Challenge CTF Richelieu de la DGSE

[Latreth]

Coucou a tous,
Après quelques recherches, voici une commande pour faire crash le .bin du defi3 :
python -c 'print("1\nA\nB\n1\nC\nD\n3\n0\n2\n3\n1\n2\n3\n0\n2\n1\nE\nF\n1\nG\n")',
au vu du résultat de la console, et de la corruption de mémoire, je pense du coup que l'attaque à faire correpond à un heap-overflow, quelqu'un à réussi ce défi déjà ?
(Edit) En fait, plutot un Use-After-Free si je ne me trompe pas.

 

[vandamme]

Bon, je viens de comprendre ..... il me manquait un truc ..
Mais bizarrement, contrairement à d'autres personnes, j'ai été obligé de remplacé les ALD par UPX apres le xxd ...., sinon ça ne fonctionnait pas

 

[ben]

Bonjour à tous,
J'ai commencé à faire ce challenge et je suis tombé sur ce forum car je suis bloqué à l'extraction du mot de passe du binaire extrait de lsb_rgb.png
Je pense avoir trouvé la boucle qui vérifie le mot de passe (celui ci est censé faire 30 caractères) mais quand je regarde les valeurs stockées dans les registres je trouve 30 ascii mais certains sont non imprimables. j'ai essayé de faire des rotations dessus mais je ne trouve pas la combinaison finale.
Suis-je sur la bonne voie ?

Merci

 

[Gminet]

De mon côté, je n'ai retiré des trucs qu'à la fin, avant le xdd. J'ai rien retiré au début.

Meme chose que toi et cela marche. J'ai bien un binaire qui s'exécute apres la commande xxd -r et
depack avec upx.

Bref maintenant debug

 

[Gminet]

Je supprime (avant le xxd) les caractères après l'offset 0x00134AFC ainsi que je remplace tous les ALD par UPX, mais ca ne fonctionne toujours pas.


Voir la pièce jointe 5969

pas eu a retirer le fin du fichier...

 

[vandamme]

Bonjour à tous,
J'ai commencé à faire ce challenge et je suis tombé sur ce forum car je suis bloqué à l'extraction du mot de passe du binaire extrait de lsb_rgb.png
Je pense avoir trouvé la boucle qui vérifie le mot de passe (celui ci est censé faire 30 caractères) mais quand je regarde les valeurs stockées dans les registres je trouve 30 ascii mais certains sont non imprimables. j'ai essayé de faire des rotations dessus mais je ne trouve pas la combinaison finale.
Suis-je sur la bonne voie ?

Merci

Hello ben,
Oui tu es sur la bonne voie, car tout se passe dans cette fameuse boucle.
Pour résoudre cette question, je te suggère d'utiliser Ghidra qui est un puissant décompilateur (et gratuit en plus).
Tu verras mieux le fonctionnement de cette boucle.

 

[amaël]

Bonjour,
je suis incapable de me connecter à la machine du défi2...

ssh: connect to host defi2.challengecybersec.fr port 2222: Connection timed out

Une idée?

 

[thomas3434]

Bonjour,
je suis incapable de me connecter à la machine du défi2...

ssh: connect to host defi2.challengecybersec.fr port 2222: Connection timed out

Une idée?

Il faut faire un ROP; je te conseil ce lien https:// zestedesavoir .com/articles/1424/decouvrez-lattaque-return-oriented-programming/

 

[amaël]

Il faut faire un ROP; je te conseil ce lien https:// zestedesavoir .com/articles/1424/decouvrez-lattaque-return-oriented-programming/

Merci thomas3434, mais tu as répondu à côté de ma question... J'ai un problème de connexion ssh.
Celà dit, je ne vois pas pourquoi utiliser des rop alors que la pile est exécutable. Je compte simplement y injecter mon shellcode et l'exécuter. La difficulté est l'ASLR qui m'empêche d'en connaître l'adresse..

edit:
Après réflexion, ça me paraît irréalisable de bruteforcer l'adresse d'un shellcode, même avec un padding d'un grand nombre de nops...
Je regarde donc les rops (avec rp++) mais je ne vois pas plus qu'une petite centaine de gadgets et je ne vois pas comment récupérer l'adresse de la pile.

edit2:
Si! finalement je crois que je vois un prétendant dans la liste!!

edit3:
Défi2 remporté!!

 

[MC2]

Bonjour,
Je suis avec admiration vos exploits et j'avance doucement grâce à vos conseils.
Cependant, je reste bloqué à la toute première transformation jpg vers zip (avant les défis). Changer l'extension donne une archive corrompue et la commande file après le changement d'extension indique toujours une image. Comment faire ?

Edit: finalement j'ai essayé d'autres extensions. Et cela a marché pour le format 7z (propriétaire de 7zip).

 

[Saelyx]

Ce forum m'a bien aidé à passer la crypto... je bloque toujours dessus, je comprends pas pourquoi avec e, p, N j'arrive pas à trouver q ...
J'ai réussi tout le reste (pour la stega c'était du déjà vu), et le 1er wargame aussi.
Parcontre le ROP ça me semble hors de portée

 

[yvelii]

Petite info : le dernier MISC partage la solution complète (les références).