CTF20 binary 100 write_up （四）

这个题比较有意思，下载下来题目后，发现是个zip，linux下解包后发现包括了一个加密mac.h，一个sshd，一个ssh，刚上来ck同学就把mac.h解密开了

 

原始的mac.h

 

 写道

00000000h: AC AC B7 CD A0 B0 AA AB C5 DF CE C6 CD D1 CE C9 ; 吠牥胚纹脱紊
00000010h: C7 D1 C7 C7 D1 C9 CE DF F6 8A 8C 9A 8D C5 DF 8D ; 茄乔焉芜鰥寶嵟邖
00000020h: 90 90 8B DF F6 8F 9E 8C 8C C5 DF 99 90 90 9D 9E ; 悙嬤鰪瀸屌邫悙潪
00000030h: 8D DF F6 D7 9B 9B 8B 9A 94 D1 9D 96 85 D6 F5 AC ; 嵾鲎洓嫐斞潠呏醅
00000040h: AC B7 CD A0 B0 AA AB C5 DF CE C6 CD D1 CE C9 C7 ; 蜖蔼呶仆盐汕
00000050h: D1 C7 C7 D1 C9 CE DF F6 8A 8C 9A 8D C5 DF 8D 90 ; 亚茄晌喏妼殟胚崘
00000060h: 90 8B DF F6 8F 9E 8C 8C C5 DF 99 CF CF 9D 9E 8D ; 悑喏彏寣胚櫹蠞瀺
00000070h: DF F6 D7 9B 9B 8B 9A 94 D1 9D 96 85 D6 F5 AC AC ; 喏讻泲殧褲枀瞩
00000080h: B7 CD A0 B0 AA AB C5 DF CE C6 CD D1 CE C9 C7 D1 ; 吠牥胚纹脱紊茄
00000090h: C7 C7 D1 C9 CE DF F6 8A 8C 9A 8D C5 DF 8D 90 90 ; 乔焉芜鰥寶嵟邖悙
000000a0h: 8B DF F6 8F 9E 8C 8C C5 DF 92 86 8F 9E 8C 8C 88 ; 嬤鰪瀸屌邟啅瀸寛
000000b0h: CF 8D 9B DF F6 D7 9B 9B 8B 9A 94 D1 9D 96 85 D6 ; 蠉涍鲎洓嫐斞潠呏
000000c0h: F5 AC AC B7 CD A0 B0 AA AB C5 DF CE CF D1 CF D1 ; 醅蜖蔼呶涎涎
000000d0h: CD D1 CE CA DF F6 8A 8C 9A 8D C5 DF 8D 90 90 8B ; 脱问喏妼殟胚崘悑
000000e0h: DF F6 8F 9E 8C 8C C5 DF 8C 8A 8F 8D CC 92 CC 8F ; 喏彏寣胚寠弽虙虖
000000f0h: CF 88 CC 8D DF F6 D7 9B 9A 99 9C 90 91 D1 90 8D ; 蠄虓喏讻殭湊懷悕
00000100h: 98 D6 F5 8F 9E 8C 8C A0 99 8D 90 92 C5 DF CE CF ; 樦鯊瀸尃檷悞胚蜗
00000110h: D1 CF D1 CD D1 CE CA DF F6 8A 8C 9A 8D C5 DF 8D ; 严淹盐蔬鰥寶嵟邖
00000120h: 90 90 8B DF F6 8F 9E 8C 8C C5 DF 8C 8A 8F 8D CC ; 悙嬤鰪瀸屌邔姀嵦
00000130h: 92 CC 8F CF 88 CC 8D DF F6 D7 9B 9A 99 9C 90 91 ; 捥徬執嵾鲎洑櫆悜
00000140h: D1 90 8D 98 D6 F5 AC AC B7 CD A0 B0 AA AB C5 DF ; 褠崢瞩吠牥胚
00000150h: CE C6 CD D1 CE C9 C7 D1 C7 C7 D1 CE CA CE DF F6 ; 纹脱紊茄乔盐饰喏
00000160h: 8A 8C 9A 8D C5 DF 9A 92 96 93 86 DF F6 8F 9E 8C ; 妼殟胚殥枔嗊鰪瀸
00000170h: 8C C5 DF 93 CF 89 CC 93 86 F5 AC AC B7 CD A0 B0 ; 屌邠蠅虛嗸吠牥
00000180h: AA AB C5 DF CE C6 CD D1 CE C9 C7 D1 C7 C7 D1 CE ; 胚纹脱紊茄乔盐
00000190h: CA CE DF F6 8A 8C 9A 8D C5 DF 9A 92 96 93 86 DF ; 饰喏妼殟胚殥枔嗊
000001a0h: F6 8F 9E 8C 8C C5 DF 88 CF 91 9B CC 8D 99 8A 93 ; 鰪瀸屌邎蠎浱崣姄
000001b0h: F5 AC AC B7 CD A0 B0 AA AB C5 DF CE C6 CD D1 CE ; 醅蜖蔼呶仆盐
000001c0h: C9 C7 D1 C7 C7 D1 CE CA CE DF F6 8A 8C 9A 8D C5 ; 汕亚茄问芜鰥寶嵟
000001d0h: DF 9A 92 96 93 86 DF F6 8F 9E 8C 8C C5 DF 91 CF ; 邭挅搯喏彏寣胚懴
000001e0h: 8F 9E DB DB 88 CF 8D 9B F5 8F 9E 8C 8C A0 99 8D ; 彏圹埾崨鯊瀸尃檷
000001f0h: 90 92 C5 DF CE C6 CD D1 CE C9 C7 D1 C7 C7 D1 CE ; 悞胚纹脱紊茄乔盐
00000200h: CA CE DF F6 8A 8C 9A 8D C5 DF 9A 92 96 93 86 DF ; 饰喏妼殟胚殥枔嗊
00000210h: F6 8F 9E 8C 8C C5 DF 93 CF 89 CC 93 86 DF F6 D7 ; 鰪瀸屌邠蠅虛嗊鲎
00000220h: 97 9E 9C 94 9A 8D 8A 91 96 89 9A 8D 8C 96 8B 86 ; 棡湐殟姂枆殟寲媶
00000230h: D1 9A 9B 8A D6 F5 8F 9E 8C 8C A0 99 8D 90 92 C5 ; 褮泭瞩彏寣牂崘捙
00000240h: DF CE C6 CD D1 CE C9 C7 D1 C7 C7 D1 C9 CE DF F6 ; 呶仆盐汕亚茄晌喏
00000250h: 8A 8C 9A 8D C5 DF 99 9A 9E 8B 97 9A 8D DF F6 8F ; 妼殟胚櫄瀷棜嵾鰪
00000260h: 9E 8C 8C C5 DF 93 CE 98 97 8B CC 8D 8B 97 9E 91 ; 瀸屌邠螛棆虓嫍瀾
00000270h: 9B CE 8D 8B DF F6 D7 9B 9B 8B 9A 94 D1 9D 96 85 ; 浳崑喏讻泲殧褲枀
00000280h: D6 F5 8F 9E 8C 8C A0 99 8D 90 92 C5 DF CE C6 CD ; 瞩彏寣牂崘捙呶仆
00000290h: D1 CE C9 C7 D1 C7 C7 D1 C9 CE DF F6 8A 8C 9A 8D ; 盐汕亚茄晌喏妼殟
000002a0h: C5 DF 99 9A 9E 8B 97 9A 8D DF F6 8F 9E 8C 8C C5 ; 胚櫄瀷棜嵾鰪瀸屌
000002b0h: DF 88 97 BF 8B 8C 92 86 8F 9E DB DB DF F6 D7 9B ; 邎椏媽拞彏圹喏讻
000002c0h: 9B 8B 9A 94 D1 9D 96 85 D6 F5 8F 9E 8C 8C A0 99 ; 泲殧褲枀瞩彏寣牂
000002d0h: 8D 90 92 C5 DF CE C6 CD D1 CE C9 C7 D1 C7 C7 D1 ; 崘捙呶仆盐汕亚茄
000002e0h: C9 CE DF F6 8A 8C 9A 8D C5 DF 99 9A 9E 8B 97 9A ; 晌喏妼殟胚櫄瀷棜
000002f0h: 8D DF F6 8F 9E 8C 8C C5 DF 95 8A 8C 8B 88 BF 96 ; 嵾鰪瀸屌邥妼媹繓
00000300h: 8B DF F6 D7 9B 9B 8B 9A 94 D1 9D 96 85 D6 F5 8F ; 嬤鲎洓嫐斞潠呏鯊
00000310h: 9E 8C 8C A0 99 8D 90 92 C5 DF CE C6 CD D1 CE C9 ; 瀸尃檷悞胚纹脱紊
00000320h: C7 D1 C7 C7 D1 C9 CE DF F6 8A 8C 9A 8D C5 DF 99 ; 茄乔焉芜鰥寶嵟邫
00000330h: 9A 9E 8B 97 9A 8D DF F6 8F 9E 8C 8C C5 DF 90 97 ; 殲嫍殟喏彏寣胚悧
00000340h: 92 86 98 90 BB DF F6 D7 9B 9B 8B 9A 94 D1 9D 96 ; 拞槓贿鲎洓嫐斞潠
00000350h: 85 D6 F5 8F 9E 8C 8C A0 99 8D 90 92 C5 DF CE C6 ; 呏鯊瀸尃檷悞胚纹
00000360h: CD D1 CE C9 C7 D1 C7 C7 D1 C9 CE DF F6 8A 8C 9A ; 脱紊茄乔焉芜鰥寶
00000370h: 8D C5 DF 99 9A 9E 8B 97 9A 8D DF F6 8F 9E 8C 8C ; 嵟邫殲嫍殟喏彏寣
00000380h: C5 DF 93 CE 98 97 8B CC 8D 8B 97 9E 91 9B CE 8D ; 胚撐槜嬏崑棡憶螎
00000390h: 8B DF F6 D7 9B 9B 8B 9A 94 D1 9D 96 85 D6 F5 8F ; 嬤鲎洓嫐斞潠呏鯊
000003a0h: 9E 8C 8C A0 99 8D 90 92 C5 DF CE C6 CD D1 CE C9 ; 瀸尃檷悞胚纹脱紊
000003b0h: C7 D1 C7 C7 D1 C9 CE DF F6 8A 8C 9A 8D C5 DF 9A ; 茄乔焉芜鰥寶嵟邭
000003c0h: 92 96 93 86 DF F6 8F 9E 8C 8C C5 DF 93 CF 89 CC ; 挅搯喏彏寣胚撓壧
000003d0h: 93 86 DF F6 D7 9B 9B 8B 9A 94 D1 9D 96 85 D6 F5 ; 搯喏讻泲殧褲枀瞩

 明显是加密的，ck同学一上来就直接说明这个是xor 0xff加密的，所以后来我自己写了个py解密如下

 

 

import struct
def decode(filename):
    file=open(filename)
    file2=open(filename[0:len(filename)-2]+'Decode.txt','w')
    s=file.read(10000)
    #print s
    s1=''
    for i in xrange(len(s)):
        temp=struct.unpack('B',s[i])[0]^0xff
        temp1=struct.pack('B',temp)
        #print temp1
        s1=s1+temp1
    print s1
    file.close()
    file2.write(s1)
    file2.close()
if __name__=='__main__':
    decode(r'D:\hackergame\ctf20\b1\mac.h')

 

解密出来结果

 

 

 写道

SSH2_OUT: 192.168.88.61 user: root pass: foobar (ddtek.biz)
SSH2_OUT: 192.168.88.61 user: root pass: f00bar (ddtek.biz)
SSH2_OUT: 192.168.88.61 user: root pass: mypassw0rd (ddtek.biz)
SSH2_OUT: 10.0.2.15 user: root pass: supr3m3p0w3r (defcon.org)
pass_from: 10.0.2.15 user: root pass: supr3m3p0w3r (defcon.org)
SSH2_OUT: 192.168.88.151 user: emily pass: l0v3ly
SSH2_OUT: 192.168.88.151 user: emily pass: w0nd3rful
SSH2_OUT: 192.168.88.151 user: emily pass: n0pa$$w0rd
pass_from: 192.168.88.151 user: emily pass: l0v3ly (hackeruniversity.edu)
pass_from: 192.168.88.61 user: feather pass: l1ght3rthand1rt (ddtek.biz)
pass_from: 192.168.88.61 user: feather pass: wh@tsmypa$$ (ddtek.biz)
pass_from: 192.168.88.61 user: feather pass: justw@it (ddtek.biz)
pass_from: 192.168.88.61 user: feather pass: ohmygoD (ddtek.biz)
pass_from: 192.168.88.61 user: feather pass: l1ght3rthand1rt (ddtek.biz)
pass_from: 192.168.88.61 user: emily pass: l0v3ly (ddtek.biz)

 其实这时候这道题已经做出来了，答案就是root的pass(也有人说答案是/usr/include/mac.h，这个就不知道了)，但是由于可悲的这道题验证出现了问题，导致迟迟没有通过，所以我又继续分析了这个sshd和ssh

 

 

用ida64位打开这个sshd，直接搜索字符串mac.h，定位发现

 他有两处被调用，其实也就分别对应了这个sshd的两处后门功能（实际上经过分析，以及google发现这是一个后门的sshd软件吧，果断收藏了，蛮好用的），

 

 

其中在man。loc_408275中的功能是你可以nc或者telnet连到这个sshd上，然后直接输入ru1N1pEstd，服务器就会打印出mac.h解密后的内容，实质就是后门密码记录后提取功能

 

 

第二个调用mac.h地方是在auth_password里面，也很好想，记录密码必然在验证密码这里，这里存在另一个后门功能，万能密码，一个经过了linux crypt后为xzoQHjF6pMZlY的字符串可以当做万能密码登录，我们在这里耗了很久，（因为之前提交不过）以为这里的原始密码才是关键，想了各种方法，暴力破解它，结果当然失败了

 

 

当然你也可以手动修改原始文件的这个字符串，这样他就变成了你的专属sshd，我就改了收藏了一个，以后估计有可能用到。