比赛挺遗憾的,第一题验证楞是没看出来是一个delta=0的等式,一直以为解出来的方程会有小数,无法想象程序怎么验证成功。导致没比赛资格了。数学功力还得加强,下面仅是学生组安卓的分析。有兴趣的同学关注下我的博客,一起交流学习!
Round1
首先程序校验了key的格式,格式应该为XXXX-XXXX-XXXX-XXXX-XXXX-XXXX-XXXX-XXXX,长度为32,仅含有[0-9],[a-f]
其次取每一段进行运算,首尾进行运算,结果记为a1,a2,a3,a6(在接下来给的注册机中会有这一段运算)
接下来是对Code进行Base64解码,这里的Base64并不是标准的Base64,改动在于索引的下标进行了异或。所以解Base64也必须异或回去,解码出来的长度限制为0x10,前8位记为x,后8位记为y(由于之前没做出来,所以就没有看进阶版部分,进阶版部分请移步至看雪),
接下来就是方程组求解问题(用x86版本的so能清楚的看到方程式)
a3 + a6 * (a2 + a1 * a6) = ( y + x * a6 )
(a2 - x) * (a2 - x) = 4 * (a3 - y) * a1
用python的sympy库求解很方便。直接附上注册机
import numpy as np
import struct
from sympy import *
base='OPWvYny#Nopz0$HI34QRSG@dJKq7fghD9Zi*kAB8rsFu56L&Ca^2tTUVEewxlm+/='
def encodeBase64(string):
tmp = len(string)%3
if tmp == 1:
string += '\x00\x00'
if tmp == 2:
string += '\x00'
en = ''
for i in range(len(string)/3):
a = ord(list(string)[i*3]) >> 2
b = (ord(list(string)[i*3]) & 0x3) *0x10 + (ord(list(string)[i*3+1]) >> 4)
c = ((ord(list(string)[i*3+1]) & 0xF) * 4 ) + (ord(list(string)[i*3+2]) >> 6)
d = ord(list(string)[i*3+2]) & 0x3F
a = a^(a>>4)
b = b^(b>>4)
c = c^(c>>4)
d = d^(d>>4)
en += base[a]
en += base[b]
en += base[c]
en += base[d]
if tmp == 1:
en = en[:-2] + '=='
if tmp == 2:
en = en[:-1] + '='
return en
def decodeBase64(string):
out = ''
if (len(string)%4) != 0:
return false
for i in range(len(string)/4):
a = list(base).index(list(string)[i*4])%64
b = list(base).index(list(string)[i*4+1])%64
c = list(base).index(list(string)[i*4+2])%64
d = list(base).index(list(string)[i*4+3])%64
a = a^(a>>4)
b = b^(b>>4)
c = c^(c>>4)
d = d^(d>>4)
out += chr((a << 2) + (b & 0x3F)/0x10)
out += chr((b & 0xF)*0x10 + (c >> 2))
out += chr((c & 0x3)*0x40 + d)
return out
def calc(key):
l = key.split('-')
a = ord(l[0][0]) * ord(l[-1][0]) * 0x10000
a += ord(l[0][1]) ^ ord(l[-1][1])
a += ord(l[0][2]) % (ord(l[-1][2])+1) + 1
a += ord(l[0][3]) / (ord(l[-1][3]) + 1)
b = (ord(l[1][0]) ^ ord(l[-2][0])) * 0x10000
b += ord(l[1][1]) % (ord(l[-2][1])+3)
b += ord(l[1][2]) / (ord(l[-2][2])+1) + 5
b += ord(l[1][3]) + (ord(l[-2][3]))
c = ord(l[2][0]) / (ord(l[-3][0]) + 3) * 0x10000
c ^= ord(l[2][1]) * ord(l[-3][1])
c += ord(l[2][2]) % (ord(l[-3][2]) + 7) + 5
c += ord(l[2][3]) + ord(l[-3][3])
d = (ord(l[3][0]) + ord(l[-4][0])) * 0x10000
d *= ord(l[3][1]) / (ord(l[-4][1]) + 2)
d += ord(l[3][2]) % (ord(l[-4][2]) + 5) + 7
d += ord(l[3][3]) * ord(l[-4][3])
return a,b,c,d
def tohex(val, nbits):
return (val + (1 << nbits)) % (1 << nbits)
if __name__ == "__main__":
#key = '0234-5678-90ab-00ef-0f87-6543-21fe-0cba'
key = 'aaaa-aaaa-aaaa-aaaa-aaaa-aaaa-aaaa-aaaa'
#key = '0234-5678-90ab-00ef-0f87-6543-21fe-cccc'
#key = 'aaaa-1111-2222-3333-4444-5555-6666-7777'
a1,a2,a3,a6 = calc(key)
#print hex(a1),hex(a2),hex(a3),hex(a6)
x = Symbol('x')
y = Symbol('y')
"""
a3 + a6 * (a2 + a1 * a6) = ( y + x * a6 )
(a2 - x) * (a2 - x) = 4 * (a3 - y) * a1
"""
result = solve([a3+a6*(a2+a1*a6)-(y+x*a6),(a2-x)*(a2-x)-4*(a3-y)*a1],[x,y])
x1 = int(result[0][0])
y1 = int(result[0][1])
#print 'The solve is %x,%x' % (x1,y1)
while x1 < 0:
x1 = tohex(x1,64)
while y1 < 0:
y1 = tohex(y1,64)
print 'The solve is %x,%x' % (x1,y1)
str = struct.pack('<Q',x1)
str += struct.pack('<Q',y1)
print 'Key: %s' % key
print 'code: %s' % encodeBase64(str)
Round2#1
首先题目给了一个main函数,验证函数有两个,我们只需要编写so让main函数加载,导出zapus_get函数即可。
Check1
这里我先给出从伪代码还原成C代码(为了节省篇幅,这里省略了box)
#include <stdio.h>
unsigned char box[0x800] = {
};
int main()
{
//unsigned char in[0x10] = {0,1,2,3,4,5,6,7,8,9,0xA,0xB,0xC,0xD,0xE,0xF};
unsigned char in[0x10] = {0x91,0x8f,0x45,0xd4,0xed,0xf4,0x4b,0x37,0x5f,0xa8,0x15,0xa,0x95,0x6,0xe2,0x33};
unsigned char out[0x10] = {0,};
//char out[0x10] = {0xFF,0x99,0x63,0x6B,0x30,0xCF,0xD1,0x4A,0x39,0x09,0x64,0x17,0x73,0xED,0xE4,0x47};
int i,j;
unsigned char v8=0,v10=0,v6=0,v11=0;
int index=0;
for(i=0;i<0x80;i++)
{
v6 = 0;
for(j=0;j<0x80;j++)
{
index = 7-(j&0x7);
v8 = in[j/8];
v10 = box[i*0x10+j/8];
v6 ^= ((v8 & v10) >> index);
v6 = v6 & 1;
}
v11 = i & 7;
out[i/8] = out[i/8] | (v6<<(7-v11));
}
for(i=0;i<0x10;i++)
printf("%02X ",out);
}
其实这段代码就是一个异或方程式求解,内层循环是取每一个bit 一共取0x80次之后,做与运算(其实这里就是乘法),之后结果异或(其实这里就是一个模2的加法运算),那么这里应该很清楚了,接下来就是解异或方程式了。
异或方程组就是形如这个样子的方程组:
M[0][0]x[0]^M[0][1]x[1]^…^M[0][N-1]x[N-1]=B[0]
M[1][0]x[0]^M[1][1]x[1]^…^M[1][N-1]x[N-1]=B[1]
…
M[N-1][0]x[0]^M[N-1][1]x[1]^…^M[N-1][N-1]x[N-1]=B[N-1]
其中“^”表示异或(XOR, exclusive or),M[j]表示第i个式子中x[j]的系数,是1或者0。B是第i个方程右端的常数,是1或者0。
解这种方程可以套用高斯消元法,只须将原来的加减操作替换成异或操作就可以了,两个方程的左边异或之后,它们的公共项就没有了。
具体的操作方法是这样的:对于k=0..N-1,找到一个M[k]不为0的行i,把它与第k行交换,用第k行去异或下面所有M[j]不为0的行i,消去它们的第k个系数,这样就将原矩阵化成了上三角矩阵;最后一行只有一个未知数,这个未知数就已经求出来了,用它跟上面所有含有这个未知数的方程异或,就小觑了所有的着个未知数,此时倒数第二行也只有一个未知数,它就被求出来了,用这样的方法可以自下而上求出所有未知数。
引用了一段话,解方程组的核心就是高斯消元,这里我给出还原代码
unsigned char box[0x800] = {};
unsigned char a[0x81][0x82];
unsigned char ans[0x10] = {0x47,0x53,0x4c,0x61,0x62,0x31,0x37,0,0,0,0,0,0x9B,0x1D,0,0};
void init()
{
int i,j,k;
for(i=0;i<0x80;i++)
{
for(j=0;j<0x10;j++)
{
for(k=7;k>=0;k--)
a[i+1][j*8+1+7-k] = (box[i*0x10+j] >> k) & 1;
}
}
for(j=0;j<0x10;j++)
{
for(k=7;k>=0;k--)
a[j*8+1+7-k][0x81] = (ans[j] >> k) & 1;
}
}
void gauss(int n)
{
for(int i=1; i<=n; i++)
{
int j=i;
while(j<=n&&!a[j])
j++;
if(j>n)
continue;
if(i!=j)
for(int k=1; k<=n+1; k++)
swap(a[k],a[j][k]);
for(int j=1; j<=n; j++)
if(i!=j&&a[j])
for(int k=1; k<=n+1; k++)
a[j][k]^=a[k];
}
}
int main()
{
int i,j=0;
unsigned char out[16] = {0,};
init();
gauss(0x80);
for(i=0;i<0x10;i++)
{
for(j=1;j<=8;j++)
{
out |= a[i*8+j][0x81] << (8-j);
}
}
}
之后比较的为gslab17和getpid()得到的值,那么在编写so的时候只需要获取pid拼接即可。
Check2
第二段是一个对so的crc校验,随便找一个能修改的位置,遍历一个DWORD值,爆破就能得到正确的CRC32校验的值(赛后看了看雪的Writeup用的是CRC32碰撞,链接)。附上我的代码:
import zlib
import struct
f = open('libZapus.so','rb')
a = f.read()[:-4]
i=0
while i <= 0xFFFFFFFF:
if zlib.crc32(a+struct.pack("<I",i)) == 0x614C5347:
print i
#239832435
i+=1
f.close()
'''
i = 239832435
f = open('libZapus1.so','wb')
f.write(a+struct.pack("<I",i))
f.close()
'''
Round2#2
此题是一个修改过的mono引擎,通过一些字符串很明显的能看出来是一个mono引擎。
首先前面解密了内存中的dll,在这里我们可以把这段内存dump下来。发现是.net编写
[b]
[b]
dump下来发现并不是有效的PE文件,那么肯定有所变形,需要我们来修复
这里有一篇文章是来定位需要修复的位置,我是直接在CFF中查看每个属性对比正确的.net查找异常点,这里有一篇文章是介绍.net文件的PE结构
一共有如下位置被修改过:
- PE标志位 45 50 00 01 -> 45 50 00 00
- 元数据表头 NumberOfStream 05 01 -> 05 00
- 元数据表流中的记录项(这里我找了挺久的,根据ILSpy中的异常,该表是记录的个数,明显发现有一些数据特别大,高位置零)
修复好了之后我们就能看到加密的算法了
这里Code方法其实就是xtea算法(通过算法中的黄金比例可以看出来),那么接下来的工作就是解密代码了,附上解密代码
#include<stdio.h>
#include<stdint.h>
#include<string.h>
#include<stdlib.h>
//xtea encode
void encipher(uint32_t v[2], uint32_t const key[4]) {
unsigned int i;
int num_rounds = 32;
uint32_t v0 = v[0], v1 = v[1], sum = 0, delta = 0x9E3779B9;
for (i = 0; i < num_rounds; i++) {
v0 += (v1 << 4 ^ (v1 >> 5) + v1 ^ sum + key[sum & 3]);
sum += delta;
v1 += (v0 << 4 ^ (v0 >> 5) + v0 ^ sum + key[(sum >> 11) & 3]);
}
v[0] = v0; v[1] = v1;
}
//xtea decode
void decipher(uint32_t v[2], uint32_t const key[4]) {
unsigned int i;
int num_rounds = 32;
uint32_t v0 = v[0], v1 = v[1], delta = 0x9E3779B9, sum = delta*num_rounds;
for (i = 0; i < num_rounds; i++) {
v1 -= (v0 << 4 ^ (v0 >> 5) + v0 ^ sum + key[(sum >> 11) & 3]);
sum -= delta;
v0 -= (v1 << 4 ^ (v1 >> 5) + v1 ^ sum + key[sum & 3]);
}
v[0] = v0; v[1] = v1;
}
int main()
{
FILE *pFile;
int len;
int* pBuf;
char* pDeBuf;
int index = 0;
int i = 0, num = 0;
unsigned int key[4] = {
363609949u,
512121596u,
1703126449u,
1423373290u
};
unsigned int v[2] = { 0, };
unsigned int p[2] = { 0, };
pFile = fopen("data.encrypted", "rb");
fseek(pFile, 0, SEEK_END);
len = ftell(pFile);
pBuf = (int*)malloc(len);
pDeBuf = (char*)malloc(len);
memset(pBuf, 0, len);
memset(pDeBuf, 0, len);
rewind(pFile);
fread(pBuf, 1, len, pFile);
fclose(pFile);
p[0] = v[0] = pBuf[0];
p[1] = v[1] = pBuf[1];
decipher(v, key);
v[0] ^= key[0];
v[1] ^= key[2];
num = ((char*)v)[0];
for (i = num; i < 7; i++)
pDeBuf[index++] = ((char*)v)[i + 1];
// 06 ce cd cc cb ca c9 89
for (i = 8; i < len; i += 8)
{
v[0] = pBuf[i / 4];
v[1] = pBuf[i / 4 + 1];
decipher(v, key);
v[0] ^= p[0];
v[1] ^= p[1];
memcpy(&pDeBuf[index], v, 8);
p[0] = pBuf[i / 4];
p[1] = pBuf[i / 4 + 1];
index += 8;
}
printf("%d", index);
pFile = fopen("data.decrypted", "wb");
fwrite(pDeBuf, 1, index, pFile);
fclose(pFile);
return 0;
}
得到图片,图片并不是我们正确的结果,在PNG图片中,只会含有一个sRGB图像块,Dump下来的图片有两个,切出多余的数据,修改头为BM,即为正确结果
[复制链接]
发表于 2017-7-26 09:54
|
发表于 2017-7-26 10:15
