Snatching The H@t
November 25, 2012 by admin · Leave a Comment
Nhận lời mời từ IDG, VNSecurity đồng ý đứng ra phối hợp tổ chức cuộc thi “Snatching the h@t” như một sự kiện trong khuôn khổ hội thảo CSO Asean năm 2012 với mong muốn giới thiệu và phát triển CTF như một hình thức học tập và thể hiện khả năng lành mạnh đến cộng đồng. VNSecurity là nhóm được biết đến rộng rãi trong giới nghiên cứu an toàn thông tin thực thụ tại Việt nam và thế giới. Các thành viên chủ chốt của nhóm là những chuyên gia uy tín về an ninh thông tin trong và ngoài nước, các kết quả nghiên cứu của họ thường được vinh danh và công bố tại nhiều cuộc hội thảo uy tín trên thế giới: Blackhat, Hitb, Pacsec, Deepsec, Syscan … Đội thi đấu CLGT của VNSecurity cũng nằm trong top những đội CTF hàng đầu trên thế giới
Về cuộc thi Snatching the h@t
Cuộc thi “Snatching the h@t” năm nay sẽ bao gồm 2 vòng: vòng loại và vòng chung kết. Vòng loại được thi đấu trực tuyến thông qua mạng Internet. Các đội đứng đầu ở vòng loại sẽ được tham gia thi đấu ở vòng chung kết tại khách sạn New World ở TP HCM. Các thông tin về cuộc thi, đơn vị bảo trợ,… xin vui lòng xem tại website của IDG tại http://cso.org.vn/contest
Hiện vòng loại của cuộc thi đang diễn ra được 1/2 thời gian với hơn 100 đội tham gia. Đội PiggyBird đến từ Hà Nội đang tạm dẫn đầu với 1800 điểm. Vòng loại dự kiến sẽ kết thúc vào lúc 09 giờ sáng thứ 2 26/11/2012, kéo dài thêm 12 tiếng so với dự kiến ban đầu do hệ thống website thi đấu bị tấn công DDoS và cần thời gian khắc phục.
Thông tin cần biết:
- Trang chủ thi đấu vòng loại: http://ctf.vnsecurity.net:8080/
- Bảng điểm hiện tại: http://ctf.vnsecurity.net:8080/scoreboard
- Kênh liên lạc trực tuyến với BTC: #vnsec trên irc.freenode.net (http://webchat.freenode.net)
Về hình thức thi đấu CTF
CTF – Môn thể thao trí tuệ của giới hacker!
CTF (Capture the Flag) là một cuộc thi kiến thức chuyên sâu về bảo mật máy tính, được tổ chức theo mô hình trò chơi chiến tranh mạng, tập trung vào hai kỹ năng tấn công và phòng thủ mạng máy tính của người chơi. Các đội tham gia CTF sẽ được cấp một máy chủ (hoặc một mạng máy chủ) đã cài đặt sẵn nhiều chương trình chứa các lỗ hổng bảo mật. Nhiệm vụ của đội chơi là tìm ra các lỗ hổng đó, tấn công các máy chủ của các đội khác để ghi điểm, đồng thời phải nhanh chóng vá các lỗ hổng trên máy chủ của đội nhà, để tránh bị tấn công bởi các đội khác.
CTF hấp dẫn và thu hút giới hacker bởi lẽ các cuộc thi này phản ánh rất chân thật công việc hàng ngày và đòi hỏi người chơi phải có các kỹ năng của một hacker thực thụ. Muốn chiến thắng ở một cuộc thi CTF, người chơi không chỉ phải nhuần nhuyễn các kỹ năng phát hiện và khai thác lỗ hổng bảo mật, mà còn phải thật sự lành nghề trong việc bảo vệ sự an toàn và duy trì tính liên tục của hệ thống mạng trước các đợt tấn công dồn dập từ bên ngoài.
Với cường độ và áp lực rất cao, cho nên mặc dù thể lệ CTF thường cho phép cá nhân tham gia nhưng chiến thắng thường thuộc về các đội có nhiều thành viên có trình độ cao và có khả năng “phối hợp tác chiến” hiệu quả.
Các cuộc thi CTF ngày nay thường chia thành 3 hình thức chơi chính:
- Tấn công & phòng thủ (attack & defence) như luật chơi cổ điển ban đầu.
- Hình thức thứ 2 là trả lời thử thách theo từng chủ đề (Jeopardy-style). Hình thức này thông thường sẽ chia theo chủ đề được phân theo các phân mục như : Web, Forensic, Crypto, Binary, Pwnable… Ở mỗi phân mục sẽ có các câu hỏi theo độ khó tăng dần.
- Hình thức thứ 3 là sự kết hợp của hình thức 1 và 2, chẳng hạn như kết hợp giữa hình thức chỉ có tấn công (attack only) với các dạng thử thách khác nhau. Đây cũng chính là hình thức của cuộc thi Snatching the h@t năm nay.
Việc tham gia thi đấu các kỳ CTF cũng là dịp để giúp học hỏi thêm nhiều kinh nghiệm và kiến thức bổ ích. Lịch sử CTF đã ghi nhận sự tham gia của rất nhiều hacker trẻ mà sau này đã trở thành những chuyên gia bảo mật tên tuổi trên thế giới.
CSAW CTF 2012
October 1, 2012 by admin · Leave a Comment
CLGT has just finished CSAW CTF 2012. Solved all challenges and finished 5th. Congrats to CLGT’s junior undergrad members who have done amazing jobs by solving most of the challenges.
CodeGate 2012 Quals bin400 writeup
February 28, 2012 by admin · Leave a Comment
Thanks to Deroko and some ARTeam members to play with CLGT. Below is the write up by Deroko posted on http://www.xchg.info/wiki/index.php?title=CodeGate2012_bin400
CodeGate2012 bin400
Challenge: The Rewolf in Kaspersky
Link to challenge : http://deroko.phearless.org/codegate2012/bin/bin400.zip
So Rewolf vm, is packed with something called KasperSky according toProtectionID (never heard of this packer ). Unpacking is trivial, like with any simple packer. Run to OEP, dump, fix imports:
Here is OEP for ReWolf VM:
And here is OEP for original program (note you need to dump at ReWolf VM, but importrec will work only properly if you use this OEP) :
Once we have file dumped, we might run it to get idea how it actually looks like:
Not much there :( 1st time I pressed some key while program was focused I got an exception:
At first I thought that my dump is broken, so I tried with original application, same thing happened. Hmmm so this is common problem, but challenge is definitely not broken, so we need to see what’s going on, and trace instruction per instruction in ReWolf VM.
After a little bit of tracing I noticed that exception comes after virtualized jcc is executed, because next instruction size is wrong. (From exception you can see thatecx is quite big number which it should not be):
0041D000 50 PUSH EAX <----- start of jcc opcode 0041D001 9C PUSHFD 0041D002 58 POP EAX 0041D003 53 PUSH EBX 0041D004 E8 00000000 CALL test.0041D009 0041D009 5B POP EBX 0041D00A 8D5453 08 LEA EDX,DWORD PTR DS:[EBX+EDX*2+8] 0041D00E 5B POP EBX 0041D00F FFE2 JMP EDX
If jcc is taked edx is set to 1, otherwise edx is 0.
0041D0DE 33D2 XOR EDX,EDX ; test.0041D023 0041D0E0 EB 04 JMP SHORT test.0041D0E6 0041D0E2 33D2 XOR EDX,EDX 0041D0E4 EB 01 JMP SHORT test.0041D0E7 0041D0E6 42 INC EDX 0041D0E7 50 PUSH EAX 0041D0E8 9D POPFD 0041D0E9 58 POP EAX
0041D4AA 5A POP EDX <---- pop EIP (jcc not taken) 0041D4AB 58 POP EAX 0041D4AC ^E9 2CFFFFFF JMP test.0041D3DD 0041D4B1 0FB657 03 MOVZX EDX,BYTE PTR DS:[EDI+3] 0041D4B5 FF7424 08 PUSH DWORD PTR SS:[ESP+8] 0041D4B9 9D POPFD 0041D4BA E8 41FBFFFF CALL test.0041D000 0041D4BF 85D2 TEST EDX,EDX 0041D4C1 ^74 E7 JE SHORT test.0041D4AA 0041D4C3 5A POP EDX 0041D4C4 0357 04 ADD EDX,DWORD PTR DS:[EDI+4] <--- increment EIP (jcc taken) 0041D4C7 034F 04 ADD ECX,DWORD PTR DS:[EDI+4] 0041D4CA 58 POP EAX 0041D4CB ^E9 5AFEFFFF JMP test.0041D32A
[edi+4] = 00000104
0041D32A 8BF2 MOV ESI,EDX 0041D32C 46 INC ESI 0041D32D 8A02 MOV AL,BYTE PTR DS:[EDX] <--- size of next instruction 0041D32F 3242 01 XOR AL,BYTE PTR DS:[EDX+1] <--- xor 1st 2 bytes to get proper sie 0041D332 0FB6C0 MOVZX EAX,AL 0041D335 50 PUSH EAX <--- size of instruction passed to memcpy 0041D336 56 PUSH ESI 0041D337 57 PUSH EDI 0041D338 E8 D8050000 CALL test.0041D915 <--- memcpy
BOOM Exception
0041DB10 25 93 97 B6 C4 C5 89 8A %“—¶ÄʼnŠ
Instruction size is calculated as 25 ^ 93 = B6 which is wrong for instruction size in this case.
At this point I decided to try and patch jcc vm handler so jcc will not be taken:
and then I typed something:
And then I just kept pressing keys:
Press OK and you get the key:
So correct key for bin400 is : WonderFul_lollol_!
Greetings
I would like to say tnx to my ARTeam mates, vnsecurity guys, and of coursesuperkhung for listening to my random blabing on skype during CTF :)
Author
deroko of ARTeam
CodeGate 2012 Quals bin500 writeup
February 28, 2012 by admin · Leave a Comment
Thanks to Deroko and some ARTeam members to play with CLGT. Below is the write up by Deroko posted on http://www.xchg.info/wiki/index.php?title=CodeGate2012_bin500
CodeGate2012 bin500
Challenge: Seeing that it is not all.
Link to challenge: http://deroko.phearless.org/codegate2012/bin/bin500.zip
This binary is double ReWolf vm, and python script for modified Olly by Immunity.
Script which comes with binary uses marshal.loads to load already compiled pyc code which was produced with marshal.dump
To get .pyc back we need to make some modification to our script:
Now C:\test.pyc will have dump of python bytecode.
If you look carefully through script, some strings might look like a clue:
readMemory getRegs EIP Nice work, Key1 : But, Find Next Key! Nice work, Key2 : Input Key : Key1 + Key2 Nothing Found ...
So this script will probably try to read from current EIP some bytes (readMemory + EIP are good hint), and make key out of it. After modifying test.pyc to have proper layout:
00000000 03 f3 0d 0a dc dd e2 4c 63 00 00 00 00 00 00 00 |.......Lc.......| 00000010 00 02 00 00 00 40 00 00 00 73 22 00 00 00 64 00 |.....@...s"...d.| 00000020 00 64 01 00 6c 00 00 5a 00 00 64 02 00 84 00 00 |.d..l..Z..d.....|
Which is actually 4 bytes for python signature + 4 bytes for timestamp +marshal.dump() data we get .pyc file which we can decompile.
For sake of this solution, we will use some simple program to dump python byte-code, and one I found here:http://nedbatchelder.com/blog/200804/the_structure_of_pyc_files.html
After disassembling binary with this python script we get (I cut not important parts):
15 LOAD_ATTR 2 (readMemory) 18 LOAD_CONST 1 (4237456) 21 LOAD_CONST 2 (80) 24 CALL_FUNCTION 2
So from address 40A890 it will read 80 bytes and keep it in internal buffer.
Now comes interesting part when it actually gets keys:
19 54 LOAD_FAST 4 (regs) 57 LOAD_CONST 3 ('EIP') 60 BINARY_SUBSCR 61 LOAD_CONST 4 (4273157) 64 COMPARE_OP 2 (==) 67 POP_JUMP_IF_FALSE 161
and
23 >> 161 LOAD_FAST 4 (regs) 164 LOAD_CONST 3 ('EIP') 167 BINARY_SUBSCR 168 LOAD_CONST 15 (4278021) 171 COMPARE_OP 2 (==) 174 POP_JUMP_IF_FALSE 276
If you look at out.txt (in attachment) you may also see what’s read from where as this python script is not complicated, and python byte code is quite easy to understand.
So just set EIP to be 413405 and run script, and you will get 1st key. Then set EIP to be 414705 and run scrip again. If you did, everything correct you should see in Log of Immunity Debugger this:
So final key is Never_up_N3v3r_1n
Greetings
I would like to say tnx to my ARTeam mates, vnsecurity guys, and rd , and of course to superkhung for listening to my random blabing on skype during CTF :)
Author
deroko of ARTeam
Hội thảo Tết 2012
December 16, 2011 by admin · Leave a Comment
Tết Nhâm Thìn 2012 năm nay, VNSECURITY phối hợp cùng HVA tổ chức một hội thảo mini, nơi diễn giả trong và ngoài nước trình bày và trao đổi về những kinh nghiệm thiết thực trong việc đảm bảo an toàn cho sản phẩm cũng như hệ thống thông tin của doanh nghiệp cũng như những nghiên cứu và phát triển mới nhất trong lĩnh vực an toàn thông tin ở Việt Nam và thế giới.
Vui lòng đăng ký tham gia và gửi bài tham luận ở http://tetcon.org.
Ngày quan trọng
- Hạn chót gửi đề tài: 31/12/2011.
- Ngày công bố chương trình: 3/1/2012.
- Ngày hội thảo: 13/1/2012.
Quyền lợi diễn giả
Nếu được chọn làm diễn giả, bạn sẽ được:
- Mời dự họp mặt tất niên của HVA.
- Mời dự hợp mặt tất niên của VNSECURITY – CLGT.
- Nếu bạn không ở Sài Gòn, có thể chúng tôi sẽ đài thọ vé máy bay khứ hồi và khách sạn.
