rev-basic-4

이 문제는 사용자에게 문자열 입력을 받아 정해진 방법으로 입력값을 검증하여 correct 또는 wrong을 출력하는 프로그램이 주어집니다.  해당 바이너리를 분석하여 correct를 출력하는 입력값을 알아내세요.

1. 프로그램 분석

주어진 프로그램을 IDA를 통해 분석을 진행해보면 아래와 같은 코드를 확인할 수 있다.

int __fastcall main(int argc, const char **argv, const char **envp)
{
  char v4[256]; // [rsp+20h] [rbp-118h] BYREF

  memset(v4, 0, sizeof(v4));
  sub_1400011C0("Input : ", argv, envp);
  sub_140001220("%256s", v4);
  if ( (unsigned int)sub_140001000(v4) )
    puts("Correct");
  else
    puts("Wrong");
  return 0;
}

사용자의 입력 값을 받아 sub_140001000 함수로 전달한다.

해당 함수 실행 결과에 따라 Correct 또는 Wrong 을 출력한다.

 

2. sub_140001000 함수 분석

__int64 __fastcall sub_140001000(__int64 a1)
{
  int i; // [rsp+0h] [rbp-18h]

  for ( i = 0; (unsigned __int64)i < 28; ++i )
  {
    if ( ((unsigned __int8)(16 * *(_BYTE *)(a1 + i)) | ((int)*(unsigned __int8 *)(a1 + i) >> 4)) != byte_140003000[i] )
      return '\0';
  }
  return '\x01';
}

사용자의 입력 문자와 연산을 수행하여 byte_14000300에 있는 문자와 비교하여 0 또는 1을 반환한다.

 

byte_14000300에 담겨있는 값은 아래와 같다.

3.  조건 분석

if문안의 조건을 분석해보면 아래와 같은 형태이다.

16 * a1[i] | a1[i] >> 4 == byte_14000300[i]

해당 조건을 만족하는 값을 찾기 위해 시도해봤지만 결과 값이 나오지 않았다.

IDA에서 Pseudo Code를 통해 확인한 조건은 위와 같지만 실제 Assembly를 보면 아래와 같다.

movsxd  rax, [rsp+18h+var_18]
mov     rcx, [rsp+18h+arg_0]
movzx   eax, byte ptr [rcx+rax]
sar     eax, 4
movsxd  rcx, [rsp+18h+var_18]
mov     rdx, [rsp+18h+arg_0]
movzx   ecx, byte ptr [rdx+rcx]
shl     ecx, 4
and     ecx, 0F0h
or      eax, ecx
movsxd  rcx, [rsp+18h+var_18]
lea     rdx, byte_140003000
movzx   ecx, byte ptr [rdx+rcx]
cmp     eax, ecx
jz      short loc_140001063

Assembly로 확인한 조건은 아래와 같다.

a[i] << 4 & 0xF0 | a1[i] >> 4

4. Exploit

해당 조건을 만족하는 값을 찾는 값을 ascii 값 내 에서 무작위 대입을 진행하는 스크립트를 작성하여 Flag를 찾는다.

#python3 ex.py
#byte_140003000 DATA
x = "36, 39, 19, 198, 198, 19, 22, 230, 71, 245, 38, 150, 71, 245, 70, 39, 19, 38, 38 , 198, 86, 245, 195, 195, 245, 227, 227, 0".replace(" ","").split(",")

flag = []

for j in x:
	for i in range(0,127):	
		lshift = int(i) << 4 & 0xF0
		rshift = int(i) >> 4
		result = rshift | lshift
		if(result == int(j)):
			flag.append(chr(i))

print("flag : "+"DH{"+"".join(flag)+"}")