Este desafió, que lleva por título "Boofy", en mi opinión, presenta un nivel de dificultad bajo (★★☆☆☆).
Su enunciado dice lo siguiente: This program looks like it's password protected, but we can't seem to find the correct password.
nc boofy.tghack.no 6003
Y se proporcionan dos archivos: un ejecutable (boofy) y otro con un código fuente (boofy.c).
Solución: lo primero que hago es ejecutar el programa (boofy); se me pide una contraseña, introduzco 'A' y se muestra un mensaje que me indica que esa no es la contraseña correcta.
Después, echo un vistazo al código fuente (boofy.c):
#include < stdlib.h>
#include < stdio.h>
#include < unistd.h>
void get_flag()
{
printf("TG20{the real flag is on the server}\n");
}
void try_password()
{
char password[20] = { 0 };
int correct = 0;
printf("Please enter the password?\n");
gets(password);
if (correct == 1) {
get_flag();
} else {
printf("Sorry, but that's not the right password...\n");
}
}
int main()
{
setvbuf(stdout, NULL, _IONBF, 0);
try_password();
return 0;
}
Y me queda claro que en este reto se trata de explotar la vulnerabilidad de desbordamiento de 'buffer' (en inglés, 'buffer overflow').
En este caso se trata de un reto muy sencillo de este tipo en el que creo que para obtener la 'flag' basta con introducir como password una cadena de 20 bytes o caracteres cualesquiera (tamaño del espacio asignado a la password a introducir) más cuatro bytes con los siguientes valores en hexadecimal: \x01\x00\x00\x00 (formato de almacenamiento en memoria 'little-endian', es decir, del byte menos significativo al más significativo), con lo que el 'buffer' asignado a la password se rellenará con los primeros 20 caracteres de la password introducida, se producirá su desbordamiento, el valor de la variable 'correct' se sobrescribirá con el valor 1 (cuatro últimos caracteres de la password introducida) y como el valor de 'correct' es igual 1 se mostrará la 'flag'.
Compruebo si estoy en lo cierto mediante una pequeña línea codificada en python: python -c "print 'A'*20 + '\x01\x00\x00\x00'" | nc boofy.tghack.no 6003, y obtengo lo siguiente:
Con lo que la 'flag' es: TG20{The real flag is much boofier than the other one}
#include < stdlib.h>
#include < stdio.h>
#include < unistd.h>
void get_flag()
{
printf("TG20{the real flag is on the server}\n");
}
void try_password()
{
char password[20] = { 0 };
int correct = 0;
printf("Please enter the password?\n");
gets(password);
if (correct == 1) {
get_flag();
} else {
printf("Sorry, but that's not the right password...\n");
}
}
int main()
{
setvbuf(stdout, NULL, _IONBF, 0);
try_password();
return 0;
}
Y me queda claro que en este reto se trata de explotar la vulnerabilidad de desbordamiento de 'buffer' (en inglés, 'buffer overflow').
En este caso se trata de un reto muy sencillo de este tipo en el que creo que para obtener la 'flag' basta con introducir como password una cadena de 20 bytes o caracteres cualesquiera (tamaño del espacio asignado a la password a introducir) más cuatro bytes con los siguientes valores en hexadecimal: \x01\x00\x00\x00 (formato de almacenamiento en memoria 'little-endian', es decir, del byte menos significativo al más significativo), con lo que el 'buffer' asignado a la password se rellenará con los primeros 20 caracteres de la password introducida, se producirá su desbordamiento, el valor de la variable 'correct' se sobrescribirá con el valor 1 (cuatro últimos caracteres de la password introducida) y como el valor de 'correct' es igual 1 se mostrará la 'flag'.
Compruebo si estoy en lo cierto mediante una pequeña línea codificada en python: python -c "print 'A'*20 + '\x01\x00\x00\x00'" | nc boofy.tghack.no 6003, y obtengo lo siguiente:
Comentarios
Publicar un comentario