기타 리버싱 문제풀이: easy-crackme1

문제 이해

cmd 창을 열어 easy crackme1 프로그램을 실행해본다.

"input: " 뒤에 숫자 두 개를 입력 받은 뒤에 " Wrong"이 출력 됐다. 따라서 Wrong이 나오지 않는 숫자 2개를 찾는 것이 목표이다.

문제 계획

1. X64 Debuger로 프로그램을 열어 어떤 프로그램인지 분석할 준비를 한다.
2. "Wrong"이나 "Input" 관련 명령어가 어디 있는지 찾아 main 함수 부분을 알아낸다.
3. "Wrong" 또는 "Correct"를 결정짓는 코드, 또는 함수가 무엇인지 알아낸다.
4. 그 결정짓는 코드를 분석해 어떤 값을 입력해야 출력값이 "Correct"가 되는지 알아낸다.
5. ida로 추측한 코드가 맞는지 확인한다.

문제 실행

X64 Debuger로 문제 파일을 열어준다. 위와 같은 화면이 보인다.

아는 것은 입출력 문자 뿐이므로 위의 화면과 같은 방식으로 문자열 참조를 해 "Wrong" 또는 "Input"을 검색해준다. 

 

문자열 참조에서 검색한 "Wrong" 또는 "Input" 출력 관련 명령어를 더블 클릭하면 main 함수를 볼 수 있다.

main 함수에서 여러 다른 함수를 call 하고 있는 것이 보인다.

main 함수에서 알아내야 했던 주요 사항들은 다음과 같다.

• lea r8, qword ptr ss:[rsp+20] / lea rdx, qword ptr ss:[rsp+24]
  • lea는 뒤의 인자(주소)를 앞의 인자에 저장하라는 옵코드이다. 
  • 따라서 r8과 rdx에 입력 받은 두 개의 숫자 주소값을 저장했음을 알 수 있다.
• mov edx, qword ptr ss:[rsp+20] / mov ecx, qword ptr ss:[rsp+20]
  • mov는 뒤의 인자(*주소, 즉 주소가 나타내는 실제 수)를 앞의 인자에 저장하라는 옵코드이다.
  • 따라서 [rsp+20], [rsp+24]라는 주소에 들어있는 입력 받은 숫자가 각각 edx, ecx에 저장됐음을 알 수 있다.
• 함수 call과 test eax, eax, je
  • edx, ecx에 숫자를 저장한 직후 함수를 call한다. 그 함수 바로 아래 명령어를 보면 test eax, eax를 한 뒤 특정 함수로 je(jump equal)하라는 명령어가 나온다.
  • eax와 eax는 당연히 같은 값을 가지므로 이 명령어를 만나면 무조건 jump 하게 되는데, jump 하면 "Wrong"이 출력 된다. 따라서 정답이 되려면 test eax, eax 전 함수에서 다른 곳으로 이동해 je 명령어를 만나지 않게 해야한다.

그렇다면 이제 Correct와 Wrong을 결정하는 'easy crackme1.1410001180' 함수로 가서 분석해보자.

 

이 함수에서 알아내야 했던 주요 사항이다. 가장 위의 명령어부터 차례대로 정리했다.

• mov dword ptr ss:[rsp+10], edx / mov dword ptr ss:[rsp+8], ecx
  • main 함수에서 알아낸 바와 같이 edx, ecx에는 각각 첫 번째 입력 값, 두 번째 입력 값이 들어있다.
  • 이제 mov를 통해 [rsp+10], [rsp+8] 주소에도 입력 값이 들어가게 됐다.
• sub rsp, 18
  • rsp에서 0x18 만큼의 값을 빼줘 함수 공간을 확보했다.
  • 이제 입력값을 보려면 [rsp+10], [rsp+8]의 주소가 아니라 [rsp+20], [rsp+28] 주소를 봐야 한다. rsp의 값이 변화했기 때문이다.( [rsp+10]→ [rsp+28], [rsp+8]→ [rsp+20])
  • 여기서 한 시간이 넘게 지체 됐다. (/_ \) 왜 10은 28로 8은 20으로 바뀌는지 이해가 안됐다. 알고 보니 숫자들이 16진수였다(!!) 18이 그냥 18이 아니라 0x18이였다.

C++로 16진수 계산해보니 딱 떨어졌다.

• cmp dword ptr ss:[rsp+20], 2000 / ja easy...11A0
  • cmp는 비교하는 옵코드다. [rsp+20]에 있는 값과 0x2000을 비교하라는 뜻이다.
  • ja는 'jump if above'의 줄임말로 앞의 인자가 뒤의 인자보다 크면 jump 한다.
  • jump 하게 되면 xor eax, eax를 만나고 jmp 뒤의 함수로 jump 하는데 그러면 함수가 종료되어 버린다.
  • 따라서 dword ptr ss:[rsp+20], 즉 첫 번째 입력 값은 2000보다 작거나 같아야 한다.
• cmp dword ptr ss:[rsp+28], 2000 / jbe easy...11A4
  • jbe는 'jump below or equal'의 줄임말로 앞의 인자가 뒤의 인자보다 작거나 같으면 jump한다.
  • 이번에는 jump 해야 한다. 그래야 xor eax, eax를 만나지 않고 함수가 계속 실행된다.
  • 따라서 dword ptr ss:[rsp+28], 즉 두 번째 입력 값도 2000보다 작거나 같아야 한다.
• mov eax, dword ptr ss:[rsp+20] / imul eax, dword ptr ss:[rsp+28] / mov dword ptr ss:[rsp], eax
  • dword ptr ss:[rsp+20], 즉 첫 번째 입력 값을 eax에 저장해줬다.
  • imul은 앞의 인자와 뒤의 인자를 곱해 앞의 인자에 저장해주는 옵코드다. 따라서 eax(첫 번째 입력 값)와 dword ptr ss:[rsp+28](두 번째 입력 값)을 곱해 eax에 저장해줬다.
  • mov 옵코드를 사용해 이를 다시 dword ptr ss:[rsp]에 저장했다.
• mov eax, dword ptr ss:[rsp+20] / div dword ptr ss:[rsp+28] / mov dword ptr ss:[rsp+4], eax
  • eax에 dword ptr ss:[rsp+20], 즉 첫 번째 입력 값을 저장했다.
  • div는 나누는 옵코드인데 eax 레지스터 값을 소스의 내용으로 나누어서 몫은 eax 레지스터에 저장하고 나머지는 edx 레지스터에 저장한다. (edx 초기화 필요), 이 문제에서는 eax에 저장된 첫 번째 입력 값이 dword ptr ss:[rsp+28](두 번째 입력 값)으로 나누어져 그 몫은 eax에, 나머지는 edx에 저장된다.
  • eax에 있는 나눈 몫이 mov dword ptr ss:[rsp+4]에 저장됐다.
• xor ecx, eax
  • 두 입력 값을 XOR 연산해서 그 값을 최종적으로 dword ptr ss:[rsp+8]에 저장해줬다.
• cmp ~ / jne~
  • 그 아래부터 cmp ~ / jne~ 구문이 3번 반복된다. 
  • jne는 'jump not equal'의 약자로 같지 않으면 'mov eax 1' 명령어는 건너뛴 채 함수가 종료된다. 따라서 cmp 했을 때 두 인자의 값이 서로 같아야 한다.

최종적으로 아래의 4개 조건을 만족한 두 개의 입력 값이 키가 된다.
1. num1<= 0x2000, num2<=0x2000
2. num1*num2 == 0x6AE9BC
3. num1/num2 == 4
4. num1^num2 == 0x12FC

 

위의 조건을 만족하는 두 숫자를 C++을 이용해 찾아준다.

실행하면 5678 1234가 나오는데 이 숫자를 다시 cmd 창 input 뒤에 입력해주면...

드디어 correct !

오늘 배운 것

• 여러 옵코드를 직접 쓰며 익힐 수 있었다. (imul, xor, div, jbe, ja, jne 등)
• 디버거에 쓰여진 숫자는 전부 16진수다. 잊지 말 것.
• 문제가 말하는 조건은 직접 구하는 것이 아니라 프로그래밍 언어를 사용해서 구해준다.

반성

• 함수가 어떻게 메모리 공간을 확보하는지 정확히 이해하지 못하고 있다.
• 시간을 너~무 많이 썼다.