Flare-On Challenge 2014-2019 - турнир крэкеров

Сейчас на форуме: vsv1, NIKOLA, r0lka, johnniewalker (+4 невидимых)

<< . 1 . 2 . 3 . 4 . 5 .

Посл.ответ	Сообщение
hash87szf Ранг: 64.9 (постоянный), 47thx Активность: 0.12↘0.02 Статус: Участник	Создано: 23 августа 2015 20:22 · Поправил: Модератор · Личное сообщение · #1 Flare-On V Challenge 2019 2019 завершён 2019.flare-on.com Анонс: Announcing the Sixth Annual Flare-On Challenge Решения 2019 года: https://www.fireeye.com/blog/threat-research/2019/09/2019-flare-on-challenge-solutions.html Почитать: --> Flare-On 2019 write-up - habr.com <-- --> gray-panda/grayrepo <-- --> sysenter-eip/FlareOn2019_NoReversing <-- --> Sin42/ <-- --> @hegongdao <-- --> bruce30262/flare-on-challenge-2019-write-up <-- --> alexander-pick/flareon6 <-- 2018 завершён Проходил с 24 августа 2018 Анонс: Announcing the Fifth Annual Flare-On Challenge Решения 2018 года: 2018 Flare-On Challenge Solutions Количество финалистов: 114 Статистика финалистов по странам (выборочно): - 10 финалистов: Китай - по 6 финалистов: Канада, Россия, Украина, Сингапур - 5 финалистов: Франция - по 4 финалиста: Германия, Индия, Испания, Швеция, США 2017 завершён Анонс: Announcing the Fourth Annual Flare-On Challenge Решения 2017 года: 2017 Flare-On Challenge Solutions Количество финалистов: 140 2016 завершён Анонс: Announcing the Third Annual Flare-On Challenge Решения 2016: 2016 Flare-On Challenge Solutions Количество финалистов: 124 2015 завершён Анонс: Announcing the Second FLARE On Challenge Решения 2015: 2015 FLARE-ON Challenge Solutions Количество финалистов: 162 2014 завершён Анонс: Announcing the FLARE Team and The FLARE On Challenge Решения 2014: The FLARE On Challenge Solutions: Part 1 of 2 FLARE On Challenge Solutions: Part 2 of 2 Оффсайт: https://www.flare-on.com/ От модератора: Турниры 2014 - 2019 закончились. Обучаемся, набираемся знаний, побольше практики и готовимся к 2020! Обсуждаем дальше, в этой же теме

difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 28 августа 2019 19:52 · Личное сообщение · #2 r0lka Да, вторая выборка тоже возвращается, но она большая и нужно разбирать логику. Вот только семпл совсем говяный, тоесть это дерьмо собрано на .net и разбирать для меня смысла нет. Если вам это нужно, то монитор вернёт нужные адреса, а дальше пустая трата времени. Это не крэкми, это унылое говно. ----- vx
r0lka Ранг: 11.7 (новичок), 2thx Активность: 0.02↗0.04 Статус: Участник	Создано: 29 августа 2019 10:25 · Личное сообщение · #3 difexacaw ну так если решать через , то все будет унылое. Есть же нормальные инструменты для этого https://github.com/0xd4d/dnSpy
OKOB Ранг: 527.7 (!), 381thx Активность: 0.16↘0.09 Статус: Участник Победитель турнира 2010	Создано: 29 августа 2019 10:57 · Личное сообщение · #4 difexacaw пишет: Это не крэкми, это унылое говно. Возьми семпл 11 левела, там без .net. 4d2c_29.08.2019_EXELAB.rU.tgz - vv_max.exe ----- 127.0.0.1, sweet 127.0.0.1
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 29 августа 2019 22:26 · Личное сообщение · #5 OKOB Он 64. Чем это крутить, не отладчиком же проходить. Для решения нет инструмента. ----- vx
ARCHANGEL Ранг: 681.5 (! !), 405thx Активность: 0.42↘0.21 Статус: Участник ALIEN Hack Team	Создано: 30 августа 2019 00:57 · Личное сообщение · #6 difexacaw Ох, были бы для всех таргетов инструменты ----- Stuck to the plan, always think that we would stand up, never ran. \| Сообщение посчитали полезным: DimitarSerg
futunV1 Ранг: 1.3 (гость) Активность: 0.01=0.01 Статус: Участник	Создано: 19 сентября 2019 05:41 · Личное сообщение · #7 12-ое задание в разы сложнее предыдущих, эх. Пытаюсь вручную восстановить из памяти основной драйвер, прописал хэдеры, импорт, при запуске пишет "не является приложением win32". Чем проверить, правильно ли собрал PE? Или этот драймер совсем необязательно восстанавливать?
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 19 сентября 2019 05:53 · Личное сообщение · #8 futunV1 пишет: Чем проверить, правильно ли собрал PE? Плаг PEVerify для HIEW?
OKOB Ранг: 527.7 (!), 381thx Активность: 0.16↘0.09 Статус: Участник Победитель турнира 2010	Создано: 19 сентября 2019 10:05 · Личное сообщение · #9 futunV1 пишет: при запуске пишет "не является приложением win32" Зачем его вообще запускать? Тогда нужно еще восстанавливать до запускаемого состояния всю гроздь ДЛЛок, код инжекта в SVCHOST и т.п. ----- 127.0.0.1, sweet 127.0.0.1
DenCoder Ранг: 324.3 (мудрец), 221thx Активность: 0.48↘0.37 Статус: Участник	Создано: 19 сентября 2019 11:59 · Личное сообщение · #10 futunV1 пишет: драйвер, прописал хэдеры, импорт, при запуске пишет "не является приложением win32" А никто не заметил, что написал товарищ? Драйвер-то никогда и не являлся приложением! ) ----- IZ.RU
futunV1 Ранг: 1.3 (гость) Активность: 0.01=0.01 Статус: Участник	Создано: 19 сентября 2019 19:36 · Поправил: futunV1 · Личное сообщение · #11 OKOB пишет: Зачем его вообще запускать? Потому что я дореверсил библиотеку до функции DeviceIOControl, вплоть в точности до данных побайтно, что туда передаются, но вот понять до конца, что с этими данными происходит в самом драйвере - уже не смог. Но намёк понял. DenCoder пишет: А никто не заметил, что написал товарищ? Обижаете! Это диагностическое сообщение выдала служба регистрации/запуска драйверов или как она там называется (а тестовый драйвер из инета запустился успешно). Впрочем, признаю, что в драйверах я плаваю конкретно.
DenCoder Ранг: 324.3 (мудрец), 221thx Активность: 0.48↘0.37 Статус: Участник	Создано: 20 сентября 2019 10:31 · Личное сообщение · #12 futunV1 пишет: но вот понять до конца, что с этими данными происходит в самом драйвере - уже не смог. Можно драйвер в иду и по IoCtrlCode найти, как обрабатывается. ----- IZ.RU
Isaev Ранг: 756.3 (! !), 113thx Активность: 0.61↘0.05 Статус: Участник Student	Создано: 20 сентября 2019 10:53 · Поправил: Isaev · Личное сообщение · #13 OKOB пишет: Зачем его вообще запускать? оно иногда облегчает поиск результата... как в первом задании, можно реверсить декодер последней функции, а можно запустить и прога сама всё покажет ----- z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 20 сентября 2019 13:08 · Личное сообщение · #14 На XP можно по быстрому получить обработчик конкретного CTL, без реверса и в юзермоде А вот уже на 7-ке и выше такое не получится: Code: NtSetInformationProcess(ProcessWorkingSetWatch) ; Enable WSW NtSetInformationProcess(ProcessQuotaLimits, WorkingSetSize = -1) ; Empty WS DeviceIoControl() NtQueryInformationProcess(ProcessWorkingSetWatch) ; Query WS При этом если в CTL_CODE не указана буферизация(либо в буфере какая то структура, адресуемая за пределы буфера), в дампе будут ядерные адреса, код по которым выполнил обработку. ----- vx \| Сообщение посчитали полезным: DenCoder
OKOB Ранг: 527.7 (!), 381thx Активность: 0.16↘0.09 Статус: Участник Победитель турнира 2010	Создано: 28 сентября 2019 12:01 · Поправил: OKOB · Личное сообщение · #15 Challenge Flare-On 6 is over. Statistics, Prize and Writeups. https://www.fireeye.com/blog/threat-research/2019/09/2019-flare-on-challenge-solutions.html https://github.com/gray-panda/grayrepo/tree/master/2019_flareon https://sysenter-eip.github.io/FlareOn2019_NoReversing https://gist.github.com/Sin42/feb693a5b29679f8137b2d751aeb1e31 https://medium.com/@hegongdao https://bruce30262.github.io/flare-on-challenge-2019-write-up/ https://github.com/alexander-pick/flareon6 https://habr.com/ru/company/dsec/blog/469393/ https://malwareunicorn.org/workshops/flareon6_2019.html#0 https://github.com/hasherezade/flareon2019 ----- 127.0.0.1, sweet 127.0.0.1 \| Сообщение посчитали полезным: Styx
Jupiter Ранг: 605.2 (!), 341thx Активность: 0.47↘0.25 Статус: Модератор Research & Development	Создано: 28 сентября 2019 13:35 · Личное сообщение · #16 OKOB Ну как в этом году? 12/12? P.S. Шапку темы обновил. ----- EnJoy!
OKOB Ранг: 527.7 (!), 381thx Активность: 0.16↘0.09 Статус: Участник Победитель турнира 2010	Создано: 28 сентября 2019 16:51 · Личное сообщение · #17 Jupiter пишет: Ну как в этом году? https://2019.flare-on.com/scoreboard 10я строчка ----- 127.0.0.1, sweet 127.0.0.1 \| Сообщение посчитали полезным: mak, Lambda, LoxmatbIj, VOLKOFF, Jupiter, ELF_7719116, -Sanchez-, ==DJ==[ZLO]
LoxmatbIj Ранг: 13.0 (новичок), 7thx Активность: 0.02↗0.12 Статус: Участник	Создано: 02 октября 2019 00:09 · Поправил: LoxmatbIj · Личное сообщение · #18 Наверно тут ссылка лишней не будет, для тех кому интересна выжимка по основные моментам из задачек 2019 на русском. https://habr.com/ru/company/dsec/blog/469393/

<< . 1 . 2 . 3 . 4 . 5 .

Для печати