SITCON2015-列印點數歡樂談

Transcript

1. 列印點數歡樂談A_A SITCON 2015 Leg_Bone

2. 大家好~ 我是腿骨

3. About Me 撰寫BY PASS Hackshield TDOHacker 南區召集人 SITCON 2014/2015 short

   talk 講者

4. 中研院中國文哲所電腦委員會打過工 現在是VIVOTEK的資安實習生 同時也還是個死大學生 比較習慣使用的語言是ASM,VC++ 然後對逆向功能也有一點點研究!

5. 為什麼我今年又投稿了…..?

6. SITCON 2014…….

7. None
8. None

9. 如今…2015…依舊…..

10. 希望今年徵的到阿ORZ

11. 正題開始

12. 逆向工程

13. 一般是用來破解,做壞事…..

14. 今天難得把它用在正向的用途上!

15. 要聽懂這場ShortTalk的必備技能: 1.一點點組合語言 2.一點點逆向工程 3.一點點PHP

16. 每次要做奇怪的事之前都會有個 故事……..

17. 故事開始…..

18. 有某根腿骨在這個地方打工…… 中研院中國文哲研究所

19. 不用懷疑,就是前面那一棟…….

20. 做文學研究….大家都知道一定是….

21. 一直印

22. 一直印 一直印 一直印 一直印 一直印 一直印

23. 一直印 一直印 一直印 一直印 一直印 一直印 一直印 一直印 一直印 一直印

    一直印 一直印

24. 一直印 一直印 一直印 一直印 一直印 一直印 一直印 一直印 一直印 一直印

    一直印 一直印 一直印 一直印 一直印 一直印 一直印 一直印

25. 前幾頁做好久ORZ

26. 為了讓大家稍微克制一點,所以出 現了個東西叫做列印點數……..

27. 彩色印一次扣兩點 黑白印一次扣一點

28. 問題來了,大家怎麼知道自己剩下的點數?

29. 廠商有提供一個EXE 可以在右下角查詢目前登入使用者的點數

30. But……..

31. 只要有一個人的列印點數不足,整個所的電腦都會開 始跳通知….. 腿骨辦公室的電話就會開始被全所的內線DDOS…..

32. 所以腿骨的上司就做了個決定: [不要把這個EXE發下去…….]

33. 那大家要怎麼查詢剩餘點數呢….

34. 研究員 腿骨 腿骨上司 腿骨 研究員 一個研究員要查詢…

35. 很多個研究員要查詢… 研究員 腿骨 腿骨上司 腿骨 研究員 研究員 腿骨 腿骨上司 腿骨

    研究員 研究員 腿骨 腿骨上司 腿骨 研究員 研究員 腿骨 腿骨上司 腿骨 研究員 研究員 腿骨 腿骨上司 腿骨 研究員 研究員 腿骨 腿骨上司 腿骨 研究員 研究員 腿骨 腿骨上司 腿骨 研究員 研究員 腿骨 腿骨上司 腿骨 研究員

36. 腿骨 ‧ crash ◢▆▅▄▃-崩╰(〒皿〒)╯潰-▃▄▅▆◣

37. 在某次崩潰後….下定決心解決他 但是我沒有原始碼………..

38. 只好拆了!

39. 1.修好他會通知所有人的BUG……太麻煩了(X) 2.分析出他POST出去的資料,模擬發送來查詢剩餘點 數……….可以考慮(O) 3.利用它本來的EXE串接到WEB上面去……….也可以考 慮(O)

40. 實際下去用wireshark攔截封包後,發現是沒看 過的通訊協定,只好先跳過

41. 第二條路走不通,那就走第三條吧!!

42. 直接把他抓進OD,分析一下他做了些什麼

43. 好像懂了什麼,cowby123就是我的使用者帳號阿! 但是拜託別去念他,我怕被大會用CoC驅逐出場ORZ

44. Mov eax,使用者ID儲存的地址

45. 改成隔壁同事的試試看!!

46. 真的查到了!!!還有189點

47. 但是我需要一個可以儲存使用者ID的地方 也就是說只要修改送出去的ID 就可以查詢別人的資料......

48. 還記得剛剛這個畫面嗎?紅色框框的部分有多出來的 無用資訊阿!

49. 把它填成隔壁同事的帳號

50. 把使用者ID儲存的地址改成剛剛寫死的部分!

51. 這樣就可以通過直接修改binary的方式來查詢別人 的點數

52. 成品大概是長這個樣子

53. 執行一個我們自己的執行檔 我們的執行檔去修改列印點數查詢的ID 執行改過的列印點數查詢程式 接收傳入的參數(要查詢的ID) 讀取記憶體中的列印點數 結束列印點數查詢程式

54. 用任意程式語言建立一個新的專案!

55. 時間有限 讀檔寫檔的部分學校應該都有教,就不加贅述 然後就用我們的EXE執行修改過後的主程式 這時候他查詢到的列印點數就是我們傳入的ID

56. 執行起來之後,記憶體裡面就有那個ID列印點數的資料, 再用WINDOWS API裡面的ReadProcessMemory 來讀取這個處理程序裡面的數值!

57. 最後就可以用指令的方式來顯示查詢到的點數了 (๑•́ ₃ •̀๑)

58. 再用簡單的PHP CODE就可以在網頁上查詢囉!!!!! <? $a = $_POST["userid"]; if ($a != ""){

    $cmd = "getpoint.exe ".$a; ?>

59. 身為一個合格的駭客 網站寫完以後 自己來挖一下自己的洞

60. PHP接收到CMD指令以後實際上是 長這個樣子 Getpoint.exe ID參數

61. 有用過windows命令提示字元的都 知道…… & <= 這個符號可以連接兩個指令…..

62. 以我自己的ID資料為例 getpoint.exe cowby123&dir cowby123&dir

63. 他真的執行了……

64. 工商服務時間

65. 由於莫風大大去年跟前年都還沒徵 到另一伴… 誠徵女友!! 有興趣請洽大大本人 <(_ _)> 附上QRCODE!

66. The Declaration of hacker (TDOH)

67. 如果你對資安有興趣

68. 也對我們想作的事情有興趣

69. 可以到這邊了解我們 ↓ http://tdohacker.org/

70. 也可以在FB上搜尋 "The Declaration of hacker"

71. 等一下還有我們的總召集人的 Lightning Talk 敬請期待

72. Q&A