Hacknite Wiki

Uz zadatak je dana samo izvršna datoteka “rev2”. Preporučuje se korištenje linuxa, ili ako imate Windows, koristite WSL ili virtualnu mašinu s Linuxom.

Pokretanjem programa, program nas pita za password i ispisuje krivi password, pri unosu netočnog passworda.

Slika 1. pokretanje programa

Može se pokrenuti naredba file kako bi se saznale osnovne informacije o programu.

file rev2

slika 2. rezultat file naredbe

Program je statically liked, znači da se može samostalno pokretati. Također je stripped, što znači da imena varijabli i funkcija neće biti sačuvane, što će malo otežati reverzno inženjerstvo nad programom.

Nakon toga se može pokrenuti naredba, strings da se vidi ima li zanimljivih stringova u datoteci.

strings rev2

No ni jedan vraćeni rezultat ne izgleda kao da previše otkriva. Može se također odmah pretražiti jeli se se među vraćenim stringovima pojavljuje “flag” ili “ctf” tekst.

strings rev2 | grep -i -e "flag" -e "ctf" -e "passw"

zastavica “-i” je case insensitive, -e “flag” -e“ctf”, znači traži string koji sadrži “flag” ILI “ctf” ILI “passw” u sebi.

slika 3. rezultat strings naredbe

Ovo nam također ništa korisno ne otkriva o programu, osim što prikazuje tekst koji se ispisuje pri unosu passworda i ispisu pri krivom unosu passworda.

Nakon toga se može probati naredba “strace” koja prati sistemske pozive koje program radi.

strace ./rev2

Slika 4. - rezultat strace naredbe

Također se ne prvi pogled ne mogu pronaći dodatne korisne informacije o programu u ispisu.

Slijedeći korak je korištenje besplatnog Ghidra softwarea za reverzno inženjerstvo nad programom (ako niste upoznati s alatom, pogledajte materijale o ovom alatu također dostupne na wiki stranicama na linku- https://www.cert.hr/wp-content/uploads/2021/01/ghidra.pdf .)

Slika 5. Ghidra alat

Dvoklikom na rev2 datoteku u sučelju, otvara se sučelje za pregled dekompajliranog koda programa.

Slika 6. sučelje za analizu koda i bitni dijelovi

Na slici vidimo entry point, dio koda koji se prvi izvršava pri pokretanju programa, u Decompile sučelju vidi se da entry point funkcija samo poziva funkciju “FUN_004017e0”, dvoklikom na ime te funkcije u Decompile sučelju se otvara ta funkcija, koja se poziva odmah pri pokretanju programa.

Slika 7. pregled funkcije

Pregledom dekompajliranog koda ove funkcije, može se zaključiti da je ovo main funkcija, vidi se dio koda koji ispisuje “Enter password: ”, i dio koda odmah ispod, koji bi mogao biti fgets funkcija za čitanje korisničkog unosa, koji zatim sprema na varijablu pbVar5.

iznad ovog koda se vidi kako se pbVar5 postavlja

pbVar5 = local_118;

Na početku main funkcije, di se definiraju varijable, može se vidjeti definicija varijable local_118

byte local_118 [264];

Može se zaključiti da je varijable local_118 zapravo input buffer, a pbVar5 pointer na input buffer.

lVar2 = FUN_00404ee0(pbVar5,0x100,PTR_DAT_004aa6d8);

također, vidi se da je drugi argument poziva funkcije FUN_00404ee0, 0x100 hex vrijednost, što je u decimalnom 264, što odgovara duljini input buffera također.

Treći argument je pointer PTR_DAT_004aa6d8, dvoklikom na ovu varijablu, otvara se vrijednost na koju ovaj pointer pokazuje.

Slika 8. vrijednost na koju pointer PTR_DAT_004aa6d8 pokazuje

vrijednost je

0xFBAD2088

Prva 4 bajta FBAD su “magic number” za glibc file strukturu i zastavice za flag strukturu, koje odgovaraju stdin file handleu. (ovo ne morate sve detaljno znati, moglo se i prije pretpostaviti da je funkcija fgets)

Sada znamo da bi ova linija

lVar2 = FUN_00404ee0(pbVar5,0x100,PTR_DAT_004aa6d8);

odgovarala

fgets_ret = fgets(user_input, 264, stdin)

Sad se može označiti varijabla local_118, pritisnuti gumb L i preimenovati u input_buffer.

Slika 9. Preimenovanje varijable u Ghidri

Također se varijable pbVar5 može preimenovati u user_input, PTR_DAT_004aa6d8 u stdin i FUN_00404ee0 u fgets. Varijablu lVar2 nećemo preimenovati, jer se prvo koristi kao exit value fgets funkcije, a nakon toga se koristi za spremanje vraćene vrijednosti thunk_FUN_00412860 funkcije, te se ta vračena vrijednost potom uspoređuje s 0x15.

Kako bi se olakšalo praćenje važnih varijabli, varijable koje su bitne u izvođenju programa mogu se označiti i pritiskom desnog klika i opcije highlight, mogu se postaviti da budu bolje naznačenje u ostatku programa.

fgets funkcija pri uspješnom izvršavanju, vraća pointer na string buffer, a ako je vraćena vrijednost NULL, dogodila se greška, što odgovara ovom djelu koda

lVar2 = fgets(user_input,256,stdin);
  if (lVar2 == 0) {
    uVar3 = 1;
  }
  else {

Ako je fgets vratio NULL, varijabla uVar3 se postavlja u 1 i skače se na kraj main funkcije, te se varijabla uVar3 vrača kao return vrijednost main funkcije, znači da se varijabla uVar3 može preimenovati u main_func_ret_val.

Ako se fgets uspješno izvršio, izvršava se else block, koji počinje ovim kodom

    lVar2 = thunk_FUN_00412860(user_input,&DAT_0047f021);
    input_buffer[lVar2] = 0;
    if (lVar2 == 0x15) {
      do {
	....

dvoklikom na adresu DAT_0047f021 na kojoj je vrijednost drugog argumenta proslijeđenog ovoj funkciji, može se vidjeti vrijednost na toj adresi

Slika 10. vrijednost na adresi DAT_0047f021

Vrijednost je “0x0d0a00”, što zapravo u hex vrijednost odgovara “\r\n”, odnosno CR LF, kraju unesenog stringa ( 0x0d je “\r”, 0x0a je \n“).

Može se zaključiti da funkcija thunk_FUN_00412860 vjerojatno vraća poziciju na kojoj se u korisničkom unosu nalazi CR LF, odnosno kraj unosa.

    lVar2 = thunk_FUN_00412860(user_input,&DAT_0047f021);
    input_buffer[lVar2] = 0;
    if (lVar2 == 0x15) {

U tom slučaju bi varijabla lVar2 sadržavala duljinu korisničkog unosa, pa bi se onda u sljedećoj liniji, na kraj stringa korisničkog unosa postavio NULL byte umjesto CR LF, kako se CR LF u ostatku programa ne bi koristio.

Nakon toga, u if statementu, vrijednost varijable lVar2 se uspoređuje s 0x15, odnosno 21 u dekadskom zapisu, što točno odgovara duljini FLAG formata

CTF2025[<12-znamenkasti broj>]

Ako je duljina korisničkog jednaka 21, ulazi se u do - while block, unutar kojega se nalazi switch sa 7 caseva, ako nije skače se na funkciju koja ispisuje “wrong password”, znači da je prvi uvjet da duljina korisničkog unosa mora biti duljine 21 znak.

Pregledom switcha, na kraju switcha se odmah može vidjeti case 0, koji samo ispisuje wrong password

Slika 11. Switch case 0

Na početku do blocka, se nalazi ova linija

bVar1 = *user_input;

koja postavlja varijablu bVar1 na dereferenciranu vrijednost user_input pointera, koji je pointer na string buffer. Znači da će varijable se bVar1 sadržavati vrijednost charactera iz user inputa, zato se može preimenovati u user_input_char.

U switchu postoji 7 caseva, a case se određuje prema vrijednosti puVar2.

Slika 12. - switch value

Slika 13. -switch

Vidi se da se u svakom caseu uzima user_input_char, radi operacija s njime i operandom puVar2 + 1 i rezultat se uspoređuje s puVar2 + 2, osim u casevima 6 i 7, gdje se u caseu 6 samo radi operacija nad vrijednošću user_input_char i uspoređuje s puVar2 + 2, a caseu 7 vrijednost user_input_char se zbraja s puVar2 + 2 i uspoređuje s “\n”.

u case 1 operacija je XOR (^), u case 2 operacije je ADD (+) u case 3 operacije je SUB (-), u case 4 operacije je MUL (*), u case 5 operacija je bitwise SHIFT (« i »), u case 6 operacija je bitwise NOT (~) i u case 7 operacije je također ADD (+), kao što je prethodno opisano.

odlaskom na adresu gdje je Stack[-0x158] i dvoklikom na XREF[3,12]

Slika 14. Stack[-0x158]

Također možemo vidjeti opis switch caseva, koji je upravo bio opisan.

Slika 15. switch caseovi.

Još je preostalo pronaći što je varijabla koja određuje koji switch case će biti odabran, operandi u switch caseovima i očekivani rezultati operacija, koji su svi određeni u varijabli puVar2.

Varijabla puVar2 je definirana pri početku programa i pokazuje na adresu varijable local_158, koji sadržava hex vrijednosti.

Slika 16. - puVar2 i local_158

No pošto je program stripped, moguće je da je Ghdira krivo rekonstruirala ove varijable, ne njihove vrijednosti nego kako su definirane, varijable nakon local_158 se ne spominju dalje u main funkciji, a nalaze se odmah ispod local_158 na koju pokazuje puVar2.

Na samoj kraju do blocka, nakon switcha casea-7, se user_input pointer povećava za 1, znači da se za sljedeću iteraciju do blocka koristiti slijedeći character iz user inputa

početak do blocka

user_input_char = *user_input;

a puVar2 se povećava za 3 u svakoj iteraciji, što taman odgovara 3 vrijednosti koje se koriste u svakom do blocku, puVar2 + 0 određuje koji switch case će se izvršiti, puVar2 + 1 je operand, puVar2 + 2 je očekivana vrijednost.

Slika 17. inkrementiranje puVar2 i user_input pointera

Pošto će se svaki user input character imati jednu vlastitu iteraciju, a puVar2 se povećava za 3 nakon svake iteracije, znamo da user input charactera ima 21, veličina puVar2 byteova koje se koriste su 3 * 21 = 63. Ovo se također može vidjeti na slici ispod, while se izvršava sve dok varijabla pbVar2 koja se povećava za 3 nije jednaka adresi spremljenoj na local_119, koja je RSP uvećan za 0x3f, odnosno 63 u dekadskom zapisu, zato što ima 63 byte vrijednosti spremljenih na stacku.

Slika 18. - local_119

Na slici 15. se vidi da je puVar2 pointer na local_158, sada znamo da local_158 zapravo sadržava 63 byteova, te možemo napraviti retype local_158 varijable.

Slika 19 - retype local_158

Znamo da sadržava byte vrijednost i duljine je 63, pa type možemo postaviti u

byte[63]

Slika 20 - local_158 byte[63] retype

Slika 21. Promijenjeni prikaz local_158

Sada je promijenjen prikaz i može se jasno vidjeti da su ovdje zapravo pohranjene vrijednosti:

OPERACIJA OPERAND OČEKIVANI REZULTAT

Vrijednosti su u trojkama, prva vrijednost je operacija koja će se izvršiti, odnosno vrijednost 0-7 koja određuje koji switch case 0-7 će se izvršiti, druga vrijednost je operand, treća vrijednost je očekivani rezultat. Za svaki od 21 user input charactera, postoji odgovarajuća trojka.

Pregled prvih triju vrijednosti je prikazan na slici 22.

Slika 22. - prvih tri vrijednosti local_158

Ovdje se može vidjeti da je prva vrijednost 2, što znači da će se izvršiti switch case 2, koji je ADD (+), operand je 0x92, a očekivani rezultat je 0xd5.

Što znači

user_input_char[0] + 0x92 = 0xd5

odnosno

user_input_char[0] = 0xd5 - 0x92 

0xd5 - 0x92 je 0x43, odnosno 67 u dekadskom zapisu, što odgovara ASCII vrijednosti “C”, što je početak forme flaga CTF2025….

Sada se ili ovako “ručno” može ovaj postupak ponoviti za preostalih 20 znakova, ili se može iskoristiti python da to riješi umjesto nas.

U python programu, definiramo liniju

local_158 = [0] * 63

I nakon toga možemo samo prekopirati sve linije koje sadržavaju definirane vrijednosti varijable local_158, kao što su prikazane na slici 20.

Ovime već imamo validan python kod, u kojem smo definirali sve spremljene operacije, operande i rezultate koji se trebaju izvršiti kao u programu.

Slika 23. - prijenos varijable local_158 u python

Dodavanjem ovog koda na kraj, možemo dobiti ispis operacija i očekivanih rezultata koji se izvršavaju u programu.

Slika 24. - simulacija programske logike rev2 zadatka

Pokretanjem koda sada dobivamo ispis svih operacija nad korsiničkim unosom i očekivane rezultate tih operacija:

Slika 25. - programska logika rev2 zadatka

Sada se samo Python programski kod sa slike 22 može promijeniti da radi inverz operacija za svih 7 slučaja, tako nađe korisnički input koji bi riješio postavljenje jednadžbe i ispiše krajnji rezultat.

Slika 26. - Inverz operacija zadatka

Pokretanjem ovog programa, dobiva se rješenje zadatka

Slika 27. - rješenje zadatka

Napomena:

Preporučuje se da kad radite reversing, probate otvoriti datoteku i s drugim alatima za reverzno inženjerstvo, jer će nekad neki drugi alat bolje dekompajlirati programski kod i razumljivije prikazati logiku programa koji rješavate, na slici ispod je prikaz rev2 zadatka otvorenog s pomoću alata Binary Ninja.

Slika 28. - Binary Ninja prikaz rev2

Može se vidjeti da je Binary Ninja odmah uspješno rekonstruirala dužinu i sadržaj local_158 varijable, koja sadrži trojke operacija, operand, očekivani rezultat, što je u Ghidri bilo potrebno ručno postaviti.