Differences

This shows you the differences between two versions of the page.

--- rev2_ghidra [2025/10/30 15:16] – created mbunic
+++ rev2_ghidra [2025/12/01 11:40] (current) – external edit 127.0.0.1
@@ Line 1: / Line 1: @@
 ==== rev2 ====
-Uz zadatak je dana samo izvršna datoteka "rev2". Preporučuje se korištenje linuxa, ili ako imate Windows, koristite WSL ili virtualnu mašinu s Linuxom.
+Uz zadatak je dana samo izvršna datoteka "rev2". Preporučuje se korištenje Linuxa, ili ako imate Windows, koristite WSL ili virtualnu mašinu s Linuxom.
+Pokretanjem programa, traži se lozinka i nakon unosa, ispisuje se poruka o pogrešnoj lozinki.
-Pokretanjem programa, program nas pita za password i ispisuje krivi password, pri unosu netočnog passworda.
+{{ rev2_ghidra:slika1.png?nolink&500 | Slika 1. pokretanje programa }}
-Slika 1. pokretanje programa
-{{ :slika1.png?nolink&500 | Slika 1 - pokretanje programa }}
 Može se pokrenuti naredba file kako bi se saznale osnovne informacije o programu.
@@ Line 20: / Line 13: @@
 </file>
-slika 2. rezultat file naredbe
+{{ rev2_ghidra:slika2.png?nolink&500 | Slika 2. rezultat file naredbe }}
-{{ :slika2.png?nolink&500 | Slika 2 - rezultat file naredbe }}
+Program je statically linked, zato se može samostalno pokretati. Također je stripped, zato imena varijabli i funkcija neće biti sačuvane, što će malo otežati reverzno inženjerstvo nad programom.
-Program je statically liked, znači da se može samostalno pokretati. Također je stripped, što znači da imena varijabli i funkcija neće biti sačuvane, što će malo otežati reverzno inženjerstvo nad programom.
+Nakon toga se može pokrenuti naredba strings da se vidi ima li zanimljivih stringova u datoteci.
-Nakon toga se može pokrenuti naredba, strings da se vidi ima li zanimljivih stringova u datoteci.
 <file>
 strings rev2
 </file>
-No ni jedan vraćeni rezultat ne izgleda kao da previše otkriva. Može se također odmah pretražiti jeli se se među vraćenim stringovima pojavljuje "flag" ili "ctf" tekst.
+No niti jedan vraćeni rezultat ne izgleda kao da previše otkriva. Može se također odmah pretražiti pojavljuje li se među vraćenim stringovima pojavljuje "flag" ili "ctf" tekst.
 <file>
@@ Line 38: / Line 29: @@
 </file>
-zastavica "-i" je case insensitive, -e "flag" -e"ctf", znači traži string koji sadrži "flag" ILI "ctf" ILI "passw" u sebi.
+zastavica "-i" je case-insensitive opcija. Opcija -e za "flag", "ctf" i "pass" definira da se traži string koji sadrži bilo koji od tih substringova u sebi.
-slika 3. rezultat strings naredbe
-{{ :slika3.png?nolink&500 | Slika 3 - rezultat strings naredbe }}
-Ovo nam također ništa  korisno ne otkriva o programu, osim što prikazuje tekst koji se ispisuje pri unosu passworda i ispisu pri krivom unosu passworda.
+{{ rev2_ghidra:slika3.png?nolink&500 | Slika 3. rezultat strings naredbe }}
+Ovo nam također ništa korisno ne otkriva o programu, osim što prikazuje tekst koji se ispisuje pri unosu passworda i ispisu pri krivom unosu passworda.
 Nakon toga se može probati naredba "strace" koja prati sistemske pozive koje program radi.
@@ Line 53: / Line 41: @@
 </file>
+{{ rev2_ghidra:slika4.png?nolink&500 | Slika 4. - rezultat strace naredbe }}
-Slika 4. - rezultat strace naredbe
+Također se na prvi pogled ne mogu pronaći dodatne korisne informacije o programu u ispisu.
-{{ :slika4.png?nolink&500 | Slika 4 - rezultat strace naredbe }}
+Sljedeći korak je korištenje besplatnog Ghidra alata za reverzno inženjerstvo nad programom (ako niste upoznati s alatom, pogledajte materijale o ovom alatu na poveznici -  https://www.cert.hr/wp-content/uploads/2021/01/ghidra.pdf .)
-Također se ne prvi pogled ne mogu pronaći dodatne korisne informacije o programu u ispisu.
+{{ rev2_ghidra:slika5.png?nolink&500 | Slika 5. Ghidra alat }}
-Slijedeći korak je korištenje besplatnog Ghidra softwarea za reverzno inženjerstvo nad programom (ako niste upoznati s alatom, pogledajte materijale o ovom alatu također dostupne na wiki stranicama na linku-  https://www.cert.hr/wp-content/uploads/2021/01/ghidra.pdf .)
-Slika 5. Ghidra alat
-{{ :slika5.png?nolink&500 | Slika 5 - Ghidra alat }}
 Dvoklikom na rev2 datoteku u sučelju, otvara se sučelje za pregled dekompajliranog koda programa.
+{{ rev2_ghidra:slika6.png?nolink&500 | Slika 6. sučelje za analizu koda i bitni dijelovi }}
-Slika 5. sučelje za analizu koda i bitni dijelovi
-{{ :slika6.png?nolink&500 | Slika 6 - sučelje za analizu koda i bitni dijelovi }}
 Na slici vidimo entry point, dio koda koji se prvi izvršava pri pokretanju programa, u Decompile sučelju vidi se da entry point funkcija samo poziva funkciju "FUN_004017e0", dvoklikom na ime te funkcije u Decompile sučelju se otvara ta funkcija, koja se poziva odmah pri pokretanju programa.
+{{ rev2_ghidra:slika7.png?nolink&500 | Slika 7. pregled funkcije }}
-Slika 6. pregled funkcije
-{{ :slika7.png?nolink&500 | Slika 7 - pregled funkcije }}
 Pregledom dekompajliranog koda ove funkcije, može se zaključiti da je ovo main funkcija, vidi se dio koda koji ispisuje "Enter password: ", i dio koda odmah ispod, koji bi mogao biti fgets funkcija za čitanje korisničkog unosa, koji zatim sprema na varijablu pbVar5.
@@ Line 97: / Line 65: @@
 </file>
-Na početku main funkcije, di se definiraju varijable, može se vidjeti definicija varijable local_118
+Na početku main funkcije, gdje se definiraju varijable, može se vidjeti definicija varijable local_118
 <file>
@@ Line 109: / Line 77: @@
 </file>
-također, vidi se da je drugi argument poziva funkcije  FUN_00404ee0, 0x100 hex vrijednost, što je u decimalnom 264, što odgovara duljini input buffera također.
+također, vidi se da je drugi argument poziva funkcije  FUN_00404ee0, 0x100 hex vrijednost, što je u decimalnom 264, koliko je i duljina input buffera.
 Treći argument je pointer  PTR_DAT_004aa6d8, dvoklikom na ovu varijablu, otvara se vrijednost na koju ovaj pointer pokazuje.
+{{ rev2_ghidra:slika8.png?nolink&500 | Slika 8. vrijednost na koju pointer   PTR_DAT_004aa6d8 pokazuje }}
-Slika 7. vrijednost na koju pointer   PTR_DAT_004aa6d8 pokazuje
-{{ :slika8.png?nolink&500 | Slika 8 - vrijednost na koju pointer PTR_DAT_004aa6d8 pokazuje }}
 vrijednost je
@@ Line 128: / Line 90: @@
 Prva 4 bajta FBAD su "magic number" za glibc file strukturu i zastavice za flag strukturu, koje odgovaraju stdin file handleu. (ovo ne morate sve detaljno znati, moglo se i prije pretpostaviti da je funkcija fgets)
 Sada znamo da bi ova linija
@@ Line 136: / Line 97: @@
 </file>
-odgovarala
+odgovarala kodu:
 <file>
@@ Line 142: / Line 103: @@
 </file>
+Može se označiti varijabla local_118, pritisnuti gumb L i preimenovati u input_buffer.
+{{ rev2_ghidra:slika9.png?nolink&500 | Slika 9.  Preimenovanje varijable u Ghidri }}
+Također se varijabla pbVar5 može preimenovati u user_input, PTR_DAT_004aa6d8 u stdin i
+FUN_00404ee0 u fgets. Varijablu lVar2 nećemo preimenovati, jer se prvo koristi kao exit value fgets funkcije, a nakon toga se koristi za spremanje vraćene vrijednosti thunk_FUN_00412860 funkcije, te se ta vraćena vrijednost potom uspoređuje s 0x15.
-Sad se može označiti varijabla local_118, pritisnuti gumb L i preimenovati u input_buffer.
+Kako bi se olakšalo praćenje važnih varijabli, varijable koje su bitne u izvođenju programa mogu se označiti i pritiskom desnog klika i opcije highlight, mogu se postaviti da budu istaknuto označenu ostatku programa.
+fgets funkcija pri uspješnom izvršavanju vraća pointer na string buffer, a ako je vraćena vrijednost NULL, dogodila se greška, što odgovara ovom dijelu koda
-Slika 8.  Preimenovanje varijable u Ghidri
-{{ :slika9.png?nolink&500 | Slika 9 - Preimenovanje varijable u Ghidri }}
-Također se varijable pbVar5 može preimenovati u user_input, PTR_DAT_004aa6d8 u stdin i
-FUN_00404ee0 u fgets. Varijablu lVar2 nećemo preimenovati, jer se prvo koristi kao exit value fgets funkcije, a nakon toga se koristi za spremanje vraćene vrijednosti thunk_FUN_00412860 funkcije, te se ta vračena vrijednost potom uspoređuje s 0x15.
-Kako bi se olakšalo praćenje važnih varijabli, varijable koje su bitne u izvođenju programa mogu se označiti i pritiskom desnog klika i opcije highlight, mogu se postaviti da budu bolje naznačenje u ostatku programa.
-fgets funkcija pri uspješnom izvršavanju, vraća pointer na string buffer, a ako je vraćena vrijednost NULL, dogodila se greška, što odgovara ovom djelu koda
 <file>
@@ Line 180: / Line 122: @@
 </file>
-Ako je fgets vratio NULL,  varijabla uVar3 se postavlja u 1 i skače se na kraj main funkcije, te se varijabla uVar3 vrača kao return vrijednost main funkcije, znači da se varijabla uVar3 može preimenovati u main_func_ret_val.
+Ako je fgets vratio NULL,  varijabla uVar3 se postavlja u 1 i skače se na kraj main funkcije, te se varijabla uVar3 vraća kao return vrijednost main funkcije, zato se varijabla uVar3 može preimenovati u main_func_ret_val.
-Ako se fgets uspješno izvršio, izvršava se else block, koji počinje ovim kodom
+Ako se fgets uspješno izvršio, izvršava se else blok, koji počinje ovim kodom
 <file>
@@ Line 197: / Line 136: @@
 dvoklikom na adresu DAT_0047f021 na kojoj je vrijednost drugog argumenta proslijeđenog ovoj funkciji, može se vidjeti vrijednost na toj adresi
+{{ rev2_ghidra:slika10.png?nolink&500 | Slika 10. vrijednost na adresi   DAT_0047f021 }}
-Slika 9. vrijednost na adresi   DAT_0047f021
-{{ :slika10.png?nolink&500 | Slika 10 - vrijednost na adresi DAT_0047f021 }}
 Vrijednost je "0x0d0a00", što zapravo u hex vrijednost odgovara "\r\n", odnosno CR LF, kraju unesenog stringa ( 0x0d je "\r", 0x0a je \n").
+Može se zaključiti da funkcija thunk_FUN_00412860 vjerojatno vraća poziciju od početka stringa na kojoj se u korisničkom unosu nalazi CR LF, odnosno kraj unosa.
-Može se zaključiti da funkcija thunk_FUN_00412860 vjerojatno vraća poziciju na kojoj se u korisničkom unosu nalazi CR LF, odnosno kraj unosa.
 <file>
@@ Line 216: / Line 150: @@
 U tom slučaju bi varijabla  lVar2 sadržavala duljinu korisničkog unosa, pa bi se onda u sljedećoj liniji, na kraj stringa korisničkog unosa postavio NULL byte umjesto CR LF, kako se CR LF u ostatku programa ne bi koristio.
-Nakon toga, u if statementu, vrijednost varijable  lVar2 se uspoređuje s 0x15, odnosno 21 u dekadskom zapisu, što točno odgovara duljini FLAG formata
+Nakon toga, u if statementu, vrijednost varijable lVar2 se uspoređuje s 0x15, odnosno 21 u dekadskom zapisu, što točno odgovara duljini FLAG formata
 <file>
@@ Line 222: / Line 156: @@
 </file>
+Ako je duljina korisničkog unosa jednaka 21, ulazi se u do - while blok, unutar kojega se nalazi switch sa 7 caseva. Ako uvjet nije zadovoljen, skače se na funkciju koja ispisuje "Wrong password!". Zato je prvi uvjet da duljina korisničkog unosa mora biti duljine 21 znak.
-Ako je duljina korisničkog jednaka 21, ulazi se u do - while block, unutar kojega se nalazi switch sa 7 caseva, ako nije skače se na funkciju koja ispisuje "wrong password", znači da je prvi uvjet da duljina korisničkog unosa mora biti duljine 21 znak.
+Pregledom switcha, na kraju switcha se odmah može vidjeti case 0, koji samo ispisuje poruku "Wrong password!"
-Pregledom switcha, na kraju switcha se odmah može vidjeti case 0, koji samo ispisuje wrong password
+{{ rev2_ghidra:slika11.png?nolink&500 | Slika 11. Switch case 0 }}
+Na  početku do bloka, se nalazi ova linija
-Slika 10. Switch case 0
-{{ :slika11.png?nolink&500 | Slika 11 - Switch case 0 }}
-Na  početku do blocka, se nalazi ova linija
 <file>
@@ Line 243: / Line 168: @@
 </file>
-koja postavlja varijablu bVar1 na dereferenciranu vrijednost user_input pointera, koji je pointer na string buffer. Znači da će varijable se  bVar1 sadržavati vrijednost charactera iz user inputa, zato se
+koja postavlja varijablu bVar1 na dereferenciranu vrijednost user_input pointera, koji je pointer na string buffer. Varijabla bVar1 će sadržavati vrijednost charactera iz user inputa, zato se može preimenovati u user_input_char.
-može preimenovati u user_input_char.
-U switchu postoji 7 caseva, a case se određuje prema vrijednosti puVar2.
-Slika 10. - switch value
-{{ :slika12.png?nolink&500 | Slika 12 - switch value }}
-Slika 12. -switch
-{{ :slika13.png?nolink&500 | Slika 13 - switch }}
+U switchu postoji 7 caseva, a case se određuje prema vrijednosti u puVar2.
+{{ rev2_ghidra:slika12.png?nolink&500 | Slika 12. - switch value }}
+{{ rev2_ghidra:slika13.png?nolink&500 | Slika 13. -switch }}
 Vidi se da se u svakom caseu uzima user_input_char, radi operacija s njime i operandom puVar2 + 1 i rezultat se uspoređuje s puVar2 + 2, osim u casevima 6 i 7, gdje se u caseu 6 samo radi operacija nad vrijednošću  user_input_char i uspoređuje s puVar2 + 2, a caseu 7 vrijednost  user_input_char se zbraja s  puVar2 + 2 i uspoređuje s "\n".
+u caseu 1 operacija je XOR (^), u caseu 2 operacije je ADD (+) u caseu 3 operacije je SUB (-), u caseu 4 operacije je MUL (*), u caseu 5 operacija je bitwise SHIFT (<< i >>), u caseu 6 operacija je bitwise NOT (~) i u caseu 7 operacije je također ADD (+), kao što je prethodno opisano.
-u case 1 operacija je XOR (^), u case 2 operacije je ADD (+) u case 3 operacije je SUB (-), u case 4 operacije je MUL (*), u case 5 operacija je bitwise SHIFT (<< i >>), u case 6 operacija je bitwise NOT (~) i u case 7 operacije je također ADD (+), kao što je prethodno opisano.
 odlaskom na adresu gdje je Stack[-0x158] i dvoklikom na XREF[3,12]
+{{ rev2_ghidra:slika14.png?nolink&500 | Slika 14. Stack[-0x158] }}
-Slika 13. Stack[-0x158]
-{{ :slika14.png?nolink&500 | Slika 14 - Stack[-0x158] }}
 Također možemo vidjeti opis switch caseva, koji je upravo bio opisan.
+{{ rev2_ghidra:slika15.png?nolink&500 | Slika 15. switch caseovi. }}
-Slika 14. switch caseovi.
-{{ :slika15.png?nolink&500 | Slika 15 - switch caseovi }}
 Još je preostalo pronaći što je varijabla koja određuje koji switch case će biti odabran, operandi u switch caseovima i očekivani rezultati operacija, koji su svi određeni u varijabli puVar2.
+Varijabla puVar2 je definirana pri početku programa i pokazuje na adresu varijable local_158, koja sadržava hex vrijednosti.
-Varijabla puVar2 je definirana pri početku programa i pokazuje na adresu varijable local_158, koji sadržava hex vrijednosti.
+{{ rev2_ghidra:slika16.png?nolink&500 | Slika 16. - puVar2 i local_158 }}
+Budući da je program stripped, moguće je da je Ghidra krivo rekonstruirala ove varijable, ne njihove vrijednosti, nego kako su definirane, varijable nakon local_158 se ne spominju dalje u main funkciji, a nalaze se odmah ispod local_158 na koju pokazuje puVar2.
+Na samom kraju do bloka, nakon switcha casea-7, se user_input pointer povećava za 1, tako će se za sljedeću iteraciju do bloka koristiti sljedeći character iz user inputa.
+početak do bloka
-Slika 15. - puVar2
-i local_158
-{{ :slika16.png?nolink&500 | Slika 16 - puVar2 i local_158 }}
-No pošto je program stripped, moguće je da je Ghdira krivo rekonstruirala ove varijable, ne njihove vrijednosti nego kako su definirane, varijable nakon local_158 se ne spominju dalje u main funkciji, a nalaze se odmah ispod local_158 na koju pokazuje puVar2.
-Na samoj kraju do blocka, nakon switcha casea-7, se user_input pointer povećava za 1, znači da se za sljedeću iteraciju do blocka koristiti slijedeći character iz user inputa
-početak do blocka
 <file>
@@ Line 324: / Line 204: @@
 </file>
-a puVar2 se povećava za 3 u svakoj iteraciji, što taman odgovara 3 vrijednosti koje se koriste
+a puVar2 se povećava za 3 u svakoj iteraciji, što taman odgovara 3 vrijednosti koje se koriste u svakom do bloku,  puVar2 + 0 određuje koji switch case će se izvršiti,  puVar2 + 1 je operand,  puVar2 + 2 je očekivana vrijednost.
-u svakom do blocku,  puVar2 + 0 određuje koji switch case će se izvršiti,  puVar2 + 1 je operand,  puVar2 + 2 je očekivani vrijednost.
+{{ rev2_ghidra:slika17.png?nolink&500 | Slika 17. inkrementiranje puVar2 i user_input pointera }}
+Budući da će se svaki user input character imati jednu vlastitu iteraciju, a puVar2 se povećava za 3 nakon svake iteracije, zna se da user input ima 21 character. Količina puVar2 bajtova koje se koriste su 3 * 21 = 63.
-Slika 16. inkrementiranje puVar2 i user_input pointera
-{{ :slika17.png?nolink&500 | Slika 17 - inkrementiranje puVar2 i user_input pointera }}
-Pošto će se svaki user input character imati jednu vlastitu iteraciju, a puVar2 se povećava za 3 nakon svake iteracije, znamo da user input charactera ima 21, veličina puVar2 byteova koje se koriste su 3 * 21 = 63.
 Ovo se također može vidjeti na slici ispod, while se izvršava sve dok varijabla pbVar2 koja se povećava za 3 nije jednaka adresi spremljenoj na local_119, koja je RSP uvećan za 0x3f, odnosno 63 u dekadskom zapisu, zato što ima 63 byte vrijednosti spremljenih na stacku.
+{{ rev2_ghidra:slika18.png?nolink&500 | Slika 18. - local_119 }}
-Slika 17. - local_119
+Na slici 16. se vidi da je puVar2 pointer na local_158, sada znamo da local_158 zapravo sadržava 63 bajtova te možemo napraviti retype local_158 varijable.
-{{ :slika18.png?nolink&500 | Slika 18 - local_119 }}
-Na slici 15. se vidi da je puVar2 pointer na local_158, sada znamo da local_158 zapravo sadržava 63 byteova, te možemo napraviti retype local_158 varijable.
-Slika 18 - retype local_158
-{{ :slika19.png?nolink&500 | Slika 19 - retype local_158 }}
+{{ rev2_ghidra:slika19.png?nolink&500 | Slika 19 - retype local_158 }}
 Znamo da sadržava byte vrijednost i duljine je 63, pa type možemo postaviti u
@@ Line 364: / Line 223: @@
 </file>
+{{ rev2_ghidra:slika20.png?nolink&500 | Slika 20 - local_158 byte[63] retype }}
+{{ rev2_ghidra:slika21.png?nolink&500 | Slika 21. - Promijenjeni prikaz local_158 }}
-Slika 19 - local_158 byte[63] retype
-{{ :slika20.png?nolink&500 | Slika 20 - local_158 byte[63] retype }}
-Slika 20. Promijenjeni prikaz local_158
-{{ :slika21.png?nolink&500 | Slika 21 - Promijenjeni prikaz local_158 }}
 Sada je promijenjen prikaz i može se jasno vidjeti da su ovdje zapravo pohranjene vrijednosti:
@@ Line 419: / Line 232: @@
 OPERAND
 OČEKIVANI REZULTAT
 Vrijednosti su u trojkama, prva vrijednost je operacija koja će se izvršiti, odnosno vrijednost 0-7 koja određuje koji switch case 0-7 će se izvršiti, druga vrijednost je operand, treća vrijednost je očekivani rezultat. Za svaki od 21 user input charactera, postoji odgovarajuća trojka.
+Pregled prvih triju vrijednosti je prikazan na slici ispod.
-Pregled prvih triju vrijednosti je prikazan na slici 21.
+{{ rev2_ghidra:slika22.png?nolink&500 | Slika 22. - prvih tri vrijednosti local_158 }}
-Slika 21. - prvih tri vrijednosti
-local_158
-{{ :slika22.png?nolink&500 | Slika 22 - prvih tri vrijednosti local_158 }}
-Ovdje se može vidjeti da je prva vrijednost 2, što znači da će se izvršiti switch case 2, koji je ADD (+), operand je 0x92, a očekivani rezultat je 0xd5.
+Ovdje se može vidjeti da je prva vrijednost 2, zbog koje će se izvršiti switch case 2, koji je ADD (+), operand je 0x92, a očekivani rezultat je 0xd5.
-Što znači
+Odnosno
 <file>
@@ Line 441: / Line 247: @@
 </file>
-odnosno
+Iz ovoga se može zaključiti koji je očekivani znak korisničkog unosa
 <file>
@@ Line 449: / Line 255: @@
 xd5 - 0x92 je 0x43, odnosno 67 u dekadskom zapisu, što odgovara ASCII vrijednosti "C", što je početak forme flaga CTF2025....
+Sada se ili ovako "ručno" može ovaj postupak ponoviti za preostalih 20 znakova, ili se može iskoristiti Python da to riješi umjesto nas.
+U Python programu, definiramo liniju
-Sada se ili ovako "ručno" može ovaj postupak ponoviti za preostalih 20 znakova, ili se može iskoristiti python da to riješi umjesto nas.
-U python programu, definiramo liniju
 <file>
@@ Line 460: / Line 263: @@
 </file>
-I nakon toga možemo samo prekopirati sve linije koje sadržavaju definirane vrijednosti varijable local_158, kao što su prikazane na slici 20.
+I nakon toga možemo samo prekopirati sve linije koje sadržavaju definirane vrijednosti varijable local_158, kao što su prikazane na slici 21.
-Ovime već imamo validan python kod, u kojem smo definirali sve spremljene operacije, operande i rezultate koji se trebaju izvršiti kao u programu.
-Slika 21. - prijenos varijable local_158 u python
-{{ :slika23.png?nolink&500 | Slika 23 - prijenos varijable local_158 u python }}
+Ovime već imamo validan Python kod, u kojem smo definirali sve spremljene operacije, operande i rezultate koji se trebaju izvršiti kao u programu.
+{{ rev2_ghidra:slika23.png?nolink&500 | Slika 23. - prijenos varijable local_158 u Python }}
 Dodavanjem ovog koda na kraj, možemo dobiti ispis operacija i očekivanih rezultata koji se izvršavaju u programu.
-Slika 22. - simulacija programske logike rev2 zadatka
+{{ rev2_ghidra:slika24.png?nolink&500 | Slika 24. - simulacija programske logike rev2 zadatka }}
-{{ :slika24.png?nolink&500 | Slika 24 - simulacija programske logike rev2 zadatka }}
+Pokretanjem koda sada dobivamo ispis svih operacija nad korisničkim unosom i očekivane rezultate tih operacija:
+{{ rev2_ghidra:slika25.png?nolink&500 | Slika 25. - programska logika rev2 zadatka }}
-Pokretanjem koda sada dobivamo ispis svih operacija nad korsiničkim unosom i očekivane rezultate tih operacija:
+Sada se samo Python programski kod za ispis operacija programa može promijeniti da radi inverz operacija za svih 7 slučaja, te tako nađe korisnički input koji bi riješio postavljene jednadžbe i ispiše krajnji rezultat.
-Slika 23. - programska logika rev2 zadatka
+<code>
+local_158 = [0] * 63
-{{ :slika25.png?nolink&500 | Slika 25 - programska logika rev2 zadatka }}
+local_158[0x38] = 0xca
+local_158[0x39] = 7
+local_158[0x3a] = 0
+local_158[0x3b] = 0xcc
+local_158[0] = 2
+local_158[1] = 0x92
+local_158[2] = 0xd5
+local_158[3] = 7
+local_158[4] = 0
+local_158[5] = 0xac
+local_158[6] = 7
+local_158[7] = 0
+local_158[8] = 0xba
+local_158[9] = 7
+local_158[10] = 0
+local_158[0xb] = 0xce
+local_158[0xc] = 1
+local_158[0xd] = 0x42
+local_158[0xe] = 0x72
+local_158[0xf] = 1
+local_158[0x30] = 1
+local_158[0x31] = 0xb3
+local_158[0x32] = 0x87
+local_158[0x33] = 4
+local_158[0x34] = 0x89
+local_158[0x35] = 0xf8
+local_158[0x36] = 6
+local_158[0x37] = 0
+local_158[0x10] = 0x7f
+local_158[0x11] = 0x4d
+local_158[0x12] = 7
+local_158[0x13] = 0
+local_158[0x14] = 0xcb
+local_158[0x15] = 4
+local_158[0x16] = 0xf1
+local_158[0x17] = 0xab
+local_158[0x18] = 6
+local_158[0x19] = 0
+local_158[0x1a] = 0xce
+local_158[0x1b] = 4
+local_158[0x1c] = 0x6b
+local_158[0x1d] = 0xbc
+local_158[0x1e] = 1
+local_158[0x1f] = 0x7d
+local_158[0x3c] = 2
+local_158[0x3d] = 0x98
+local_158[0x3e] = 0xf5
+local_158[0x20] = 0x44
+local_158[0x21] = 1
+local_158[0x22] = 0xe5
+local_158[0x23] = 0xd4
+local_158[0x24] = 7
+local_158[0x25] = 0
+local_158[0x26] = 200
+local_158[0x27] = 4
+local_158[0x28] = 0xdd
+local_158[0x29] = 7
+local_158[0x2a] = 5
+local_158[0x2b] = 7
+local_158[0x2c] = 0x9a
+local_158[0x2d] = 7
+local_158[0x2e] = 0
+local_158[0x2f] = 0xcc
+def reconstructUserInput(operation, operand, expected_result):
+    def ret(b):
+        return chr(b & 0xFF)
+    match operation:
+        case 1:  # XOR
+            return ret(expected_result ^ operand)
+        case 2:  # ADD
+            return ret((expected_result - operand) & 0xFF)
+        case 3:  # SUB
+            return ret((expected_result + operand) & 0xFF)
+        case 4:  # MUL
+            # solve (user * operand) & 0xFF == expected_result
+            # since all values are printable and operand is invertible modulo 256, use brute force
+            for x in range(256):
+                if (x * operand) & 0xFF == expected_result:
+                    return ret(x)
+        case 5:  # SHIFT (rotate-left)
+            n = operand & 7
+            for x in range(256):
+                if ((x << n) | (x >> (8 - n))) & 0xFF == expected_result:
+                    return ret(x)
+        case 6:  # BITWISE NOT (no operand)
+            return ret((~expected_result) & 0xFF)
+        case 7:  # ADD (no operand)
+            return ret((-expected_result) & 0xFF)
-Sada se samo Python programski kod sa slike 22 može promijeniti da radi inverz operacija za svih 7 slučaja, tako nađe korisnički input koji bi riješio postavljenje jednadžbe i ispiše krajnji rezultat.
+i = 0
+user_input_solve = ""
+while i < 63:
+    operation = local_158[i]
+    operand = local_158[i + 1]
+    expected_result =local_158[i + 2]
-Slika 24. - Inverz operacija zadatka
+    userInput = reconstructUserInput(operation, operand, expected_result)
-{{ :slika26.png?nolink&500 | Slika 26 - Inverz operacija zadatka }}
+    print(userInput)
+    user_input_solve += userInput
+    i += 3
+print("\nSolution: ",user_input_solve)
+</code>
-Pokretanjem ovog programa, dobiva se rješenje zadatka
-Slika 25. - rješenje zadatka
-{{ :slika27.png?nolink&500 | Slika 27 - rješenje zadatka }}
-Napomena:
-Preporučuje se da kad radite reversing, probate otvoriti datoteku i s drugim alatima za reverzno inženjerstvo, jer će nekad neki drugi alat bolje dekompajlirati programski kod i razumljivije prikazati logiku programa koji rješavate, na slici ispod je prikaz rev2 zadatka otvorenog s pomoću alata Binary Ninja.
-Slika 26. - Binary Ninja prikaz rev2
-{{ :slika28.png?nolink&500 | Slika 28 - Binary Ninja prikaz rev2 }}
-Može se vidjeti da je Binary Ninja odmah uspješno rekonstruirala dužinu i sadržaj local_158 varijable, koja sadrži trojke operacija, operand, očekivani rezultat, što je u Ghidri bilo potrebno ručno postaviti.
-Angr rješenje:
-Angr je napredan i moćan alat koji se koristi za analizu binarnih izvršnih datoteka, gdje se može koristiti za reverzno inženjerstvo, automatizirano generiranje exploita, otkrivanje ranjivosti i druge namjene. Može izvršavati i statičku i dinamičku analizu, gdje je statička analiza slična kao ona koju pružaju Ghidra, Binary Ninja i slični alati, dok je dinamička analiza Angr alata njegova najjača strana.
-Angr pruža mogućnost tehnike simboličnog izvršavanja (symbolic execution), koja spada pod dinamičku analizu. Simbolično izvršavanje može tretirati neki korisnički unos kao neodređenu simboličnu varijablu, umjesto definirane vrijednosti, te potom tijekom rješavanja, na svakom grananju (npr. if statement), zabilježi uvjete nad simboličkom varijablom definirane za ulaz u svaku granu, i tako gradi moguće putanje izvršavanja programa. Kada nađe željenu putanju u programu, unazad riješi sve uvjete nad simboličkom varijablom, koji su potrebni da bi se program izvršio tom putanjom.
-Npr. simbolička varijabla "password" za korisnički unos u zadatku rev2, kada se dođe do prvog uvjeta koji provjerava duljinu varijable, je li jednaka 21, angr zabilježi
-grana 1:  len(password) = 21
-grana 2:  len(password) != 21
-Nakon toga na provjeri prvog znaka korisničkog unosa zabilježi,
-grana 1.1:   password[0] + 146 == 213
-grana 1.2:   password[0] + 146 != 213
-I na takav način izvršava program, bez da definira vrijednost simbolične varijable password, sve dok ne dođe do željene grane, koja se može definirati kao grana u kojoj se ispiše string "Correct!". Tada zna koji skup uvjeta nad varijablom password mora biti zadovoljen da bi se izvršila grana koja ispisuje "Correct!", te rješava taj skup uvjeta i nalazi potrebnu početnu vrijednost varijable password, da bi se program izvršio željenim putem, koji će na kraju ispisati "Correct!".
-Efektivno, Angr alatu je samo potrebno objasniti kojoj varijabli mora naći specifičnu vrijednost i koja je željena putanja izvršavanja programa, a Angr alat sam rješava ostalo.
-U nastavku je prikazana najjednostavnije Angr skripta koja rješava ovaj zadatak.
-Slika 27. - Angr skripta - rješenje zadatka
-{{ :slika29.png?nolink&500 | Slika 29 - Angr skripta - rješenje zadatka }}
-Preporučuje se korištenje python virtual environmenta (venv) za instalaciju Angr paketa i pokretanje ove skripte.
-Napravite novi direktorij, u njega stavite rev2 izvršnu datoteku i Python Angr skriptu, potom izvršite naredbe za postavljanje virtualnog okruženja:
-<file>
-python -m venv .
-source ./bin/activate
-pip install angr claripy
-python angrSolveScript.py
-</file>
-Posljednjom naredbom se pokreće skripta (umjesto angrSolveScript.py stavite ime svoje skripte).
-Pokretanjem ove skripte, Angr nalazi rješenje zadatka.
-Slika 28. - Rješenje zadatka s pomoću Angr-a
-{{ :slika30.png?nolink&500 | Slika 30 - Rješenje zadatka s pomoću Angr-a }}
-Skripta prikazana na slici 27 ima komentare u kojima su objašnjenja koda, no još će dodatno biti objašnjeno kako se pronađe početna adresa i željena adresa za pronalazak, kao i dvije hook funkcije.
-Na liniji koda 11,
-<file>
-state.regs.rip = 0x004017e0
-</file>
-Ova adresa je adresa prve instrukcije koja se izvršava u main funkciji, i prikazano je kako se može pronaći s pomoću Ghidre na slici ispod
-Slika 29. - adresa prve instrukcije unutar main funkcije
-{{ :slika31.png?nolink&500 | Slika 31 - adresa prve instrukcije unutar main funkcije }}
-Na liniji koda 41,
-<file>
-sm.explore(find = 0x00401914)
-</file>
-Postavlja se adresa instrukcije do koje se želi da Angr nađe put, ova adresa je adresa puts funkcije koja ispisuje "Correct!", što je ispis u slučaju kada je korisnički unos ispravan.
-Na slici ispod je prikazano kako se može pronaći s pomoću Ghidre.
-Slika 30. - adresa instrukcije kojom se poziva ispis "Correct!" stringa
-{{ :slika32.png?nolink&500 | Slika 32 - adresa instrukcije kojom se poziva ispis "Correct!" stringa }}
-Druga hook funkcija koja preskače strcspn funkciju definirana na liniji 31
-<file>
-@p.hook(0x00401887, length = 5)
-def skip_strcspn(state):
-	state.regs.rax = 0x15
-</file>
-Se postavlja, jer  strcspn funkcija čita iz memorije, no kada se koristi simbolično izvršavanje, ono što bi se pročitalo iz memorije može biti neispravno definirano, zato se "ručno" postavlja koji je željeni return te funkcije i sam poziv funkcije se preskače.
-Funkcije vračaju return vrijednost preko RAX registra, mi unaprijed znamo da ova funkcija vraća duljinu unesenog korisničkog unosa i da je željena duljina korisničkog unosa 21, odnosno 0x15 hex, zato se ovo ovom linijom postavlja željena return vrijednost
-<file>
-state.regs.rax = 0x15
-</file>
-Prvi argument hook funkcije
-<file>
-x00401887
-</file>
-je adresa instrukcije koja poziva izvršavanje te funkcije, na slici ispod je prikazano kako je pronađena.
-Slika 31 - adresa instrukcije koja poziva strcspn funkciju
-{{ :slika33.png?nolink&500 | Slika 33 - adresa instrukcije koja poziva strcspn funkciju }}
-Drugi argument hook funkcije,
-<file>
-length = 5
-</file>
-je duljina koja se se preskače, odnosno na kolikom offsetu nakon što se izvrši hook na definiranoj adresi se nastavlja izvršavanje.
-Adresa instrukcije odmah nakon adrese instrukcije poziva strscpn funkcije, je
-<file>
-x0040188c
-</file>
-kao što se vidi na slici 31 (MOV instrukcija, odmah nakon CALL instrukcije koja se preskače)
-<file>
-x0040188c - 0x00401887 = 5
-</file>
-Zato je length argumentu postavljena vrijednost 5.
-Preostala hook funkcija se koristi kako bi se preskočio fgets, koji čita iz stdin (standard input), kojim se zapravo unosi korisnički unos, što je u ovom kontekstu zapravo definirana simbolična varijabla password u Angr skripti, koja se želi postaviti umjesto korisničkog unosa preko stdin.
-<file>
-@p.hook(0x0040186f, length = 5)
-def skip_fgets(state):
-	state.memory.store(state.regs.rsp + 0x40,password)
-	state.regs.rax = state.regs.rsp + 0x40
-</file>
-Argumenti hook funkcije su isti kao i u prethodnom objašnjenju, u slici ispod je prikazano gdje je definirana adresa instrukcije koja poziva izvršavanje fgets funkcije.
-Slika 31 - adresa instrukcije koja poziva fgets funkciju
-{{ :slika34.png?nolink&500 | Slika 34 - adresa instrukcije koja poziva fgets funkciju }}
-No dio koda koji još nije jasan je sadržaj funkcije
-<file>
-state.memory.store(state.regs.rsp + 0x40,password)
-state.regs.rax = state.regs.rsp + 0x40
-</file>
-Fgets funkcija inače uzima korisnički unos iz stdin i sprema ga u buffer čija je adresa poslana kao prvi argument fgets funkcije. No pri simboličnom izvršavanju, to nije poželjno, nego je potrebno postaviti simboličnu varijablu "password" umjesto onoga što bi inače bio korisnički unos.
- <file>
-state.memory.store(arg1,arg2)
-</file>
-simulira dio fgets funkcije koja korisnički unos sprema u buffer čija je adresa dana kao prvi argument. Ovaj kod će spremiti ono dano argumentom 2 na mjesto definirano argumentom 1.
-Jasno je da se simbolična varijabla password želi spremiti umjesto korisničkog unosa, pa je ona drugi argument ovog poziva, no kako pronaći adresu buffera u koji fgets funkcija sprema unos?
-Prvi argument je user_input, podcrtan plavom bojom na slici 31.
-Pregledom koda u prikazu dekompajlirane main funkcije vidi se linija:
-<file>
-user_input = input_buffer;
-</file>
-Također, prije poziva funkcije, funkciji se prvi argument prosljeđuje preko RDI registra.
-Ova adresa se može ili pronaći praćenjem što je bilo postavljeno u RDI registar prije poziva fgets funkcije, ili samo pronalaskom input_buffer adrese.
-Na slici ispod, prikazana su oba načina.
-Slika 32 - input_buffer adresa
-{{ :slika35.png?nolink&500 | Slika 35 - input_buffer adresa }}
-Vidi se da se odmah prije poziva fgets funkcije u RDI registar kojim se prosljeđuje prvi argument, odnosno input_buffer postavlja vrijednost RBX registra, koji je ranije definiran, gdje se vidi relativna adresa RSP+0x40.
-Također dvoklikom na input_buffer u prikazu dekompajliranog koda, označenog crvenom bojom s desne strane, se odmah prikazuje instrukcija označena crvenom bojom na vrhu slike, u kojoj se vidi relativna adresa RSP+0x40.
-Zato se ovom linijom
-<file>
-state.memory.store(state.regs.rsp + 0x40,password)
-</file>
-efektivno postavlja simbolična varijabla password u input_buffer.
-Nakon što se fgets funkcija uspješno izvrši, ona vraća pointer na buffer u koji je upisan unos, odnosno pointer na input_buffer u ovom slučaju. Pošto funkcija vraća return rezultat preko RAX registra, samo se postavlja vrijednost RAX registra na relativnu adresu input_buffera.
-<file>
-state.regs.rax = state.regs.rsp + 0x40
-</file>
-Ako vas Angr alat zanima i želite i više naučiti, na slici ispod je prikaz Angr skripte koja također rješava ovaj zadatak, ali na još brži i efikasniji način.
- Slika 33. - Brža i efikasnija Angr skripta
-{{ :slika36.png?nolink&500 | Slika 36 - Brža i efikasnija Angr skripta }}
-Ova skripta ne radi full_init_state, nego odmah počinje iz main funkcije, koristi "LAZY_SOLVES" opciju koja dodatno optimizira simbolično izvršavanja u ovom slučaju (nije uvijek primjenjiva), također eksplicitno definira koju putanju izbjegavati (definirana "avoid" argumentom postavljenim na adresu funkcije koja ispisuje "Wrong password!), osim željene putanje i također preskače izvršavanje print funkcije.
-Breakpoint counter rješenje:
-Pošto ovaj programski kod ima "early exit", odnosno kad detektira da je neka znamenka korisničkog unosa kriva, odmah ispisuje "Wrong password!" i završava izvršavanje programa.
-Zato se može zabilježiti koliko koda se izvršilo za koji korisnički unos, ili "perf" alatom, ili postavljanjem breakpointa na ulaz u do while petlju, te brojanjem koliko puta se taj dio koda izvršio. Ovim načinom se može napraviti "pametan" bruteforce, di se može bruteforceati jedna po jedna znamenka korisničkog unosa, što je lagano izvedivo, jer je prostor pretraživanja u najgorem slučaju:
-<file>
-N(charset) * Length(input)
-</file>
-No pošto je poznato da je unos duljine 21 te da je unos u formatu
-<file>
-CTF2025[<12 - znamenkasti broj>]
-</file>
-Jedini dio koji nije poznat je 12 znamenkasti broj, za koji bi prostor pretraživanja u najgorem slučaju bio
-<file>
-(charset: znamenke 0-9) * 12 (broj nepoznatih znakova) = 120
-</file>
-Što je lagano rješivo.
-U slučaju da program nema raniji završetak izvršavanja programa pri pronalasku prvog neispravnog znaka, ovaj način rješavanja ne bi bio moguć, umjesto "pametnog" bruteforcea, bi bio moguć samo bruteforce di se odmah mora naći cijelo rješenje, za koji je prostor pretraživanja samo 12 nepoznatih znamenki
-<file>
-**12
-</file>
-što nije izvedivo.
-Pseudokod ovog rješenja je postavljanje breakpointa na određeni dio do while petlje te isprobavanje svih mogućih unosa za prvi nepoznati znak. Onaj znak koji je uzrokovao izvršavanje više koda (što će se dogoditi samo u slučaju kada je ispravan znak), odnosno znak za koji se u izvršavanju više puta prošlo breakpointom na ulasku u petlju, je ispravan znak za tu poziciju unosa.
-Za rješenje koje broji prolaske breakpointova, koristi se libdebug biblioteka. Naredba za postavljanje virtualnog okruženja za izvršavanje ove skripte su:
-<file>
-python -m venv .
-source ./bin/activate
-pip install libdebug
-python BPCountSolveScript.py
-</file>
-Zadnja naredba pokreće skriptu.
-Skripta je prikazana na slici ispod。
-Važno je da skripta u svakom pokušaju pošalje unos duljine 21, kako bi uvijek bio zadovoljen uvjet da je korisnički unos duljine 21, te nakon toga na opisani način redoslijedom pronalazi jedan po jedan znak korisničkog unosa, koji jednom više prođe postavljenim breakpointom nego drugi znakovi na toj poziciji. Također je važan redoslijed, da prolazi znakove redom od najmanjeg do najvećeg indeksa (prvo znak odmah nakon "CTF2025[", pa znak nakon njega, itd.).
-Adresa breakpointa je postavljena kao
-<file>
-x401900
-</file>
-Adresa instrukcije na kojoj je postavljen breakpoint koji se broji pri izvršavanju je prikazan slikom ispod
+Pokretanjem ovog programa dobiva se rješenje zadatka
+{{ rev2_ghidra:slika26.png?nolink&500 | Slika 26. - rješenje zadatka }}
-Ovaj kod će se izvršiti samo ako je znamenka na toj poziciji odnosno u toj iteraciji petlje bila ispravna pa se nije dogodio jump na ispis "Wrong password!" i exit, nego se namještaju pokazivači za ulazak u sljedeću iteraciju petlje.
+==Napomena==
+Preporučuje se da kad radite reversing, probate otvoriti datoteku i drugim alatima za reverzno inženjerstvo, jer će nekad neki drugi alat bolje dekompajlirati programski kod i razumljivije prikazati logiku programa koji rješavate, na slici ispod je prikaz rev2 zadatka otvorenog pomoću alata Binary Ninja.
+{{ rev2_ghidra:slika27.png?nolink&500 | Slika 27. - Binary Ninja prikaz rev2 }}
-Pokretanjem ove skripte dobiva se rješenje zadatka
+Može se vidjeti da je Binary Ninja odmah uspješno rekonstruirala duljinu i sadržaj local_158 varijable, koja sadrži trojke operacija, operand, očekivani rezultat, što je u Ghidri bilo potrebno ručno postaviti.