- Reto powered by Matalaz -

Ya hay segundo reto “exploit4f00d” en 48bits. Visto que el anterior reto a cambio de un bocata de nocilla de los buenos con solera ha tenido éxito os presentamos otro más, esta vez, además el clásico bocata de nocilla, regalamos pincho de anchoa y “txikito” a aquellos que descubran esta vulnerabilidad y la exploten de un modo diferente.

¿En qué consiste el reto?

Esta vez también os enfrentáis al mundo real, tendréis que explotar una vulnerabilidad “0day” en un software de una compañia importante. Esta compañía es en esta ocasión el gigante IBM.

¿Eso no está mal?

No, si resulta que la empresa pasa de todo y vía e-mail no consigues nada.

No, si, además, los servicios de soporte, tras una llamada telefónica, solo te preguntan por tu comercial.

No, si la vulnerabilidad es tan obvia que mi abuela la encontraría en menos de una hora.

No, si además de todo esto añadimos que como es la ultimísima versión nadie lo está utilizando en producción (hasta que no pasan 1 o 2 años mínimo nadie pone un software de base de datos nuevo en producción).

Vale, me mola el asunto, ¿qué software es?
El software a explotar es IBM DB2 v9.5 (lo último de lo último) en su versión para Windows. Podéis usar la versión express (freeware) o probar con la enterprise (disponible en versión demo). Funciona en todas.

¿Donde me lo bajo?
Tienes que bajarte el siguiente fichero. Hace falta registrarse, sin embargo, siempre hay alternativas 0:-)

¿Y cuáles son las reglas y el objetivo?
El objetivo del reto es conseguir un exploit funcional para la vulnerabilidad local con el payload que se quiera.

Las reglas son las siguientes:

El proceso vulnerable debe seguir corriendo sin interrupción durante todo el proceso, incluso despues de haberse ejecutado el exploit. La vulnerabilidad no puede ser explotada con el típico DLL injection (¿Hacen falta más detalles?). Buscaros la vida y hacerlo del modo más original que se os ocurra.

Vale, ya lo he conseguido ¿ahora qué hago?

Para poder acceder a la comida tendrás que enviarnos tu solución que debería incluir:
Descripción de las herramientas que has usado para descubrir la vulnerabilidad.
Descripción del fallo.
Descripción del proceso para explotarlo.
Código fuente del exploit y cualquier material adicional que consideres oportuno.

Además de la comida, ¿qué gano con esto?
Devolver a la comunidad lo que la comunidad te dá.
Tu explicación, una vez publicada, puede ayudar a gente a aprender cosas interesantes y/o aficionarse por el tema. Además quién sabe, puede que alguna empresa se interese por tí…

No controlo mucho, ¿es muy chungo?
No, precísamente es un fallo muy fácil de descubrir, explotar y documentar. Lo descubriría mi abuela. Así que sin miedo!!

¿Alguna pista sobre el fallo?
No. Búscate la vida.

¿Cuánto tiempo tengo?
No hay límite de tiempo, en el momento que recibamos al menos dos soluciones, lo comunicaremos unos días antes para que los que estén en ello todavía puedan terminarlo. En el improbable caso de que resultara desierto, pues publicaremos nuestra solución o daremos algo más de tiempo si alguien lo pide.

¿HOYGA, AHONDE EMBIO MI SOLUZION?
staff (at) 48bits (dot) com

Dada una lista de N números enteros (positivos y negativos), encontrar el mayor valor que es posible obtener sumando cualquier grupo de números consecutivos dentro de la lista. Por ejemplo, si la lista fuera: 1,-2,5,3,-4,5,0,2,-2,3,-7,5,1. La mayor suma que se puede obtener es 12, resultado de sumar los valores 5,3,-4,5,0,2,-2,3. No hay otra suma de números consecutivos dentro de la lista que sea mayor que 12. El programa naturalmente recibirá como entrada una lista con una cantidad arbitraria de números (en un fichero, por teclado, o como se prefiera) y retornará el valor de la suma máxima, y si es posible, también la secuencia de números que forman parte de la suma. Se valorará la eficiencia en cuanto a tiempo de ejecución para valores grandes de N.

En efecto, como se puede ver en la solución de Miguel, el fichero de licencia comienza con un byte de control, seguido de un entero de 32 bits, y a continuación un array de 511 bytes. Estos 511 bytes son los nodos de un árbol binario perfecto de profundidad 8. Recordemos que un árbol binario es aquel en el que cada nodo puede tener 0, 1 o 2 dos hijos, y es perfecto cuando no hay ningún nodo que tenga un solo hijo, y todas las hojas están en el mismo nivel de profundidad. Los 511 nodos están dispuestos según el recorrido inorder del árbol, que consiste en hacer el recorrido del subárbol izquierdo, procesar el nodo actual, y luego recorrer el subárbol derecho. El array resultante parece ser una representación aplastada del árbol, como se muestra en la figura. Además, al tratarse de un árbol perfecto, la raíz del árbol cae justo en el centro del array.

El algoritmo de verficación consiste en recorrer el árbol comenzando por la raíz, hasta una de sus hojas, usando los bits del byte de control para decidir en cada nivel si descendemos por la rama izquierda o derecha del nodo actual. Si el bit es 0 vamos por la izquierda, si es 1 por la derecha. Naturalmente el árbol tiene 8 niveles (o 9 se cuenta la raíz) porque el byte de control tiene 8 bits, y se usa un bit para tomar la decisión “izquierda o derecha” en cada nivel. Al hacer el recorrido se van sumando los valores de los nodos por lo que se pasa, y al final este valor tiene que ser igual al entero de 32 bits que sigue al byte de control.

Como ven el algoritmo es muy sencillo, pero es un buen ejercicio para refrescar algunos conceptos básicos relacionados con la recursividad y los recorridos de árboles. Además vale la pena echarle una ojeada a la solución de Miguel, que aprovecha las características del árbol y su recorrido para hacer una implementación iterativa del algoritmo.

…come on baby crack my file,
come on baby crack my file,
try to set the key on…… file.

Solo adelantaré que no es demasiado difícil, y que hay que desempolvar un poco las matemáticas elementales. ¿Alguna pregunta o comentario…?