Reversing

apk문제인데, 처음 문제를 보자마자 후킹으로 풀면 편할 것 같다는 생각을 했다. 문제는 18글자의 플래그를 맞추면 끝나는 문제인데, 검사를 할 때는 2 글자씩 hex로 바꿔서 검증을 하기 때문에, 총 9번의 검증 루틴을 통과하면 플래그를 얻을 수 있다. 사실상 8번째 까지는 후킹으로 빠르게 값을 뽑아낼 수 있다. 마지막 한글자가 8번째까지의 입력한 값들에 따라 바뀌기 때문에, 이에 대한 처리만 잘해주면 된다. 우선, 필요한 함수들은 frida에서 바로바로 호출해서 쓸 수 있으니, 필요한 데이터들을 먼저 골라냈다. 1. 입력값에 대한 dictionary 정보 및 getSecretNumber 정보 추출. - 각 조건에 맞는 글자들의 경우의수가 1가지가 아니기 때문에, 쉽게 풀기 위해서는 입력값과 검증 함수..

이 문제는 가장 쉬운문제이기도 하고 실제로 많이 풀리기도 했다. 다양한 문제풀이 방법이 있지만, 그냥 idapython을 이용해 풀어보았다.[ https://www.hex-rays.com/products/ida/support/idapython_docs/ ] [메인함수 부분] 해당 바이너리는 문제이름답게 packing이 되어있는 상태이다. 따라서 ida에서 동적디버깅을 통해 unpack된 상태에서 idapython을 이용해 간단하게 풀 수 있다. [한글자씩 비교하는 루틴] 한글자씩 비교하는 루틴이 15번 반복되고, 특정 주소 + offset에 있는 글자와 비교하는 방식이다. [unpack된 시점에서의 memory map] 특정 주소는 메모리맵을 보았을 때, offset 0번째를 기준으로 한다. unpack..

probcategory : Crackme 2000 Challenge주어진 바이너리들의 KEY 값을 찾는 그런 문제였다. 총 6개의 문제가 출제 되었고, 각각 다른 루틴을 가지고 있다. enlightenment 문제에서 나머지 다른 5문제의 루틴이 섞인 바이너리가 존재하기 때문에 enlightenment 문제만 푼다면 다른 5개 문제는 모두 풀 수 있다. 전체적으로 objdump, grep, 정규표현식, 약간의 리버싱만 있으면 풀 수 있는 문제였다. Solution import re import sys import os import glob import subprocess import string check_out = lambda cmd : subprocess.check_output(cmd, shell=T..

Challenge코드게이트 예선때는 101개의 바이너리를 리버싱해서 키를 찾는 문제가 있었는데 모두 같은 bit 였었고, 비교적 규칙적이여서 간단한 angr코드로도 문제를 풀 수 있었다. 이번 본선에는 300개의 바이너리를 리버싱해서 키를 찾는 문제가 나왔는데, 300개의 바이너리를 보니 32bit,64bit 가 랜덤으로 섞여있었고, 키를 찾는 루틴 전에 몇가지 패턴(socket, argv check 등)이 있었고, 이를 코드패치를 해주지 않으면 절대로 키를 체크하는 루틴에 도달할 수 없는 그러한 바이너리가 랜덤하게 300개 있었다. Solution키를 체크하는 함수 직전에 nop + 프로그램 실행 시, 첫번째 인자를 키 체크 함수의 인자로 넣는 어셈블리어를 32bit, 64bit 두 가지 경우로 짠 뒤..

ida로 바이너리를 분석하다 보면 보통 구조체는 ida에서 정의해주지 않습니다.따라서 구조체 분석이 끝난이후에는 사용자가 구조체를 직접 정의해주면 분석하기가 훨씬 편합니다. 저 같은 경우에는 두가지 방법을 주로 이용하는데,2016 seccon에 나왔던 chat문제를 예시로 설명하겠습니다. 이 함수는 tweet message를 만들어서 보내는 함수입니다.보면 0x98만큼 힙에 할당을 하는데, 분석을 해보면 count 8bytename 8bytemessage 128byteheap_addr 8byte이렇게 총 0x98바이트 구조체인것을 금방 알 수 있습니다. v5[18], (__int64)(v5+2) 이런식으로 되어있으면 위와 같이 간단할 때는 알아볼 수 있어도복잡한 바이너리 에서는 보기가 불편합니다. 따라서..

문제바이너리는 pwn의 Fuckzing exploit문제와 완전히 똑같다.afl fuzzer의 컴파일러로 컴파일 된 리눅스 바이너리이다. 실행을 시키면 libget_flag.so 가 없다고 실행이 되지 않는다. ldd명령어로 보면 libget_flag.so 를 찾을 수 없다고 적혀있다. libget_flag.so파일을 임시로 만들고 그 공유라이브러리안에 get_flag함수를 위의 구조에맞게 대충 만들어주면 된다. 나는 대충 이런 코드를 so파일로 만들었다. gcc -fpic -shared get_flag.c -o libget_flag.so를 이용해서 so파일을 만든 후/usr/lib/x86_64-linux-gun/ 디렉토리에 임시로 복사해놓으면 에러가 발생하지 않는다. 그래프뷰를 보면 엄청 복잡해보이지만..

프로그램이 너무 복잡하다.내가 분석한결과는 위에처럼 함수가 구성되어있다.무언가를 print를 해주는 비슷한 함수가 2개 있고,input을 받는 함수, 그리고 너무커서 분석도 잘안되는 nodap함수, main함수 이렇게 크게 나눠진다. 함수마다 대충 구조가 위에 처럼 생겨먹었다일단 위의 그래프는 신경안쓰고 생각을 해봤다.crackme문제이기 때문에 입력이 맞으면 플래그를 출력해줄것이라고 예상을 했다. 입력을 하는 함수안에 분명히 힌트가 있을 것이고답은 괄호안에있다고 했는데 print함수 2개에는 괄호가 없다.따라서 input함수에서 제대로 정답을 맞추면 nodap함수에서 플래그를 출력해준다고 예상을했다. user_input함수 안을 보면 위와 같이 특정변수들이 아스키값에대해서 비교연산을 계속 하고 있는것을..

ㅇㅅㅇ 이런 메시지가 출력된다. 이 부분에서 에러메시지가 출력이 되고 바로 위 호출되는 함수를 보거나, 문자열을 찾아보면 파일을 오픈하는 함수가 있는데 존재하지 않을경우 위의 메시지가 출력된다. 위의 경로에 flag.txt라는 파일이 있어야 하고 나는 경로를 만들고 txt파일에 A를 채워 넣어서 다시 실행을 시켜보았다. 이제는 키가 틀렸단다. ida로 보면 바로 위의 함수부분의 결과에 따라 분기하는 것을 알 수 있다. 이제 올리디버거로 저부분을 브레이크를 잡아서 레지스터들을 살펴보았는데ECX레지스터에 내가 입력한 문자열의 주소가 들어가는것을 확인할 수 있었다. 해당 함수로 들어가면 문자열을 ECX에 다시 저장하고 ESI부분과 4바이트씩 비교하는 부분이 나온다.ESI부분에 있는 값이 key임을 알 수있다...

휴가때문에 피곤해서 늦게 풀었당(술..) 문제파일을 보면 아무형식이아닌 그냥 data 파일이다. 하지만 ida에서 열어보면 함수들이 많이 들어있다.main함수처럼 보이는 것을 먼저 찾아보았다. 조금 내리다 보니 메인같은 함수 몇개가 보였다.안에 함수 호출을 적당히 따라가다보면 이상한곳으로 계속가는데 무시하고 보다보면 바로 의심스러운 부분이나온다. 이렇게 시작하는 함수인디 밑에를 보면 확실히 뭔가 문자열과 관련된거 같다. 함수첫번째 인자에 값을 넣어서 flag를 구하는거 같다.함수 첫번재 인자가 무엇인지 추적해봤다. 이상한 값이 있다.왠진 모른다 문제를 만들면서 그냥 어떻게 됬나보다(pie나 symbol table이나 뭐 관련있으려나..) 무튼 그래서 그냥 제일 앞에 값이 TMCTF이런식일테니까 T - K..

mov eax, datamov edi, destmov ecx, sizerep stos(d) 이런식의 어셈블리어가 함수 프롤로그 다음에 있으면edi주소에 해당하는 크기*size만큼 eax로 채운다.b = 1, w = 2, d = 4 byte 이다. 따라서 만약 0x1234에 다가 0을 4바이트씩 100바이트 채우기 위해서는 lea ebx, [0x1234]mov eax, 0mov edx, 25mov edi, ebxmov ecx, edxrep stosd 대충 이런식의 명령어로 memset기능을 할 수 있다. 간단하면서도 memset함수보다 빠른 장점이 있다.

핵스뷰를 eax에 싱크를 맞춰놓고 트레이싱을 하다보면 FindResource함수를 호출하고 난 뒤 헥스뷰를 보면 밑에 exe파일 같은 데이터가 보인다.이게 뭐지 하고 binwalk로 돌려보았다. pe파일이 한개 숨어있다.바로 추출한뒤 트레이싱해보았다. decrypted문자열 주위를 트레이싱 하다보면 위와 같이 ARIA_IS_GOOOD!~!가 스택에 잠시동안 박힌다. decrypted된것이 ARIA_IS_GOOOG!~!임을 알 수있다.

데이터 형식 범위Visual Studio 2015 다른 버전 Visual C++ 32비트 및 64비트 컴파일러는 이 문서의 뒷부분의 표에 나온 형식을 인식합니다.int (unsignedint)__int8 (unsigned__int8)__int16 (unsigned__int16)__int32 (unsigned__int32)__int64 (unsigned__int64)short (unsignedshort)long (unsignedlong)long long (unsignedlonglong)이름이 두 개의 밑줄(__)로 시작하는 경우 데이터 형식은 비표준입니다.다음 표에 지정된 범위는 포함-포함입니다.형식 이름바이트기타 이름값의 범위int4signed–2,147,483,648 ~ 2,147,483,647unsi..