hanya akan menerima username “john galt”, seperti yang […]

April 5, 2018

[Kaspersky Industrial CTF Quals 2017] – Backdoor Pi – 300

Posted in Reverse Engineering by Putu Krisna Leave a Comment

Original Writeup : https://www.pwndiary.com/write-ups/kaspersky-industrial-ctf-quals-2017-backdoor-pi-write-up-reverse300/ Download : https://drive.google.com/file/d/0B1QCIakGcSbbV0pPRG04R3l4T1k/view?usp=sharing Pada challenge kali ini, kita diberikan sebuah file zip yang berisi root folder dari sebuah Raspberry Pi fs.zip Tentu saja, yang pertama kali kita lihat adalah folder home, setelah itu kita menemukan user bernama pi dan melihat isi directory nya. Di dalam nya tidak ada file atau folder […]

April 5, 2018

[DEFCONCTF Quals 2016]: baby-re – Static Analysis + z3

Posted in Reverse Engineering by Khallisa Mediana Leave a Comment

Challenge: Get to reversing. File. Pertama, kita mulai dengan menjalankan file.

nacl@ubuntu:~/Downloads$ ./baby-re

Var[0]: 1
Var[1]: 1
Var[2]: 1
Var[3]: 1
Var[4]: 1
Var[5]: 1
Var[6]: 1
Var[7]: 1
Var[8]: 1
Var[9]: 1
Var[10]: 1
Var[11]: 1
Var[12]: 1
Wrong

nacl@ubuntu:~/Downloads$ ./baby-re

Var[0]: 1

Var[1]: 1

Var[2]: 1

Var[3]: 1

Var[4]: 1

Var[5]: 1

Var[6]: 1

Var[7]: 1

Var[8]: 1

Var[9]: 1

Var[10]: 1

Var[11]: 1

Var[12]: 1

Wrong

Terlihat bahwa program meminta 13 variabel. Selanjutnya saya mendekompilasi program tersebut dengan menggunakan IDA:

int __cdecl main(int argc, const char **argv, const char **envp)

{
unsigned int v4; // [rsp+0h] [rbp-60h]
unsigned int v5; // [rsp+4h] [rbp-5Ch]
unsigned int v6; // [rsp+8h] [rbp-58h]
unsigned int v7; // [rsp+Ch] [rbp-54h]
unsigned int v8; // [rsp+10h] [rbp-50h]
unsigned int v9; // [rsp+14h] [rbp-4Ch]
unsigned int v10; // [rsp+18h] [rbp-48h]
unsigned int v11; // [rsp+1Ch] [rbp-44h]
unsigned int v12; // [rsp+20h] [rbp-40h]
unsigned int v13; // [rsp+24h] [rbp-3Ch]
unsigned int v14; // [rsp+28h] [rbp-38h]
unsigned int v15; // [rsp+2Ch] [rbp-34h]
unsigned int v16; // [rsp+30h] [rbp-30h]
unsigned __int64 v17; // [rsp+38h] [rbp-28h]

v17 = __readfsqword(0x28u);
printf("Var[0]: ", argv, envp);
fflush(_bss_start);
__isoc99_scanf("%d", &v4);
printf("Var[1]: ");
fflush(_bss_start);
__isoc99_scanf("%d", &v5);
printf("Var[2]: ");
fflush(_bss_start);
__isoc99_scanf("%d", &v6);
printf("Var[3]: ");
fflush(_bss_start);
__isoc99_scanf("%d", &v7);
printf("Var[4]: ");
fflush(_bss_start);
__isoc99_scanf("%d", &v8);
printf("Var[5]: ");
fflush(_bss_start);
__isoc99_scanf("%d", &v9);
printf("Var[6]: ");
fflush(_bss_start);
__isoc99_scanf("%d", &v10);
printf("Var[7]: ");
fflush(_bss_start);
__isoc99_scanf("%d", &v11);
printf("Var[8]: ");
fflush(_bss_start);
__isoc99_scanf("%d", &v12);
printf("Var[9]: ");
fflush(_bss_start);
__isoc99_scanf("%d", &v13);
printf("Var[10]: ");
fflush(_bss_start);
__isoc99_scanf("%d", &v14);
printf("Var[11]: ");
fflush(_bss_start);
__isoc99_scanf("%d", &v15);
printf("Var[12]: ");
fflush(_bss_start);
__isoc99_scanf("%d", &v16);
if ( (unsigned __int8)CheckSolution(&v4) )
printf("The flag is: %c%c%c%c%c%c%c%c%c%c%c%c%c\n", v4, v5, v6, v7, v8, v9, v10, v11, v12, v13, v14, v15, v16);
else
puts("Wrong");
return 0;
}

int __cdecl main(int argc, const char **argv, const char **envp)

{

unsigned int v4; // [rsp+0h] [rbp-60h]

unsigned int v5; // [rsp+4h] [rbp-5Ch]

unsigned int v6; // [rsp+8h] [rbp-58h]

unsigned int v7; // [rsp+Ch] [rbp-54h]

unsigned int v8; // [rsp+10h] [rbp-50h]

unsigned int v9; // [rsp+14h] [rbp-4Ch]

unsigned int v10; // [rsp+18h] [rbp-48h]

unsigned int v11; // [rsp+1Ch] [rbp-44h]

unsigned int v12; // [rsp+20h] [rbp-40h]

unsigned int v13; // [rsp+24h] [rbp-3Ch]

unsigned int v14; // [rsp+28h] [rbp-38h]

unsigned int v15; // [rsp+2Ch] [rbp-34h]

unsigned int v16; // [rsp+30h] [rbp-30h]

unsigned __int64 v17; // [rsp+38h] [rbp-28h]

v17 = __readfsqword(0x28u);

printf("Var[0]: ", argv, envp);

fflush(_bss_start);

__isoc99_scanf("%d", &v4);

printf("Var[1]: ");

fflush(_bss_start);

__isoc99_scanf("%d", &v5);

printf("Var[2]: ");

fflush(_bss_start);

__isoc99_scanf("%d", &v6);

printf("Var[3]: ");

fflush(_bss_start);

__isoc99_scanf("%d", &v7);

printf("Var[4]: ");

fflush(_bss_start);

__isoc99_scanf("%d", &v8);

printf("Var[5]: ");

fflush(_bss_start);

__isoc99_scanf("%d", &v9);

printf("Var[6]: ");

fflush(_bss_start);

__isoc99_scanf("%d", &v10);

printf("Var[7]: ");

fflush(_bss_start);

__isoc99_scanf("%d", &v11);

printf("Var[8]: ");

fflush(_bss_start);

__isoc99_scanf("%d", &v12);

printf("Var[9]: ");

fflush(_bss_start);

__isoc99_scanf("%d", &v13);

printf("Var[10]: ");

fflush(_bss_start);

__isoc99_scanf("%d", &v14);

printf("Var[11]: ");

fflush(_bss_start);

__isoc99_scanf("%d", &v15);

printf("Var[12]: ");

fflush(_bss_start);

__isoc99_scanf("%d", &v16);

if ( (unsigned __int8)CheckSolution(&v4) )

printf("The flag is: %c%c%c%c%c%c%c%c%c%c%c%c%c\n", v4, v5, v6, v7, v8, v9, v10, v11, v12, v13, v14, v15, v16);

else

puts("Wrong");

return 0;

}

Disitu terlihat ada function CheckSolution yang tidak dapat didekompilasi secara lengkap. Hal ini disebabkan karena return address yang hilang/ tidak ada dalam frame. Kita dapat memperbaiki ini dengan meng-undefine function tersebut (klik kanan > undefine): Lalu […]

April 1, 2018May 6, 2019

[CSAW CTF 2017 Finals] – Rabbithole

Posted in Reverse Engineering by Henky Tornado Leave a Comment

Binary file nya : https://github.com/isislab/CSAW-CTF-2017-Finals/raw/master/Reversing/rabbithole/rabbithole Writeup contoh: https://anee.me/rabbithole-csaw-ctf-2017-finals-f7d70f3726f3 logika sementara apa yang dilakukan adalah untuk melakukan atau menemukan flag yang ada didalem sebuah binary tree(root, nodes) maka kita harus menemukan apa isi dari V15. Di dalam binary yang ada di rabbit hole oleh Karena itu dibuatlah scrypt brute force sesuai dengan variable yang diketahui flag […]

April 1, 2018

[Internetwache CTF 2016]: Rev60 – File Checker

Posted in Reverse Engineering by Angeline Leave a Comment

Original Write up : https://github.com/jmazzola/CTFs/tree/master/Internetwache%20CTF%202016/Reversing/Rev60%20-%20File%20Checker File : https://github.com/jmazzola/CTFs/blob/master/Internetwache%20CTF%202016/Reversing/Rev60%20-%20File%20Checker/rev60.zip Saya buka file tersebut di IDA pro dan membuka pseudo codenya. Di dalam codingan ini, for tersebut akan melakukan looping sebanyak 15x dimana dia melakukan looping terhadap function sub_40079C. Kita buka pseudo code di function sub_400790C. Di dalam function sub_400790C ini ada 15 integer yang menyimpan angka-angka […]

April 1, 2018

ASIS CTF Quals 2015: dark

Posted in Reverse Engineering by Angeline Leave a Comment

File dark ini merupakan ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.26, BuildID[sha1]=b3fd37b76503bda914d483041798fb9ec88ab929, stripped Saya buka file ini di IDA pro dan membuka pseudo codenya. Di dalam pseudocode ini, dapat kita lihat ketika kita membuka file yang berisikan flag, isi dari file tersebut akan dimodif dan dituliskan kembali […]