6 minutes
Flare-on 2014 - Challenge 01: Bob Doge
Iniciamos otra serie de writeups acerca de reversing, en este caso siguiendo todas las soluciones hasta el momento de todos los eventos de flare-on (ambicioso proyecto jeje), bueno iniciemos por el primer challenge del 2014, llamado simplemente Bob Doge.
Comenzamos por descargar el zip que contiene todos los challenges, para posteriormente ir a cada challenge y resolverlos.
Bien, después de descargar el archivo general y descomprimirlo, debemos tener en nuestra carpeta un archivo llamando C1.exe, el cual posteriormente lo pasamos por file y nos indica vía headers que se trata de un ‘PE32+ ejecutable con GUI x86_64’, por lo que probamos a ejecutarlo en un sandbox, ahí veremos que se trata de Microsoft Cabinet, que nos hace aceptar un EULA de Fireeye, por lo que extraemos su contenido usando cabextract:
xbytemx@laptop:~/flare-on2014$ cabextract C1.exe
Extracting cabinet: C1.exe
extracting Challenge1.exe
All done, no errors.
Nos despliega en pantalla que ha extraído correctamente “Challenge1.exe”, el cual nuevamente lo pasamos por file:
xbytemx@laptop:~/flare-on2014$ file Challenge1.exe
Challenge1.exe: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
El comando file nos indica que se trata de un PE32 escrito en Mono/.Net, lo cual nos hace un guiño a que podemos decompilarlo usando alguna herramienta que entienda .Net, en mi caso use dnSpy:
xbytemx@laptop:~/flare-on2014$ mono ~/tools/dnSpy/dnSpy.Console.exe -o challenge01 Challenge1.exe
ERROR: File creation failed (/home/xbytemx/flare-on2014/challenge01/XXXXXXXXXXXXXXX/rev_challenge_1/Form1.resx), description = Create ResX file, Exception message: Object reference not set to an instance of an object
Tras descompilar el binario, depositamos su contenido en la carpeta challenge01, la cual tiene la siguiente estructura:
xbytemx@laptop:~/flare-on2014/challenge01$ ls -lahR
.:
total 16K
drwxr-xr-x 3 xbytemx xbytemx 4.0K oct 21 21:15 .
drwxr-xr-x 3 xbytemx xbytemx 4.0K oct 21 21:15 ..
-rw-r--r-- 1 xbytemx xbytemx 935 oct 21 21:15 solution.sln
drwxr-xr-x 4 xbytemx xbytemx 4.0K oct 21 21:15 XXXXXXXXXXXXXXX
./XXXXXXXXXXXXXXX:
total 40K
drwxr-xr-x 4 xbytemx xbytemx 4.0K oct 21 21:15 .
drwxr-xr-x 3 xbytemx xbytemx 4.0K oct 21 21:15 ..
-rw-r--r-- 1 xbytemx xbytemx 490 oct 21 21:15 app.manifest
-rw-r--r-- 1 xbytemx xbytemx 1018 oct 21 21:15 Form1.cs
-rw-r--r-- 1 xbytemx xbytemx 2.9K oct 21 21:15 Form1.Designer.cs
-rw-r--r-- 1 xbytemx xbytemx 390 oct 21 21:15 Program.cs
drwxr-xr-x 2 xbytemx xbytemx 4.0K oct 21 21:15 Properties
drwxr-xr-x 2 xbytemx xbytemx 4.0K oct 21 21:15 rev_challenge_1
-rw-r--r-- 1 xbytemx xbytemx 31 oct 21 21:15 rev_challenge_1.dat_secret.encode
-rw-r--r-- 1 xbytemx xbytemx 3.3K oct 21 21:15 XXXXXXXXXXXXXXX.csproj
./XXXXXXXXXXXXXXX/Properties:
total 100K
drwxr-xr-x 2 xbytemx xbytemx 4.0K oct 21 21:15 .
drwxr-xr-x 4 xbytemx xbytemx 4.0K oct 21 21:15 ..
-rw-r--r-- 1 xbytemx xbytemx 810 oct 21 21:15 AssemblyInfo.cs
-rw-r--r-- 1 xbytemx xbytemx 2.7K oct 21 21:15 rev_challenge_1.Properties.Resources.Designer.cs
-rw-r--r-- 1 xbytemx xbytemx 76K oct 21 21:15 rev_challenge_1.Properties.Resources.resx
-rw-r--r-- 1 xbytemx xbytemx 717 oct 21 21:15 Settings.Designer.cs
-rw-r--r-- 1 xbytemx xbytemx 279 oct 21 21:15 Settings.settings
./XXXXXXXXXXXXXXX/rev_challenge_1:
total 8.0K
drwxr-xr-x 2 xbytemx xbytemx 4.0K oct 21 21:15 .
drwxr-xr-x 4 xbytemx xbytemx 4.0K oct 21 21:15 ..
En la carpeta raíz, encontraremos el archivo solution del proyecto “XXXXXXXXXXXXXXX”, dentro de la siguiente carpeta “XXXXXXXXXXXXXXX” encontramos varios archivos:
Archivo | Tipo |
---|---|
app.manifest | XML |
Form1.cs | C++ source |
Form1.Designer.cs | C++ source |
Program.cs | C++ source |
Properties | Directory |
rev_challenge_1.dat_secret.encode | data |
rev_challenge_1 | Directory |
XXXXXXXXXXXXXXX.csproj | XML |
Comenzamos por revisar el archivo Program.cs, el cual tiene el siguiente contenido:
using System;
using System.Windows.Forms;
namespace XXXXXXXXXXXXXXX
{
// Token: 0x02000003 RID: 3
internal static class Program
{
// Token: 0x06000005 RID: 5 RVA: 0x000023A9 File Offset: 0x000005A9
[STAThread]
private static void Main()
{
Application.EnableVisualStyles();
Application.SetCompatibleTextRenderingDefault(false);
Application.Run(new Form1());
}
}
}
En el código vemos que se crea una nueva aplicación, una con Form1. Veamos que tenemos en Form1.Designer:
namespace XXXXXXXXXXXXXXX
{
// Token: 0x02000002 RID: 2
public partial class Form1 : global::System.Windows.Forms.Form
{
// Token: 0x06000003 RID: 3 RVA: 0x0000215E File Offset: 0x0000035E
protected override void Dispose(bool disposing)
{
if (disposing && this.components != null)
{
this.components.Dispose();
}
base.Dispose(disposing);
}
// Token: 0x06000004 RID: 4 RVA: 0x00002180 File Offset: 0x00000380
private void InitializeComponent()
{
this.lbl_title = new global::System.Windows.Forms.Label();
this.pbRoge = new global::System.Windows.Forms.PictureBox();
global::System.Windows.Forms.Button button = new global::System.Windows.Forms.Button();
((global::System.ComponentModel.ISupportInitialize)this.pbRoge).BeginInit();
base.SuspendLayout();
button.Font = new global::System.Drawing.Font("Microsoft Sans Serif", 16f, global::System.Drawing.FontStyle.Regular, global::System.Drawing.GraphicsUnit.Point, 0);
button.Location = new global::System.Drawing.Point(210, 387);
button.Name = "btnDecode";
button.Size = new global::System.Drawing.Size(139, 52);
button.TabIndex = 0;
button.Text = "DECODE!";
button.UseVisualStyleBackColor = true;
button.Click += new global::System.EventHandler(this.btnDecode_Click);
this.lbl_title.AutoSize = true;
this.lbl_title.Font = new global::System.Drawing.Font("Microsoft Sans Serif", 20f, global::System.Drawing.FontStyle.Regular, global::System.Drawing.GraphicsUnit.Point, 0);
this.lbl_title.Location = new global::System.Drawing.Point(95, 18);
this.lbl_title.Name = "lbl_title";
this.lbl_title.Size = new global::System.Drawing.Size(393, 31);
this.lbl_title.TabIndex = 1;
this.lbl_title.Text = "Let's start with something easy!";
this.pbRoge.Image = global::XXXXXXXXXXXXXXX.Properties.Resources.bob_ross;
this.pbRoge.Location = new global::System.Drawing.Point(87, 65);
this.pbRoge.Name = "pbRoge";
this.pbRoge.Size = new global::System.Drawing.Size(401, 316);
this.pbRoge.TabIndex = 2;
this.pbRoge.TabStop = false;
base.AutoScaleDimensions = new global::System.Drawing.SizeF(6f, 13f);
base.AutoScaleMode = global::System.Windows.Forms.AutoScaleMode.Font;
base.ClientSize = new global::System.Drawing.Size(566, 444);
base.Controls.Add(this.pbRoge);
base.Controls.Add(this.lbl_title);
base.Controls.Add(button);
base.FormBorderStyle = global::System.Windows.Forms.FormBorderStyle.Fixed3D;
base.Name = "Form1";
this.Text = "Form1";
((global::System.ComponentModel.ISupportInitialize)this.pbRoge).EndInit();
base.ResumeLayout(false);
base.PerformLayout();
}
// Token: 0x04000001 RID: 1
private global::System.ComponentModel.IContainer components;
// Token: 0x04000002 RID: 2
private global::System.Windows.Forms.Label lbl_title;
// Token: 0x04000003 RID: 3
private global::System.Windows.Forms.PictureBox pbRoge;
}
}
Aquí ya tenemos algo mas de detalle sobre las características de la aplicación, vemos que tenemos un label llamado lbl_title y un cuadro de imagen llamada pbRoge. Al inicializarse, sus variables son asignadas, vemos que se crea un botón, con el contenido “DECODE!”, que tras recibir un evento de click, llama a this.btnDecode_Click.
El titulo tiene el mensaje “Let’s start with something easy!” y en el contenido de la imagen tenemos una referencia a “global::XXXXXXXXXXXXXXX.Properties.Resources.bob_ross”, que por la parte final debe ser alguna imagen de bob_ross.
Finalmente, revisamos el contenido del ultimo archivo de código fuente, Form1:
using System;
using System.ComponentModel;
using System.Drawing;
using System.Windows.Forms;
using XXXXXXXXXXXXXXX.Properties;
namespace XXXXXXXXXXXXXXX
{
// Token: 0x02000002 RID: 2
public partial class Form1 : Form
{
// Token: 0x06000001 RID: 1 RVA: 0x00002050 File Offset: 0x00000250
public Form1()
{
this.InitializeComponent();
}
// Token: 0x06000002 RID: 2 RVA: 0x00002060 File Offset: 0x00000260
private void btnDecode_Click(object sender, EventArgs e)
{
this.pbRoge.Image = Resources.bob_roge;
byte[] dat_secret = Resources.dat_secret;
string text = "";
foreach (byte b in dat_secret)
{
text += (char)((b >> 4 | ((int)b << 4 & 240)) ^ 41);
}
text += "\0";
string text2 = "";
for (int j = 0; j < text.Length; j += 2)
{
text2 += text[j + 1];
text2 += text[j];
}
string text3 = "";
for (int k = 0; k < text2.Length; k++)
{
char c = text2[k];
text3 += (char)((byte)text2[k] ^ 102);
}
this.lbl_title.Text = text3;
}
}
}
Como podemos observar por el código, este Form recibe el evento del botón y realiza un decoding de la información que se encuentra en dat_secret, si recordamos en la carpeta tenemos un archivo tipo data que incluye en su nombre “dat_secret”. También vemos que el valor de la imagen bob_ross, cambia a bob_roge.
Ejecutemos el binario para ver que sucede:
Hagamos click sobre el botón de “DECODE!”, vemos que tanto el texto como la imagen cambian:
El texto se ve ilegible, recordando que es el resultado del 3er decoding “text3”, hagamos el mismo proceso tomando la información del archivo “rev_challenge_1.dat_secret.encode” con el siguiente programa:
#!/usr/bin/env python3
# En bash use: hexdump -e '"\\\x" /1 "%02x"' rev_challenge_1.dat_secret.encode
encode_data = bytearray(b'\xa1\xb5\x44\x84\x14\xe4\xa1\xb5\xd4\x70\xb4\x91\xb4\x70\xd4\x91\xe4\xc4\x96\xf4\x54\x84\xb5\xc4\x40\x64\x74\x70\xa4\x64\x44')
t1=""
t2=""
t3=""
for i in range(len(encode_data)):
t1 += chr(((encode_data[i] >> 4) | ((encode_data[i] << 4) & 240)) ^ 41)
print(t1)
for j in range(0, len(t1)-1, 2):
t2 += t1[j+1]
t2 += t1[j]
print(t2)
for k in range(len(t2)):
t3 += chr(ord(t2[k]) ^ 102)
print(t3)
Este pequeño código lo que realiza es tomar procesar el binario encodeado y devolvernos las mismas operaciones de encoding. Tras ejecutarlo tenemos lo siguiente:
xbytemx@laptop:~/flare-on2014/challenge01$ python3 decode.py
3rmahg3rd.b0b.d0ge@flare-on.com
r3amghr3.d0b.b0degf@alero-.noc
U
UHVHV&
KH
Como podemos observar, el primer resultado corresponde a una dirección de correo, la cual es la flag de este reto.
flag: 3rmahg3rd.b0b.d0ge@flare-on.com
Espero que les haya gustado.
Saludos,