작년,재작년 때 나가서 각각 콩등 한 Layer7 CTF.
문제 스타일과 퀄리티가 나랑 맞아서 요번에도 일반인으로 참가했다.
가족행사에 참가해서 많이 하지 못했기 때문에 대회 때 풀다가 넘긴 것들을 풀이하겠다.
Reverse Me
MP3 파일을 하나 제공해주는데, hex 에디터로 맨 끄트머리를 확인해보면 exe 파일이 거꾸로 삽입되어 있다는 것을 확인할 수 있다.
거꾸로 돌려주고 IDA로 살펴보면 8바이트를 입력받아 요러쿵 저러쿵 연산하는 것을 볼 수 있다.
한바이트를 2비트씩 나눠서 두 비트를 조작하는 연산이고 후에 조작하지 않은 4바이트 입력 데이터와 XOR 한다.
처음 접근은 Decoder 만들기였으나, Decoder 만드는 과정에서 연산 후 데이터를 같은 함수에 넣으면 연산 전 데이터가 나온다는 사실을 알게되었다.
그러므로, 입력 값을 맨 끝 비교하는 값으로 바꿔주고 실행시키면 단번에 Flag를 얻을 수 있다.
이렇게 바꾸고 돌리면
이렇게 EAX 와 EBX에 원래 값이 예쁘게 들어가 있는 것을 볼 수 있다.
Flag : regedit@
Easy Reversing
Windows 프로그램이다. 분석해보면, WM_CHAR 이벤트를 이용해 키보드로 데이터를 입력받고 입력받은 데이터 체크 루틴이 있다는 것을 확인할 수 있다.
위 사진이 그 루틴인데, 살짝 괴랄하다. result 변수가 6까지 돌기 때문에 맨 마지막 바이트를 0x52 즉 R이라고 유추할 수는 있다.
0x52 ^ 0xfb 를 하면 v3는 알아낼 수 있지만 이 v3가 ROL(이전 바이트, 이전바이트 & 7) 한 값이기 때문에 ROR을 1에서 7까지 돌린다 해도 해당 바이트가 실제 이전 바이트인지, 연산을 더 진행할 수 있는지에 대한 불확실성이 너무 크다. 그래서 처음 루틴부터 따라가기로 했다.
def ROL(data, shift, size=32):
shift %= size
remains = data >> (size - shift)
body = (data << shift) - (remains << size )
return (body + remains)
def ROR(data, shift, size=32):
shift %= size
body = data >> shift
remains = (data << (size - shift)) - (body << size)
return (body + remains)
xorkey = [0x0a,0xe9,0xda,0xca,0xd,0xe7,0xfb,0x52]
db = {}
db2 = {}
db3 = {}
db4 = {}
db5 = {}
db6 = {}
db7 = {}
db8 = {}
for j in range(0x20,0x7f):
bit = j & 7
r = ROL(j,bit,8)
x = r ^ xorkey[0]
if x >= 0x20 and x < 0x7f:
db[chr(j)] = chr(x)
for i in db:
bit = ord(db[i]) & 7
r = ROL(ord(db[i]),bit,8)
x = r ^ xorkey[1]
if x>= 0x20 and x < 0x7f:
db2[db[i]] = chr(x)
for i in db2:
bit = ord(db2[i]) & 7
r = ROL(ord(db2[i]),bit,8)
x = r ^ xorkey[2]
if x>= 0x20 and x < 0x7f:
db3[db2[i]] = chr(x)
for i in db3:
bit = ord(db3[i]) & 7
r = ROL(ord(db3[i]),bit,8)
x = r ^ xorkey[3]
if x>= 0x20 and x < 0x7f:
db4[db3[i]] = chr(x)
for i in db4:
bit = ord(db4[i]) & 7
r = ROL(ord(db4[i]),bit,8)
x = r ^ xorkey[4]
if x>= 0x20 and x < 0x7f:
db5[db4[i]] = chr(x)
for i in db5:
bit = ord(db5[i]) & 7
r = ROL(ord(db5[i]),bit,8)
x = r ^ xorkey[5]
if x>= 0x20 and x < 0x7f:
db6[db5[i]] = chr(x)
for i in db6:
bit = ord(db6[i]) & 7
r = ROL(ord(db6[i]),bit,8)
x = r ^ xorkey[6]
if x>= 0x20 and x < 0x7f:
db7[db6[i]] = chr(x)
print db
print db2
print db3
print db4
print db5
print db6
print db7
약간 비효율적이지만 이렇게 트레이싱해서 마지막 바이트가 0x52 인 것을 찾고 따라가면 String을 알아맞출 수 있다.
{'!': 'H', ' ': '*', '$': 'H', ')': 'X', '(': '"', '+': 'S', '1': 'h', '0': ':', '4': 'I', '9': 'x', '8': '2', '@': 'J', 'D': 'N', 'H': 'B', 'K': 'P', 'J': '#', 'P': 'Z', 'R': 'C', 'T': 'O', 'X': 'R', 'Z': 'c', '`': 'j', 'd': 'L', 'h': 'b', 'k': 'Q', 'p': 'z', 't': 'M', 'x': 'r'}
{'r': ' ', '"': 'a', 'I': '{', '*': 'A', 'M': '@', 'L': '-', 'O': 'N', 'N': 'z', 'Q': 'K', 'S': 's', '2': '!', 'j': '@', 'b': '`'}
{'A': 'X', 's': 'A', 'z': '3', 'N': 'I'}
{'A': 'H', 'I': 'X', '3': 'S'}
{'H': 'E', 'X': 'U'}
{'U': 'M', 'E': 'O'}
{'M': 'R', 'O': '\\'}
마지막 바이트가 R 인 것을 따라가면 => TONIXUMR 라는 값을 얻을 수 있다.
문자열 체크 루틴은 WM_DESTROY 일때 분기하므로 TONIXUMB 문자열을 입력하고 창을 닫으면 루틴이 통과되는 것을 확인할 수 있다.
하지만 Fail 이라는 Message Box가 띄워지는데, 그 이유는 다음 루틴 때문이다.
문자열 체크 루틴을 지나면 본격적으로 Flag 체크 루틴에 돌입하는데, 최종적으로 v9가 XOR 한 값과 같아야 한다. XOR한 값은 사용자 입력이 아니므로 v9를 살펴봐야 한다.
처음, 자기자신을 읽어 맨 끝 12바이트만 제외하고 모두 XOR 하는데 이용한다. 나머지 12바이트는 4바이트씩 잘라 또 XOR 하는데 사용된다. 그리고 8~12 바이트를 받는 과정에서 문제가 있음을 짐작할 수 있다.
hex 에디터로 해당 파일을 열어서 맨 끝 4바이트를 보면 0으로 채워져있는 것이 보인다. 이 값을 비교하는 XOR 값으로 채워넣거나 강제로 체크 루틴을 우회하면 Flag를 얻을 수 있다.
Flag : notepad!
------
누군가에겐 아주 쉬운 문제였을지는 몰라도 나에게는 오랜만의 여흥이자 머리를 말랑말랑하게 만드는 좋은 원동력이 된 것 같다.
문제를 만든 출제자에게 감사를 보내며 앞으로도 좋은 Layer7 대회가 되길.
