본문 바로가기

Computer Security/CTF

[Defcon 2014] 100 lines exploit

직접 알고리즘 분석해서, 파이썬으로 옮긴후 최적화를 한거라서 딱히 설명할것은 없고, 그냥 익스플로잇만.



http://pastebin.com/MGKqAZhK


  1. from socket import *
  2. import time
  3.  
  4. randpad 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decode('hex')
  5.  
  6. """
  7. def loop(table, size):
  8.        idx1=0
  9.        loop_count = size - 0x20
  10.        while idx1 < loop_count:
  11.                idx2=0
  12.                calculated = 0
  13.                while idx2 <= 3:
  14.                        calculated = calculated | calc(table, idx1, idx2)
  15.                        idx2 += 1
  16.                idx3 = 0
  17.                while idx3 < loop_count:
  18.                        idx4 = 0
  19.                        calculated2 = 0
  20.                        while idx4 <= 3:
  21.                                calculated2 = calculated2 | calc(table, idx3, idx4)
  22.                                idx4 += 1
  23.                        calculated2 = calculated ^ calculated2
  24.                        idx5 = 0
  25.                        while idx5 <= 3:
  26.                                offset = (idx3 + loop_count * idx1)*4 + idx5
  27.                                ecx = (((-idx5) & 0xFFFFFFFF) << 3) + 0x18
  28.                                eax = calculated2 >> (ecx & 0xFF)
  29.                                result[offset] = eax & 0xFF
  30.                                idx5 += 1
  31. """
  32.  
  33. def calc(table, idx1, idx2):
  34.         offset = (idx1 >> 3) + idx2
  35.         edx = ((ord(table[offset]) << (idx1 & 7)) | (ord(table[offset + 1]) >> (8 - (idx1 & 7)))) & 0xFF
  36.         ecx = (((-idx2) & 0xFF) << 3) + 0x18
  37.         edx = edx << (ecx & 0xFF)
  38.         return edx
  39.  
  40. def optimized_loop(table, size, offset):
  41.         loop_count = size - 0x20
  42.         idx5 = offset & 3
  43.         offset -= idx5
  44.         offset = offset / 4
  45.         idx3 = offset % loop_count
  46.         idx1 = offset / loop_count
  47.  
  48.         calculated = 0
  49.         idx2 = 0
  50.         while idx2 <= 3:
  51.                 calculated = calculated | calc(table, idx1, idx2)
  52.                 idx2 += 1
  53.  
  54.         calculated2 = 0
  55.         idx4 = 0
  56.         while idx4 <= 3:
  57.                 calculated2 = calculated2 | calc(table, idx3, idx4)
  58.                 idx4 += 1
  59.         calculated2 = calculated ^ calculated2
  60.         ecx = (((-idx5) & 0xFFFFFFFF) << 3) + 0x18
  61.         eax = calculated2 >> (ecx & 0xFF)
  62.         return eax & 0xFF
  63.  
  64. def calc2(idx1, idx2):
  65.         global randpad
  66.         offset = (idx1 >> 3) + idx2
  67.         edx = ((optimized_loop(randpad, 0x7e0, offset) << (idx1 & 7)) | (optimized_loop(randpad, 0x7e0, offset + 1) >> (8 - idx1 &7))) & 0xFF
  68.         ecx = ((-idx2) << 3) + 0x18
  69.         edx = edx << (ecx & 0xFF)
  70.         return edx
  71.  
  72.  
  73. def findAnswer(offset):
  74.         loop_count = 0xf81000 - 0x20
  75.         idx5 = offset & 3
  76.         offset -= idx5
  77.         offset = offset / 4
  78.         idx3 = offset % loop_count
  79.         idx1 = offset / loop_count
  80.  
  81.         calculated = 0
  82.         idx2 = 0
  83.         while idx2 <= 3:
  84.                 calculated = calculated | calc2(idx1, idx2)
  85.                 idx2 += 1
  86.  
  87.         calculated2 = 0
  88.         idx4 = 0
  89.         while idx4 <= 3:
  90.                 calculated2 = calculated2 | calc2(idx3, idx4)
  91.                 idx4 += 1
  92.         calculated2 = calculated ^ calculated2
  93.         ecx = (((-idx5) & 0xFFFFFFFF) << 3) + 0x18
  94.         eax = calculated2 >> (ecx & 0xFF)
  95.         return eax & 0xFF
  96. = socket(AF_INET , SOCK_STREAM)
  97. s.connect(('100lines_53ac15fc7aa93da92629d37a669e106c.2014.shallweplayaga.me', 20689))
  98.  
  99. time.sleep(0.5)
  100. data = s.recv(65000)
  101. data += s.recv(65000)
  102.  
  103. data =  data.split(None)[2:]
  104. print data
  105. OTP = [int(x[2:],16) for x in data]
  106.  
  107. for i in range(0, 8):
  108.         #s.send(findAnswer(int(data[i][2:],16)))
  109.         #number = int(data[i][2:],16)
  110.         #print hex(number)
  111.         number = OTP[i]
  112.         answer = findAnswer(number)
  113.         edx = answer
  114.         eax = edx*3
  115.         eax = eax << 5
  116.         eax += edx
  117.         eax = (eax & 0xFFFF0000) + ((eax & 0xFFFF) >> 8)
  118.         ecx = edx
  119.         ecx -= eax
  120.         ecx = (ecx & 0xFFFFFF00) + ((ecx & 0xFF) >> 1)
  121.         eax += ecx
  122.         eax = (eax & 0xFFFFFF00) + ((eax & 0xFF) >> 6)
  123.         ecx = 0x5D
  124.         eax = eax * ecx
  125.         edx -= eax
  126.         eax = edx
  127.         eax = (eax & 0xFF) + 0x20
  128.         print hex(eax)
  129.         s.send(chr(eax))
  130.  
  131. time.sleep(3)
  132.  
  133. data = ""
  134. data += s.recv(1024)
  135. data += s.recv(1024)
  136. data += s.recv(1024)
  137. data += s.recv(1024)
  138. data += s.recv(1024)
  139. data += s.recv(1024)
  140. data += s.recv(1024)
  141. data += s.recv(1024)
  142. data += s.recv(1024)
  143.  
  144.  
  145. data = data.strip()
  146.  
  147. flags = data.split(",")
  148.  
  149. if len(flags) > 1:
  150.         flags = [int(x[2:],16) for x in flags]
  151.         answer = ""
  152.         i=0
  153.         while i<len(flags):
  154.                 answer += chr( findAnswer( OTP[i] ) ^ flags[i] )
  155.                 i+=1
  156.  
  157. print answer
  158.  
  159. s.close()


'Computer Security > CTF' 카테고리의 다른 글

[Defcon 2014] HJ(2) byhd write up  (0) 2014.05.19
[RuCTF 2014 quals] Reversing 500  (0) 2014.03.11
[Codegate 2014 quals] Web 500 write up  (0) 2014.02.24
[secuinside 2013] debugd exploit  (2) 2013.11.28
[Secuinside 2013] angry danbi exploit  (3) 2013.11.27