Dreamhack 리버싱 문제풀이: rev-basic-4

일단 들어가서 아무거나 입력해봤다.

IDA로 열어봤다. sub_120001000함수에 의해 입력 값의 참 거짓이 판단된다.

들어가보자.

들어가보니까 복잡하다.

0x1C번 문자를 비교하라니까 아마도 입력값은 0x1C개의 문자로 구성된 문자열인 것 같다. 

어쩌구저쩌구 계산해서 같지 않으면 return 0 즉 거짓이라고 판단하니까 !=가 아니라 =가 되게 해줘야 될듯!

디버거로 열어줬다.

Input 문자열 참조해 메인함수로 들어가줬다.

이전 문제드로가 마찬가지로 test, je 직전 함수가 중요하겠다.

함수로 들어가 봤다.

rac를 이용해 compare 명령어로 비교해가면서 몇 번째 문자인지 체크하고 있다.

그 밑으로 여러 명령어가 보인다.

몰랐던 명령어를 기록해보면 sar는 부호를 오른쪽으로 이동하는 명령어이고,

shl은 shift 연산 명령어이다.

하여튼 이런 복잡한 계산을 해서 7FF6A20E3000 주소에 들어가 있는 값이 로드 된 rdx가 문자열의 시작점인 정답 문자열과 비교하고 있다.

7FF6A20E3000에 뭐가 들어있나 덤프로 따라가보자.

 

0x24, 0x27, 0x13, 0xC6, 0xC6, 0x13, 0x16, 0xE6, 0x47, 0xF5, 0x26, 0x96, 0x47, 0xF5, 0x46, 0x27, 0x13, 0x26, 0x26, 0xC6, 0x56, 0xF5, 0xC3, 0xC3, 0xF5, 0xE3,0xE3가 들어있다.

 

이제 IDA를 보며 어떤 계산식이었는지 구체적으로 생각해보자.

IDA에 적혀있던 것을 그대로 복붙해보면 아래와 같다.

((unsigned __int8)(16 * *(_BYTE *)(a1 + i)) | ((int)*(unsigned __int8 *)(a1 + i) >> 4)) != byte_140003000[i]

 

이걸 좀 더 다듬으면, 아래와 같이 된다.

((16 * * ( 정답 문자열 [ i ] ) | (( 정답 문자열 [ i ]  ) >> 4) != 입력문자

 

C++로 작성해봤다.

#include<stdio.h>
int main(void)
{
	int a, i;
	int arr[28]={0x24, 0x27, 0x13, 0xC6, 0xC6, 0x13, 0x16, 0xE6, 0x47, 0xF5, 0x26, 0x96, 0x47, 0xF5, 0x46, 0x27, 0x13, 0x26, 0x26, 0xC6, 0x56, 0xF5, 0xC3, 0xC3, 0xF5, 0xE3,0xE3}; 
	
	for(i=0;i<28;i++)
	{
		a=(16 * arr[i]) | arr[i] >> 4 ;
		printf("%c", a);
	}
	
	
	return 0;

}

C++결과값은 아래와 같다. 28글자인데도 생각보다 짧아 보인다.

cmd 창으로 열어서 입력값에 입력해주면

Correct~（￣︶￣）↗　

질문 (⊙_⊙)？
IDA에 적힌 코드를 보면 16 곱하라는 명령어가 있고 F0 AND 연산은 눈 씻고 봐도 없는데
x64 gbg로 보면 16은 어디에도 없고 대신 F0 연산이 있다. 왜 둘이 다를까? 근데 결과는 어떻게 같은걸까?
+IDA의 16은 그냥 16으로 써야 답이 나오고 16진수 처리하면 안 되는데 IDA는 10진수 기반인가?