[CodeEngn] Basic RCE L20 문제풀이

코드엔진 사이트

목표값 : 'Cracked by: CodeEngn!'이 출력되게 하는 파일 내부 데이터

실행을 시켜도 크게 눈에 띄는 것은 없습니다.

이제 여기에 Cracked by: CodeEngn! 문자열을 띄워야 합니다.
먼저 위 프로그램을 디버거로 열어주겠습니다.

두근두근

패킹은 되어있지 않습니다.
본격적으로 구조를 살펴볼까요?
먼저, CreatFileA 함수를 호출합니다. CRACKME3.KEY 라는 파일을 열어줍니다.

아래는 CreateFileA 함수의 구조예요.

HANDLE CreateFileA( LPCSTR lpFileName, DWORD dwDesiredAccess, DWORD dwShareMode, LPSECURITY_ATTRIBUTES lpSecurityAttributes, DWORD dwCreationDisposition, DWORD dwFlagsAndAttributes, HANDLE hTemplateFile );

첫 번째 인자인 lpFileName은 파일을 생성하거나 열 경로, 즉 파일 이름입니다.
오른쪽 주석으로 lpFileName의 값이 CRACKME3.KEY임을 확인할 수 있습니다.
파일에 대해 어떤 행동을 취할지는 5번째 인자인 dwCreationDisposition을 보면 알 수 있습니다.
현재 이 값은 OPEN_EXISTING (3)으로, 존재할 경우에만 파일을 열고, 만약 존재하지 않을 경우 ERROR_FILE_NOT_FOUND 에러를 발생시킵니다.

그렇다면, CRACKME3.KEY 라는 파일이 없을 때 -1(FFFFFFFF)을 반환하고 실패하겠죠?
일단 CRACKME3.KEY 파일을 하나 만들어야겠네요.

바로 밑에서는 ReadFile 함수로 CRACKME3.KEY 파일에서 데이터를 읽어옵니다.
이것이 ReadFile 함수의 구조입니다.

BOOL ReadFile( HANDLE hFile, LPVOID lpBuffer, DWORD nNumberOfBytesToRead, LPDWORD lpNumberOfBytesRead, LPOVERLAPPED lpOverlapped );

함수 호출 바로 다음의 조건분기문으로 비교되는 값은 ReadFile 함수의 네 번째 인자네요.
이로 미루어보아, 파일의 크기는 0x12byte, 즉 18byte가 되어야 합니다.
CRACKME3.KEY 파일을 생성해준 뒤, 파일 크기를 18byte로 맞춰주면 이 부분을 무사히 건너 뛸 수 있습니다.

한 단계는 통과했으니 다음 단계로 넘어가 봅시다.

파일 내용을 담은 버퍼를 인자로 넘긴 뒤 한 함수를 호출합니다.
어떤 기능을 하는지 함수 내부로 진입해 분석해 보도록 하겠습니다.

<20.sub_401311>

파일 내용을 한글자씩 A~N까지의 상수와 xor 연산을 진행합니다.
그리고 이 한 글자들을 4020F9라는 곳에 더합니다.
코드로 추려보자면 다음과 같습니다.

for(int i=0, j=0x41; j<0x4E; i++, j++){ buf[i] ^= j; //buf에는 파일 내용이 들어있음 _4020F9 += buf[i]; }

가공된 4020F9 내부의 값을 0x12345678과 xor 합니다.
굳이 계산하지 않고 follow in dump 기능으로 이 값을 찾을 수 있기 때문에 생략하겠습니다.
그 후에, 위 함수 내에서 A~N으로 xor 가공된 buf를 인자로 또 다른 함수를 호출합니다.
마찬가지로 진입해 하나씩 분석해보겠습니다.

<20.sub_40133C>

구조는 간단합니다.
[esp+4]의 주소에는 CRACKME3.KEY의 내용이 들어있는데, 이를 esi에 옮긴 뒤, E를 더해 마지막 4byte만 남깁니다.
(0x12-0x0E = 4)

위는 이해를 돕기 위해 만든 그림입니다.
그러므로 eax는 파일의 마지막 4byte를 리틀엔디언에 따라 뒤에서부터 거꾸로 배열한 값이 되겠습니다.
eax를 가공하고 리턴한 후, 이 값을 앞서 가공했던 4020F9 값과 비교합니다.

일단 eax의 값과 4020F9의 값이 다른 상태에서 계속 진행을 하다 보면 바로 리턴해버립니다.
Cracked by: 로 시작하는 문자열이 ret 명령어 밑에 있는 것으로 보았을 때, 이 ret 명령어를 바로 실행하지 않게 위의 조건분기문을 적절히 활용해야 합니다.
그렇게 되면, 004010BC 주소의 je 명령어를 실행해야 하겠고, 그러기 위해서는 eax의 값이 0이 되어야 합니다.
sete al 명령어가 눈에 띄네요.
eax와 4020F9의 값을 비교해 ZF가 1로 세팅되면 al = 1로 만든 후 이 값을 스택에 백업합니다.

위 코드는 성공시 문자열을 출력하는 부분입니다.
앞서 push된 eax 값을 pop으로 복구해준 후, 이 값이 1이라면 성공 문자열을 출력합니다.
따라서 eax와 4020F9 내부의 값은 같아야 합니다.
그리고 성공 문자열을 출력하며, 402008의 문자열을 함께 함수의 인자로 전달합니다.
402008의 내용은 아마 Cracked by: _________! 의 빈칸에 들어갈 내용인 듯 합니다.
또한 여기에는 파일의 14글자를 A~N으로 xor 한 내용이 저장되어있기도 합니다.
그렇다면, A xor B = C, A = B xor C라는 xor 연산의 특징을 이용해 코드를 작성할 수 있습니다.

char str[] = "CodeEngn"; int i, j; for(i=0, j=0x41; j<0x4E; i++, j++){ printf("%x ",str[i]^j); } 

우리는 CodeEngn이라는 문자열을 출력해야 하기 때문에 str 배열에 "CodeEngn'이라는 문자열을 저장했습니다.
그 뒤, A부터 N까지의 값과 xor 해 준 값을 출력합니다.
추후에 이 값은 다시 A~N까지 xor을 거치기 때문에 다시 CodeEngn이라는 문자열로 돌아올 것 입니다.
HxD로 CRACKME3.KEY 파일을 연 뒤, 위 코드로 출력된 값으로 13byte를 채워줍니다.
그렇지만 그대로 실행하면 CodeEngn 뿐 만 아니라, 뒤에 부가적인 문자열이 붙을 것 입니다. (문자열의 끝은 NULL이라는 점을 기억해 두시기 바랍니다.)
그래서 이 값을 j와 xor 할 때, 0x00으로 만들어 줄 것 입니다.
CodeEngn은 8글자이니, 나머지 6글자는 각각 0x49, 0x4A~0x4E까지 xor 될 겁니다.
그렇다면 CodeEngn 문자열이 끝나는 지점에 각각 49, 4A, 4B, 4C, 4D, 4E의 값을 채워준 뒤, 디버거를 실행하며 4020F9의 값을 찾아 파일의 마지막 4byte를 채워줍니다.

이렇게 말이죠.
이제 프로그램을 실행하면 Cracked by: CodeEngn! 문자열이 정상적으로 출력되는 것을 볼 수 있습니다.