[Write-Up RE] Get2TheHell

Hì hì bài sửa chữa sai lầm và vực dậy chút tinh thần sau kỳ thi 😂😂😂

Ý tưởng

#

Dựa vào hint Heaven Gate mình có tra được trên mạng tìm được đoạn này:

Thực hành

#

Theo ý tưởng phân tích, bên trong hàm main là hàm kiểm tra các đặc tính của flag:

Ta thấy được rằng, trong câu lệnh if hàm main kiểm tra một số đặc tính đơn giản và có một hàm sub_D61000 đặc biệt. Kiểm tra hàm này ta nhận ra hàm cấp phát một vùng nhớ cho con trỏ lpAddress và config một số thứ trên vùng nhớ này để thực thi một đoạn code trên vùng nhớ đó và kiểm tra bằng câu lệnh if sau đó sẽ giải phóng vùng nhớ này. 🙄😶😑

Ta tiến hành đặt breakpoint tại vị trí này và xem nó cấp phát cho ta cái gì và nhận được một hàm ngắn

Hàm này gọi đến một đoạn code ngắn <Nhớ make code bằng nút ‘C’ mới hiện> và trong đó có thứ rất đang nghi 😑😐😐 Offset của input

Đọc đoạn code này mình đoán được đây là hàm chính cần xem xét nhưng bên trong hàm xuất hiện một số ký tự lạ và một vài byte không xác định, thêm với đó là một số câu lệnh đọc rất khó hiểu như sau:

Tình trạng chung là có những dấu hiệu địa chỉ kia là x64 và biểu hiện rất giống Heaven Gate như ý tưởng !!! 🙂🙂🙂

Cách làm

#

Ta tiến hành dump số byte tại vùng nhớ này ra để patch lại vào một file x64 xem ý nghĩa code là gì <Đại ca nào đó rất đẹp zai chỉ dạy 😋😋😋> Ta nắm lại vị trí bắt đầu của lpAddress và số lượng byte để dumo nguyên cả vùng nhớ đó ra

Mình tiến hành code một file hello world bằng c sau đó dịch ra x64 bằng g++ Sau đó patch đoạn byte đã dump ra vào entry point của chương trình để thực thi chỗ shellcode này.

Python Script patch bytes

#

import ida_bytes

newbytes = b"\x6A\x03\x58\xC1\xE0\x04\x04\x03\x50\x68\x34\x00\xCC\x00\xCB\xFE\xE2\x7B\x21\x9C\xEA\x4F\x05\xE0\xEA\x4F\x8D\x18\x5E\xE5\x5D\x18\x68\xE9\x03\x1E\x3C\x63\x89\xBE\xE2\x7D\x89\xC6\xEA\x7B\x51\x10\x5E\x69\x89\xA0\xB8\x08\x00\x00\x00\x83\xE8\x25\x85\xC0\x75\x51\x49\xB8\x59\xFC\x9F\x00\x00\x00\x00\x00\x49\xB9\x0F\x00\xCC\x00\x00\x00\x00\x00\x31\xF6\x48\x8D\x56\x3C\x48\x8D\x4E\x41\x4C\x8D\x96\xD3\x00\x00\x00\x4C\x8D\x9E\xF7\x00\x00\x00\x48\x83\xFE\x25\x73\x1F\x41\x8A\x04\x31\xD0\xC8\x41\x32\x04\x30\x30\xD0\x84\xC0\x87\xCA\x44\x87\xD1\x45\x87\xDA\x75\x07\x48\x8D\x74\x30\x01\xEB\xDB\x48\xBA\x34\xFC\x9F\x00\x00\x00\x00\x00\x48\x89\x02\x6A\x23\x68\xA7\x00\xCC\x00\x48\xCB\xC3"
size = len(newbytes)
start_address = 0x0000000000001050

for i in range(0,size):
    ida_bytes.patch_byte(start_address,newbytes[i])
    start_address += 1

Và đây là thành quả

Hàm khá dễ đọc cũng không nhất thiết là phải debug làm gì, chương trình sẽ đổi giá trị các thanh ghi sau mỗi vòng lạp lấy cipher để xor với dl và input, với cipher là đoạn byte không phải code trong vùng nhớ này, vì là mã đối xứng nên ta chỉ cần làm ngược lại quy trình mã hóa 😚😚😙

Code giải mã

#

def rotate_bits_right(number, positions, bitsize=32):
    mask = (1 << bitsize) - 1
    return ((number & mask) >> positions) | ((number & mask) << (bitsize - positions)) & mask

r9 = b"\xFE\xE2\x7B\x21\x9C\xEA\x4F\x05\xE0\xEA\x4F\x8D\x18\x5E\xE5\x5D\x18\x68\xE9\x03\x1E\x3C\x63\x89\xBE\xE2\x7D\x89\xC6\xEA\x7B\x51\x10\x5E\x69\x89\xA0"

r8 = ""

rdx = 0x3c

rcx = 0x41

r10 = 0xd3

r11 = 0xf7

flag = b""

tmp = 0

for i in range(0,37):
    tmp = rotate_bits_right(r9[i],1,8)
    tmp ^= rdx
    r8 += chr(tmp)
    rcx, rdx = rdx, rcx
    r10, rcx = rcx, r10
    r11, r10 = r10, r11
print(r8)

Flag: MSEC{C0ngr4tuL4t10n!Y0u’v3_b3c0m3_4n_4ng3l}

#

🤑🤑🤑

–Ckagngoc–