## Codegate CTF_2017(RamG-thunder, rev)
[Summary]
1. Step by Step으로 하나하나 조건을 만족시키면 된다.
2. 만족시킨 값들로 특정 헥사 바이너리들을 xor연산하면 png파일이 생성된다.
[Analysis]
RamG-thunder 문제는 윈도우 PE 바이너리이고 실행시키면 아래 [그림 1]과 같이 간단한 4가지의 단순한 메뉴와
1개의 히든 메뉴를 가지고 있는 프로그램이다. 여기서 중요한 메뉴는 4번을 누르면 나타나는 히든 메뉴이다.
(히든 메뉴는 String 검색을 통해 찾을 수도 있고 스위치문을 통해 찾을 수도 있음)
[그림 1] RamG 문제 실행
이 프로그램을 OllyDBG와 IDA를 통해 동적/정적 분석해보도록 할 것이다. 우선 먼저 올리디버거로 해당 히든 메뉴
부분을 스트링 기반으로 Search하여 아래 [그림 2]와 같이 시작점에 bp를 걸고 분석을 진행할 것이다. 1번 메뉴
help는 step by step이라는 힌트를 준다.
[그림 2] 히든 메뉴
이제 F8을 누르면서 진행하다 보면 2번 메뉴를 들어가면 0x4015f0함수를 호출하는 것을 확인할 수 있고 IDA를 통해
해당 함수의 첫 부분을 보면 아래 [그림 3]과 같이 스택에 알 수 없는 값들을 쓰는 것을 확인할 수 있다.
[그림 3] sub_4015f0 함수 첫 부분
그리고 더 진행하다 보면 [그림 4]와 같이 stage1에서 키 입력을 받아 메모리에 저장되어 있는 특정 값과 xor하여
메모리에 저장되어 있는 값과 비교를 한다.
[그림 4] stage1 풀이
이렇게 Stage1 부분은 위 그림과 같이 xor_answer와 실제 사용자 입력 값과 47459와 xor한 값을 strncmp함수
기능을 하는 sub_405c20()함수로 5바이트 비교하기 때문에 "yamya"라는 입력 값을 집어넣으면 stage1을
통과하게 된다. 그리고 Stage2로 넘어가기 전 아래 [그림 5]와 같이 IsDebuggerPresent()함수와 프로세스 명을
기반으로 디버거를 탐지하는 안티디버깅 루틴이 존재하는데 이는 올리 디버거 상에서 간단히 NOP처리를 하거나
레지스터를 수정하면서 우회가 가능하다.
[그림 5] 안티 디버깅 루틴
그 다음 Stage2는 아래 [그림 6]과 같이 Local MAC address의 앞 3자리를 특정 MAC address 앞 3자리
(C8-59-78-??-??-??)와 비교하는데 이 값만 올리디버거 상에서 똑같이 맞춰 주고 진행하면 Stage2도
클리어 할 수 있다.
[그림 6] Stage2 풀이
그 다음 Stage3은 아래 [그림 7]과 같이 윈도우 레지스트리 "HKCU\Hellow"를 RegOpenKeyExW()함수로 오픈
한 후에 "hellow_FishWorld"라는 값을 RegQueryValueExW()라는 함수를 이용하여 read한 다음 값이 다 제대로
있으면 "hel"이라는 문자열을 그렇지 않으면 "fis"라는 문자열을 Stage3의 answer로 저장한다.
[그림 7] Stage3 풀이
그 다음 Stage4는 아래 [그림 8]과 같이 Local MAC address의 앞 3자리를 특정 MAC address 앞 3자리
(00-0C-29-??-??-??)와 비교하는데 이 값만 올리디버거 상에서 똑같이 맞춰 주고 진행하면 Stage4도 클리어 할
수 있다. 그리고 Stage5로 넘어가기 전에 이전에 [그림 5]에서 설명한 안티디버깅 루틴이 또 등장하는데 이것도
아까와 똑같이 우회해주면 된다.
[그림 8] Stage4 풀이
그 다음 Stage5는 이전의 Stage1과 아주 비슷하게 아래 [그림 9]와 같이 xor_answer와 실제 사용자 입력 값과
36742와 xor한 값을 strncmp함수 기능을 하는 sub_405c20()함수로 5바이트 비교하기 때문에 "hello"라는 입력 값을
집어넣으면 stage5를 통과하게 된다.
[그림 9] Stage5 풀이
이제 모든 스테이지를 다 클리어 했고 마지막 분석만 남았는데 아래 [그림 10]과 같이 지금까지 클리어 했던
Stage들의 정답들을 특정 메모리에다가 strncat함수 역할을 하는 sub_40AD50()함수를 이용하여 쓴다.
[그림 10] 각 Stage들의 정답 이어 붙이기
이렇게 이어 붙인 정답은 [그림 3]에서 봤던 이상한 값들과 아래 [그림 11]에서 보듯이 xor연산을 하여 새로운
메모리 영역에 값을 쓴 후 fopen()역할을 하는 sub_404620함수와 fwrite()역할을 하는 sub_405ED0함수를
호출하여 c라는 png파일을 생성한다.
[그림 11] stage 최종 키 값과 xor연산 => c(png 파일) 생성
이렇게 나온 c파일을 c.png로 바꾸고 열면 아래 [그림 12]와 같이 flag를 확인할 수 있다.
[Get Flag~~!!!!]
[그림 12] flag 확인("ThANk_yOu_my_PeOP1E")
끝~!
'CTF writeup' 카테고리의 다른 글
[Codegate CTF_2017] EasyCrack 101(reversing) (0) | 2017.02.19 |
---|---|
[Codegate CTF_2017] angrybird(reversing) (0) | 2017.02.19 |
[Codegate CTF_2017] messenger(pwn) (8) | 2017.02.18 |
[Codegate CTF_2017] BabyPwn(pwn) (0) | 2017.02.18 |
[Codegate CTF_2017] BabyMISC(MISC) (0) | 2017.02.18 |