¡Saludos
amigos!
Ya
hacía tiempo que estaba un poco desconectado de varias cosas por cuestiones
personales y laborales, sin embargo hace un par de días me encontraba
monitoreando la lista de CLS me di cuenta que Boken (uno de sus integrantes)
publicó un ExploitMe básico y haciendo un poco de espacio en mi apretada agenda
me di a la tarea de crear este pequeño tute en el que explico su resolución
paso a paso a mi modo y conforme a mis conocimientos y experiencia me lo
permitan.
El
ExploitMe objetivo se centra en la identificación de código fuente (HLL) en C y
las instrucciones en Ensamblador que correspondan a dicho código. Para los que no
tengan mucho skill en esta parte, les recomiendo MUCHO leer los tutoriales de
Ricardo de "C y Reversing" así como la guía de Dennis Yurichev con
nombre "Reverse Engineering for Beginners" y pueden descargar el
libro de forma gratuita desde acá: http://beginners.re.
Considero
que si es importante y además muy útil el poder hacer dicha
"traducción" entre C y Ensamblador -y viceversa- ya que podrán tener
una completa visibilidad acerca de lo que está sucediendo entre el programa y
la máquina, ya sea que se encuentren debuggeando, desensamblando o lo que sea.
Ya explicaré en algunos otros tutes lo que he aprendido sobre la marcha.
Regresando
un poco al tute, les pido de favor que si encuentran algún error me lo hagan
saber y con gusto arreglo el documento.
Herramientas utilizadas:
• Virtual Box (Windows XP SP2 32b - ESP)
• Code::Blocks (Compilador)
• Python
• Immunity Debugger
Código del ExploitMe:
Bien, resolvamos el primer punto:
1. Compílalo, e identifica la dirección de las funciones main() y checkpass()
Utilizando Code::Blocks, prácticamente copiamos, pegamos y compilamos el código del ExploitMe. Posteriormente lo abrimos en el Immunity Debugger.
Ahora, nos saltamos (CTRL + G) directo al VA (401000) y le seteamos un BP.
Nos vamos instrucción por instrucción (F7) y llegaremos hasta 4010F8 que es la dirección hacia donde saltaremos al codigo que nos atañe (a la función que nos muestre el mensaje de "Access granted!"). Bien, le seteamos un BP de igual manera.
Si se preguntan la razón del por qué los BP's, siento que es bueno siempre estar parando en aquellos puntos clave en los cuales uno puede parar y darse una vuelta por el stack, el memory dump o lo que sea; por lo menos a mi me ha servido.
Si saltamos (ENTER) a ese CALL, entraremos prácticamente al main().
Vemos como desde la dirección 4013C0 hasta 401427 se encuentran las instrucciones relacionadas a la función main(). En la imagen siguiente se encuentra el stack frame de main, seleccionada en color azul.