Tras la solución del Reto 1 y el Reto 2, os comentaba una posible solución al Reto 3, y os dejaba pendiente una segunda solución "tirando de debugger", que es la que veremos hoy. Yo voy a utilizar radare2 para hacerlo, pero podríais utilizar gdb, IDA, o vuestro debugger favorito. Para los que se pierdan como yo mirando el puro ensamblador, radare2 tiene una función con la que podemos pintar un poco los bloques de las funciones, lo cual nos ayudará a visualizar un poco mejor lo que pasa.

Llegados a este punto lo di por solucionado y me olvidé del reto hasta que hace menos de un mes me encontré en una de esas situaciones que aterrorizan a cualquier informático del siglo XXI: ¡estar de viaje hospedado en un hotel sin WIFI y con un ordenador delante! Ya había visto todas las series y papers que tenía en el ordenador. En ese momento vi solitaria una carpeta con el binario y me dio por volver a cargarlo en IDA a ver que se me ocurría. ¿Ejecución de código…?

En esta tercera entrega solucionaremos el reto parcheando el binario en tiempo de ejecucion y consiguiendo los opcodes con ayuda de radare. El autor tambien nos muestra una solucion alternativa no considerada por el programador del reto.

El problema es que no sabemos a dónde queremos que el programa salte. Tenemos la pista del nombre de la ventana “test_app”. También sabemos que seguramente debamos saltar a una función que no sea referenciada por otra (ahí está la gracia del reto). Debemos suponer que primero el binario deberá hacer una llamada para crear la ventana y después otra para pintar el cuadrado (o lo que sea que sea eso).Otra forma de resolver el reto es ver que hacen cada una de esas tres funciones y ver quien las está llamando.