Easy Keygen 문제를 풀이해보도록 하겠습니다😁

문제를 다운받으니 문제의 프로그램과 ReadMe 파일이 있어서 ReadMe를 먼저 읽어봅니다!

Serial이 "5B134977135E7D13"인 Name을 찾으라고 하네요😛

프로그램을 실행시켜보니 Name과 Serial을 입력하라고 나옵니다.

그럼 ReadMe의 Serial에 맞는 Name을 찾아야하네요! 찾아보도록 합시다😄

처음에 실행시키다 보면 401000으로 들어가는 함수를 찾을 수 있습니다!

들어가보니 "Input Name: "이라는 문자열을 찾을 수 있고 여길 분석하기 시작해야겠죠? 😋

처음에 ecx 레지스터에 [esp+esi+C]가 가리키는 곳의 값을 옮깁니다.

[esp+esi*1+C]는 스택에서 [0019FE04]라는 곳을 보고 있는데 해당 값이 10이라고 합니다😀

스택도 한번 보도록 합시다!

스택에서 살펴보니 10이 들어가있는 것을 확인할 수 있죠!

그런데 뒤에 20, 30의 값도 들어있는 것을 확인할 수 있습니다!

그 다음 명령어에선 edx 레지스터에 [esp+ebp*1+10]의 값을 옮기는데

[esp+ebp*1+10]는 스택에서 [0019FE08]이라고 합니다.

제가 입력한 값 "test"의 "t"를 가리키는군요😀

옮긴 이후 위의 두 값을 XOR 연산하고 있습니다!

그리고 이후 스택에 저장해두는 것을 확인하실 수 있으실 겁니다.

계속해서 살펴보도록 하겠습니다😀 

다시 돌아온 것을 확인할 수 있으며 암호화 루틴이라는 것을 알 수 있겠죠?😀

그리고 "test"에서 다음의 값인 "e"를 가져옵니다.

두 개의 값을 XOR 연산을 하고 저장하는 것을 또 보실 수 있으실 겁니다😁

이제 어느정도 30이 나올 거라 예상하고 보게 되겠죠?😀

그리고 그 다음은 예상대로 "test"의 "s"가 나옵니다.

그리고 XOR 연산을 한 후 저장하게 됩니다.

그럼 10, 20, 30 세 개의 숫자가 암호화 키라는 것을 알게 되었는데 4번째 문자부터는 어떻게 암호화하는지 봐야겠죠😀

살펴보니 4번째부터 다시 10의 값을 가져오는 것을 확인할 수 있습니다.

그리고 예상대로 "test"의 마지막 문자인 "t"를 가져옵니다.

예상대로 XOR 연산을 하고 저장하게 됩니다.

이제 암호화가 끝이 난 후 보니 "64454364"의 값이 생성이 된 것을 볼 수 있습니다😀

그리고 Serial 번호로 제가 입력한 값인 "5B134977135E7D13"과 비교를 하고 있네요!

첫 번째 분기점에서 첫글자와 비교 후 조건문이 참이 되지 않아 바로 끝나버립니다.

그래서 위의 영역이 비교문 루틴이라는 것을 알 수 있었고 정답을 어떻게 알아낼지 바로 생각이 나더군요😁

그럼 어떻게 정답을 알 수 있을까요?

암호화 루틴은 생각해보면 쉽게 알 수 있습니다.

"입력한 Name 값을 10, 20, 30 순서대로 XOR 연산한다"

그럼 주어진 시리얼 넘버를 10, 20, 30 순서대로 다시 XOR 연산을 해주면 답이 되지 않을까요😉

답이 길진 않으니 직접 일일이 하셔도 되고 Python으로 간단하게 코딩하셔셔 푸셔도 좋으실 겁니다!

그럼 이만 풀이를 마치겠습니다😆

첫번째 문제로 들어가보겠습니다 :D

프로그램을 실행한 다음 어떤 값을 입력하라고 합니다!

그랬더니 잘못된 값을 입력하면 "Incorrect Password"라는 경고메시지가 뜹니다😶

그럼 "x32dbg" 툴을 이용하여 동적분석을 해보도록 하겠습니다!

"Incorrect Password" 문자열을 검색한 후 해당 함수의 EP에 BP를 걸었습니다.

1번째 분기점에서 제가 입력한 문자열의 1번째 문자를 비교하지않고 2번째 문자를 "a"와 비교하더군요!

즉, 제가 "TEST"라는 값을 입력하면 "E" 와 "a"를 비교하여 jne 같지 않으면 바로 비교가 끝이납니다.

2번째 분기점은 1번째 분기점 이후 2개의 문자를 "5y"와 비교합니다😊

즉, "TEST"에서 "ST"와 "5y"를 비교하여 같지 않으면 바로 비교가 끝이 납니다.

3번째 분기점에서는 이후 문자열을 "R3versing"과 계속 비교를 하게 됩니다.

그리고 마지막 분기점에 보니 제가 입력한 문자열의 첫번째 문자를 비교하고 있습니다.

다른것과 동일하게 분석을 했으며 자세히 설명해보겠습니다😊

cmp byte ptr SS:[esp+4], 45

[esp+4] 는 esp의 주소값에서 4를 더한 곳의 주소를 45(E)와 비교하고 있습니다.

밑에 보면 친절하게 [ESP+4]가 무엇인지 가르쳐주고 있죠😄

하지만 스택에서 한번더 확인해봅시다!

스택에서 보면 오른쪽에 [ESP+4]의 값이 79라고 생각할 수 있겠지만 리틀엔디언방식으로 들어가기 때문에

뒤에서 부터 읽어야합니다😄

해당 스택 값을 변경하기 옵션으로 다시 확인해보면 제가 넣은 문자가 거꾸로 스택에 PUSH된다는 것을 알 수 있죠!

(캡쳐 당시 프로그램 실행 후 "Ea5y"를 넣었습니다.)

모든 분기가 끝이 난 후

"Congratulation!!" 이 출력되는 것을 확인할 수 있습니다😋

23번 풀이입니다 :D

미션이 부여가 되었네요!

<script>alert(1);</script>를 넣으라고 합니다 :D

처음에 <가 &lt;로 되어잇길래 조금 긴시간 삽질을 해버렸습니다.. 😒😒

넣어야하는 구문 그대로 한번 넣어서 반응을 보았습니다!

넣으니 "no hack"이라는 문자열을 뱉어내는군요!

그럼 보통은 특수문자를 필터링하니 특수문자를 먼저 넣어보았습니다💨

출력이 되는걸 보아 특수문자는 필터링하지 않는군요?!

그럼 문자를 넣어보겠습니다!

넣어본 결과 1개의 문자는 출력이 되나 문자열로 들어가게 되면 필터링을 하는걸로 보입니다!

그리고 헥스값으로 아스키코드를 사용할 수 있는 걸 확인을 했죠😎

1. 문자열 출력

2. 특수문자 사용 가능

3. 헥스값 사용 가능

그래서 온갖 삽질을 다하다가 아스키코드표에 %00이 NULL인 것을 보고

문자 사이사이에 넣으면 문자열로 인식이 안되지 않을까 싶더군요❓

그래서 넣어보니 1이 출력이 되고 <script>alert(1);</script>을 주입할 수 있게 되었습니다!!

XSS 문자열 필터 우회방법을 아는 좋은 문제였습니다!!😆

안녕하세요 :D

오랜만에 CTF 블로깅으로 돌아왔습니다!

최근까지 직장 업무에 다른 활동도 있었지만 Dreamhack CTF와 뉴스거리들을 올리는 것에 집중한다고

장기간 작성하지 못했네요!

오늘부터 다시 차근차근 하나씩 풀어보도록 하겠습니다 :D

문제이름이 LOL 이네요?

들어가보도록하겠습니다 !!

음.. 로컬이 아니라구요..?

그저 게임을 즐기자고요..?

들어가보죠 :D

들어와보니 Search user라는 문구와함께 User 이름을 적는 란이 존재합니다.

아무 말이나 한번 적어보도록 하죠!

"test"를 입력하니 OP.GG의 화면이 나옵니다! (참 익숙한 화면이네요~_~)

그럼 문제 홈페이지의 소스코드를 살펴볼 필요가 있겠죠 :D?

그전에 OP.GG로 이동시키는 기능이 있을거라 예상은 충분히 할 수 있습니다!

역시 소스코드를 보니 hidden 타입의 값이 들어가 있습니다.

그리고 입력한 값은 query라는 변수로 들어가게 되고 hidden url로 인해 OP.GG로 넘어가게되네요!

Burp로 확인을 해본 결과 역시는 역시나죠 :D

자 그럼 이런 문제는 SSRF 공격 유형의 문제입니다.

그럼 우회방법은 어떤 방법이 있을까.. 바로 "@"를 이용해 주는 것입니다!

의도하지는 않았지만.. 간단한 예로 아래를 보도록 하겠습니다 :D

Burp로 잡은 후 query에는 flag.php, url은 "XXXXwww.op.gg@XXXX"를 넣었습니다.

그리고 전송하면 결과는!

http://...@ctf.j0n9hyun.xyz:2035/flag.php가 나오게 됩니다! 

즉, "@" 이전의 값은 들어가지 않고 이후의 값이 넘어가게 됩니다 :D

이렇듯 SSRF는 Server-Side Request Forgery의 약자로 서버의 기능을 악의적으로 이용하여 원래 요청할 수 없었던 것을 서버 내부 명령을 통해 접근하는 것을 말합니다.

그럼 "@" 잘 이용해서 서버 내부에 있는 flag php페이지에도 접근할 수 있겠죠?

그래서 저는 위와같이 "../../"를 넣어서 flag.php에 도달하도록 했습니다!

그럼 다시 원래 페이지로 돌아오게 되죠!

하지만 초기의 화면과 뭔가 다릅니다!

페이지가 다르다는 소리이니 페이지 소스코드를 확인해봅시다 :D

소스코드를 보니 Flag가 들어있네요 !!

이렇게 문제풀이를 마쳤습니다!

이번 문제는 SSRF 문제로 "@" 우회법을 사용해서 Flag를 획득하는 문제였습니다 :D

문제를 다운받고 IDA로 열어보았습니다 :D

IDA로 보니 아주 간단하게 되어 있습니다!!

저는 편하게 400539주소의 분기를 통해서 넘어가는걸 보고

40052E의 주소에서 [rbp+4]에 들어가는 1을 0으로 바꿔주면

손쉽게 flag가 출력되는 것을 볼 수 있지 않을 수 있을까 했습니다 :D

그래서 저는 리눅스에서 디버깅을 진행했습니다!

일단 IDA에서 본 부분을 브레이크포인터를 걸어줍니다 :D

$rbp-4에 1이 들어가는 것을 확인 후 다시 0을 넣어주었습니다 :D

그리고 "c" 명령어를 실행 시킨 후 프로그램 진행을 시켜주었더니 flag가 뙇!! 하고 출력이되네요 ㅎㅎㅎㅎ!

이만 간단한 문제풀이였습니다 :D

Old 20번 문제입니다 :D

닉네임과 커맨드, 캡챠를 입력하라는군요?

그리고 위에 "time limit : 2 second"가 적혀있습니다!

시간 제한이 2초라구요..?

일단 입력 후 제출해보았습니다 :D

너무 느리답니다.... ㅠㅠㅠㅠ

2초안에 저 3개의 데이터를 넣는것은 당연 무리겠죠..?

일단 소스코드를 봅시다!

소스코드를 보니 ck()함수가 눈에 띄는군요 :D

저렇게 되어있다면 콘솔을 이용해서 한번에 값을 넣어주면 되지 않을까 싶었습니다 ㅎㅎㅎ

위의 소스코드 형식에 맞추고 id와 comment에는 "test"를 넣어주고

captcha 값에는 불러오는 임의의 값 cpatcha의 값을 그대로 넣고

submit()함수를 통해서 바로 넣어주도록 설정해 놓았습니다 :D

역시 바로 풀리네요 :D

이만 문제풀이였습니다!

문제를 보니 프로그램이 종료되는데 걸리는 시간을 찾으라고합니다 :D

PUSHAD가 시작되는건 패킹이 되어 있다는 소리이니 편의상 언패킹 후 진행 하겠습니다!

프로그램을 실행시키면 이런 메시지 박스가 뜹니다...!

그래서 뭔가 이상해서 함수가 터지는 곳을 들어가 보았습니다 :D

들어가니 IsDebuggerPresent 함수가 보입니다!

IsDebuggerPresent 함수는 디버깅을 탐지하는 함수로써 디버깅중이면 EAX값을 1로 반환합니다 ㅎㅎㅎ

저는 디버깅하여 분석을 해야하니 여러방법이 있지만

그 중 가장 간단한 방법인 EAX를 0으로 변환시켜 계속 분석을 진행했습니다 :D

그러자 다른 메시지박스가 나오는군요 :D

여기서 계속 갈피를 못잡고 있다가 시간을 찾아야하는데 그에 관한 함수인 timeGetTime 함수가 보였습니다!

그래서 브레이크를 걸고 다시 실행을 해보았습니다 :D

IsdebuggerPresent함수를 우회한 후 [F9]를 눌렀는데 딱 잡히는 부분이 있었습니다!

디버깅 탐지 우회를 하지 않고 실행했을 땐 잡히지 않았는데 우회하니 보이더라구요!

timeGetTime함수를 실행시키고 난 후 어떤 한 분기점을 마주칠 수 있었습니다 :D

EAX와 [EBX+4]의 값을 비교하는 것인데

EAX에는 timeGetTime함수로 현재 시스템 시간을 반환하여 담은 값이고 [EBX+4]에는 어떤 시간값이 담겨져있겠죠 :D?

그래서 [EBX+4]를 확인해보니 2B70이 담겨져 있는 것을 확인해볼 수 있었습니다!

그래서 이게 혹시 프로그램을 종료시키는 값이지 않을까 생각해서 체크해보니

정답이였던 것을 확인해 볼 수 있었습니다 :D

다른 문제에 비해서 갑자기 난이도가 확 올라간 문제가 아닌가 싶네용..!!

좀 엉성하지만 이만 문제풀이를 마치겠습니다 :D

이제 200점 문제입니다 :D

1번문제로 들어오니 "level : 1"이 보이고 소스코드를 볼 수 있습니다 !

소스코드를 보도록 합시다 ㅎㅎㅎ!

소스코드를 보니.. 쿠키가 설정이 되어있습니다!

초기 쿠키 값은 1로 설정이 되어있고..

6보다 크거나 같으면 1로 쿠키값이 다시 셋팅되고

5보다 크면 풀린다는군요!

그럼 간단하게 생각해보면 소수점을 넣어서 5와 6사이의 값을 넣으면 되지 않을까 생각했습니다 :D

예상대로 쿠키를 보니 1의 값이 들어가 있습니다!

그리고 5와 6사이의 값 5.1을 넣고 체크버튼을 눌러줍니다!

그리고 새로고침을 누르면 풀립니다 :D

이만 문제풀이를 마치겠습니다!