Se nos entrega una imagen de memoria en formato elf por lo que presuponemos que está adquirida de un sistema linux.

Bien este reto lo hice a lo hardcore y la verdad no se si existe alguna manera más “civilizada de sacarlo” que utilizando strings, que me encantan, bueno al lio.

lo primero que os voy a contar es que hay un programa para poder analizar el formato de los archivos elf llamada readelf. Esta tool puede llegar a ser muy interesante y era necesaria en algunas partes de este multireto.

tristemente cydefe ha cerrado por lo que a ver de lo que me acuerdo.

Una de las preguntas es el tamaño del header del elf, easy!!

readelf -h mem3.elf

root@HACKMAISTER14:~/Escritorio# readelf -h mem3.elf
Encabezado ELF:
Mágico: 7f 45 4c 46 02 01 00 00 00 00 00 00 00 00 00 00
Clase: ELF64
Datos: complemento a 2, little endian
Versión: 0
OS/ABI: UNIX – System V
Versión ABI: 0
Tipo: CORE (Fichero núcleo)
Máquina: Advanced Micro Devices X86-64
Versión: 0x1
Dirección del punto de entrada: 0x0
Inicio de encabezados de programa: 64 (bytes en el fichero)
Inicio de encabezados de sección: 0 (bytes en el fichero)
Opciones: 0x0
Tamaño de este encabezado: 64 (bytes)
Tamaño de encabezados de programa: 56 (bytes)
Número de encabezados de programa: 11
Tamaño de encabezados de sección: 64 (bytes)
Número de encabezados de sección: 0
Índice de tabla de cadenas de sección de encabezado: 0

otra pregunta era la flag, so easy to new!! aunque a la segunda o tercera

strings mem3.elf | grep flag.txt

cydefe@debian:~$ echo “roflmao” > flag.txt

otra era el home del usuario que creó la flag:

strings mem3.elf | grep “HOME=”

HOME=/home/cydefe

otra era ver el puerto de entrada del atacante… o algo así

strings mem3.elf | grep ESTABLISHED

 

tcp 0 0 172.25.51.15:56832 173.241.244.143:443 ESTABLISHED
keepalive (9.70/0/0)
tcp 0 0 172.25.51.15:36823 23.60.139.27:80 ESTABLISHED
keepalive (8.78/0/0)
tcp 0 0 172.25.51.15:41468 52.84.14.158:443 ESTABLISHED
off (0.00/0/0)
tcp 0 0 172.25.51.15:34063 172.217.8.168:443 ESTABLISHED
off (0.00/0/0)
tcp 0 0 172.25.51.15:52633 54.239.17.112:443 ESTABLISHED
keepalive (7.27/0/0)
tcp 0 0 172.25.51.15:41593 173.241.244.220:443 ESTABLISHED
keepalive (9.70/0/0)
tcp 0 0 172.25.51.15:33960 216.58.192.161:443 ESTABLISHED
off (0.00/0/0)
tcp 0 0 172.25.51.15:45852 178.255.83.1:80 ESTABLISHED

el 443 que quede claro

Bueno hasta aquí recuerdo, happy hunting

 

Anuncios