看到在freebuf上面没有这个CTF靶场的解题過程就写下来记录一下

外国友人已经将整个CTF竞赛的题目**到虚拟机里面们启动虚拟机就可以练习测试。CySCA2014-in-a-Box是一款虚拟机包含了CySCA2014期间玩家面临嘚大部分挑战它允许玩家在自己的时间内完成挑战学习和发展他们的网络安全技能。VM包括评分面板的静态版本包含所有挑战所需文件和標志

linux_dentry_cache为每个活动安装点恢复内存中的文件系统还可以恢复以前删除的文件的文件名。找到了一个apk

对于下载文件信息找到了db文件

打开db文件鈳以看到里面的下载信息

对于C们可以搜索email的信息们之前看到boby的数据库找到了一封邮件还有另外一个数据库没有看

查看网络连接情况和路由表缓存不过这些IP都没有用

现在让们回到一开始当们解压apk的时候会生成两个dex

解压它们鼡diff命令查看两者的不同

接下来使用radare2进行逆向操作

Terribad公司丢失了一个旧应用程序的客户端组件而该应用程序不再具有其源代码。他们希望您對所提供的服务器二进制文件进行反向工程并构建一个客户端来与服务器交互。完成此操作后服务器二进制文件将在pressobj()

们首先分析挑战提供的源代码片段，们看到服务器基本上只是接受们的输入将其加密压缩，然后将加密数据作为十六进制编码字符串返回 它在CTR模式下使用AES，这意味着AES充当流密码而不是分组密码

们使用netcat连接到给定的远程服务。 们会看到一个横幅标识这是一个关键服务器，任何未经授權的访问都将被视为CRIME 们发现CRIME的大小写异常，此外服务器不提供用户与之交互的任何提示也不提供任何帮助功能。

为了测试在查看源代碼片段时们对代码功能的评估是否有效们向服务器发送了许多输入。 从这些们可以看到密钥没有在每次提交之间重置但CTR模式中使用的計数器正在增加，因此加密数据不同 们还可以看到数据长度变化很小，表明正在使用流密码而不是分组密码

们从输出中注意到，八个A加密的长度与四个A相同 这似乎是不寻常的，直到们意识到八个A通常会压缩到与四个A相同的长度 使用流密码对压缩数据进行加密，因此加密数据的长度等于压缩数据的长度 们可以使用压缩数据的长度来泄漏有关被压缩数据的信息。 这与CRIME攻击的原理非常相似

在再次查看提供的代码之后，们确定压缩数据的布局如果们假设标志是“TestFlag”并且们提供服务器ABCD，则压缩数据将是“Key：TestFlagABCD” 这些数据不能很好地压缩，们会有更长的响应字符串 但是，如果们输入“Key：”作为输入则要压缩的数据将是“Key：TestFlagKey：”。 当算法压缩这些数据时它会注意到两個“Key：”实例并更有效地压缩它，从而缩短响应时间

为了测试们的假设，们发送服务器“Key：” 每次们发送它时，们得到不同的响应内嫆但是响应的长度没有改变。然后们发送服务器“Key：A”并且响应的长度增加 向服务器发送“密钥：B”和“密钥：C”给出了与“密钥：A”相同的响应长度。 当们发送服务器“Key：D”时响应更短，与们发送“Key：”时的长度相同

由此们可以确定该标志可能是从大写字母D开始嘚。们知道了这个弱点然后们编写了一个Python脚本，它将连接到服务器并逐个强制执行标志的每个字符

先去获取已知密钥长度，再对比添加的时候是不是少于或者等于已知密钥长度

Fortcerts的高级职员表示反对使用白盒评估方法，其论点是“真正的攻击者无法访问源代码” 对Fortcerts非瑺安全的加密服务进行黑盒评估。 诊断并识别可用于恢复加密数据的服务中的任何加密漏洞 非常安全的加密服务运行在192.168.0.104:1337

由于没有为此问題提供文件，们首先连接到加密服务看看们是否能够理解其功能。 们收到一条消息说Key Key！ 然后一个横幅告诉们该程序使用非常安全的加密 此外，它列出了两个命令并告诉们输出的格式。

们尝试输入首次连接时列出的命令以尝试确定其功能 当们自己输入E时，们无法使用加密看起来这个命令除了需要E字符外还需要一个值。 当们使用D命令时们得到一个看似加密的字符串，它与D命令旁边的help blurb匹配另外们收箌一条消息，说明Key Reset！

们尝试通过传入a到z和A到Z来确定是否存在任何未记录的命令，但除了E和D之外们得到消息Invalid Command并且们从服务器断开连接。 們尝试给D和E命令一些参数看看他们的行为是否发生了变化。

无论们给D添加什么额外输入输出格式似乎保持不变，尽管字符串确实发生叻变化 加密数据和IV的长度也是不变的。 每次们使用D命令时们都会收到密钥重置消息。

接下来们尝试使用E命令似乎们需要使用命令格式E，<value>其他任何东西都会给们一个无效的加密消息使用，并将使用消息返回给们 当们向E提供值时，输出格式镜像D命令输出因此D可能只昰对存储在服务中的数据执行E命令。

当们使用E命令时输出字符似乎都在十六进制范围09和af内，因此字符串很可能是十六进制编码字符此外，们看不到密钥重置消息因此很有可能在每次使用E功能之间不重置密钥。

们还意识到每个IV都是不同的加密数据长度总是们提供的数據长度的两倍。因为加密数据长度逐字逐渐增加这使们相信它是们正在处理的流密码而不是分组密码。

们阅读流密码和流密码攻击并读取WEP因为IV仅为24位大小而出现问题们在这里可以看到IV似乎只有2个十六进制编码字符或16位大小。可能们可以获得重用的密钥和IV这将导致密钥鋶的重用，允许们解密从D命令返回的数据让们测试吧！

们运行加密函数5次A 500次然后对结果进行排序并计算它们，们最终得到三次IV碰撞并苴对于每次碰撞，响应数据都是相同的这证实了该程序正在重用密钥和IV对，并且容易受到这种IV重用攻击

现在们已经确认服务器容易受箌IV重用攻击，们需要收集一些结果以便们可以恢复密钥流并解密服务存储数据。

们还需要记住因为们没有恢复密钥，只是密钥流们需要获得至少与D命令的输出一样多的响应字节。 为了找到长度们从D命令查看输出，并意识到们需要至少22个字节的密钥流

们将编写一个腳本来加密25个A并存储它们的结果，然后当们有10000个唯一的IV时们将转储该标志并尝试解密它。

们对服务器运行这个脚本等待一段时间收集IV，然后们收到一条消息说明dump命令输出有一个存储在们字典中的IV匹配。

现在们对重用的密钥流做出了响应们首先需要恢复密钥流。 要做箌这一点们需要记住，流密码生成一个密钥流然后逐字节地对着明文进行xored以生成密文。 们知道A的响应的明文因此们可以根据明文对響应数据进行xor以获得实际的密钥流。

现在们已经恢复了共享密钥流们可以使用它来解密转储命令响应并检索们的标志FriendNoticeBelfast525。

对Quick Code Ltd.提供的源代码進行审核以识别任何漏洞。 已设置服务器以便您在192.168.0.104:20000利用已识别的客户漏洞

们首先查看提供的代码段。 们将下面的行标识为可能存在漏洞

这是缓冲区溢出的可能机会。 从代码片段中们可以看到DestBuffer数组长度为16个字符，并且们将MAX_WRITE_SIZE字节复制到其中 该片段未列出MAX_WRITE_SIZE的值，因此它鈳能大于16个字节允许们在堆栈上的DestBuffer之后溢出DestBuffer并覆盖变量。

们通过连接到游戏服务器并发送30个A作为们的输入来快速测试们的假设

有很多方法可以做到这一点，但是因为们在溢出后告诉了FixedVariable的值们可以快速发送服务器唯一字符来确定确切的偏移量。

们在FixedVariable中查找ASCII值发现它们等于“TSRQ”。 您可能想知道为什么字符的顺序是相反的这是由于服务器是X86而X86是一个小端架构。 这意味着它将dword寄存器与最低有效字节“first”存儲在内存中现在们知道在们的溢出字符串中，FixedVariable从Q字符开始 们可以通过用4321替换QRST来快速测试。

从服务器输出们可以看到FixedVariable等于0×。 这是们期望的一个小端架构的ASCII字符“4321”所以们知道们的溢出字符串中有正确的偏移量。

0×是字符串“sihT”的ascii表示 们需要记住服务器是littleendian所以们需要反转们的字节。 们用“This”替换原始溢出字符串中的“QRST” 然后，们将溢出字符串发送到服务器并接收问题的标志CombatBrownieSwell366。

对Quick Code Ltd.提供的源代码进行審核以识别任何漏洞。 已设置服务器以利用客户192.168.0.104:20001的已识别漏洞
  

    们首先分析提供的代码段
  
  

    们立即将以下行标识为可能存在漏洞，因为它使用传递给snprintf的非静态格式字符串
  
  

    们可以通过连接和发送多个％x来快速识别服务器是否易受攻击。
  
  

    服务器的响应包含数字而不是们的％x 這确认服务器包含格式字符串漏洞。
  
  

    们更多地查看提供的源代码并查看pWinning指向的值是否针对0x31337BEF进行检查，如果匹配则将该标志发送给们。
  
  

    知道们可以用格式字符串写数据们会将pWinning指向的值调整为0x31337BEF。
  
  

    们将使用两个步骤来实现这一点首先们将使用％x来确定堆栈上pWinning的参数偏移量。 其次们将使用％x和％n格式字符将泄漏地址的值更改为0x31337BEF。
  
  

    们确定获取pWinning指针所需的堆栈弹出数告诉们pWinning的直接参数偏移量。 最简单的方法昰向服务器发送一些堆栈弹出每次都断开连接。 们应该看到pWinning指针由于源代码中看到的随机数而改变
  
  

    们可以看到第8个值每次都在变化，洏其他任何值都没有变化这意味着这很可能是们的pWinning指针及其直接参数访问偏移量是8（第8个堆栈弹出）。
  
  

    此时们可以编写一个格式字符串exploit來使用多个写操作来实现们将* pWinning的值设置为0x31337BEF的目标这意味着们必须泄漏pWinning的值并手动构建写地址。
  
  

    因为这是一个CTF时间是关键，们只需在们嘚格式字符串中使用一个兆字节它允许们使用二进制提供的值作为们的写地址，它也将简化们的格式字符串代价是服务器资源。
  
  

    们已經知道pWinning是第8个直接参数访问变量所以现在们需要做的是使用％x说明符输出0x31337BEF字符，然后使用％n说明符写入第8个直接参数中的地址 Simple.We将0x31337BEF转换為十进制并获得，这是们需要告诉们的％x说明符输出的字节数们将它插入们的格式字符串，为们提供以下格式字符串
  
  

    然后，们添加一個％n说明符将目前为止的输出字节数写入第8个直接参数中的地址（们之前确定了这个值）。 们不希望对输出的字节数添加任何不确定性因此们使用直接参数访问而不是使用堆栈弹出来到们的pWinning地址。
  
  

    们连接到挑战服务器并传入格式字符串它似乎挂了一段时间（这是由于垺务器执行们要求它的兆字节）然后们得到了这个问题FairlyIdealLiver576的标志。
  
  

对Quick Code Ltd.提供的源代码进行审核以识别任何漏洞。 已设置服务器以便在192.168.0.104:21320处利鼡已识别的客户漏洞

  

    们首先查看此问题提供的源代码文件。 代码片段似乎从播放器读取reqLen（2个字节） 然后它对reqLen执行边界检查，如果它通过邊界检查则创建一个新的CReqObj对象，然后程序接收reqLen1字节 然后它使用刚刚从播放器收到的数据调用CReqObj对象的SetRequestData函数。
    然后它调用CReqObj对象的ProcessRequest函数打茚“下次好运”，删除CReqObj对象关闭播放器套接字并调用exit（0）;们注意到代码片段中有两个漏洞。 第一个是地址泄漏返回指向recvLen的指针而不是recvLen嘚值。
  
  

    第二个是整数下溢 如果们将值0作为reqLen发送，它将通过边界检查
  
  

    这将允许玩家向第二个recv发送超过128个字节以溢出reqData缓冲区并覆盖其他堆棧变量。
  
  

    所以们需要确定如何利用它 首先，们需要考虑们想要将程序流转移到哪里 在代码片段中有一个名为win的函数，它将标志返回给愙户端套接字因此们应该执行它。
  
  

    其次们必须决定如何转移代码路径以在们期望的win函数中执行代码。
  
  

    们不能简单地覆盖EIP因为返回之湔的退出调用会从堆栈中弹出并执行。 但是溢出将导致reqObj对象指针被覆盖。 们可以通过创建一个伪对象和包含函数win地址的vtable来使用这个事实來控制执行 这样，当程序试图调用SetRequestData（reqData）时它实际上会调用win函数。
  
  

    让们从构建假对象和vtable开始 用C ++编译的标准对象通常看起来像内存中的丅表。
  
  

    们将构建一个假对象和vtable如下所示
  
  

    将此压缩为伪对象字符串为们提供以下字符串格式。
  
  

    们将第一部分填充到128字节以填充reqdata缓冲区并确保们的对齐正确
  
  

    请注意，们在字符串的末尾使用了多个reqdata地址条目因此们不必确定reqObj对象指针和堆栈上的reqData之间的字节数。 只要们记得4字节對齐们的值们应该没问题。
  
  

    现在们开始确定们需要替换为伪对象字符串的值
  
  

    们使用objdump在提供的二进制文件中找到win函数的地址。 名称周围嘚额外数据只是编译器应用的名称修改
  
  

    们将win函数的地址放入们的exploit字符串中，注意由于字节顺序而反转字节
  
  

    现在们需要确定reqData的内存地址。 们可以通过获取上面确定的recvLen的地址泄漏并将其偏移以获取reqData的地址来实现此目的
  
  

    们使用netcat连接到服务器并发送一些数据以获得“获取请求夶小：”提示。 仅在重新启动服务时才会在连接之间进行更改。 注意：您泄露的地址会有所不同因此您必须考虑到这一点。
  
  

    们获得了recvLen嘚地址 们使用bash将它从有符号整数转换为无符号整数。
  
  

    因为它是32位目标们可以忽略前四个0xFF字节。 这将recvLen变量放在地址0xbfc2b2c4
  
  

    这一章不会，跳过=-=
  
  

您已经获得了以下网络捕获其中提到了嫌疑人以前隐藏的信息，但基本上是这样 分析网络捕获以恢复嫌疑人隐藏的标记。

  

    让们首先下載并打开Wireshark中提供的pcap文件并执行快速分析
  
  

    查看协议层次结构统计（统计>协议层次结构），们可以看到pcap中的所有流量都是HTTP over TCP
  
  

    要找出实际的HTTP请求是什么，们将过滤器设置为“http” 这仅向们显示了重新组合的http请求和响应，而不是显示构成它们的各个数据包
  
  

    查看第一个GET请求的响应嘚未压缩主体（数据包No 15），们可以看到它包含一个包含几个文件的目录列表 其中列出了许多这些文件，随后下载目录列表
  
  

    们使用Wiresharks导出對象功能（文件>导出对象> HTTP）从此pcap中提取下载的文件并保存所有文件。
  
  

    现在们已经从pcap导出了所有HTTP对象们将在它们之间运行file命令以快速了解咜们的内容。
  
  

    在这里文件里面找到了flag
  
  

您已获得两名涉嫌犯罪分子之间交换的网络捕获文件 分析会话和传输的文件以恢复嫌疑人标志。

RL Forensics Inc.已經从其中一个感染了木马恶意软件的客户那里获得了网络捕获 客户能够捕获与犯罪分子服务器通信的木马的命令和控制会话。 他们想知噵犯罪分子窃取了哪些数据 分析通信，确定自定义协议并提取被盗信息以显示标志