rev-basic-3

이 문제는 사용자에게 문자열 입력을 받아 정해진 방법으로 입력값을 검증하여 correct 또는 wrong을 출력하는 프로그램이 주어집니다.
해당 바이너리를 분석하여 correct를 출력하는 입력값을 찾으세요!

1. 프로그램 분석

프로그램을 IDA 통해 분석을 진행해보면 아래와 같은 코드를 확인할 수 있다.

int __fastcall main(int argc, const char **argv, const char **envp)
{
  char v4[256]; // [rsp+20h] [rbp-118h] BYREF

  memset(v4, 0, sizeof(v4));
  sub_1400011B0("Input : ", argv, envp);
  sub_140001210("%256s", v4);
  if ( (unsigned int)sub_140001000((__int64)v4) )
    puts("Correct");
  else
    puts("Wrong");
  return 0;
}

v4 변수에 256바이트의 char 타입을 생성하고 값을 입력 받는다. 이후 sub_140001000 함수에 인자로 넣어 실행한다.
해당 함수의 반환 값에 따라 Correct 또는 Wrong을 출력한다.

2. sub_140001000 함수 분석

__int64 __fastcall sub_140001000(__int64 a1)
{
  int i; // [rsp+0h] [rbp-18h]

  for ( i = 0; (unsigned __int64)i < 24; ++i )
  {
    if ( byte_140003000[i] != (i ^ *(unsigned __int8 *)(a1 + i)) + 2 * i )
      return 0i64;
  }
  return 1i64;
}

byte_140003000의 데이터를 입력한 값과 사용자 입력 값에 xor 한 값과 2 * i 값을 더한 값과 같은지 비교하는 반복문이 존재한다.

 

먼저 byte_140003000의 값을 확인해보면 아래 값으로 확인된다.

[+] 2 dup(105) ? 
duplicate의 약어로 중복된 값을 dup로 표시해준다. 2 dup(105)는 105의 값을 2번 반복한다는 의미이다.

 

반복문이 진행되며 각 바이트 값과 사용자 입력 값의 바이트에 반복문이 진행됨에 따라 증가하는 i 값과 2 * i 값을 더하여 비교한다.

3. 조건 분석

AAA를 입력값으로 가정하고 첫 반복문의 시작 조건을 정리해보면 아래와 같다

73 != (0 ^ 0x65) + 2 * 0

문제 흐름을 보면 입력하는 값이 FLAG일것으로 추측된다.

 

XOR 연산의 특성을 이용하여 입력해야하는 값을 계산할 수 있다.

[+] XOR 연산의 특성
 - 두 값의 각 자릿수를 비교해, 값이 같으면 0, 다르면 1을 출력한다.
 - A ^ B = C 이면 A ^ C = B 이고 B ^ C = A 이다.

 

해당 특성을 이용해 아래의 식을 도출하고 스크립트를 통해 계산한다.

FLAG[i] = byte_140003000[i] - (2 * i)
FLAG[i] = i ^ FLAG[i]

4. Exploit

#rev-basic-3 python exploit

#byte_140003000 DATA
x = "49, 60, 67, 74, 63, 67, 42, 66, 80, 78, 69, 69, 7B, 99, 6D, 88, 68, 94, 9F, 8D, 4D, A5, 9D ,45".replace(" ","").split(",")
flag = []

for i in range(0,24):
	v = int(x[i],16) - (2*i)
	v = i ^ v
	flag.append(chr(v))

print("flag : "+"DH{"+"".join(flag)+"}")