概要
Hack The Box(以下、HTB)のRetiredチャレンジである"Find The Easy Pass"のwriteupです。
利用ツール
-
ghidra
https://ghidra-sre.org/ -
immunity Debugger
https://www.immunityinc.com/products/debugger/
Walkthrough
1. ファイルのダウンロード
- HTBの"Find The Easy Pass"のページから対象のファイルをダウンロードしてください。
ダウンロードしたzipファイルを解凍すると
EasyPass.exe
が入っている
2. ファイルの素性を簡単に確認
-
fileコマンドでファイルについて確認する
cd <ファイルの保存先> file EasyPass.exe
Windowsの PE 32bit 実行ファイルであることを確認
3. ファイルを実行してみる
-
ファイルをダブルクリックで実行してみます。
-
Passwordの入力フォームがあるので適当に入力して"Check Password"をクリックします。
"Wrong Password"が表示されます。
たぶん正解パスワードとの一致を検証していることが想定されます。
4. ghidraで解析
ghidraのインストールなどはご自身で実施ください。
ghidraとはファイルの解析などに利用できるリバースエンジニアリングツールです。
ghidra起動後、以下の手順で解析を進めます。
-
新規プロジェクトの作成
任意の場所に任意の名前でプロジェクトを作成します。
-
対象ファイルのインポート
EasyPass.exeを指定しインポートします。
-
インポートしたEasyPass.exeをクリックし、デフォルトのままAnalyzeで解析を進めます。
しばらく解析が進みます。
-
左上のWindowタブから"Defined Strings"を開きます。
-
Defined StringsウィンドウのFilterにファイル実行時に確認した"Wrong Password"を入力します。
-
一件ヒットしたのでダブルクリックで表示し、対象のStringの位置で右クリック
References -> Show References To Address で対象文字列が参照されているアドレスがわかる
-
この状態で上部のツリー上のボタンを押すとツリーが表示される
00454131のアドレスの関数から"Good~"と"Wrong~"に分岐していることがわかる。
5. immunity Debuggerで解析
immunity Debuggerを使えばbreakpointなどを設定し実行時の動作を追いかけることができる。
-
起動後、File -> OpenでEasyPass.exeを開く
-
ghidraで解析したアドレス「00454131」を選択して右クリック -> Breakpoint -> ToggleでBreakpointを設定
-
左上の再生ボタンでファイルを実行、出てきたウィンドウに再び適当な文字を入れて"Check Password"を押す
-
immunity Debuggerの右側のRegistersで入力文字列と正解文字列の比較していることが変わる
2つ目のASCII文字が正解のパスワードになる
6. Submit Flag
- 正解のパスワードがわかったので、提出のフォーマットに合わせてフラグを提出する。
提出時のフォーマット : HTB{<見つけたパスワード>}