El desafío en cuestión, que lleva el título "echooo", presenta en mi opinión un nivel de dificultad bajo (★★☆☆☆).
- echooo - Points: 300:
Su enunciado dice lo siguiente: 'This program prints any input you give it. Can you leak the flag? Connect with nc 2018shell.picoctf.com 23397. Source'.
Se proporcionan dos archivos: un ejecutable (echo) y un fichero con el código fuente (echo.c).
Y como pista ('Hint') se nos dice: 'If only the program used puts...'.
Solución: utilizo el comando file para ver qué tipo de ejecutable es echo y veo, entre otras cosas, que se trata de un binario con formato ELF (Executable and Linkable format) y que la arquitectura es de 32-bit.
Por el enunciado del reto intuyo que para obtener la flag debo explotar la vulnerabilidad de cadena de formato (en inglés, 'format string') a la que casi con toda seguridad es vulnerable el binario.
Para confirmar mi sospecha echo ahora un vistazo al código fuente (echo.c):
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/types.h>
int main(int argc, char **argv){
setvbuf(stdout, NULL, _IONBF, 0);
char buf[64];
char flag[64];
char *flag_ptr = flag;
// Set the gid to the effective gid
gid_t gid = getegid();
setresgid(gid, gid, gid);
memset(buf, 0, sizeof(flag));
memset(buf, 0, sizeof(buf));
puts("Time to learn about Format Strings!");
puts("We will evaluate any format string you give us with printf().");
puts("See if you can get the flag!");
FILE *file = fopen("flag.txt", "r");
if (file == NULL) {
printf("Flag File is Missing. Problem is Misconfigured, please contact an Admin if you are running this on the shell server.\n");
exit(0);
}
fgets(flag, sizeof(flag), file);
while(1) {
printf("> ");
fgets(buf, sizeof(buf), stdin);
printf(buf);
}
return 0;
}
Además, como se ve en el código fuente, la flag se almacena en la pila, por lo que lo único que tengo que hacer es aprovecharme de la citada vulnerabilidad para ir filtrando datos de la pila y obtener así la flag.
El 'buffer' tiene un tamaño de 64 bytes, por lo que lo primero que hago es incluir como entrada del usuario 32 veces los caracteres '%x', con lo que se irán filtrando los valores en hexadecimal de los datos de la pila en grupos de 4 bytes:
Y, teniendo en cuenta el formato de almacenamiento en memoria 'little-endian', es decir, que los bytes se almacenan en cada grupo de 4 bytes del menos significativo al más significativo, puedo ver el 'buffer' relleno con los caracteres '%x' introducidos y seguidamente el inicio de la flag ('picoCTF{foRm4t_stRin').
Como el 'buffer' sólo tiene 64 bytes, para ver la flag entera añado 'n$' entre los caracteres '%' y 'x' para que se filtren los grupos de 4 bytes que yo desee, es decir, '%27$x' filtraría el valor en hexadecimal del vigésimo séptimo grupo de 4 bytes de la pila (primer grupo que contiene caracteres de la flag), y '%27$x%28$x%29$x%30$x%31$x%32$x%33$x %34$x%35$x%36$x%37$x%38$x' filtraría el valor en hexadecimal del vigésimo séptimo al trigésimo octavo grupos de 4 bytes de la pila (4 bytes o caracteres por grupo * 12 grupos = 48 primeros caracteres de la flag):
Y lo único que queda por hacer es obtener el carácter correspondiente a cada uno de los códigos ASCII en hexadecimal que se muestran (el resultado de esa conversión se indica en la figura anterior en color rojo) e invertir el orden de los caracteres en cada uno de los grupos de 4 caracteres obtenidos (el último grupo tiene sólo 2 caracteres).
Para lo primero he utilizado 'CyberChef':
Por tanto, la flag es: picoCTF{foRm4t_stRinGs_aRe_DanGer0us_254148ae}
Comentarios
Publicar un comentario