[CodeEngn] Basic RCE L11 문제풀이

문제는 코드엔진 사이트에서 다운받을 수 있습니다. (압축해제 시 비밀번호는 codeengn 입니다.)

 

목표값 : OEP + Stolenbyte

 

실행 해 봅시다.

 

 

 

 

 

 

 

키 파일을 찾으라는 메세지 박스가 뜨고, 확인을 누르면 키 파일 유무를 확인하고 분기하는 프로그램 입니다.

코드엔진 9번과 동일한 프로그램이네요.

문제에서 원하는 값인 OEP 와 Stolenbyte 만 찾고 크랙 과정은 생략하도록 하겠습니다.

 

 

 

 

PEid로 UPX 패킹이 된 것을 확인했습니다.

 

 

 

 

디버거로 열어봅시다. (x32dbg 를 사용했습니다.)

PUSHAD 가 있으니 POPAD 를 찾아가야겠죠?

[Ctrl + F] 키로 POPAD 명령을 검색한 뒤, 해당 주소로 이동해줍니다.

 

 

 

 

이렇게 POPAD 명령과 OEP로의 JMP 에 BP 를 걸어줍니다.

현재 OEP 는 0040100C 가 되겠죠? (추후에 Stolenbyte 가 추가되어 변경됩니다.)

[F9] 키를 두 번, [F8] 키를 한 번 눌러 복호화 한 뒤 OEP 로 가 줍니다.

 

 

 

 

OEP 앞에 nop 명령어가 12개로 12 byte 의 자리가 남습니다.

그 밑에서는 0 하나를 인자로 전달하며 메세지박스를 호출하는 모습을 볼 수 있습니다.

9번 문제 풀이에서 설명했듯, 메세지박스 함수의 인자는 총 4개 입니다.

패커가 Stolenbyte 로 세 개의 인자를 전달하는 명령을 옮겼나 봅니다.

 

 

 

 

다시 POPAD 와 JMP 사이로 와서 확인해봅시다.

파란색 박스에서 세 개의 값이 PUSH 되는 모습을 볼 수 있습니다. (총 12 byte 입니다.)

이들이 메세지박스 함수로 전달될 나머지 세 개의 인자입니다.

그렇다면 Stolenbyte 는 붉은색 박스 안에 6A0068002040006812204000 가 되겠네요.

세 인자 전달 명령 (Stolenbyte) 을 앞으로 옮겨 와 봅시다.

 

 

 

 

전의 OEP 앞에 nop 명령은 모두 12 byte 였고, Stolenbyte 또한 12 byte 로 크기가 동일합니다.

그러므로 00401000 주소부터 PUSH 명령어가 하나씩 들어가야 겠네요.

차례대로 PUSH 명령으로 수정해준 뒤 어셈블 해 줍니다.

크기가 딱 맞아 떨어집니다.

우리가 패커에 의해 옮겨져 있던 Stolenbyte 를 패킹을 풀고 앞으로 옮겨왔으니, OEP 가 0040100C 에서 00401000 주소로 변경됩니다.

따라서 OEP + Stolenbyte 는 004010006A0068002040006812204000 입니다.

 

OEP + Stolenbyte =  004010006A0068002040006812204000