Всем привет.

Идем дальше. Идем в MEGABANK от EVIL CORP с огромным желанием "купить" флаг.
Скачиваем банк-клиент, unzip его, открываем в IDA и идем в main.

https://forum.antichat.xyz/attachments/29106198/img_06da40d7bd.png

Далее идем в login

https://forum.antichat.xyz/attachments/29106198/img_9eb2a55cb8.png

Видим, что тут у нас есть пользовательский ввод логина и пароля, но тут у нас все по феншую, ввод ограничен, тут мы ничего переписать не можем. Сразу видно, что в банке хороший разработчик =) но где же взять логин и пароль, не может же он быть захардкоден прямо в приложухе?

https://forum.antichat.xyz/attachments/29106198/img_625e60a79f.png

https://forum.antichat.xyz/attachments/29106198/img_187cbc6061.png

А не, может, оказывается... Запоминаем.

Далее идем в admin_menu

https://forum.antichat.xyz/attachments/29106198/img_15f516bf33.png

Видим, что флаг стоит как чугунный мост. Видим что можно работать, но заработать прям точное количество денег не получится из-за оплаты труда и комиссии, да и работать слишком долго надо.
Видим, что можем поменять дефолтные креды, которые мы видели ранее на свои и ... О, тут прием пользовательского ввода уязвимый! На вход принимается символы.

Там где мы смотрели креды, там же видно, что все 3 переменные лежат друг за другом, значит, чтобы переписать balance, надо переписать admin_login и admin_pass. Размер admin_login 10байт, размер admin_pass 34байта и далее unsigned int переменная balance. Но как нам записать в int из строки? Можем обратиться к ASCII таблице. Видим что в коде написан hex суммы необходимой для покупки флага, по таблице это будет CDB.
Пробуем нагрузку

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAACDB и в отладке видим что у нас сумма стала 424443, что нам не подходит. Почему так получилось? Потому что есть Big-Endian и есть Little-Endian. поменяем местами B и C.
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAABDC - ура, все переписалось как надо, баланс точный и соответствует необходимому для покупки флага. выбираем пункт меню покупка флага и получаем флаг.

Так как у нас pwn, то будем использовать pwn.

https://forum.antichat.xyz/attachments/29106198/img_3356a32575.png

PWNED

Извиняюсь если это глупый вопрос, но откуда мы взяли 10 и 34 байта?? Откуда 10 я еще примерно могу понять, но вот 34 никак не выходит найти. Заранее Спасибо

KatCote сказал(а):

Извиняюсь если это глупый вопрос, но откуда мы взяли 10 и 34 байта?? Откуда 10 я еще примерно могу понять, но вот 34 никак не выходит найти. Заранее Спасибо


Не бывает глупых вопросов.

Справедливо урезонили дерзость зарвавшегося юнца.
Когда я писал райтап, я меньше знал, чем сейчас и писал исходя из имевшихся знаний, но дела там обстоят так:
1. 2 раза кликаем на admin_login и проваливаемся туда, где лежат переменные.
2.1 ПКМ на admin_login и выбираем Array и у нас указывается размер массива. Так же и для admin_password.
2.2 Либо можно вычитать адреса где лежат переменные со всеми align и прочим и получать размеры массивов.
Я использовал вычитание адресов и получилось admin_login = 10 admin_password = 28
3. Размер balance 4 (он int), но между окончанием admin_password и balance есть еще 4 байта. Как они там и почему я так и не допер, в этой части нагрузку я формировал опытным путем.

Вот что в памяти с модифицированной нагрузкой получилось, что бы лучше видно было.

https://forum.antichat.xyz/attachments/29106314/img_7e7353dd64.png

Надеюсь смог ответить на вопрос.

PS
Полезные ссылки
ссылка1
серия статей (https://forum.antichat.xyz/threads/1641110/)