Тема скорее для оффтоп, но для той ветки мне не хватает ранга.

Вчера, 7 июля 14 года Майк Сикорски (FireEye) дал старт для FLARE Challenge (отбор кандидатов в FireEye Labs Advanced Reverse Engineering - FLARE). Причем, задачки не абы-какие, а всё по-взрослому (как утверждает автор).

Анонс: http://www.fireeye.com/blog/technical/malware-research/2014/07/announcing-the-flare-team-and-the-flare-on-challenge.html
Старт challenge: http://www.flare-on.com (алгоритм такой - качаешь первую задачу, решаешь, находишь в решении адрес e-mail, отсылаешь ответ, получаешь ссылку на новую...)

| Сообщение посчитали полезным:

Опять начали отлавливать реверсеров?

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Могли бы и добавить: x64 первый...
А вот мне влом ставить виртуалку с x64...

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным:

ZaZa
Там не только х64. Первый х64, второй - php+javascript, третий - х86. Четвертый еще письмо не пришло.
Первые три совсем легкие, на внимательность.

-----
старый пень

| Сообщение посчитали полезным:

ZaZa
там чистый PE. CAB распаковывается winrar'ом
r_e
чет я с pdf подзалип. вкуриваю оригинал

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным: ZaZa

ajax
Я тоже с pdf подзалип. Там используется уязвимость
Adobe JBIG2Decode Heap Corruption (CVE-2009-0658): [8]
но что с ней делать - хз.

-----
старый пень

| Сообщение посчитали полезным:

брякаться на deflate decode? хз тоже... дамп всего процесса строк с хостером не выявил. акробат, правда, свежий
крякми занудные. на кой черт n-раз декодить бэйс. и так все ясно вроде. с другой стороны - на "усидчивость"

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным: litecoiner

подскажите по второму заданию, как скачать екстеншн?

| Сообщение посчитали полезным:

litecoiner
какой экстеншн? все, что надо есть. я, вообще, все это в дельфи и фаре разбираю
добавлено: "зри в корень". конкретные подсказки, пока челлендж не закончился, не вижу смысла выкладывать, ИМХО
r_e
тоже щас не особо свободен, чтобы накатывать старые акробаты на виртуалку, особенно, если в данном случае дырка в куче юзается, что скорее всего, а не в памяти

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

Что-то никак не могу найти флаг. Картинка с бекдором в isset(POST() там ведь только для отвлечения внимания, я прав?

| Сообщение посчитали полезным:

ajax
Я хз где там брякаться надо. Там есть статический стрим страницы и есть JS, который реализует уязвимость. Возможно, этот JS создает как раз динамическую картинку с новым мылом.
С разгону я не нашел как посмотреть анпакнутый стрим.

-----
старый пень

| Сообщение посчитали полезным:

r_e
стрим можно распаковать просто: тупо из файла пдф вырезаем stream[x78xDA..сжатый поток..]endstream и, например, распаковываем через zlib.decompress в python

| Сообщение посчитали полезным: litecoiner

Fedonin
зер гут идейка. сигнатурки zlib сразу видно. получил че-то, надо парсить

если интересно - обновляйте топик. кучу постов неохота плодить, делаю правку

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax
Не увидел
Спасибо за подсказку... Расстроился, что на x64 послали

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным:

ZaZa, там нет х64, там только инсталлятор 64 битный, внутри обычный 32bit msil, могу выложить на обменник

| Сообщение посчитали полезным:

Fedonin
Дык проблема не в распаковке стрима. Хотя, за zlib.decompress спасибо.
Вероятные источники ключа:
1. Массивы, генерируемые JS, но нигде не исползуемые.
2. Мелкий стрим в 29 байт. Распаковывается в 14 байт глупостей.
3. Их комбинация. Например CVE при срабатывании преобразует мелкий стрим так что тот дает ключ.
4. Ключ зашит в картинке (стеганография).

-----
старый пень

| Сообщение посчитали полезным:

r_e
в распакованном JS огромный unescape-константа-exploit. Ищи в нём )) Ключ не в картинке.

| Сообщение посчитали полезным: r_e

Fedonin
Ога, только что до этого сам допер. ))) Как до жирафа. Почитал описание CVE и стало ясно. Это как раз пункт 1 из предыдущего сообщения.

-----
старый пень

| Сообщение посчитали полезным:

litecoiner
Спасибо, но уже не актуально, жду 3 этап... Мылится как-то долго...

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным:

23647 - чет грустно парсится дельфями. или ... меньше

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

r_e пишет:
2. Мелкий стрим в 29 байт. Распаковывается в 14 байт глупостей.
ну почему же глупостей,
распаковывается во вполне понятные данные.
002050ff40000069000005695050

а вот из статейки по эксплоиту, те же узнаваемые данные:
eaxptr = "\x00\x20\x50\xff" # CALL DWORD PTR DS:[EAX+20]
eaxp20ptr = "\x05\x69\x50\x50" # Shellcode location called by CALL DWORD PTR DS:[EAX+20]
modifier = "\x00\x69\x00\x00" # ECX values seen: 02004A00, 033C9F58, 0338A228, 031C51F8, 0337B418
# natron@kubuntu-nkvm:~$ ./pdf-calc-val.rb 0x690000
# EAX: 0x690000 ECX: 0x2004a00 WriteAddr: 0xa3449ec
# EAX: 0x690000 ECX: 0x358a228 WriteAddr: 0xb8ca214

jbig2stream = eaxptr + "\x40\x00" + modifier + eaxp20ptr

| Сообщение посчитали полезным:

прошел ли кто-то уровень с кейлоггером или может какие мысли есть?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

-

| Сообщение посчитали полезным:

Hellspawn
Я просто взял и посмотрел за какую букву каждая переменная отвечает. В итоге получил ключ. Даже запускать ни разу не понадобилось. А вот в следующей задаче уровень уже будет пожеще. ))) Прошел 90%. Осталось пару букв подобрать.


Последний этап достал.

-----
старый пень

| Сообщение посчитали полезным:

Hellspawn пишет:
прошел ли кто-то уровень с кейлоггером или может какие мысли есть?
Это пятый что-ли? он не сложный...
я написал табличку вида
case 'K':
if dword_100194A8 then dword_100194AC = 1

case 'L':
if dword_10017000 then dword_10019460 = 1
if dword_100194C0 then dword_100194C4 = 1

case 'M':
if dword_100194FC then ShowDlg();

и прошелся от конца, до начала...

Isaev пишет:
в первом задании, там же при нажатии на кнопку он сам расшифровывает стоку и её же выводит
как эта бодяга может быть емайлом? или алго надо обратить?
обратите внимание на промежуточный результат, а не на конечный.

| Сообщение посчитали полезным:

в первом задании, там же при нажатии на кнопку он сам расшифровывает стоку и её же выводит
как эта бодяга может быть емайлом? или алго надо обратить?
или тупо фонт поменять?)

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Для статического анализа PDF-ок существует тулза peepdf
А если её скомпилить с V8 + PyV8 она еще и JS анализировать сможет.
Конкретно для этого PDF комманда js_analyse выплевывает готовый шеллкодез.

| Сообщение посчитали полезным:

bbuc, +1 Я использовал PDFStreamDumper + malzilla

Isaev decompile!

С6 кто запустил. ОС, ядро? Лень качать все подряд образы

| Сообщение посчитали полезным:

litecoiner
ubuntu 12.6 desktop x64

Добавлено спустя 12 часов 2 минуты
Ну что, кто-то седьмое осилил до конца? У меня вчера терпения не хватило.

-----
старый пень

| Сообщение посчитали полезным:

https://twitter.com/hashtag/flareonchallenge

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным: