Codegate 2014 Clone

요즘은 하고있는 프로젝트들이 많아.. 핑계고 해킹대회에 흥미를 잃어 해킹대회 참여를 잘 하지 않는데요.

그래서 이 문제 또한 대회 끝나고 나중에 입수하여 주말에 심심해서 집에서 풀어보았습니다.

문제를 하도 안풀어보니 해킹대회 할 때 필요한 리버싱 감이 다 없어지는 것 같네요.

clone_technique.exe_b9b0870fb1b877cecf5ea2ae615e12eb

Limited processes will be generated.

Which one has the flag?

IDA와 올디를 사용해 대략 구조를 파악해보니 프로세스가 프로세스를 실행시키고 또 프로세스를 실행시키고.. 하는 구조인데 그 때 인자 값이 계속 바뀝니다.

clone_technique.exe 3026539702 3580248161 2

clone_technique.exe 466510610 2867152813 3

clone_technique.exe 2580226910 609694577 4

...

이런식으로 말이죠.

문제가 상당히 여기저기 의존성 있게 엮여있는거 같아서 그냥 IDA와 올디로 보면서 문제를 복원시켰습니다.

당연히 프로세스 생성되게끔 복원한건 아니고 프로세스 실행부분만 재귀함수 호출로 바꿔서 말이죠..

답이 나오네요?

중간에 살짝 해맸는데 처음에 저는 프로세스 생성 시 인자로 넘어가는 값을 문자열로 변환하면 답이 나올줄 알고 그부분만 보다가 안나와서 이상한 값 만드는 부분이 한군대 더 있어서 거기를 출력해보니 답이 나오더군요.

아래는 위 출력에 대한 소스코드입니다. 문제 안풀어보신 분은 먼저 풀고 보시는 것도 좋을 것 같습니다.

#include <stdio.h> #include <Windows.h> char g_table[] = { 0x0F,0x8E,0x9E,0x39,0x3D,0x5E,0x3F,0xA8, 0x7A,0x68,0x0C,0x3D,0x8B,0xAD,0xC5,0xD0, 0x7B,0x09,0x34,0xB6,0xA3,0xA0,0x3E,0x67, 0x5D,0xD6 }; int rol_5(int num) { __asm rol num, 5 return num; } int rol_11(int num) { __asm rol num, 11 return num; } void* MakeValue( _In_ const char *magicTable, _In_ int num1, _In_ int num2) { SIZE_T szMagicTableLen; void *buffer; szMagicTableLen = strlen(magicTable) + 1; buffer = malloc(szMagicTableLen); memset(buffer, 0, szMagicTableLen); for ( int index = 0; index < (int)(szMagicTableLen - 1); index += 2 ) { *((PBYTE)buffer + index) = num1 ^ magicTable[index]; num1 = rol_5(num1) ^ 0x2F; if ( !magicTable[index + 1] ) break; *((PBYTE)buffer + index + 1) = num2 ^ magicTable[index + 1]; num2 = (BYTE)num1 ^ rol_11(num2); } for( int index = 0; index < (int)(szMagicTableLen - 1); index++ ) { if( ((PCHAR)buffer)[index] < 0x20 ) { free(buffer); return NULL; } } return buffer; } int power( _In_ int num, _In_ unsigned int count ) { int initNum = 1; for ( unsigned int index = 0; index < count; ++index ) initNum *= num; return initNum; } unsigned int process( _In_ unsigned int num1, _In_ unsigned int num2, _In_ unsigned int count ) { unsigned int resultARG1, resultARG2; unsigned int ExitCode; void* MakeValueResult; if( count == 0 ) { num1 = 0xA8276BFA; num2 = 0x92F837ED; count = 1; } MakeValueResult = MakeValue( g_table, num1, num2 ); if( MakeValueResult != NULL ) printf("[%04d] %s \n", count, MakeValueResult); // Print num1 ^= 0xB72AF098; num2 = (num1 * num2) ^ num2; resultARG1 = 29 * num1 + 7 * power(num1, 2); resultARG2 = power(resultARG1 ^ num2, resultARG1 % 2 + 5); if( num1 <= 0xD0000000 ) { do{ if( count > 0x190 ) return 0; ++count; ExitCode = process( resultARG1, resultARG2, count ); resultARG1 = ExitCode; resultARG2 = power(ExitCode ^ resultARG2, ExitCode % 0x1E); }while( ExitCode ); } else { ExitCode = 13 * (resultARG1 / 0x1B) ^ 0x1F2A990D; } return ExitCode; } int main(void) { process( 0,0,0 ); return 0; }