Primeramente me gustaría dejar claro que esta publicación no es más que una traducción. Por lo que todos los creditos van paraMRegra Silva
Información:
Nombre de la plataforma:PicoCTF
Nombre del reto:asm2
Categoría: Ingeniería Inversa
Puntos: 250
PicoCTF 2019.
Descripción del reto:
¿Qué retorna asm2(0xb, 0x2e)? Envía la bandera como un valor hexadecimal (comienza con '0x'). NOTA: El envío para este reto NO será en el formato normal de las banderas.Código.
Pista:Condiciones en ensamblador
Writeup (Inicio)
En este reto, tenemos el código fuente en ensamblador. El archivo se llamatest.S y acontinuación puedes ver el código en cuestion:
asm2: <+0>: push ebp <+1>: mov ebp,esp <+3>: sub esp,0x10 <+6>: mov eax,DWORD PTR [ebp+0xc] <+9>: mov DWORD PTR [ebp-0x4],eax <+12>: mov eax,DWORD PTR [ebp+0x8] <+15>: mov DWORD PTR [ebp-0x8],eax <+18>: jmp 0x509 <asm2+28> <+20>: add DWORD PTR [ebp-0x4],0x1 <+24>: sub DWORD PTR [ebp-0x8],0xffffff80 <+28>: cmp DWORD PTR [ebp-0x8],0x63f3 <+35>: jle 0x501 <asm2+20> <+37>: mov eax,DWORD PTR [ebp-0x4] <+40>: leave <+41>: retComo dige anteriormente, esto es código en ensamblador, ya solucioné un reto sobre ensamblador por lo que podría ser parecido, vamos a probar.
Para entender el programa decidí ir línea por línea.
<+0>: push ebp <+1>: mov ebp,espComo ya sabemosasm2(0xb, 0x2e) está siendo puesto en elstack. Esto pasa en las primeras dos líneas. La primera hacepush deasm2 haciaebp y después se mueve dicho valor haciaesp.
Después de estas dos instrucciones, el estado delstack es el siguiente:
| Direccion | Valor | Instrucción |
|---|---|---|
| 0xc | 0x2e | ebp+0xc |
| 0x8 | 0xb | ebp+0x8 |
| 0x4 | ret | ebp+0x4 |
| 0x0 | ebp |
Saber esto nos ayuda bastante. Ahora vamos a ver la siguiente instrucción:
<+3>: sub esp,0x10En esta instrucción, simplemente estamos a asignando espacio para algunas variables locales, por lo que el stack quedaría así:
| Direccion | Valor | Instrucción |
|---|---|---|
| 0xc | 0x2e | ebp+0xc |
| 0x8 | 0xb | ebp+0x8 |
| 0x4 | ret | ebp+0x4 |
| 0x0 | ebp | |
| -0x4 | local1 | ebp-0x4 |
| -0x8 | local2 | ebp-0x8 |
| -0xc | local3 | ebp-0xc |
| -0x10 | local4 | ebp-0x10 |
Continuamos con:
<+6>: mov eax,DWORD PTR [ebp+0xc] <+9>: mov DWORD PTR [ebp-0x4],eax <+12>: mov eax,DWORD PTR [ebp+0x8] <+15>: mov DWORD PTR [ebp-0x8],eax <+18>: jmp 0x509 <asm2+28>Vamos instrucción por instruccion:
- Primero, le asignamos al registroeax el valor deebp+0xc que sería0x2e, según elstack actual.
- Después, movemos el valor del registroeax a ebp-0x4, que en nuestro caso seríalocal1, es decír la variablelocal1 tendría el valor0x2e.
- Luego movemos el contenido deepb+0x8 aeax, es decír, su valor sería0xb
- En la linea +15 movemos el contenido del registroeax haciaebp-0x8, es decír la variablelocal2 tendría el valor0xb.
- Finalmente hacemos un salto haciaasm2+28.
El estado actual delstack es:
| Direccion | Valor | Instrucción |
|---|---|---|
| 0xc | 0x2e | ebp+0xc |
| 0x8 | 0xb | ebp+0x8 |
| 0x4 | ret | ebp+0x4 |
| 0x0 | ebp | |
| -0x4 | 0x2e | ebp-0x4 |
| -0x8 | 0xb | ebp-0x8 |
| -0xc | local3 | ebp-0xc |
| -0x10 | local4 | ebp-0x10 |
Pasemos a la siguiente instrucción:
<+28>: cmp DWORD PTR [ebp-0x8],0x63f3 <+35>: jle 0x501 <asm2+20>Como sabrás, la anterior instrucción nos hizo saltar haciaasm2+28, la cual es una comparación seguida de un salto si el resultado es menor o igual que. En este caso, comparamosebp-0x8 (es decir, la variablelocal2 que tiene el valor0xb) y0x63f3. Sabemos que0xb es menor que0x63f3 por lo que hacemos el salto haciaasm2+20.
<+20>: add DWORD PTR [ebp-0x4],0x1 <+24>: sub DWORD PTR [ebp-0x8],0xffffff80En la linea +20 tenemos una istrucciónadd, añadimos 1 aebp-0x4, convirtiéndolo en0x2f.
En la linea +24 tenemos una instrucciónsub, restamos0xffffff80 aebp-0x8. Esto es x86 por lo que tenemos que truncar el resultado, para ello simplemente realizamos esta operación en Python:
local2=(local2-0xffffff80)&0xffffffffAhora el valor delocal2 es:0x8b
Continuando con la siguiente linea nos encontramos nuevamente en la +28 y sabemos que0x8b es menor que0x63f3 por lo que volvemos a dar el salto. Para facilitar el proceso creé unscript en Python que no es más que una "traducción" de este código en ensamblador. Elscript en cuestión es el siguiente:
'''Stack:[ local4 ] <--- ebp-0x10[ local3 ] <--- ebp-0xc[ local2 ] <--- ebp-0x8[ local1 ] <--- ebp-0x4[ ebp ][ ret ] <--- ebp+0x4[ arg1 ] <--- ebp+0x8[ arg2 ] <--- ebp+0xc'''#We know that asm2 receives two argumentsdefasm2(arg1,arg2):#asm2:#<+0>: push ebp#<+1>: mov ebp,esp#<+3>: sub esp,0x10#<+6>: mov eax,DWORD PTR [ebp+0xc]eax=arg2#<+9>: mov DWORD PTR [ebp-0x4],eaxlocal1=eax#<+12>: mov eax,DWORD PTR [ebp+0x8]eax=arg1#<+15>: mov DWORD PTR [ebp-0x8],eaxlocal2=eax#<+18>: jmp 0x509 <asm2+28>#<+20>: add DWORD PTR [ebp-0x4],0x1#<+24>: sub DWORD PTR [ebp-0x8],0xffffff80#<+28>: cmp DWORD PTR [ebp-0x8],0x63f3#<+35>: jle 0x501 <asm2+20>while(local2<=0x63f3):local1=(local1+1)&0xffffffff#This truncates the result to 32 bits.local2=(local2-0xffffff80)&0xffffffff#This truncates the result to 32 bits.''' It is necessary to truncate the restuls because in python does not have buffer overflow but 0x86 can have so we have to truncate it.'''#<+37>: mov eax,DWORD PTR [ebp-0x4]#<+40>: leave#<+41>: retreturnhex(local1)print(asm2(0xb,0x2e))Como dige anteriormente, elscript es una "traducción" como hice antes pero con sintáxis de Python 3. Después de ejecutar el código obtendremos la bandera.
Espero les haya sido de tanta utilidad como a mí, cualquier duda noduden en enviarme un mensaje.
Link del post original:https://mregraoncyber.com/picoctf-writeup-asm2/
Top comments(0)
For further actions, you may consider blocking this person and/orreporting abuse
