This is an old revision of the document!
rev2
Uz zadatak je dana samo izvršna datoteka “rev2”. Preporučuje se korištenje linuxa, ili ako imate Windows, koristite WSL ili virtualnu mašinu s Linuxom.
Pokretanjem programa, program nas pita za password i ispisuje krivi password, pri unosu netočnog passworda.
Slika 1. pokretanje programa
Može se pokrenuti naredba file kako bi se saznale osnovne informacije o programu.
file rev2
slika 2. rezultat file naredbe
Program je statically liked, znači da se može samostalno pokretati. Također je stripped, što znači da imena varijabli i funkcija neće biti sačuvane, što će malo otežati reverzno inženjerstvo nad programom.
Nakon toga se može pokrenuti naredba, strings da se vidi ima li zanimljivih stringova u datoteci.
strings rev2
No ni jedan vraćeni rezultat ne izgleda kao da previše otkriva. Može se također odmah pretražiti jeli se se među vraćenim stringovima pojavljuje “flag” ili “ctf” tekst.
strings rev2 | grep -i -e "flag" -e "ctf" -e "passw"
zastavica “-i” je case insensitive, -e “flag” -e“ctf”, znači traži string koji sadrži “flag” ILI “ctf” ILI “passw” u sebi.
slika 3. rezultat strings naredbe
Ovo nam također ništa korisno ne otkriva o programu, osim što prikazuje tekst koji se ispisuje pri unosu passworda i ispisu pri krivom unosu passworda.
Nakon toga se može probati naredba “strace” koja prati sistemske pozive koje program radi.
strace ./rev2
Slika 4. - rezultat strace naredbe
Također se ne prvi pogled ne mogu pronaći dodatne korisne informacije o programu u ispisu.
Slijedeći korak je korištenje besplatnog Ghidra softwarea za reverzno inženjerstvo nad programom (ako niste upoznati s alatom, pogledajte materijale o ovom alatu također dostupne na wiki stranicama na linku- https://www.cert.hr/wp-content/uploads/2021/01/ghidra.pdf .)
Slika 5. Ghidra alat
Dvoklikom na rev2 datoteku u sučelju, otvara se sučelje za pregled dekompajliranog koda programa.
Slika 5. sučelje za analizu koda i bitni dijelovi
Na slici vidimo entry point, dio koda koji se prvi izvršava pri pokretanju programa, u Decompile sučelju vidi se da entry point funkcija samo poziva funkciju “FUN_004017e0”, dvoklikom na ime te funkcije u Decompile sučelju se otvara ta funkcija, koja se poziva odmah pri pokretanju programa.
Slika 6. pregled funkcije
Pregledom dekompajliranog koda ove funkcije, može se zaključiti da je ovo main funkcija, vidi se dio koda koji ispisuje “Enter password: ”, i dio koda odmah ispod, koji bi mogao biti fgets funkcija za čitanje korisničkog unosa, koji zatim sprema na varijablu pbVar5.
iznad ovog koda se vidi kako se pbVar5 postavlja
pbVar5 = local_118;
Na početku main funkcije, di se definiraju varijable, može se vidjeti definicija varijable local_118
byte local_118 [264];
Može se zaključiti da je varijable local_118 zapravo input buffer, a pbVar5 pointer na input buffer.
lVar2 = FUN_00404ee0(pbVar5,0x100,PTR_DAT_004aa6d8);
također, vidi se da je drugi argument poziva funkcije FUN_00404ee0, 0x100 hex vrijednost, što je u decimalnom 264, što odgovara duljini input buffera također.
Treći argument je pointer PTR_DAT_004aa6d8, dvoklikom na ovu varijablu, otvara se vrijednost na koju ovaj pointer pokazuje.
Slika 7. vrijednost na koju pointer PTR_DAT_004aa6d8 pokazuje
vrijednost je
0xFBAD2088
Prva 4 bajta FBAD su “magic number” za glibc file strukturu i zastavice za flag strukturu, koje odgovaraju stdin file handleu. (ovo ne morate sve detaljno znati, moglo se i prije pretpostaviti da je funkcija fgets)
Sada znamo da bi ova linija
lVar2 = FUN_00404ee0(pbVar5,0x100,PTR_DAT_004aa6d8);
odgovarala
fgets_ret = fgets(user_input, 264, stdin)
Sad se može označiti varijabla local_118, pritisnuti gumb L i preimenovati u input_buffer.
Slika 8. Preimenovanje varijable u Ghidri
Također se varijable pbVar5 može preimenovati u user_input, PTR_DAT_004aa6d8 u stdin i FUN_00404ee0 u fgets. Varijablu lVar2 nećemo preimenovati, jer se prvo koristi kao exit value fgets funkcije, a nakon toga se koristi za spremanje vraćene vrijednosti thunk_FUN_00412860 funkcije, te se ta vračena vrijednost potom uspoređuje s 0x15.
Kako bi se olakšalo praćenje važnih varijabli, varijable koje su bitne u izvođenju programa mogu se označiti i pritiskom desnog klika i opcije highlight, mogu se postaviti da budu bolje naznačenje u ostatku programa.
fgets funkcija pri uspješnom izvršavanju, vraća pointer na string buffer, a ako je vraćena vrijednost NULL, dogodila se greška, što odgovara ovom djelu koda
lVar2 = fgets(user_input,256,stdin);
if (lVar2 == 0) {
uVar3 = 1;
}
else {
Ako je fgets vratio NULL, varijabla uVar3 se postavlja u 1 i skače se na kraj main funkcije, te se varijabla uVar3 vrača kao return vrijednost main funkcije, znači da se varijabla uVar3 može preimenovati u main_func_ret_val.
Ako se fgets uspješno izvršio, izvršava se else block, koji počinje ovim kodom
lVar2 = thunk_FUN_00412860(user_input,&DAT_0047f021);
input_buffer[lVar2] = 0;
if (lVar2 == 0x15) {
do {
....
dvoklikom na adresu DAT_0047f021 na kojoj je vrijednost drugog argumenta proslijeđenog ovoj funkciji, može se vidjeti vrijednost na toj adresi
Slika 9. vrijednost na adresi DAT_0047f021
Vrijednost je “0x0d0a00”, što zapravo u hex vrijednost odgovara “\r\n”, odnosno CR LF, kraju unesenog stringa ( 0x0d je “\r”, 0x0a je \n“).
Može se zaključiti da funkcija thunk_FUN_00412860 vjerojatno vraća poziciju na kojoj se u korisničkom unosu nalazi CR LF, odnosno kraj unosa.
lVar2 = thunk_FUN_00412860(user_input,&DAT_0047f021);
input_buffer[lVar2] = 0;
if (lVar2 == 0x15) {
U tom slučaju bi varijabla lVar2 sadržavala duljinu korisničkog unosa, pa bi se onda u sljedećoj liniji, na kraj stringa korisničkog unosa postavio NULL byte umjesto CR LF, kako se CR LF u ostatku programa ne bi koristio.
Nakon toga, u if statementu, vrijednost varijable lVar2 se uspoređuje s 0x15, odnosno 21 u dekadskom zapisu, što točno odgovara duljini FLAG formata
CTF2025[<12-znamenkasti broj>]
Ako je duljina korisničkog jednaka 21, ulazi se u do - while block, unutar kojega se nalazi switch sa 7 caseva, ako nije skače se na funkciju koja ispisuje “wrong password”, znači da je prvi uvjet da duljina korisničkog unosa mora biti duljine 21 znak.
Pregledom switcha, na kraju switcha se odmah može vidjeti case 0, koji samo ispisuje wrong password
Slika 10. Switch case 0
Na početku do blocka, se nalazi ova linija
bVar1 = *user_input;
koja postavlja varijablu bVar1 na dereferenciranu vrijednost user_input pointera, koji je pointer na string buffer. Znači da će varijable se bVar1 sadržavati vrijednost charactera iz user inputa, zato se može preimenovati u user_input_char.
U switchu postoji 7 caseva, a case se određuje prema vrijednosti puVar2.
Slika 10. - switch value
Slika 12. -switch
Vidi se da se u svakom caseu uzima user_input_char, radi operacija s njime i operandom puVar2 + 1 i rezultat se uspoređuje s puVar2 + 2, osim u casevima 6 i 7, gdje se u caseu 6 samo radi operacija nad vrijednošću user_input_char i uspoređuje s puVar2 + 2, a caseu 7 vrijednost user_input_char se zbraja s puVar2 + 2 i uspoređuje s “\n”.
u case 1 operacija je XOR (^), u case 2 operacije je ADD (+) u case 3 operacije je SUB (-), u case 4 operacije je MUL (*), u case 5 operacija je bitwise SHIFT (« i »), u case 6 operacija je bitwise NOT (~) i u case 7 operacije je također ADD (+), kao što je prethodno opisano.
odlaskom na adresu gdje je Stack[-0x158] i dvoklikom na XREF[3,12]
Slika 13. Stack[-0x158]
![Slika 14 - Stack[-0x158]](/lib/exe/fetch.php?w=500&tok=b4639e&media=slika14.png "Slika 14 - Stack[-0x158]")
Također možemo vidjeti opis switch caseva, koji je upravo bio opisan.
Slika 14. switch caseovi.
Još je preostalo pronaći što je varijabla koja određuje koji switch case će biti odabran, operandi u switch caseovima i očekivani rezultati operacija, koji su svi određeni u varijabli puVar2.
Varijabla puVar2 je definirana pri početku programa i pokazuje na adresu varijable local_158, koji sadržava hex vrijednosti.
Slika 15. - puVar2 i local_158
No pošto je program stripped, moguće je da je Ghdira krivo rekonstruirala ove varijable, ne njihove vrijednosti nego kako su definirane, varijable nakon local_158 se ne spominju dalje u main funkciji, a nalaze se odmah ispod local_158 na koju pokazuje puVar2.
Na samoj kraju do blocka, nakon switcha casea-7, se user_input pointer povećava za 1, znači da se za sljedeću iteraciju do blocka koristiti slijedeći character iz user inputa
početak do blocka
user_input_char = *user_input;
a puVar2 se povećava za 3 u svakoj iteraciji, što taman odgovara 3 vrijednosti koje se koriste u svakom do blocku, puVar2 + 0 određuje koji switch case će se izvršiti, puVar2 + 1 je operand, puVar2 + 2 je očekivani vrijednost.
Slika 16. inkrementiranje puVar2 i user_input pointera
Pošto će se svaki user input character imati jednu vlastitu iteraciju, a puVar2 se povećava za 3 nakon svake iteracije, znamo da user input charactera ima 21, veličina puVar2 byteova koje se koriste su 3 * 21 = 63. Ovo se također može vidjeti na slici ispod, while se izvršava sve dok varijabla pbVar2 koja se povećava za 3 nije jednaka adresi spremljenoj na local_119, koja je RSP uvećan za 0x3f, odnosno 63 u dekadskom zapisu, zato što ima 63 byte vrijednosti spremljenih na stacku.
Slika 17. - local_119
Na slici 15. se vidi da je puVar2 pointer na local_158, sada znamo da local_158 zapravo sadržava 63 byteova, te možemo napraviti retype local_158 varijable.
Slika 18 - retype local_158
Znamo da sadržava byte vrijednost i duljine je 63, pa type možemo postaviti u
byte[63]
Slika 19 - local_158 byte[63] retype
![Slika 20 - local_158 byte[63] retype](/lib/exe/fetch.php?w=500&tok=57f566&media=slika20.png "Slika 20 - local_158 byte[63] retype")
Slika 20. Promijenjeni prikaz local_158
Sada je promijenjen prikaz i može se jasno vidjeti da su ovdje zapravo pohranjene vrijednosti:
OPERACIJA OPERAND OČEKIVANI REZULTAT
Vrijednosti su u trojkama, prva vrijednost je operacija koja će se izvršiti, odnosno vrijednost 0-7 koja određuje koji switch case 0-7 će se izvršiti, druga vrijednost je operand, treća vrijednost je očekivani rezultat. Za svaki od 21 user input charactera, postoji odgovarajuća trojka.
Pregled prvih triju vrijednosti je prikazan na slici 21.
Slika 21. - prvih tri vrijednosti local_158
Ovdje se može vidjeti da je prva vrijednost 2, što znači da će se izvršiti switch case 2, koji je ADD (+), operand je 0x92, a očekivani rezultat je 0xd5.
Što znači
user_input_char[0] + 0x92 = 0xd5
odnosno
user_input_char[0] = 0xd5 - 0x92
0xd5 - 0x92 je 0x43, odnosno 67 u dekadskom zapisu, što odgovara ASCII vrijednosti “C”, što je početak forme flaga CTF2025….
Sada se ili ovako “ručno” može ovaj postupak ponoviti za preostalih 20 znakova, ili se može iskoristiti python da to riješi umjesto nas.
U python programu, definiramo liniju
local_158 = [0] * 63
I nakon toga možemo samo prekopirati sve linije koje sadržavaju definirane vrijednosti varijable local_158, kao što su prikazane na slici 20.
Ovime već imamo validan python kod, u kojem smo definirali sve spremljene operacije, operande i rezultate koji se trebaju izvršiti kao u programu.
Slika 21. - prijenos varijable local_158 u python
Dodavanjem ovog koda na kraj, možemo dobiti ispis operacija i očekivanih rezultata koji se izvršavaju u programu.
Slika 22. - simulacija programske logike rev2 zadatka
Pokretanjem koda sada dobivamo ispis svih operacija nad korsiničkim unosom i očekivane rezultate tih operacija:
Slika 23. - programska logika rev2 zadatka
Sada se samo Python programski kod sa slike 22 može promijeniti da radi inverz operacija za svih 7 slučaja, tako nađe korisnički input koji bi riješio postavljenje jednadžbe i ispiše krajnji rezultat.
Slika 24. - Inverz operacija zadatka
Pokretanjem ovog programa, dobiva se rješenje zadatka
Slika 25. - rješenje zadatka
Napomena:
Preporučuje se da kad radite reversing, probate otvoriti datoteku i s drugim alatima za reverzno inženjerstvo, jer će nekad neki drugi alat bolje dekompajlirati programski kod i razumljivije prikazati logiku programa koji rješavate, na slici ispod je prikaz rev2 zadatka otvorenog s pomoću alata Binary Ninja.
Slika 26. - Binary Ninja prikaz rev2
Može se vidjeti da je Binary Ninja odmah uspješno rekonstruirala dužinu i sadržaj local_158 varijable, koja sadrži trojke operacija, operand, očekivani rezultat, što je u Ghidri bilo potrebno ručno postaviti.
Angr rješenje:
Angr je napredan i moćan alat koji se koristi za analizu binarnih izvršnih datoteka, gdje se može koristiti za reverzno inženjerstvo, automatizirano generiranje exploita, otkrivanje ranjivosti i druge namjene. Može izvršavati i statičku i dinamičku analizu, gdje je statička analiza slična kao ona koju pružaju Ghidra, Binary Ninja i slični alati, dok je dinamička analiza Angr alata njegova najjača strana.
Angr pruža mogućnost tehnike simboličnog izvršavanja (symbolic execution), koja spada pod dinamičku analizu. Simbolično izvršavanje može tretirati neki korisnički unos kao neodređenu simboličnu varijablu, umjesto definirane vrijednosti, te potom tijekom rješavanja, na svakom grananju (npr. if statement), zabilježi uvjete nad simboličkom varijablom definirane za ulaz u svaku granu, i tako gradi moguće putanje izvršavanja programa. Kada nađe željenu putanju u programu, unazad riješi sve uvjete nad simboličkom varijablom, koji su potrebni da bi se program izvršio tom putanjom.
Npr. simbolička varijabla “password” za korisnički unos u zadatku rev2, kada se dođe do prvog uvjeta koji provjerava duljinu varijable, je li jednaka 21, angr zabilježi
grana 1: len(password) = 21 grana 2: len(password) != 21
Nakon toga na provjeri prvog znaka korisničkog unosa zabilježi,
grana 1.1: password[0] + 146 == 213 grana 1.2: password[0] + 146 != 213
I na takav način izvršava program, bez da definira vrijednost simbolične varijable password, sve dok ne dođe do željene grane, koja se može definirati kao grana u kojoj se ispiše string “Correct!”. Tada zna koji skup uvjeta nad varijablom password mora biti zadovoljen da bi se izvršila grana koja ispisuje “Correct!”, te rješava taj skup uvjeta i nalazi potrebnu početnu vrijednost varijable password, da bi se program izvršio željenim putem, koji će na kraju ispisati “Correct!”.
Efektivno, Angr alatu je samo potrebno objasniti kojoj varijabli mora naći specifičnu vrijednost i koja je željena putanja izvršavanja programa, a Angr alat sam rješava ostalo.
U nastavku je prikazana najjednostavnije Angr skripta koja rješava ovaj zadatak.
Slika 27. - Angr skripta - rješenje zadatka
Preporučuje se korištenje python virtual environmenta (venv) za instalaciju Angr paketa i pokretanje ove skripte.
Napravite novi direktorij, u njega stavite rev2 izvršnu datoteku i Python Angr skriptu, potom izvršite naredbe za postavljanje virtualnog okruženja:
python -m venv . source ./bin/activate pip install angr claripy python angrSolveScript.py
Posljednjom naredbom se pokreće skripta (umjesto angrSolveScript.py stavite ime svoje skripte).
Pokretanjem ove skripte, Angr nalazi rješenje zadatka.
Slika 28. - Rješenje zadatka s pomoću Angr-a
Skripta prikazana na slici 27 ima komentare u kojima su objašnjenja koda, no još će dodatno biti objašnjeno kako se pronađe početna adresa i željena adresa za pronalazak, kao i dvije hook funkcije.
Na liniji koda 11,
state.regs.rip = 0x004017e0
Ova adresa je adresa prve instrukcije koja se izvršava u main funkciji, i prikazano je kako se može pronaći s pomoću Ghidre na slici ispod
Slika 29. - adresa prve instrukcije unutar main funkcije
Na liniji koda 41,
sm.explore(find = 0x00401914)
Postavlja se adresa instrukcije do koje se želi da Angr nađe put, ova adresa je adresa puts funkcije koja ispisuje “Correct!”, što je ispis u slučaju kada je korisnički unos ispravan.
Na slici ispod je prikazano kako se može pronaći s pomoću Ghidre.
Slika 30. - adresa instrukcije kojom se poziva ispis “Correct!” stringa
Druga hook funkcija koja preskače strcspn funkciju definirana na liniji 31
@p.hook(0x00401887, length = 5) def skip_strcspn(state): state.regs.rax = 0x15
Se postavlja, jer strcspn funkcija čita iz memorije, no kada se koristi simbolično izvršavanje, ono što bi se pročitalo iz memorije može biti neispravno definirano, zato se “ručno” postavlja koji je željeni return te funkcije i sam poziv funkcije se preskače.
Funkcije vračaju return vrijednost preko RAX registra, mi unaprijed znamo da ova funkcija vraća duljinu unesenog korisničkog unosa i da je željena duljina korisničkog unosa 21, odnosno 0x15 hex, zato se ovo ovom linijom postavlja željena return vrijednost
state.regs.rax = 0x15
Prvi argument hook funkcije
0x00401887
je adresa instrukcije koja poziva izvršavanje te funkcije, na slici ispod je prikazano kako je pronađena.
Slika 31 - adresa instrukcije koja poziva strcspn funkciju
Drugi argument hook funkcije,
length = 5
je duljina koja se se preskače, odnosno na kolikom offsetu nakon što se izvrši hook na definiranoj adresi se nastavlja izvršavanje.
Adresa instrukcije odmah nakon adrese instrukcije poziva strscpn funkcije, je
0x0040188c
kao što se vidi na slici 31 (MOV instrukcija, odmah nakon CALL instrukcije koja se preskače)
0x0040188c - 0x00401887 = 5
Zato je length argumentu postavljena vrijednost 5.
Preostala hook funkcija se koristi kako bi se preskočio fgets, koji čita iz stdin (standard input), kojim se zapravo unosi korisnički unos, što je u ovom kontekstu zapravo definirana simbolična varijabla password u Angr skripti, koja se želi postaviti umjesto korisničkog unosa preko stdin.
@p.hook(0x0040186f, length = 5) def skip_fgets(state): state.memory.store(state.regs.rsp + 0x40,password) state.regs.rax = state.regs.rsp + 0x40
Argumenti hook funkcije su isti kao i u prethodnom objašnjenju, u slici ispod je prikazano gdje je definirana adresa instrukcije koja poziva izvršavanje fgets funkcije.
Slika 31 - adresa instrukcije koja poziva fgets funkciju
No dio koda koji još nije jasan je sadržaj funkcije
state.memory.store(state.regs.rsp + 0x40,password) state.regs.rax = state.regs.rsp + 0x40
Fgets funkcija inače uzima korisnički unos iz stdin i sprema ga u buffer čija je adresa poslana kao prvi argument fgets funkcije. No pri simboličnom izvršavanju, to nije poželjno, nego je potrebno postaviti simboličnu varijablu “password” umjesto onoga što bi inače bio korisnički unos.
state.memory.store(arg1,arg2)
simulira dio fgets funkcije koja korisnički unos sprema u buffer čija je adresa dana kao prvi argument. Ovaj kod će spremiti ono dano argumentom 2 na mjesto definirano argumentom 1.
Jasno je da se simbolična varijabla password želi spremiti umjesto korisničkog unosa, pa je ona drugi argument ovog poziva, no kako pronaći adresu buffera u koji fgets funkcija sprema unos?
Prvi argument je user_input, podcrtan plavom bojom na slici 31.
Pregledom koda u prikazu dekompajlirane main funkcije vidi se linija:
user_input = input_buffer;
Također, prije poziva funkcije, funkciji se prvi argument prosljeđuje preko RDI registra.
Ova adresa se može ili pronaći praćenjem što je bilo postavljeno u RDI registar prije poziva fgets funkcije, ili samo pronalaskom input_buffer adrese.
Na slici ispod, prikazana su oba načina.
Slika 32 - input_buffer adresa
Vidi se da se odmah prije poziva fgets funkcije u RDI registar kojim se prosljeđuje prvi argument, odnosno input_buffer postavlja vrijednost RBX registra, koji je ranije definiran, gdje se vidi relativna adresa RSP+0x40.
Također dvoklikom na input_buffer u prikazu dekompajliranog koda, označenog crvenom bojom s desne strane, se odmah prikazuje instrukcija označena crvenom bojom na vrhu slike, u kojoj se vidi relativna adresa RSP+0x40.
Zato se ovom linijom
state.memory.store(state.regs.rsp + 0x40,password)
efektivno postavlja simbolična varijabla password u input_buffer.
Nakon što se fgets funkcija uspješno izvrši, ona vraća pointer na buffer u koji je upisan unos, odnosno pointer na input_buffer u ovom slučaju. Pošto funkcija vraća return rezultat preko RAX registra, samo se postavlja vrijednost RAX registra na relativnu adresu input_buffera.
state.regs.rax = state.regs.rsp + 0x40
Ako vas Angr alat zanima i želite i više naučiti, na slici ispod je prikaz Angr skripte koja također rješava ovaj zadatak, ali na još brži i efikasniji način. Slika 33. - Brža i efikasnija Angr skripta
Ova skripta ne radi full_init_state, nego odmah počinje iz main funkcije, koristi “LAZY_SOLVES” opciju koja dodatno optimizira simbolično izvršavanja u ovom slučaju (nije uvijek primjenjiva), također eksplicitno definira koju putanju izbjegavati (definirana “avoid” argumentom postavljenim na adresu funkcije koja ispisuje “Wrong password!), osim željene putanje i također preskače izvršavanje print funkcije.
Breakpoint counter rješenje:
Pošto ovaj programski kod ima “early exit”, odnosno kad detektira da je neka znamenka korisničkog unosa kriva, odmah ispisuje “Wrong password!” i završava izvršavanje programa. Zato se može zabilježiti koliko koda se izvršilo za koji korisnički unos, ili “perf” alatom, ili postavljanjem breakpointa na ulaz u do while petlju, te brojanjem koliko puta se taj dio koda izvršio. Ovim načinom se može napraviti “pametan” bruteforce, di se može bruteforceati jedna po jedna znamenka korisničkog unosa, što je lagano izvedivo, jer je prostor pretraživanja u najgorem slučaju:
N(charset) * Length(input)
No pošto je poznato da je unos duljine 21 te da je unos u formatu
CTF2025[<12 - znamenkasti broj>]
Jedini dio koji nije poznat je 12 znamenkasti broj, za koji bi prostor pretraživanja u najgorem slučaju bio
10 (charset: znamenke 0-9) * 12 (broj nepoznatih znakova) = 120
Što je lagano rješivo.
U slučaju da program nema raniji završetak izvršavanja programa pri pronalasku prvog neispravnog znaka, ovaj način rješavanja ne bi bio moguć, umjesto “pametnog” bruteforcea, bi bio moguć samo bruteforce di se odmah mora naći cijelo rješenje, za koji je prostor pretraživanja samo 12 nepoznatih znamenki
10**12
što nije izvedivo.
Pseudokod ovog rješenja je postavljanje breakpointa na određeni dio do while petlje te isprobavanje svih mogućih unosa za prvi nepoznati znak. Onaj znak koji je uzrokovao izvršavanje više koda (što će se dogoditi samo u slučaju kada je ispravan znak), odnosno znak za koji se u izvršavanju više puta prošlo breakpointom na ulasku u petlju, je ispravan znak za tu poziciju unosa.
Za rješenje koje broji prolaske breakpointova, koristi se libdebug biblioteka. Naredba za postavljanje virtualnog okruženja za izvršavanje ove skripte su:
python -m venv . source ./bin/activate pip install libdebug python BPCountSolveScript.py
Zadnja naredba pokreće skriptu.
Skripta je prikazana na slici ispod。
Važno je da skripta u svakom pokušaju pošalje unos duljine 21, kako bi uvijek bio zadovoljen uvjet da je korisnički unos duljine 21, te nakon toga na opisani način redoslijedom pronalazi jedan po jedan znak korisničkog unosa, koji jednom više prođe postavljenim breakpointom nego drugi znakovi na toj poziciji. Također je važan redoslijed, da prolazi znakove redom od najmanjeg do najvećeg indeksa (prvo znak odmah nakon “CTF2025[”, pa znak nakon njega, itd.).
Adresa breakpointa je postavljena kao
0x401900
Adresa instrukcije na kojoj je postavljen breakpoint koji se broji pri izvršavanju je prikazan slikom ispod
Ovaj kod će se izvršiti samo ako je znamenka na toj poziciji odnosno u toj iteraciji petlje bila ispravna pa se nije dogodio jump na ispis “Wrong password!” i exit, nego se namještaju pokazivači za ulazak u sljedeću iteraciju petlje.
Pokretanjem ove skripte dobiva se rješenje zadatka