[CodeEngn] Basic RCE L17 문제풀이

문제 파일 >> 코드엔진 사이트

 

목표값 : Key 값이 BEDA-2F56-BC4F4368-8A71-870B 일때 Name의 MD5 해쉬값

 

실행을 시켜봅니다.

 

 

Name 값은 한자리라고 했습니다.

디버거로 이 부분을 수정해줍시다.

 

 

우클릭 -> All referenced text strings -> 'Please Enter More Chars...' 문자열을 찾아가 줍니다.

위에 cmp eax, 3 라는 문자열 길이 비교 명령이 있습니다.

이를 cmp eax, 1 로 바꿔주고, 우클릭 -> Copy to Executable -> Save file 으로 저장한 뒤 수정된 파일을 열어줍니다.

 

 

성공시 출력될듯한 문자열이 있습니다.

이동해서 확인을 해 본 결과 JNZ 명령이 분기점입니다.

바로 위에서 호출된 함수를 분석해봅시다.

 

 

EAX와 EDX를 비교한 뒤 같으면 반환 값을 0으로 만들고 리턴합니다.

레지스터 창에서 EAX 값은 우리가 입력한 Serial, EDX 값은 생성된 시리얼이라는 것을 볼 수 있습니다.

 

 

이렇게 말이죠.

이 함수는 문자열 비교 함수입니다.

그렇다면 그 위에서 호출된 함수가 시리얼을 생성한다고 추측할 수 있습니다.

45B850 함수에 stepin해 분석해보도록 하겠습니다.

 

 

이와 같은 시리얼 생성 루틴을 거칩니다.

ESI 를 가공한 뒤 그 값을 EDX 에 옮겨주는군요.

ESI 값에 0부터 z까지 한 글자씩 대입해 시리얼을 출력하는 프로그램을 작성할 것 입니다.

아스키코드로 숫자 0 은 0x30을, z 는 0x7A을 나타내니 이 범위 내에서 차례대로 대입해 BEDA 로 시작하는 시리얼 값을 가지는 문자를 찾을 수 있습니다.

 

#include <stdio.h>

int main(void)
{
	int ESI = 0, EDX = 0;

	for (int i = 0x30; i <= 0x7A; i++) { //from 0 to z
		
		ESI = i * 0x772; //IMUL ESI, ESI, 0x772
		EDX = ESI; //MOV EDX, ESI
		EDX *= ESI; //IMUL EDX, ESI
		ESI += EDX; //ADD ESI, EDX
		ESI *= 0x474; //IMUL ESI, ESI, 0x474
		ESI += ESI; //ADD ESI, ESI
        	EDX = ESI;
		
		printf("%c >> %X\n", i, EDX); //생성된 시리얼 출력
	}
	return 0;
}

 

 

OR ESI, ESI 를 생략한 이유는 연산의 결과로 ESI 값이 변하지 않기 때문입니다.

이를 실행해 봅시다.

 

 

이렇게 대문자 F가 BEDA로 시작하는 시리얼을 가집니다.

아마 Name 값은 F 가 되겠네요.

한 번 시리얼 값과 함께 넣어서 확인해볼까요?

 

 

이렇게 Name 값이 F가 맞다는 것을 확인했습니다.

이제 F의 MD5 해시값을 구해야 합니다.

간단하게 온라인 MD5 해시 생성기를 이용했습니다.

 

 

F의 MD5 해시 값은 800618943025315F869E4E1F09471012 입니다.
이를 Auth 에 인증해보겠습니다.