看雪.TSRC 2017CTF秋季賽第三題 wp

這是一道很簡單的題,反調試的坑略多。這道題採用了很多常用的反調試手段,比如調用IsDebuggerPresent、進程名檢查等等。另外也有利用SEH的非常規檢測方法。現在的OD插件能輕鬆對付常規反調試,暗坑還需手動處理,我的工具太原始了。

我做這道題,猜+Python直接輸出了答案,有了答案再對程序做了詳細點的分析。猜是把演算法和輸入數據猜對了。所以有一定運氣成分。

代碼定位

首先通過對GetDlgItemTextA 下斷點定位到關鍵函數434EF0(Base:400000).

在這個函數的開頭,有常規反調試,可以無視。接著會調用GetDlgItemTextA獲取用戶輸入的字元串並將輸入的字元串進行兩次變換,經過我測試發現,大部分輸入經過兩次變換後內存都是00(緩衝區長度1024左右),然後將變換後的結果取前3個位元組送入一段數字摘要演算法,該數字摘要演算法的結果為32位元組,轉換HEX String後應當有64個ASCII字元,最後將64位長度的簽名與用戶輸入進行比較。

初次看來,這段演算法既然是摘要演算法,那麼輸入怎麼可能等於輸出?這道題連續兩次調用一個轉換函數,會把任意字元串轉成00,又因為每次固定取3位元組簽名,所以送入演算法的數據恆定為:00 00 00. 後面會對這段摘要演算法進行分析。

關鍵部分代碼如下:

String[0] = 0;n memset1(&String[1], 0, 1023);n a3 = 0;n memset1(&v22, 0, 1023);n v4 = GetDlgItemTextA(hDlg, 1001, String, 1025);n v24 = runtimecheck(&v11 == &v11, v4);n v19 = 0;n memset1(&v20, 0, 1023);n j_translate(String, 0x400u, &a3);n v17 = 0;n memset1(&v18, 0, 1023);n j_translate(&a3, 0x400u, &v19);n sub_42D96A(&v19, &v17, 1024);n v16 = 3; n j_sm3(&v19, 3, v15);n for ( i = 0; i < 32; ++i )n springf1(&v14[2 * i], "%02x", v15[i]);n v5 = strlen1(v14);n v6 = &String[strlen1(String)];n v7 = strlen1(v14);n if ( !memcmp(v14, &v6[-v7], v5) )// &v6[-v7]實際是指向String,也就是輸入的字元串 V5=0X40,V14是定值n {n sub_42D0B4();n if ( sub_42D9AB(&dword_49B000, &v17) == 1 )// aan {n v8 = MessageBoxA(0, "ok", "CrackMe", 0);n runtimecheck(&v11 == &v11, v8);n }n }n}n

這段演算法應該屬於OpenSSL的一部分,有明顯的OPenSSL風格,但是作者在演算法內部內嵌了很多非常規的異常反調試手段,一共有4塊,手動修改EIP繞過即可。

以下代碼片段是作者封裝的sm3演算法函數:

int __cdecl sm3(int a1, int a2, int a3)n{n int v3; // eax@1n char v5; // [sp+Ch] [bp-1B4h]@1n char v6; // [sp+D0h] [bp-F0h]@1n unsigned int v7; // [sp+1BCh] [bp-4h]@1n int savedregs; // [sp+1C0h] [bp+0h]@1n n memset(&v5, 0xCCu, 0x1B4u);n v7 = &savedregs ^ dword_49B344;n sub_42D294(&v6); // init 初始化ctxn sub_42DF2D(&v6, a1, a2); //update 傳入加密數據n sub_42D15E(&v6, a3); //final 獲取結果n memset1(&v6, 0, 232);n sub_42D65E(&savedregs, &dword_437F18);n v3 = sub_42D1E5(&savedregs ^ v7);n return runtimecheck(1, v3);n}n

作者分別在sub_42D294、sub_42DF2D、sub_42D15E插入了反調試代碼,代碼非常顯眼。

幾乎所有反調試相關的代碼都是這種判斷格式,彙編特徵更加明顯:

在動態調試時,直接強制修改EIP到pop edi處實現繞過,後面幾處同樣的方法處理,一定要注意別跳錯了,我就因為跳錯了,程序沒報錯,算出來的結果是錯的。

特徵大概是call xxx,mov [XXX],eax,cmp eax,0 類似的指令序列。

那麼我是如何判斷這個演算法的呢?這個演算法是sm3演算法,在百度上有很多資料。 通過搜索關鍵常量,就可以在百度上找到相關實現代碼。

*(a1 + 8) = 0x7380166F;

*(a1 + 12) = 0x4914B2B9;

*(a1 + 16) = 0x172442D7;

*(a1 + 20) = 0xDA8A0600;

*(a1 + 24) = 0xA96F30BC;

*(a1 + 28) = 0x163138AA;

*(a1 + 32) = 0xE38DEE4D;

*(a1 + 36) = 0xB0FB0E4E;

Python實現如下:

import structnIV="7380166f 4914b2b9 172442d7 da8a0600 a96f30bc 163138aa e38dee4d b0fb0e4e"nIV = int(IV.replace(" ", ""), 16)na = []nfor i in range(0, 8):n a.append(0)n a[i] = (IV >> ((7 - i) * 32)) & 0xFFFFFFFFnIV = an n ndef out_hex(list1):n for i in list1:n print "%08x" % i,n print "n",n n ndef rotate_left(a, k):n k = k % 32n return ((a << k) & 0xFFFFFFFF) | ((a & 0xFFFFFFFF) >> (32 - k))n n nT_j = []nfor i in range(0, 16):n T_j.append(0)n T_j[i] = 0x79cc4519nfor i in range(16, 64):n T_j.append(0)n T_j[i] = 0x7a879d8an n ndef FF_j(X, Y, Z, j):n if 0 <= j and j < 16:n ret = X ^ Y ^ Zn elif 16 <= j and j < 64:n ret = (X & Y) | (X & Z) | (Y & Z)n return retn n ndef GG_j(X, Y, Z, j):n if 0 <= j and j < 16:n ret = X ^ Y ^ Zn elif 16 <= j and j < 64:n #ret = (X | Y) & ((2 ** 32 - 1 - X) | Z)n ret = (X & Y) | ((~ X) & Z)n return retn n ndef P_0(X):n return X ^ (rotate_left(X, 9)) ^ (rotate_left(X, 17))n n ndef P_1(X):n return X ^ (rotate_left(X, 15)) ^ (rotate_left(X, 23))n n ndef CF(V_i, B_i):n W = []n for j in range(0, 16):n W.append(0)n unpack_list = struct.unpack(">I", B_i[j*4:(j+1)*4])n W[j] = unpack_list[0]n for j in range(16, 68):n W.append(0)n W[j] = P_1(W[j-16] ^ W[j-9] ^ (rotate_left(W[j-3], 15))) ^ (rotate_left(W[j-13], 7)) ^ W[j-6]n str1 = "%08x" % W[j]n W_1 = []n for j in range(0, 64):n W_1.append(0)n W_1[j] = W[j] ^ W[j+4]n str1 = "%08x" % W_1[j]n n n A, B, C, D, E, F, G, H = V_in """n print "00",n out_hex([A, B, C, D, E, F, G, H])n """n for j in range(0, 64):n SS1 = rotate_left(((rotate_left(A, 12)) + E + (rotate_left(T_j[j], j))) & 0xFFFFFFFF, 7)n SS2 = SS1 ^ (rotate_left(A, 12))n TT1 = (FF_j(A, B, C, j) + D + SS2 + W_1[j]) & 0xFFFFFFFFn TT2 = (GG_j(E, F, G, j) + H + SS1 + W[j]) & 0xFFFFFFFFn D = Cn C = rotate_left(B, 9)n B = An A = TT1n H = Gn G = rotate_left(F, 19)n F = En E = P_0(TT2)n n n A = A & 0xFFFFFFFFn B = B & 0xFFFFFFFFn C = C & 0xFFFFFFFFn D = D & 0xFFFFFFFFn E = E & 0xFFFFFFFFn F = F & 0xFFFFFFFFn G = G & 0xFFFFFFFFn H = H & 0xFFFFFFFFn """n str1 = "%02d" % jn if str1[0] == "0":n str1 = + str1[1:]n print str1,n out_hex([A, B, C, D, E, F, G, H])n """n n n V_i_1 = []n V_i_1.append(A ^ V_i[0])n V_i_1.append(B ^ V_i[1])n V_i_1.append(C ^ V_i[2])n V_i_1.append(D ^ V_i[3])n V_i_1.append(E ^ V_i[4])n V_i_1.append(F ^ V_i[5])n V_i_1.append(G ^ V_i[6])n V_i_1.append(H ^ V_i[7])n return V_i_1n n ndef hash_msg(msg):n len1 = len(msg)n reserve1 = len1 % 64n msg = msg + chr(0x80)n reserve1 = reserve1 + 1n for i in range(reserve1, 56):n msg = msg + chr(0x00)n n n bit_length = (len1) * 8n bit_length_string = struct.pack(">Q", bit_length)n msg = msg + bit_length_stringn n n #print len(msg)n group_count = len(msg) / 64n n n m_1 = B = []n for i in range(0, group_count):n B.append(0)n B[i] = msg[i*64:(i+1)*64]n n n V = []n V.append(0)n V[0] = IVn for i in range(0, group_count):n V.append(0)n V[i+1] = CF(V[i], B[i])n n n return V[i+1]n

輸出答案:

y = hash_msg("x00x00x00")

print out_hex(y)

183920f0 0e15a043 3ee3a8fc 90dd9ac1 64c4142c cf63ca18 9a8f645e c96ff8de


推薦閱讀:

子域名枚舉、探測工具AQUATONE 使用指南
世界第一黑客凱文·米特尼克再出山:這次教你如何在線隱身
摩訶草APT團伙新腳本類攻擊樣本分析報告
如何在IE/Edge瀏覽器中巧妙地傳輸HTA文件?

TAG:CTFCaptureTheFlag | 信息安全 | 逆向工程 |