BalalaikaCr3w - NeoQuest Quals 2014

NEOQUEST 2014 Quals - TimeShift 2. Revenge

Dor1s — Tue, 04 Mar 2014 15:14:52 +0000

Category:

Event:

NeoQuest Quals 2014

Задание:

Мое внимание привлекает монитор. На него наклеен стикер с надписью B4365F2. Видимо, это какой-то ключ. На экране мигают две точки, соединенные пунктиром, а ниже бегут пакеты сетевого трафика. Наверное, это передача каких-то команд ракете. Но, по всей видимости, передаваемые данные зашифрованы... На компьютере также открыт файл, в котором записаны два IP-адреса (213.170.102.196:4001, 213.170.102.197:4002). Наверняка IP-адреса помогут мне понять схему работы протокола, по которому передаются команды! Да и в отладочной информации, если покопаться, можно будет обнаружить что-нибудь полезное...

Подключившись к адресам из задания понимаем, что используется какой-то протокол связанный с SSL.

Ответ от 213.170.102.196:4001:

Alert! Expected client hello message.
Format:
	1 byte		type	NEOSSL_HANDSHAKE	0x16
	2 byte		version	NEOSSL1_VERSION		0x01
	3-4 bytes	length (excluding header)
	5 byte		data	NEOSSL_CLIENT_HELLO	0x01
---DEBUG INFO---
Ubuntu Release 10.04 (lucid)
Kernel Linux 2.6.32-21-generic
Memory 1001.9 MiB
Processor Intel(R) Core(TM) i3 CPU
Processing time 1998 cycles
Processing threads - 1 thread
Public-key cryptography algorithm - RSA (with Montgomery multiplication)
Symmetric-key cryptography algorithm - AES-128 (zero IV)
------

Ответ 213.170.102.197:4002:

Alert! Expected server hello message.
Format:
	1 byte		type	NEOSSL_HANDSHAKE	0x16
	2 byte		version	NEOSSL1_VERSION		0x01
	3-4 bytes	length (excluding header)
	5 byte		data	NEOSSL_SERVER_HELLO	0x02
	6 byte		data	RSA_WITH_AES_128_CBC	0x01
	7-n bytes	data	Certificate
---DEBUG INFO---
Ubuntu Release 10.04 (lucid)
Kernel Linux 2.6.32-21-generic
Memory 1001.9 MiB
Processor Intel(R) Core(TM) i3 CPU
Processing time 1625 cycles
Processing threads - 1 thread
Public-key cryptography algorithm - RSA (with Montgomery multiplication)
Symmetric-key cryptography algorithm - AES-128 (zero IV)
------

Получив формат пакета с ссертификатом от одного сервера и сертификат от другого, приходит идея устроить пересылку сообщений между серверами:

Устанавливаем два подключения
Пересылаем сообщения между серверами друг другу, просматривая их

Понимаем, что устанавливается SSL соединение (не совсем классическое, а несколько упрощенное):

1-ый сервер выдает сертификат
2-ой сервер в ответ на сертификат выдает зашифрованный на открытом ключе первого сервера сеансовый ключ для AES-128-CBC (из отладочной информации понимаем)
В ответ на это 1 сервер отвечает коротким сообщением об окончании установления соединения
Пересылается один пакет, зашифрованный уже сеансовым симметричным ключом

Помучавшись с попыткой подменить сертификат, приходим к выводу, что используется атака по времени. Ибо:

Название намекает
Намеки в дебажном выводе
Слишком много намеков в дебажном выводе

Наиболее простым и правильным решением оказывается проведение Тайминг-атаки по мотивам вот этой статьи: http://crypto.stanford.edu/~dabo/papers/ssl-timing.pdf. Ибо Public-key cryptography algorithm - RSA (with Montgomery multiplication).

#!/usr/bin/python
from struct import pack
from sock import Sock
import sys
from fractions import gcd
from numpy import random
from operator import *
from time import *

#Extended Euclidean algorithm
def extended_euclidean(a, b):	
	x = 0
	lastx = 1
	y = 1
	lasty = 0
	
	while b != 0:
		q = a // b
		a, b = b, a % b		
		x, lastx = (lastx - q * x, x)
		y, lasty = (lasty - q * y, y)
	return (a, lastx, lasty)
	
def inverse(var, module):
	"""
	Return b such that b*m mod k = 1, or 0 if no solution
	"""
	v = extended_euclidean(var,module)
	return (v[0]==1)*(v[1] % module)

def code(u):
	buf = ''
	for i in xrange(0, 16, 1):
		t = u % (1 << 32)
		buf += pack('<I', t)
		u = u >> 32
	return buf[::-1]

hello1 = '\x16\x01\x00\x01\x01'
def decryptTime(u):
	tries = 3
	t = 0
	for i in range(0, tries, 1):
		s = Sock("213.170.102.196:4001", timeout=30)
		s.send(hello1)
		cerHello = s.recv(10000)		
		buf = '\x16\x01\x00\x41\x0c' + code(u)
		s.send(buf)
		s.read_until('Processing time ')
		buf = s.read_until(' cycles')
		s.close()
		t += int(buf[1:-6])
	return (t / tries)


Modulus = 0x00d30f0d35084103fdf880a2e23f34b2631cca681eb7651d733cdc09b7c95e68b9b956d37ea3695ea3e6b406c26460a192fc153cf9b688a90282c78dcbee012341
R = 1 << 256
invR = inverse(R, Modulus)

treshold = 50000 #this means 50000 cycles from DEBUG output 
def guess(g0):
	gOrig = g0
	randTries = 1
	for i in xrange(0, 252, 1):
		delta = 0
		g1 = 0
		for j in xrange(0, randTries, 1):
			g = gOrig
			if j > 0:
				g += random.randint(0, 512)
			print '#' + str(i)
			g1 = (1 << (251 - i)) | g

			ug0 = g * invR % Modulus
			print 'g : ' + hex(g)
			print 'g1: ' + hex(g1)
			ug1 = g1 * invR % Modulus

			dt0 = decryptTime(ug0)
			dt1 = decryptTime(ug1)
			delta += abs(dt1 - dt0)
		delta = delta / randTries	
		print 'delta: ' + str(delta)

		if delta < treshold:
			gOrig = g1
	return gOrig


def tryWithG0(g0):
	q = guess(g0)
	print hex(q)
	p = Modulus / q
	if q * p == Modulus:
		print 'SUCCES'
		print hex(q)
		print hex(p)
	else:
		print 'FAIL'


for b1 in range(0, 8):
	g0 = 1 << 255
	print '======================================= ' + str(b1)
	g0 = g0 + b1 * (1 << 252)
	print decryptTime(g0 * invR % Modulus)


g0 = (1 << 255) + 6 * (1 << 252)
tryWithG0(g0)

Примечение. Используется обертка для сокетов Sock, написанная Hellman (https://github.com/hellman/sock).

Если в функции guess выставить переменную randTries переменную равной >1, то скрипт будет использовать Neighborhood из статьи, но в данном случае это необязательно.

В итоге получаем один из множителей RSA модуля, находим закрытый ключ, расшифровываем сеансовый ключ AES. Далее расшифровываем последнее сообщение. Оно говорит нам, что нужно отправить сообщение вида "XXXXXXX:Connect". В качестве XXXXXXX подставляем код из задания. Все это дело шифруем AES'ом и дописываем заголовок пакета из протокола, используемого в задании:

#!/usr/bin/python
import socket
import struct
from Crypto.Cipher import AES

s1 = socket.socket()
s1.connect(("213.170.102.196", 4001)) 

s2 = socket.socket()
s2.connect(("213.170.102.197", 4002))

hello1 = '\x16\x01\x00\x01\x01'

s1.send(hello1)
cerHello = s1.recv(10000)
s2.send(cerHello)
buf = s2.recv(10000)
print '=== recv on cert:'
print buf.encode('hex')


tmp = buf[-64:]
c = int( '0x' + tmp.encode('hex'), 16)
d = 0x164e0ae945dc091df7fb303b94ce6ee3c691257bc989e818db9fad6f3cdabb5a6431a9262d6d04558cfc5084dfc2709f743f673396617b9d71de6f8da481eea1L
N = 0xd30f0d35084103fdf880a2e23f34b2631cca681eb7651d733cdc09b7c95e68b9b956d37ea3695ea3e6b406c26460a192fc153cf9b688a90282c78dcbee012341L
p = pow(c, d, N)
p = hex(p)[2:-1]
print p
if len(p) % 2 == 1:
	p = '0' + p
p = p.decode('hex')
key = p[-16:]
print len(key)
print key.encode('hex')
iv = '\x00' * 16
aes = AES.new(key, AES.MODE_CBC, iv)


s1.send(buf)
buf = s1.recv(10000)
s2.send(buf)
buf = s2.recv(10000)

cmd = aes.decrypt(buf[-112:])
print cmd

msg = 'B4365F2:Connect'
length = 16 - (len(msg) % 16)
msg += chr(length)*length
print msg
aes = AES.new(key, AES.MODE_CBC, iv)
data = '\x17\x01\x00\x10' + aes.encrypt(msg)

s2.send(data)
aes = AES.new(key, AES.MODE_CBC, iv)
flag = s2.recv(10000)

flag = aes.decrypt(flag[4:])
print 'FLAG:'
print flag

s1.close()
s2.close()

И вот только после этого получаем ключ:

To obtain the access to the missile control system send a message: "XXXXXXX:Connect".
XXXXXXX - ID
B4365F2:Connect
FLAG:
b84395ebd302b3e8943708770d45c4d3

Ключ: b84395ebd302b3e8943708770d45c4d3

Sports brands | UOMO, SCARPE

NEOQUEST 2014 Quals - Отмороженный компьютер

Dor1s — Tue, 04 Mar 2014 09:37:19 +0000

Category:

forensics

Event:

NeoQuest Quals 2014

Дан .vmem дамп памяти, по легенде, полученный с помощью Cold Boot Attack .

Из дампа среди всего прочего можно вытащить .html страницу (руками или через foremost) для ввода кодов деактивации ракет:

По легенде как раз нужно найти "коды отмена пуска ракеты или хотя бы что-то?".

Посмотрим список процессов (например, через фрэймворк volatility):

 doris$ ./vol.py -f ../../neoquest2014/vmem/win2.vmem --profile Win7SP1x86 pstree
Volatility Foundation Volatility Framework 2.3.1
Name                                                  Pid   PPid   Thds   Hnds Time
-------------------------------------------------- ------ ------ ------ ------ ----
 0x8459f190:wininit.exe                               392    320      3     75 2014-01-27 09:58:15 UTC+0000
. 0x8623a530:lsass.exe                                484    392      6    526 2014-01-27 09:58:15 UTC+0000
. 0x86212530:services.exe                             476    392      9    196 2014-01-27 09:58:15 UTC+0000
.. 0x86355378:svchost.exe                             768    476     18    459 2014-01-27 09:58:16 UTC+0000
... 0x8638fa50:audiodg.exe                            980    768      6    149 2014-01-27 09:58:17 UTC+0000
.. 0x846a8a88:wmpnetwk.exe                            780    476     10    254 2014-01-27 09:59:33 UTC+0000
.. 0x8471a538:svchost.exe                            2328    476     21    427 2014-01-27 10:00:24 UTC+0000
.. 0x85c7ad40:spoolsv.exe                            1300    476     12    267 2014-01-27 09:58:19 UTC+0000
.. 0x86396758:svchost.exe                             920    476     34   1107 2014-01-27 09:58:17 UTC+0000
.. 0x8623da60:svchost.exe                            1436    476     15    233 2014-01-27 09:58:20 UTC+0000
.. 0x85c525a0:svchost.exe                            1188    476     15    363 2014-01-27 09:58:19 UTC+0000
.. 0x863282c8:svchost.exe                             680    476      7    256 2014-01-27 09:58:16 UTC+0000
.. 0x86221030:svchost.exe                            1328    476     17    301 2014-01-27 09:58:19 UTC+0000
.. 0x86316030:SearchIndexer.                         1544    476     11    646 2014-01-27 09:59:32 UTC+0000
.. 0x86364538:svchost.exe                             828    476     17    425 2014-01-27 09:58:16 UTC+0000
... 0x84637398:dwm.exe                               2020    828      3     71 2014-01-27 09:59:24 UTC+0000
.. 0x863bb030:TrustedInstall                         1088    476      4    158 2014-01-27 09:58:17 UTC+0000
.. 0x866dd770:taskhost.exe                           2016    476     12    235 2014-01-27 09:59:23 UTC+0000
.. 0x86307d40:svchost.exe                             608    476     10    360 2014-01-27 09:58:16 UTC+0000
... 0x84724d40:VBoxSVC.exe                           2796    608     12    537 2014-01-27 10:00:52 UTC+0000
.... 0x8467dd40:VirtualBox.exe                       2076   2796     34    728 2014-01-27 10:03:47 UTC+0000
.... 0x8477b840:VirtualBox.exe                       3116   2796      0 ------ 2014-01-27 10:01:04 UTC+0000
.... 0x846cc030:VirtualBox.exe                        756   2796      0 ------ 2014-01-27 10:02:35 UTC+0000
... 0x846502e0:WmiPrvSE.exe                          3952    608      7    109 2014-01-27 10:02:25 UTC+0000
.. 0x845d1d40:mscorsvw.exe                           2288    476      7     73 2014-01-27 10:00:21 UTC+0000
.. 0x8477e030:wermgr.exe                             2644    476      1      0 2014-01-27 10:12:24 UTC+0000
.. 0x863801b0:svchost.exe                             888    476     12    280 2014-01-27 09:58:17 UTC+0000
. 0x8623d438:lsm.exe                                  492    392     10    136 2014-01-27 09:58:15 UTC+0000
 0x861a6030:csrss.exe                                 356    320      8    362 2014-01-27 09:58:15 UTC+0000
 0x845336c0:System                                      4      0     84    658 2014-01-27 09:57:50 UTC+0000
. 0x8585d4d0:smss.exe                                 260      4      2     29 2014-01-27 09:57:50 UTC+0000
 0x8594ed40:csrss.exe                                 400    384      7    203 2014-01-27 09:58:15 UTC+0000
 0x85819810:winlogon.exe                              440    384      3    114 2014-01-27 09:58:15 UTC+0000
 0x84656780:explorer.exe                             2004   2000     21    761 2014-01-27 09:59:24 UTC+0000
. 0x8471ed40:VirtualBox.exe                          2764   2004      7    400 2014-01-27 10:00:51 UTC+0000
. 0x85a5fa60:notepad.exe                              864   2004      1     60 2014-01-27 10:06:23 UTC+0000

Особый интерес вызывают VirtualBox.exe (pid=2076) и notepad.exe (pid=864).

Сдампив память данных процессов (опять же через volatility):

doris$ ./vol.py -f ../../neoquest2014/vmem/win2.vmem --profile Win7SP1x86 memdump -p 2076 -D ../../neoquest2014/vmem/virtualbox/
doris$ ./vol.py -f ../../neoquest2014/vmem/win2.vmem --profile Win7SP1x86 memdump -p 864 -D ../../neoquest2014/vmem/notepad/

обнаруживаем следующее:

Страничка в браузере была открыта на виртуальной машине;
В форму на странице были введены символы (cb0c27fda09a86a4bdea244d - 24 символа, а ключ должен быть 32). Их можно обнаружить, например, при поиске по дампу по ссылке на локальный ресурс http://10.0.31.148 (строка в юникоде);
В том месте дампа, где должны быть отображены все 32 введенных символа, все байты перезаписаны значением 0x20 (код пробела). Позже становится понятно, что это было сделано специально для усложнения задания.

Напрашивается вывод, что нужно искать изображение, которое было на экране.

В дампе памяти процесса notepad.exe (pid=864), можно обнаружить следующую полезную информацию:

Был открыт файл C:\Windows\system32\NOTEPAD.EXEC:\Users\komsomol\VirtualBoxVMs\KP-2\Logs\VBox.log, который содержит в себе следующие данные:

<...>
00:00:02.075516 Display::handleDisplayResize(): uScreenId = 0, pvVRAM=065c0000 w=640 h=480 bpp=32 cbLine=0xA00, flags=0x1
00:00:04.545335 Display::handleDisplayResize(): uScreenId = 0, pvVRAM=065c0000 w=640 h=480 bpp=0 cbLine=0x280, flags=0x1
00:00:04.598215 Display::handleDisplayResize(): uScreenId = 0, pvVRAM=00000000 w=720 h=400 bpp=0 cbLine=0x0, flags=0x1
00:00:04.650237 PIT: mode=2 count=0x10000 (65536) - 18.20 Hz (ch=0)
00:00:04.655742 Guest Log: BIOS: Boot : bseqnr=1, bootseq=0213
00:00:04.664736 Guest Log: BIOS: Booting from CD-ROM...
00:00:11.337163 Display::handleDisplayResize(): uScreenId = 0, pvVRAM=065c0000 w=1024 h=768 bpp=24 cbLine=0xC00, flags=0x1
<...>

0x065c0000 - адрес видеопамяти виртуальной машины!!!

Обратившись в memmap процесса VirtualBox(pid=2076):

VirtualBox.exe pid:   2076
Virtual    Physical         Size DumpFileOffset
---------- ---------- ---------- --------------
<...>
0x065c0000 0x194d8000     0x1000      0x2384000
<...>

получаем смещение видеопамяти в дампе - 0x2384000.

Далее считываем данные из дампа (полученного с помощью memdump -p 2076) по адресу 0x2384000, пишем в файл и читаем ключ на картинке (скрипт sharedVideoMemory.py):

Добиться нормальных цветов можно переставив байты, соответствующие цветовым компонентам, в правильном порядке. Впрочем, это совсем не обязательно.

Ключ: cb0c27fda09a86a4bdea244d8a494820

jordan Sneakers | 『アディダス』に分類された記事一覧

NEOQUEST 2014 Quals - Hasta la vista

Dor1s — Tue, 04 Mar 2014 09:36:31 +0000

Category:

crypto

reverse

Event:

NeoQuest Quals 2014

Дано андроид приложение.

Распаковываем, декомпилим. Видим, что проверяется deviceId -> нет смысла запускать, т.к. будет работать только на одном устройстве.

Анализируем исходники, полученные с помощью декомпилятора:

1) Замечаем формирование ссылки и скачиваение файла с адреса вида:

String paramString1 = "http://hastalavistababy.ru/index.php";
String strTime  = Long.valueOf(System.currentTimeMillis() / 1000L).toString();
String paramQueryString = "cmd=1&time=" + strTime + "&command_name=download_image&path=neoquest_2014";

Таким образом, конечная ссылка для скачивания: paramString1 + "?" + paramQueryString, размер файла: 59,856 байт. Далее по коду видно, что происходит расшифрование скачанного файла, который кладется в бандл приложения.

2) Формирование ключа:

String key = md5("352276054393855" + "25001" + md5("neoquest_2014"));

3) Расшифрование:

byte[] paramArrayOfByte = key.substring(0, 16).getBytes();
SecretKeySpec localSecretKeySpec = new SecretKeySpec(paramArrayOfByte, "AES");
Cipher localCipher = Cipher.getInstance("AES/ECB/PKCS5Padding");
localCipher.init(1, localSecretKeySpec);
localCipher.init(2, localSecretKeySpec);
byte[] arrayOfByte2 = localCipher.doFinal(arrayOfByte1);

4) В итоге получается картинка с ключом:

Ключ: 1a0d37c6878202010b617c58c3184bfe

Mysneakers | Air Jordan 1 Low White/Black-Midnight Navy For Sale – Fitforhealth