今年的第二届乌云白帽子大会的官网上放了四道“送票题”,不造小伙伴们有没有关注呢?小编觉得这四道题出的还真是让人看完想直呼“学习了”的感觉。贴心的91Ri小编帮大家从大会官网把题目和write up整理了下,发出来以供大家学(mo)习(bai)。
题目 :这个 Android 应用程序中隐藏了怎样的信息?(提示:不要放过任何一点蛛丝马迹)
Tip:flag为32位字符串
附件下载: http://pan.baidu.com/s/1hq7x5vm (解压密码:2qsb)
Write Up :
首先give me five,然后发现apk解包之后那个牛逼的音乐名字叫five five five。
然后看了一下音乐里面有啥东西,发现有6条音轨,其中2条为正常音频的音轨,其余四条如下:
其中后三条音轨明显跟第一条音轨是降噪关系。所以音乐中并没听出来。
然后上位换为1,下位换为0,输出为文本:
Default
查看一共有128位,可转换为16进制,得到32位字符串:
所以结果就是:
Default
73 FB FA 50 EA E5 FB 1C 8D FF F9 A9 EB 78 C1 9E
91Ri小编语 :说实话,小编也有尝试解这题,因为我自己也有接触过一些初级的Android开发,平时又喜欢自己做些小音频,所以当看到这份write up时内心还是比较鄙视自己的。如果有下载官网上给出的附件zip的小伙伴会发现,在压缩文件中有一个MAC编辑过后留下的标(xuan)志(fu)文件夹_MACOSX,在这个文件夹有一个._givemefive.apk的文件,当你用记事本打开时,里面刚好有一个32位字符串,于是小编就这么傻傻地相信了TAT只能说我还是太天真啊[/此处满满全是泪]
题目 :请对该程序通过逆向工程,计算出一组可用的 key 和授权文件 wooyun.lic。最后请提交 flag 与 wooyun.lic。
(1) 程序只能运行在 Windows 7 / 8 / 8.1 x64 系统上。
(2) 程序由两部分组成。需要先逆向分析第一部分,才能得到第二个程序。
更新说明:之前使用的大数库有一个整数溢出的 bug,新版本中已经修复了。该 bug 不影响解题,也不影响之前计算出的 key 的有效性。感谢 Riatre 同学指出该问题!仅更新了 enc.bin
2015-06-16 19:00
附件下载 : http://pan.baidu.com/s/1hqerqwG (解压密码:mm32)
Write Up :
CrptoMat
Description
程序只能运行在 Windows 7 / 8 / 8.1 x64 系统上。
程序由两部分组成。需要先逆向分析第一部分,才能得到第二个程序。
CrptoMat: Initial Observation
这是描述中提到的需要逆向分析以得到第二部分的“第一部分”。首先观察下载得到的压缩包CrptoMat-1.7z,里面包含两个文件,CrptoMat.exe及enc.bin。 其中CrptoMat.exe是一个32位Windows Console应用程序,而enc.bin根据文件名猜测,应为加密后的“第二个程序”。
这样,描述中的“程序只能运行在 Windows 7 / 8 / 8.1 x64 系统上。”成为了一个疑点:为什么要求x64呢?
程序在我这里运行时会直接Crash,故决定先在IDA中载入CrptoMat.exe观察一下。 IDA识别出了main函数,其中最后一个printf的参数不是有意义的字符串,且前后有以’/x10’为单字节key对其xor解密。 针对这种类型的操作,我们可以写一段简单的 IDAPython 脚本,在idb中将其解密,以方便分析。
Default
def xor(addr, len, skip, key): for i in range(addr, addr+len, skip): PatchByte(i, Byte(i) ^ key)
接下来执行 xor(0x423480, 32, 1, 0x10) 即可解密该字符串。不幸的是,进行完这一步后,该字符串仍然不是有意义的字符串。
检查该字符串的xref,可以发现还有另一处地方对其进行了xor解密,追踪调用来源可以发现,这个exe注册了三个TLS Callback,会在程序加载时被执行。三个TLS回调函数中分布着两种混淆。
CrptoMat: Obfuscation
这些函数中使用了大量形如 74 01 0F 的花指令。对应方式为将0F的部分直接nop掉即可。(在IDA中,可以使用Edit -> Patch program -> Change byte在idb中进行简单的patch。
除此之外,这些函数开始的位置还有大量的在64位及32位代码段间切换的指令。参考roy g biv的Heaven’s Gate: 64-bit code in 32-bit file。形如
Default
push 33h call $+5 add dword ptr [esp], 5 retf call $+5 mov dword ptr [esp+4], 23h add dword ptr [esp], 0Dh retf
可以注意到,切换后立刻切了回来,并且中间没有夹杂任何x64代码,因此这一段也只是作为简单的反调试 & 花指令,不对实际分析以及Hex-Rays Decompiler的工作产生任何影响。 简单的将其整段替换为nop即可。
去除所有上文描述的干扰,并用Alt+K手动调整一些IDA分析错的call带来的栈影响后,Hex-Rays Decompiler(所谓的F5)已经可以正常工作了。 虽然这三个TLS Callback逻辑比较简单,没有Hex-Rays插件也可以很容易理解。
CrptoMat: Constants
第一个TLS Callback主要是利用IsDebuggerPresent进行了简单的反调试。
第二及第三个TLS Callback中使用简单的xor解密了一些常量,填充了另一个常量。将其都按上文的方式还原后,这个程序的逻辑变得清晰了起来。
CrptoMat: Decryption
程序在main中,利用TEB进行了简单的反调试(如果检测到有DebugFlag则会修改之前填充的一个常量)。 然后首先在0x403620处获取了一些系统API的地址。 接下来位于0x403280处的函数打开并读入enc.bin,调用位于0x402B70处的函数解密,并写入输出文件checkkey.exe。
下面重点关注解密函数,其首先调用位于0x4012B0的函数进行了初始化,这个函数开头动态填充了一些常量表,将之前在TLS Callback中填充的一个32字节的常量再次逐字节xor了0x73,然后存入栈中。不妨认为这是Key。 后半段则有一些类似于某些对称加密算法中的Key Schedule的过程,但其中使用的所有常量表都是动态填充的,不方便识别具体算法。
先不管他,回到解密函数中,可以发现逻辑非常复杂的循环的次数为 19329 , 注意到 $ 19329 /times 16 $ 恰好等于enc.bin文件的大小。我们不妨猜测这是一个块大小为16字节的块加密算法。
那么,块大小为16字节,密钥长度为32字节的对称加密算法,首先想到的大概就是 AES-256 了吧。不妨试一试,万一是真的呢 XD
没有IV,先假装它是ECB模式,试试吧。
Default
key = [0x32,62,43,56,24,55,6,18,0x2A,65,43,21,66,21,75,5,21,49,0x32,0x20,0x21,0x1A,59,0x10,0x38,16,0x44,0x18,49,0x31,0x16,36,] key = ''.join(map(lambda x: chr(x ^ 0x73),key)) from Crypto.Cipher import AES with open('enc.bin', 'rb') as fp: enc = fp.read() aes = AES.new(key=key, mode=AES.MODE_ECB) with open('dec.bin', 'wb') as fp: fp.write(aes.decrypt(enc))
看上去解密成功了,然而很快发现,输出的文件看上去并不是原始的checkkey.exe。看上去有一些“多余”的部分。
在懒得分析CrptoMat.exe中具体的逻辑的情况下,对着该文件脑补,并且观察CrptoMat.exe中的解密代码,每解密一块16字节,仅输出8字节。 不妨认为只要取每16字节的前8字节即可。
然后发现这样是对的 :)
checkkey: Initial Observation
我们得到了一个checkkey.exe,简单观察后可以发现,它是一个x64 Windows Console应用程序。 拉进IDA分析,程序明显的分为了两个部分,第一部分验证命令行参数传入的key,第二部分验证wooyun.lic,并和key似乎有某种关联。
这个程序代码上没有任何故意设置的干扰,Hex-Rays Decompiler可以工作,虽然由于编译优化的原因,得到的部分结果不太容易理解。
checkkey: check_key
检查key的函数对输入的key进行了各种检查,要求满足一些条件(具体条件直接见以下代码),我们使用Z3来求解符合条件的串。
Default
from z3 import * ZeroExtDword = lambda x: ZeroExt(32, x) def summie(arr, wordsize): expr = 0 for i in xrange(wordsize): expr += sum(map(ZeroExtDword, arr[i::wordsize])) << (i * 8) return expr def hashy(x): ans = 0 for c in map(ZeroExtDword, x): ans = ((((ans << 3) & 0xFFFFFFFF) | (ans >> 29)) + c) & 0xFFFFFFFF return ans def extractDword(key, offset): return sum([ZeroExtDword(key[offset+i]) << (i * 8) for i in xrange(4)]) _key = [BitVec('k%d' % i, 8) for i in xrange(32)] recover = lambda m: ''.join(map(chr,[m[c].as_long() for c in _key])) s = Solver() for c in _key: s.add(Or(And(ord('a') <= c, c <= ord('z')),And(ord('0') <= c, c <= ord('9')),And(ord('A') <= c, c <= ord('Z')))) s.add(summie(_key, 1) == 0xA88) s.add(summie(_key, 2) == 0x57E0F) s.add((summie(_key, 4) & 0xFFFFFFFF) == 0x857AF897) s.add(hashy(_key[::2]) == 0x56BCF7C6) s.add(sum(map(ZeroExtDword, _key[1::2])) - 16 == 1385) outer = [0x546658EC, 0x2A4F76A2, 0x281446A3] for i in xrange(3): s.add((outer[i] ^ 0x1C270E94) == extractDword(_key, i * 4)) inner = [0xE73153C4, 0x993308F4, 0x8A5779DD] for i in xrange(3): s.add((inner[i] ^ 0xCC203528 ^ 0x1C270E94) == extractDword(_key, (i + 1) * 4 + 1)) print s.check() key = recover(s.model()) print key.encode('hex') print key
运行即可在0.3s左右的时间内得到一组解,xVAH6xh67H34IaBPZpKqtIdO9vrqbP9P。
checkkey: check_license
经分析可知,check_license首先计算了文件前4字节以外的部分的”CRC32″校验和,并与前4字节表示的DWORD进行比较。 注意这里的”CRC32″与规范的CRC32不同,有一处移位时故意用算术右移代替了逻辑右移。
接下来,程序计算了除前20字节以外的部分的MD5哈希,并与文件+0x4处开始的16字节进行比较,期望其相等。 然后,程序期望接下来的8字节为00 07 11 F9 F6 AB 13 AE。
满足以上所有条件后,程序用类似于外层CrptoMat中的方式在内存中xor解密了两个字符串,分别为:
Default
及
Default
65537 |
相信比较敏感同学看到65537之后会立刻将第一个字符串作为一个十进制整数丢进 yafu 或 msieve & ggnfs 中分解。一边让机器跑着一边进行接下来的逆向 #_#
随后,程序对文件+0x28处开始直到文件结尾的内容进行了“某种计算”,期望得到的结果长度大于等于30,并将得到的结果与命令行输入的key比较,期望相符。 此外,还计算了得到的结果的MD5哈希,并与文件+0x18处开始的16个字节比较,期望相符。
我们有充足的理由相信这里的“某种计算”就是RSA。稍作逆向后可以发现没有Padding,直接将字节作为256进制的Big Endian整数解释。 到了这里,把它分解出来,然后根据私钥计算出一个合法的license即可。
checkkey: factorization
该模数N有120位十进制数位,如果没有特意包含比较弱的因子的话,应当是使用 msieve + GGNFS 分解比较迅速,约需要5~6小时。 然而,由于不能排除其故意带有比较弱的因子的可能性,先交给 yafu 去pretest一下吧 :)
结果 yafu 在10秒后给出了分解结果。
Default
detected L1 = 32768 bytes, L2 = 10485760 bytes, CL = 64 bytes measured cpu frequency ~= 1799.966760 using 20 random witnesses for Rabin-Miller PRP checks =============================================================== ======= Welcome to YAFU (Yet Another Factoring Utility) ======= ======= bbuhrow@gmail.com ======= ======= Type help at any time, or quit to quit ======= =============================================================== cached 78498 primes. pmax = 999983 >> factor(353435899753154886567901508644280318001624308174099373826296801585161412894475724220420610666130867676791214922584602747) fac: factoring 353435899753154886567901508644280318001624308174099373826296801585161412894475724220420610666130867676791214922584602747 fac: using pretesting plan: normal fac: no tune info: using qs/gnfs crossover of 95 digits div: primes less than 10000 rho: x^2 + 3, starting 1000 iterations on C120 rho: x^2 + 2, starting 1000 iterations on C120 rho: x^2 + 1, starting 1000 iterations on C120 pm1: starting B1 = 150K, B2 = gmp-ecm default on C120 ecm: 30/30 curves on C120, B1=2K, B2=gmp-ecm default ecm: 10/74 curves on C120, B1=11K, B2=gmp-ecm default ecm: 63/63 curves on C96, B1=11K, B2=gmp-ecm default ecm: 7/214 curves on C96, B1=50K, B2=gmp-ecm default, ETA: 46 sec ecm: 14/82 curves on C72, B1=50K, B2=gmp-ecm default, ETA: 12 sec starting SIQS on c48: 647644121107739553628643132820296925098092891441 ==== sieving in progress ( 8 threads): 1232 relations needed ==== ==== Press ctrl-c to abort and save state ==== 1536 rels found: 765 full + 771 from 5704 partial, (63176.30 rels/sec) SIQS elapsed time = 0.1472 seconds. Total factoring time = 9.9477 seconds ***factors found*** P24 = 661333217825639141012939 P25 = 1174612726422110624673683 P24 = 702520810094682184952891 P24 = 714443298299371048348643 P24 = 906501779286561612666587 ans = 1
有趣的是,它一共有5个素因子,所谓的RSA-MP,不过这并没有影响。
checkkey: Tiro Finale
最后,写个简单的脚本生成wooyun.lic。
Default
import ctypes, hashlib, struct def fake_crc(data): tab = [0x00000000, 0x77073096, 0xee0e612c, 0x990951ba, 0x076dc419, 0x706af48f, 0xe963a535, 0x9e6495a3, 0x0edb8832, 0x79dcb8a4, 0xe0d5e91e, 0x97d2d988, 0x09b64c2b, 0x7eb17cbd, 0xe7b82d07, 0x90bf1d91, 0x1db71064, 0x6ab020f2, 0xf3b97148, 0x84be41de, 0x1adad47d, 0x6ddde4eb, 0xf4d4b551, 0x83d385c7, 0x136c9856, 0x646ba8c0, 0xfd62f97a, 0x8a65c9ec, 0x14015c4f, 0x63066cd9, 0xfa0f3d63, 0x8d080df5, 0x3b6e20c8, 0x4c69105e, 0xd56041e4, 0xa2677172, 0x3c03e4d1, 0x4b04d447, 0xd20d85fd, 0xa50ab56b, 0x35b5a8fa, 0x42b2986c, 0xdbbbc9d6, 0xacbcf940, 0x32d86ce3, 0x45df5c75, 0xdcd60dcf, 0xabd13d59, 0x26d930ac, 0x51de003a, 0xc8d75180, 0xbfd06116, 0x21b4f4b5, 0x56b3c423, 0xcfba9599, 0xb8bda50f, 0x2802b89e, 0x5f058808, 0xc60cd9b2, 0xb10be924, 0x2f6f7c87, 0x58684c11, 0xc1611dab, 0xb6662d3d, 0x76dc4190, 0x01db7106, 0x98d220bc, 0xefd5102a, 0x71b18589, 0x06b6b51f, 0x9fbfe4a5, 0xe8b8d433, 0x7807c9a2, 0x0f00f934, 0x9609a88e, 0xe10e9818, 0x7f6a0dbb, 0x086d3d2d, 0x91646c97, 0xe6635c01, 0x6b6b51f4, 0x1c6c6162, 0x856530d8, 0xf262004e, 0x6c0695ed, 0x1b01a57b, 0x8208f4c1, 0xf50fc457, 0x65b0d9c6, 0x12b7e950, 0x8bbeb8ea, 0xfcb9887c, 0x62dd1ddf, 0x15da2d49, 0x8cd37cf3, 0xfbd44c65, 0x4db26158, 0x3ab551ce, 0xa3bc0074, 0xd4bb30e2, 0x4adfa541, 0x3dd895d7, 0xa4d1c46d, 0xd3d6f4fb, 0x4369e96a, 0x346ed9fc, 0xad678846, 0xda60b8d0, 0x44042d73, 0x33031de5, 0xaa0a4c5f, 0xdd0d7cc9, 0x5005713c, 0x270241aa, 0xbe0b1010, 0xc90c2086, 0x5768b525, 0x206f85b3, 0xb966d409, 0xce61e49f, 0x5edef90e, 0x29d9c998, 0xb0d09822, 0xc7d7a8b4, 0x59b33d17, 0x2eb40d81, 0xb7bd5c3b, 0xc0ba6cad, 0xedb88320, 0x9abfb3b6, 0x03b6e20c, 0x74b1d29a, 0xead54739, 0x9dd277af, 0x04db2615, 0x73dc1683, 0xe3630b12, 0x94643b84, 0x0d6d6a3e, 0x7a6a5aa8, 0xe40ecf0b, 0x9309ff9d, 0x0a00ae27, 0x7d079eb1, 0xf00f9344, 0x8708a3d2, 0x1e01f268, 0x6906c2fe, 0xf762575d, 0x806567cb, 0x196c3671, 0x6e6b06e7, 0xfed41b76, 0x89d32be0, 0x10da7a5a, 0x67dd4acc, 0xf9b9df6f, 0x8ebeeff9, 0x17b7be43, 0x60b08ed5, 0xd6d6a3e8, 0xa1d1937e, 0x38d8c2c4, 0x4fdff252, 0xd1bb67f1, 0xa6bc5767, 0x3fb506dd, 0x48b2364b, 0xd80d2bda, 0xaf0a1b4c, 0x36034af6, 0x41047a60, 0xdf60efc3, 0xa867df55, 0x316e8eef, 0x4669be79, 0xcb61b38c, 0xbc66831a, 0x256fd2a0, 0x5268e236, 0xcc0c7795, 0xbb0b4703, 0x220216b9, 0x5505262f, 0xc5ba3bbe, 0xb2bd0b28, 0x2bb45a92, 0x5cb36a04, 0xc2d7ffa7, 0xb5d0cf31, 0x2cd99e8b, 0x5bdeae1d, 0x9b64c2b0, 0xec63f226, 0x756aa39c, 0x026d930a, 0x9c0906a9, 0xeb0e363f, 0x72076785, 0x05005713, 0x95bf4a82, 0xe2b87a14, 0x7bb12bae, 0x0cb61b38, 0x92d28e9b, 0xe5d5be0d, 0x7cdcefb7, 0x0bdbdf21, 0x86d3d2d4, 0xf1d4e242, 0x68ddb3f8, 0x1fda836e, 0x81be16cd, 0xf6b9265b, 0x6fb077e1, 0x18b74777, 0x88085ae6, 0xff0f6a70, 0x66063bca, 0x11010b5c, 0x8f659eff, 0xf862ae69, 0x616bffd3, 0x166ccf45, 0xa00ae278, 0xd70dd2ee, 0x4e048354, 0x3903b3c2, 0xa7672661, 0xd06016f7, 0x4969474d, 0x3e6e77db, 0xaed16a4a, 0xd9d65adc, 0x40df0b66, 0x37d83bf0, 0xa9bcae53, 0xdebb9ec5, 0x47b2cf7f, 0x30b5ffe9, 0xbdbdf21c, 0xcabac28a, 0x53b39330, 0x24b4a3a6, 0xbad03605, 0xcdd70693, 0x54de5729, 0x23d967bf, 0xb3667a2e, 0xc4614ab8, 0x5d681b02, 0x2a6f2b94, 0xb40bbe37, 0xc30c8ea1, 0x5a05df1b, 0x2d02ef8d] crc = -1 for d in data: crc = ctypes.c_int(tab[(crc ^ ord(d)) & 0xFF] ^ (crc >> 8)).value return ~crc def egcd(a, b): if a == 0: return (b, 0, 1) else: g, y, x = egcd(b % a, a) return (g, x - (b // a) * y, y) def modinv(a, m): g, x, y = egcd(a, m) if g != 1: raise Exception('modular inverse does not exist') else: return x % m primes = [661333217825639141012939,1174612726422110624673683,702520810094682184952891,714443298299371048348643,906501779286561612666587] e = 0x10001 def rsamp_fucrypt(data): N = reduce(lambda x,y:x*y, primes) phi = reduce(lambda x,y:x*(y-1), primes, 1) d = modinv(e, phi) ans = pow(int(data.encode('hex'), 16), d, N) ans = hex(ans)[2:].rstrip('L') if len(ans) % 2: ans = '0' + ans return ans.decode('hex') def encode_license(key): data = struct.pack('<II', 0xF9110700, 0xAE13ABF6) + hashlib.md5(key).digest() + rsamp_fucrypt(key) encoded = hashlib.md5(data).digest() + data return struct.pack('<i',fake_crc(encoded)) + encoded with open('wooyun.lic','wb') as fp: fp.write(encode_license('xVAH6xh67H34IaBPZpKqtIdO9vrqbP9P'))
Trivia
checkkey.exe中实现的高精度减法处理借位的时候有一个小bug,导致取模在一些边界情况下也是错的。比如$2^{65537} /mod N$就算不对。 不过实际解题时需要的计算并不会遇上这样的边界问题 :-)
91Ri小编语 :由于没有接触过逆向,所以小编对这道题还是没什么说话权的,不过当初这倒题目刚出来的时候,我很积极地把链接发给了会逆向的小伙伴,当时exe只要点开就会崩,小伙伴发现了出问题的地方,但很遗憾当时并不能完全解决,本来以为是脑洞题。后来write up出来之后,小伙伴说不是脑洞题,只是解题中用到的一个相关知识他没有接触过,所以不会,总的来说还是很遗憾的,小伙伴表示这道题32位与64位代码段间切换的技巧好棒
(反正没接触过逆向的我是听不懂TAT)。大家有没有和我一样觉得write up写的好详细好有条理呢?~
另外,据小道消息,这道题是蓝莲花的同学解出来的,不愧是冠军团队,赞赞赞!~
一共四道题,我们先整理两道出来供大家学习吧~至小编写完这篇稿子为止,还木有人解出最后一到题目喔,各位同学可以到乌云白帽子大会的官网去试试看喔,说不定最后一张门票就是你的啦~
链接在这里: http://summit.wooyun.org/puzzle/detail#!