פתרון ל-ctf של גוגל js safe 2

By | יוני 29, 2018

במאמר זה נעבור שלב אחרי שלב את האתגר של גוגל העוסק בהינדוס לאחור קוד JS אשר הוכנסו אליו מנגנוני anti debug.

לינק לאתגר

את האתגר וקבצי הפתרונות שלו ניתן למצוא גם בGIT של האתר בלינק הבא: לינק .

לפני שאתם ממשיכים לקרוא, מומלץ מאד לנסות ולפתור את האתגר לבד.

ja_safe_writeup_1

עמוד האתגר

נראה כי האתגר כולו עוסק במנגנונים שאמורים למנוע מאיתנו מלהבין מה הקוד שמריץ הדפדפן.

במאמר נעקוף שלב אחר שלב את המנגנונים האלו עד שנגיע לדגל.

 

שלב ראשון : הפיכת הקוד לקריא

לאחר שהורדנו אתת האתגר ופתחנו את העמוד js_safe_2.html ניתן להתחיל להבין את הלוגיקה שמריץ העמוד.

כשנריץ את הHTML נקבל את העמוד הבא.

עמוד האתגר

עמוד האתגר

כאשר נכנס למצב מפתחים נוכל לראות את הקוד .

 

שורות 6-13: נותנות הסבר נוסף על האתגר.

שורה 119: הינה השורה של הקלט שלנו וממנה הולכים לפונקציה open_safe().

שורה 104: בתוך הפונקציה open_safe() מוודאת את תוכן הקלט ומחייבת אותו להיותר מהתצורה CTF{([[email protected]!?-]+)}.

שורה 105: קוראת לפנקציה X שבה ככל הנראה מתבצע החישוב שלנו.

שורה 99:  הינה השורה של הפונקציה שכרגע קצת קשה לנו להבין מה היא עושה.

אז נסדר קצת את הקוד…

בדפדפן במצב מפתחים נלחץ על pretty print ונקבל את הקוד מסודר.

נעתיק את הקוד לעמוד חדש ונעבוד איתו.

שלב שני: ביטול המנגנונים ששמפריעים לנו בתהליך הדיבוג

כאשר ננסה לדבג את הקוד עם קלט כלשהו לדוגמאת {CTF{a נראה שאנחנו כל הזמן נעצרים בשורה 138 ולכן נסיר אותה מהקוד שלנו.

חשוב שלא למחוק את הלולאה בשורה 137 , הלולאה מגדירה משתנה a=1000 שנצטרך שיאותחל להמשך(המשתנה מאותחל בDOM וערכו נלקח בפונקציה h ).

ניתן להסיק כי הפונקציה h שבשורה 125 מקבלת קלט כלשהו ויוצרת ממנו "מפתח" בוגדל 4 בתים.

הפונקציה c  בשורה 132 ככל  הנראה עושה XOR לטקסט a  עם מפתח b.

שורה 140 תכיל את הקוד המוצפן אותו נצטרך לפתוח ובתקווה יכיל את הדגל הדרוש  למעבר שלב.

שורה 141 הינה פונקציה רקורסיבית שבזמן דיבוג תתקע את הדפדפן ולכן נסיר אותה.

שורה 149 תנסה להריץ את התוצאה של ה XOR שלנו ובתקווה תדפיס את המפתח.

 

עכשיו כאשר אנחנו יכולים לדבאג נפזר breakpoints ונריץ

שלב שלישי: הבנת הליך פתיחת התוכן המוצפן

נשים לב למשהו מוזר שקורה בקריאה לפנקציה  h הפונקציה מקבלת כפרמטר את תוכן פונקציה x ולא את המשתנה שלה (הסיסמא שהכנסו).

 

נבחן את ההצהרה של פונקציה X כדי להבין מה קורה ונגלה שהמשנה מקודד בצורה אחרת משם הפונקציה

 

ניתן להסיק מזה כי המפתח אשר נוצר ב h צריך את התוכן של x ללא שינוי ולכן נשנה את הקוד שלנו טיפה,

נעתיק את x המקורי לעמוד שלנו את הפונקציה x שלנו נשנה ונקרא לה בשם אחר לדוגמא x1

לאחר הרצה ניתן לראות כי הצלחנו לפתוח את התוכן המוצפן (יאיייייייי)

פתיחת התוכן המוצפן

פתיחת התוכן המוצפן

שלב רביעי: בניית תוכנית המשך

אז הצלחנו לפתוח את החלק המוצפן אבל מה עושים מפה ??

כדי לענות על זה נצטרך להבין את השורות הבאות:

ההגדרה with  מוסיפה את האובייקט לסקופ שלנו וחוסכת מאיתנו לכתוב אותו ולכן נוכל לשנות את השורה המחזירה ערך לדבר הבא:

return eval('eval(c(source.source,x))')

הערך שיחוזר מהביטוי source.source הינו הערך הטקסואלי (string) של הביטוי הרגולארי שלנו.

eval  מאפשר לקחת טקסט ולהריץ אותו.

זאת אומרת שלאחר שהסגנו את התוכן המוצפן נוכל להחליף את השורה כולה בשורה הבאה:

הפעם ה X הוא משתנה הפונצקציה ולכן נצטרך למצוא את המפתח הXOR( (פרמטר h(x ) שידע לפתוח את התוכן.

 

שלב רביעי +: הבנת אופן פעולת XOR

כדי שנוכל להמשיך נצטרך להבין כיצד XOR עובד ולנצל את התוכנות שלו..

הנתונים שיש לנו עד עכשיו :

  1. התוכן המוצפן – ¢×&Ê´cʯ¬$¶³´}ÍÈ´T—©Ð8ͳÍ|Ԝ÷aÈÐÝ&›¨þJ
  2. גודל התוכן המוצפן 39
    1. ב- XOR גודל התוכן לא משתנה ולכן גם גודל הטקסט שלנו אמור לצאת 39
  3. גודל המפתח (הרי נוצר על ידי h ) – בתים4

שלב חמישי: bruteforce

כנראה שאין ברירה ונצטרך להריץ ברוטפורס שינסה את כל האפשרויות על 4 תווים ולקוות שהמפתח נמצא בהתחלה.

לשם כך כתבתי את הסקריפט הבא:

נראה שהסקריפט אכן רץ אך לאחר כמה דקות הבנתי שזאת לא הדרך , הסקריפט לא מצא את הסיסמא ומספר האפשרויות עצום ( 2 בחזקת 32).

bruteforce

bruteforce

חייבת להיות דרך ליעל את הסקריפט.

ואכן דבר חשוב נוסף שצריך לדעת על XOR הוא שבמידה ויש לנו חלק נכון של המפתח נוכל לפתוח חלק מהתוכן המוצפן, לדוגמא אם יש לנו את התו הראשון ממפתח בגודל 4 נוכל לפתוח כל תו רביעי מאינדקס 0 ( התו הראשון , הרביעי וכו').

הוספתי את הבדיקה הזאת לסקריפט:

 

ואכן לאחר מספר דקות קיבלנו את הדגל =]

הדגל

הדגל

 

קיבלנו את הדגל _N3x7-v3R51ON-h45-AnTI-4NTi-ant1-D3bUg_

 

הדגל

בדיקת הדגל

 

וסיימנו !!!

 

את האתגר פתרתי ביחד עם שלו אלחייני (שהבטיח שאת המאמר הבא הוא רושם, אז יש למה לצפות !!!)

דירוג

Comments

comments

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *