문제를 보니 Unpack을 한 후 Serial을 찾으라고 되어 있군요 :D

Unpack을 하란말은 Packing이 되어 있다는 말이겠죠 ㅎㅎㅎㅎ

다운받으시고 OllyDbg로 열어보면 PUSHAD로 시작하는 것을 보아 Packing이 되어 있는것을 확인할 수 있습니다.

(Unpack 하는 과정은 "Basic RCE L05" 포스팅에 나와있습니다 :D)

OEP가 보입니다.

OEP는 Original Entry Point의 약자로 Packing이 되어 있을 때 기존의 EP를 의미합니다.

즉 Unpack하여 나온 프로그램의 EP가 OEP가 되겠군요 :D

다음 시리얼을 찾아야하는데 쉽게 찾는 방법 말씀드렸죠 ㅎㅎㅎ?

[Search for] - [All referenced text strings]을 이용하여 문자열을 찾아보면 밑의 부분에서

시리얼 같아 보이는것을 찾을 수 있었습니다!

시리얼을 비교하는 부분에 브레이크포인트를 걸어준 후 [F9]를 눌러서 실행시키고

시리얼을 입력할 때 입력을 하여 줍니다!

그리고 계속해서 [F9]를 눌러 실행시키면

"You got it :)"

이라는 메시지박스가 실행이 되는군요 ㅎㅎㅎ!

그럼 6번 문제 풀이 포스팅을 마치도록 하겠습니다 :D

파일을 다운받아서 열어보았습니다 :D

Binary로 구성되어 있네요!

그래서 Binary를 String으로 바꿔주는 사이트를 이용했습니다 :D

참.. 쉽죠잉 :D ?

문제를 보니 입력칸이 덩그라니 있더라구요!

소스코드를 봅시다 :D

음... 아주아주 긴 식과 함께 만일 이걸 맞추면 답을 10으로 나눈 어떤 페이지로 넘어간다네요..?

[F12]를 이용해서 전부 복사한 다음 계산을 했습니다!

그리고 나온 값을 입력하니..

풀렸네요...?????

음....? =_=

이만 17번 풀이였습니다..!

프로그램의 등록키는 무엇인가 입니다!

Ollydbg로 올려보겠습니다 :D

처음부터 PUSHAD 명령어가 보입니다.

생소한 시작이네요..

PUSHAD 명령어로 시작한다는 것은 현재 프로그램이 Packing 되어 있다는 것을 의미합니다 :D

PEiD라는 툴이 있는데 이는 프로그램의 상태를 보여줍니다!

"UPX 0.89.6 ~~ "로 시작되어 있는거 보이시나요 :D

그리고 EP Section이 현재 UPX1으로 나타납니다!

이는 UPX Packer로 Packing 되어 있다는 얘기죠!

블로깅 전에는 Google을 이용하여 스스로 공부하시길 바랍니다 :D

아주 잘 나와있어용 !

https://github.com/upx/upx/releases/tag/v3.94

명령프롬프트로 upx 프로그램이 존재하는 경로까지 이동해줍시다.

그리고 "upx.exe"를 입력하면 옵션을 볼 수 있습니다 :D

저희는 unpacking 해줘야 하기 때문에

"upx.exe -d 프로그램이름"

이용해줍니다!

+ 언팩킹하실 때 권한이 없다고 뜨신다면, 05.exe 프로그램이 동작 중인지 확인하시기 바랍니다 :D

unpacking이 되었다면 PEiD로 확인해봅시다 :D

쨘! Borland Delphi 4.0 -5.0 로 바뀌었죠 :D ?

그리고 EP Section 또한 Code로 변경되었습니다!

이제 순조롭게 분석을 시작해보도록 합시다 :D

EP입니다. 빠르고 쉽게 분석하기 위해 앞서 알게된

[Search for] - [All referenced text strings] 옵션을 이용해봅시다 :D

내려가 보니 시리얼로 보이는 부분과 성공, 실패 시 출력되는 문구같은 곳을 발견할 수 있었습니다 :D

그래서 실행시켜보니 프로그램이 실행이되고 유저 이름과 시리얼 번호를 적는 칸이 존재하더군요 !

아무값이나 시도해보았는데 자꾸 실패가 됩니다 : (

그래서 분석결과 표시된 CALL 함수에서 확인 후 JNZ에서 넘어가게 됩니다 !

그럼 CALL 함수로 들어가봅시다!

CALL 내부로 들어가니 어떤 두개의 값을 비교합니다 !

제가 입력한 값과 "Unregistered..." 비교값인 "Registered User"을 비교하는군요 :D

그리고 마저실행하니 예상대로 실패 메시지 박스가 실행됩니다.

그래서 "Unregistered..." -> "Registered User"로 변경을 하였습니다.

그런데 또 무언가를 비교하는군요 ?

앞에 이름을 비교하는것처럼 똑같은 방식으로 시리얼을 비교하고 있습니다 :D

그럼 ASCII로 나타나있는 저 시리얼 번호가 진짜 번호겠죠 :D ?

입력해봅시다!

이렇게 간단히 찾을 수 있었습니다 :D

이번 문제에서는 Packing부분을 알아야 풀 수 있는 문제가 아니었나 생각이 듭니다 :D

여기서 중요한 것은 Packing이 되어 있다고 해서 분석을 못하는 것은 아닙니다!

Packing되어있는 부분을 진행시키다 보면 OEP를 마주하게 되고

그때부터는 Unpacking되어 있는 것처럼 분석이 가능하니까요 :D

그러나 편의상 upx 프로그램을 이용하여 언패킹해서 문제를 풀어보았습니다!

반드시 Packing 되어 있는 상태에서 직접 분석 해보시기를 바랍니다 :D

또 하나의 공부로써 도움이 많이 되걸랑요 >_<

그럼 5번문제 풀이를 마치겠습니다!

문제로 들어가보니 달랑 저거만 있네요..?!

소스코드를 봅시다 :D

소스코드를 자세히 보니..

mv 함수 안에 여러개의 조건이 있습니다.

실제로 d, a, w, s를 누르니 방향대로 별이 이동하는걸 확인할 수 있었습니다 :D

자세히 보시면 cd가 124일 경우 특정페이지로 이동하고 주석처리로 "do it!"이 있는거 보이시나요 :D ?

그래서 |(파이프)를 누르니 문제가 풀렸습니다!

너무 간단하죠 ㅎㅎㅎㅎ?!

뭔가 소스코드 해석하는 문제인가 싶네요..! :D

이만 16번 문제 풀이였습니다 :D

먼저 문제를 봅시다!

디버거를 탐지하는 함수의 이름을 찾으라네요 :D

EP(Entry Point) 입니다!

그리고 도스 프로그램이 켜지네요 :D

[F8]을 누르면서 계속해서 내려가 봅시다!

계속해서 내려가다보니 빨간칸으로 표시 되어있는 곳에서

갑자기 "디버깅 당함"이라는 문자열이 출력되기 시작합니다.

그리고 더이상 분석이 안되더군요!

그래서 저 지점을 기억한 후 [Ctrl]+[F2]를 누르고 다시 시작해서 저 함수로 들어가 봅시다 :D

함수를 분석해보니 Sleep 함수와 IsDebuggerPresent 함수가 보입니다.

계속가다 401074 주소의 함수에서 "디버깅 당함"이라는 문자열이 출력됩니다.

그래서 저기 함수를 분석해보니 특별히 디버깅을 탐지하는 듯한 로직은 보이지 않습니다 : (

계속해서 디버깅을 해보았습니다!

여기서 무한루프가 걸립니다!

그이유는 뭘까요?

40108B 주소에서 JMP명령어로 처음으로 계속 돌아가게 됩니다.

즉, 저 구간이 계속해서 빙빙 돌아간다는 거죠!

그럼 디버깅을 탐지하는 함수는 무엇이냐인데..

IsDebuggerPresent 함수가 정답입니다!

IsDebuggerPresent 함수는 PEB 구조체의 디버깅 상태값을 확인하여

디버깅 시 1을 리턴하고 아니면 0을 리턴합니다 :D

https://docs.microsoft.com/en-us/windows/win32/api/debugapi/nf-debugapi-isdebuggerpresent

자세한 사항은 위의 microsoft 정식 홈페이지에서 확인하시면 됩니다 :D

현재 Ollydbg로 디버깅 중이기 때문에

1을 리턴한다고 했죠 ?

위의 사진을 보다시피 EAX가 1로 반환된 것을 볼 수 있습니다 :D

그럼 이를 우회하는 방법은 없을까요!?

다양한 방법이 있습니다!

첫번째

IsdebuggerPresent 함수로 반환된 EAX 값을 0으로 강제로 변경해주면 되겠죠 :D ?

바꿔주는 이유는 당연히 EAX를 0으로 바꾸면 디버깅하고 있지 않다는 뜻이니까요!

두번째

IsDebuggerPresent함수를 "MOV EAX, 0"로 변경하면 됩니다!

그럼 EAX값이 변하지 않겠죠 ㅎㅎㅎ?

세번째

PEB 구조체의 디버깅 상태값을 변경해 버리는 겁니다 :D

처음부터 차근차근해봅시다!

먼저 IsDebuggerPresent 함수로 들어가면 MOVZX 명령어가 나옵니다.

MOVZX 명령어를 실행 전까지 실행시키고

EAX 값에서 오른쪽 클릭하여 [Follow in Dump] 기능을 이용합니다 :D

그럼 메모리 부분 구조체로 이동하게 되고

빨간 칸으로 표시된 부분이 바로 디버깅 상태값입니다 :D

저 부분을 클릭 후 [Space] 바를 눌러서 0으로 변경을 시켜줍시다!

이후 실행하면 정상이라고 출력되는 것을 볼 수 있습니다 :D

이렇게 IsDebuggerPresent 함수에 대해 알아보았고 우회하는 방법까지 알아보았습니다 :D

자 쿠키 문제로 들어가봅시다!

쿠키.. 개꿀맛이죠..

아음 여튼 쿠키 사진이 달랑 있습니다 :D

소스코드를 볼까요!?

소스코드에도 별다른 정보가 없네요 : (

쿠키하면 역시 쿠키값을 확인해봐야겠죠 :D

쿠키에서 쿠키항목을 보니 암호화된 것 같은 문자열이 존재합니다!

특수문자와 제어문자가 구성되어 있지 않은 것 보니 base64 암호화되어 있다고 생각했습니다 :D

그래서 3번의 복호화를 돌려보았습니다!

3번의 복호화를 돌려보니

"{"id":"2","type":"guest"}" 라는 값이었다는 것을 알았습니다!

그럼 해킹을 하는 사람은 어떻게 해야할까요~?

당연히 관리자를 따야겠지요 :D

guest를 admin으로 바꾼 후 똑같이 3번 인코딩했습니다!

3번 인코딩하니 처음의 값과 비슷한 값이 나오는 군요 :D

이를 쿠키값에 넣어주고 저장 후 새로고침을 눌러봅시다!

'

으엥!? 패스워드가 틀렸다고 나오는 군요 : (

쿠기값의 항목에 보니 PassAdmin이라는 항목이 존재합니다!

저 값이 아닌가 봅니다...

그래서 한참 이리저리 정보를 찾다가 아무런 정보를 찾을 수가 없었죠..=_=

그래서 유추해볼 수 있는건 "==" 느슨한 비교가 아닐까 생각을 했습니다!

이 공격은 php의 strcmp 취약점을 이용한 공격입니다 :D

php의 strcmp(인자1, 인자2)는 인자1과 인자2값이 같을 때 0을 리턴합니다.

그런데 php5.3버전에서 배열타입과 비교하면 NULL을 리턴하게 됩니다.

https://hydrasky.com/network-security/php-string-comparison-vulnerabilities/ 

위의 사이트가 잘 설명이 되어 있네요 :D

한번 꼭 읽어보시기 바랍니다!

이를 이용하여 NULL과 0을 비교하여 TRUE가 되게 되는 것이죠 :D

저는 burp Suite를 이용하여 패킷을 잡은 후 PassAdmin을 배열 형태로 바꿔주어서 전송했습니다!

쨘! 이렇게 플래그를 획득하였네요 :D

이상 Cookie 문제풀이였습니다 !

문제로 들어가봅시다 :D

문제로 들어가보니 입력란만 덩그러니 있습니다!

일단 소스코드도 볼까요 ㅎㅎㅎ?

소스코드 보니 무언가가 있네요 :D

해석해보면 다음과 같습니다!

indexOf 함수는 해당 문자열의 위치를 저장합니다 :D

(자세한 사항은 밑의 사이트에서 공부하시길 바랍니다!)

https://developer.mozilla.org/ko/docs/Web/JavaScript/Reference/Global_Objects/String/indexOf

ul 변수에는 "https://webhacking.kr/challenge/js-1/" 이 들어있죠!

".kr"은 위의 문자열에서 19번째 위치에 해당되있는게 보이실 겁니다 ㅎㅎㅎ

그럼 19가 저장이 될까요?

indexOf는 첫 위치를 0으로 인식하기때문에 18이 저장이 됩니다!

그럼 18*30 = 540 이겠죠 ㅎㅎㅎ?

540을 입력해볼까요 :D ?

쨘! 쉽죠 :D

해킹문제라고 하기엔.. 음 뭔가 아쉽네요 ㅎㅎㅎㅎ

이만 14번 문제 풀이였습니다 :D