[CodeEngn] Basic RCE L12 문제풀이

rer문제는 코드엔진 사이트에서 다운받을 수 있습니다. (압축 해제 시 비밀번호는 codeengn 입니다.)

 

목표값 : Key 값 + 성공 메세지 대신 Key 값이 출력되게 할 때 Hexedit 으로 overwrite 할 주소

 

Key를 구한 후 입력하게 되면 성공메시지를 볼 수 있다
이때 성공메시지 대신 Key 값이 MessageBox에 출력 되도록 하려면 파일을 HexEdit로 오픈 한 다음 0x???? ~ 0x???? 영역에 Key 값을 overwrite 하면 된다.
문제 : Key값과 + 주소영역을 찾으시오
Ex) 7777777????????

 

실행 해 봅시다.

 

 

틀린 값인지 Check 버튼을 눌러도 아무런 창이 뜨지 않습니다.

디버거로 열어봅시다.

 

 

한 눈에 성공 메세지가 보입니다.

저 위에 분기점이 있을 것 입니다.

 

 

바로 위 CMP 명령으로 EAX 와 0x7A2896BF 를 비교합니다.

그리고 두 값이 같지 않으면 성공 메세지를 건너뜁니다.

 

 

EAX는 리턴 값을 저장하는 범용 레지스터였습니다.

그렇다면 바로 위에서 호출된 함수에 주목해야겠네요.

 

 

이 함수에 BP 를 걸고 값을 입력한 뒤, [F8] 키를 한 번 눌러 리턴값을 관찰해 봅시다.

 

 

16이라는 값을 넣어보겠습니다.

 

 

EAX 레지스터에 0x10 이라는 값이 들어갔습니다. (16진수로 10, 10진수로 16)

이를 10진수로 변환해보면 우리가 입력한 값이라는 것을 알 수 있습니다.

그리고 다음으로 EAX의 값을 0x7A2896BF 와 비교해 분기합니다.

그렇다면 우리가 성공하기 위해 입력해야 할 키 값은 0x7A2896BF 를 10진수로 변환한 형태겠죠?

 

 

계산기 기능을 이용해 구한 값은 2049480383 입니다.

디버거를 재시작한 후 이를 입력해보면 EAX 값이 7A2896BF 가 됩니다.

 

 

이로 인해 JNE 명령이 실행되지 않아 성공 문자열이 출력됩니다.

 

 

이렇게 말이죠.

따라서 키 값은 2049480383 입니다.

 

이제 성공시 출력되는 이 메세지박스의 문자열을 키 값으로 교체해야겠죠?

 

 

HxD 라는 프로그램으로 파일을 열어줍니다.

 

 

조금 내리다 보면 이렇게 성공시 출력되는 문자열을 찾을 수 있습니다.

이를 지운 후 키 값을 넣어줍니다. (파일이 실행중이거나 사용중이면 편집이 불가하니 디버거를 끄고 편집합니다.)

 

 

성공 시 출력되는 문자열을 키 값으로 overwrite 했습니다.

얼핏 보면 그 주소가 0x0D3B~0x0D44 인 것 같습니다만 문자열의 끝을 알려주는 NULL 을 잊지 말고 포함시켜줍시다.

그렇다면 키 값을 overwrite 한 주소는 0x0D3B ~ 0x0D45 가 되겠네요.

이를 저장한 뒤 실행하면 정상적으로 키 값이 출력되는 것을 확인할 수 있습니다.

 

Key값 + 주솟값 = 20494803830D3B0D45