TheMain task added

Author: gnull

TheMain/create/Makefile

@@ -0,0 +1,11 @@
+.PHONY: all clean
+
+keep_symbols = -K main -K __libc_start_main -K super_secure_call -K super_secure_return
+all: main
+
+main: main.c safecall.s fun.s
+	gcc -nostartfiles -o $@ $^ -Wl,-e_start -g
+	strip $(keep_symbols) $@
+
+clean:
+	rm main

TheMain/create/README.txt

@@ -0,0 +1,2 @@
+$ make
+# дать участнику ./main

TheMain/create/flag.enc

@@ -0,0 +1 @@
+R��]5��*��g)��V��V��h��d��*

TheMain/create/flag.plain

@@ -0,0 +1 @@
+$ STCTF#main_is_not_always_main#

TheMain/create/fun.s

@@ -0,0 +1,29 @@
+.text
+.globl _start, flag
+_start:	
+	xor    %ebp,%ebp
+	pop    %esi
+	mov    %esp,%ecx
+	and    $0xfffffff0,%esp
+	push   %eax
+	push   %esp
+	push   %edx
+	push   $0x80484d0
+	push   $0x8048460
+	push   %ecx
+	push   %esi
+	push   $main
+	call __libc_start_main
+	push $lol
+	call printf
+	push $0
+	call exit
+
+__libc_start_main:
+	push $solve
+	call super_secure_call
+	push %eax
+	call exit
+
+lol:	
+	.string "Unbellieveable!\n"

TheMain/create/main.c

@@ -0,0 +1,62 @@
+#include <stdio.h>
+#include <stdlib.h>
+#include <string.h>
+
+extern int super_secure_call(void *func, ...);
+extern void super_secure_return(int status);
+
+#define call super_secure_call
+#define ret  super_secure_return
+
+int main()
+{
+  // break your logic here
+  // this code will never be executed
+
+  printf("passphrase: ");
+  char c[100];
+  scanf("%s", c);
+  if ( (char *)c != "lolol" )
+    return;
+  if ( (int) c[1] != (int) "azaza")
+    return;
+  printf("wrong!\n");
+  ret(0);
+}
+
+unsigned int hash(const char *s)
+{
+  unsigned int result = 0xdeadbeef;
+  while(*s) {
+    result = result * 33 + *(s++);
+  } 
+  ret(result);
+}
+
+void xor(char *s, const char *k, int n)
+{
+  register int i = 0;
+  for (i = 0; i < n; ++i) {
+    s[i] ^= k[i % 4];
+  }
+  ret(0);
+}
+
+char flag[] = 
+  "\x52\xfe\xf0\x5d\x35\x8a\xe5\x2a\x1b"
+  "\xbf\xca\x67\x29\xb7\xd0\x56\x18\xb1"
+  "\xd7\x56\x17\xb2\xd4\x68\x0f\xad\xfc"
+  "\x64\x17\xb7\xcd\x2a";
+
+int solve()
+{
+  char pass[1000];
+  printf("password: ");
+  scanf("%s", pass);
+  
+  unsigned int key = call(hash, pass);
+  call(xor, flag, &key, strlen(flag));
+
+  printf("here is your flag:\n%s\n", flag);
+  ret(0);
+}

TheMain/create/safecall.s

@@ -0,0 +1,41 @@
+	.data
+return_stack_top:		/* глубина текущего вызова, начиная от start */
+	.long return_stack
+	.bss
+return_stack:			/* стек с адресами возврата */
+	.space 4 * 0x1000
+
+
+/* ----------------------------------------------------------- */
+	
+	.globl super_secure_call, super_secure_return
+	.text
+
+super_secure_call:
+	mov (%esp), %eax
+	mov 4(%esp), %ebx
+	
+	mov %ebx, (%esp)
+	movl $0xdeadbeef, 4(%esp)
+
+	mov return_stack_top, %edi
+	mov %eax, (%edi)
+	add $4, %edi
+	mov %edi, return_stack_top
+
+	ret
+
+super_secure_return:
+	add $4, %esp
+	mov (%esp), %eax
+	mov return_stack_top, %ebx
+	sub $4, %ebx
+	mov %ebx, return_stack_top
+	mov (%ebx), %ebx
+
+	mov %ebp, %esp
+	pop %ebp
+
+	push %ebx
+	ret
+	

TheMain/solution/solution.html

@@ -0,0 +1,8 @@
+1. Разбираем бинарник. 
+2. Видим, что флаг расшифровывается шифром Вернама с 4-х байтовым
+ключом равным хешу пароля. (искать правильный пароль не нужно, его
+может не существовать)
+3. Ручками достаем флаг из бинарника.
+4. Вспоминаем, что флаг начинается с 'STCTF#'
+5. Перебираем возможные позиции 'STCTF#', находим ключ
+6. Profit

TheMain/summary.yml

@@ -0,0 +1,8 @@
+---
+answer_regex: STCTF#main_is_not_always_main#
+author: gnull
+category: reverse
+description: |
+  
+name: TheMain
+price: 150