Radare2. Вскрываем и изменяем исполняемые файлы при помощи опенсорсного фреймворка

Уп­ражнять­ся мы будем на crackme, которую я написал спе­циаль­но для демонс­тра­ции. Ска­чать файл ты можешь с мо­его GitHub. Все дей­ствия мы будем про­водить в Debian Linux.

В статье «Radare2 с самого начала. Учим­ся исполь­зовать опен­сор­сный фрей­мворк для ана­лиза при­ложе­ний в Linux» мы уже начали иссле­довать этот исполня­емый файл. При запус­ке он откры­вает сокет и начина­ет слу­шать порт 14884. Если под­клю­чить­ся к это­му сокету при помощи netcat, то мож­но уви­деть приг­лашение для вво­да име­ни поль­зовате­ля или пароля. Если ввес­ти невер­ный пароль, сеанс завер­шится.

Ис­поль­зуя основные воз­можнос­ти Radare2, мы выяви­ли в прог­рамме фун­кции main, authenticate, check_username, check_password, start_server и нес­коль­ко дру­гих. В authenticate есть пять локаль­ных перемен­ных, а так­же вызов фун­кции с говоря­щим наз­вани­ем check_username, которой в качес­тве единс­твен­ного аргу­мен­та переда­ется зна­чение перемен­ной fd.

Это кра­еуголь­ная фун­кция в защит­ном механиз­ме, пос­коль­ку из нее вызыва­ются некото­рые дру­гие весь­ма важ­ные и не всег­да отно­сящи­еся к про­цеду­ре логина фун­кции. На оче­реди — извле­чение пароля. Но даже ког­да мы рас­кусим защит­ный механизм, у нас будет воз­можность копать этот кряк­мис в глу­бину. Мы изме­ним его код, что­бы выпол­нение прог­раммы шло по той вет­ви, резуль­таты выпол­нения которой нам нуж­ны.

Распознание имени пользователя

В фун­кции check_username дес­крип­тор сокета, передан­ный в аргу­мен­те, помеща­ется в перемен­ную fildes. Далее с помощью биб­лиотеч­ной фун­кции memset готовит­ся буфер памяти: src запол­няет­ся нулями, затем в него с помощью фун­кции read чита­ется поль­зователь­ский ввод из сокета, на который ука­зыва­ет fildes. То есть чита­ется как бы с уда­лен­ного устрой­ства.

Даль­ше в кон­соль на сто­роне сер­вера фун­кция printf выводит стро­ку [+] Reading username, потом в нее же с помощью fputs вылива­ется содер­жимое буфера src, содер­жащего вве­ден­ное имя поль­зовате­ля. Далее воз­вра­щен­ный фун­кци­ей fputs резуль­тат срав­нива­ется с -1. Если равенс­тво вер­но, выводит­ся сооб­щение об ошиб­ке, если же воз­вра­щен­ное зна­чение не рав­но -1 (ноль или положи­тель­ное зна­чение), то выпол­няет­ся переход на стро­ку 0x1605. Здесь про­исхо­дит вывод сим­вола кон­ца стро­ки — \n.

Пос­ле это­го готовят­ся парамет­ры для вызова биб­лиотеч­ной фун­кции strcpy. Она копиру­ет имя поль­зовате­ля src в новую область памяти — dest. Далее в стро­ке со сме­щени­ем 0x1628 в перемен­ную var_420h копиру­ется зна­чение 0x6262616a. В ком­мента­рии рядом Radare2 оста­вил мет­ку, зак­лючен­ную в оди­нар­ные кавыч­ки, — jabb:

По мне­нию Radare2, это шес­тнад­цатерич­ное чис­ло — набор букв в кодиров­ке UTF-8, исполь­зуемой в боль­шинс­тве дис­три­бути­вов Linux. Доверяй, но про­веряй! В коман­дную стро­ку под дизас­сем­бли­рован­ным лис­тингом фун­кции вве­ди

Ни­же появит­ся спи­сок, в котором ука­зан­ное зна­чение будет кон­верти­рова­но в раз­ные типы дан­ных.

Нас инте­ресу­ет тип string. Нап­ротив него мы видим стро­ку jabb, что и тре­бова­лось доказать.

Вер­немся в фун­кцию check_username. Стро­кой ниже (0x1632) мы видим, что в перемен­ную var_21ch помеща­ется сим­вол a, пока непонят­но для чего. Сно­ва про­мота­ем лис­тинг к началу фун­кции, где рас­положе­ны ком­мента­рии о перемен­ных:

Нас инте­ресу­ют эти две перемен­ные. Теперь пос­мотрим на код прис­воения им зна­чений:

Ис­тина где‑то рядом. В UTF-8 сим­вол может занимать от одно­го до четырех бай­тов, одна­ко латин­ские сим­волы, которые мы видим в лис­тинге, никог­да не пре­выша­ют одно­го бай­та. Таким обра­зом, зна­чение 0x6262616a — это четыре бай­та, что под­твержда­ет раз­мер при­емни­ка — двой­ное сло­во, dword.