[CodeEngn] Basic RCE L14 문제풀이

reverse engineering/CodeEngn

[CodeEngn] Basic RCE L14 문제풀이

cyalume 2020. 12. 14. 20:30

문제는 코드엔진 사이트에서 다운받을 수 있습니다.

목표값 : Name 이 CodeEngn 일 때 Serial 값

실행을 시켜봅시다.

Name 값과 일련의 알고리즘으로 생성된 Serial 값을 비교한 뒤 분기하는 유형의 프로그램입니다.

디버거로 열어보니 pushad 명령이 눈에 띕니다.

PEid 로 확인 해 봅니다.

UPX 패킹이 되어있습니다.

[Ctrl + F] 키로 popad 명령을 검색한 뒤 그 주소로 이동합니다.

OEP 로 JMP 하는 명령이 보이시나요?

저기에 BP 를 걸어준 뒤 [F9] + [F8] 키로 원본 코드가 압축 해제 된 곳으로 이동합니다.

이렇게 말이죠.

[Ctrl + A] 키로 모듈 분석을 하겠습니다.

오른쪽 상단 바의 Az 아이콘을 클릭해 문자열을 찾아봅시다.

맨 마지막 줄에 우리가 보았던 실패 문자열이 있습니다.

이 주소로 이동해줍니다.

바로 위에 성공 문자열이 있고, 그 위에 조건분기문이 있습니다.

저 jne 명령이 실행되면 실패 문자열 바로 위로 이동하니 eax 와 esi 값이 다르면 실패할 듯 합니다.

eax 는 리턴값을 담는 레지스터였죠?

바로 위에서 호출된 함수에 주목합시다.

함수 호출 밑 pop esi 에 bp 를 걸고, 함수의 반환 값을 관찰하도록 하겠습니다.

Name 값으로 CodeEngn 을, Serial 값으로 1234 를 넣었습니다.

Check 를 눌러줍니다.

eax 레지스터의 값이 0x4D2 입니다.

이를 10진수로 변환하면 우리가 입력했던 1234가 나옵니다.

저 함수의 반환 값이 우리가 입력한 값입니다.

그렇다면 사용자 입력과 함께 비교되는 esi 값이 Serial 값을 가지고 있겠네요.

실제로 문자열 비교 함수 위에 Name 값을 이용해 esi 값을 가공하는 (시리얼을 생성하는) 과정이 있습니다.

지금은 시리얼 생성 루틴을 직접 분석하는 것보다 빠른 방법을 이용하겠습니다.

cmp eax, esi 명령에 BP 를 걸어준 뒤 [F9] 키로 실행해줍니다.

우리는 CodeEngn 이라는 이름에 의해 생성된 Serial 값을 구해야 하니, Name 을 CodeEngn 으로 입력하겠습니다.

Serial 값에는 아무 숫자나 넣어주세요.

이렇게 esi 가 0x129A1 이라는 값을 가지게 되었습니다.

이를 10진수로 변환하면 76193 입니다.

이 값이 CodeEngn 이라는 이름에 맞는 시리얼 값이 될 겁니다.

프로그램을 재시작해 Name 에는 CodeEngn 을, Serial 에는 76193 을 입력합니다.

Check 버튼을 눌러주면 성공 메세지가 출력됩니다.

따라서 이 문제의 정답은 76193 입니다.

시리얼 루틴을 분석해보도록 하겠습니다.

이렇게 이름을 이용해 반복하면서 시리얼을 생성하는 것을 알 수 있습니다.

ecx에 strlen 함수의 반환 값을 옮기고, 이를 감소시키면서 반복문의 카운터로 사용합니다.

eax는 name 값을 이용할 때, name 배열의 인덱스로 사용됩니다.

edx와 ebx를 이용해 연산을 거치고, 최종 생성된 시리얼 값을 esi에 담아줍니다

이 과정을 아래의 C 코드로 나타내었습니다.

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

int sub_4011E2(char *arg){

	int esi, ecx, eax;
	
	esi = 0;
	ecx = strlen(arg);
	eax = 0;
	
	for(ecx; ecx>0; ecx--, eax++){
    
		esi = (arg[eax]>>1)+arg[eax]*arg[eax]+esi-arg[eax];
        
	}
	
}

int main(void){

	char *name = (char*)malloc(sizeof(char)*256);
	
	int serial;
	
	gets(name);
	
	serial = sub_4011E2(name);
	
	printf("serial is : %d\n\n", serial);
	
	free(name);
	return 0;
    
}

실행해보도록 하겠습니다.

정상적으로 작동합니다.

Name 이 CodeEngn 일 때 Serial 값 : 76193

'reverse engineering > CodeEngn' 카테고리의 다른 글

[CodeEngn] Basic RCE L16 문제풀이 (0)	2020.12.17
[CodeEngn] Basic RCE L15 문제풀이 (2)	2020.12.15
[CodeEngn] Basic RCE L13 문제풀이 (2)	2020.12.13
[CodeEngn] Basic RCE L12 문제풀이 (0)	2020.12.12
[CodeEngn] Basic RCE L11 문제풀이 (2)	2020.12.11

현재글[CodeEngn] Basic RCE L14 문제풀이

가끔 해킹합니다

리버싱, suninatas, CodeEngn, webhacking.kr, reversing, Reverse Engineering, HackThisSite, 써니나타스, Delphi, 델파이, c언어, wargame, wargame.kr, 양자암호, 문제풀이, 드림핵, KAIST 면접 후기, 웹해킹, Dreamhack, rev-basic,

Today :
Yesterday :

👾