首页
社区
课程
招聘
[原创]2020KCTF KeyMe设计说明和破解思路
发表于: 2020-10-25 17:03 3534

[原创]2020KCTF KeyMe设计说明和破解思路

2020-10-25 17:03
3534

看雪的神仙师傅太多了,菜鸡自认为做不出题来,所以只能转向防守方出个题了。

之前提交题目的时候正好碰上考试,设计说明写得有些简略,我再补充一下吧。

用户名长度1~254,注册码长度448,注册码字符集为0-9a-f

将user取md5后,前8字节、后8字节分别再次md5,分别作为第一、二部分进行验证。

由于验证逻辑是f'(serial) == md5(user),所以md5碰撞并不会导致多解(理论上存在多个user对于同一个serial的可能,但是不会存在一个user对于多个serial的情况)

将serial从hex字符串转换成byte数组,长度224,前32字节作为第一部分验证的输入,后192字节作为第二部分验证的输入。

然后分两部分进行验证。

一个超小的vm。

涉及的小算法我之前在看雪发过:https://bbs.pediy.com/thread-261646.htm。在上文的基础上多加了一个&运算。这个小算法没多大难度,但是编译出来的汇编指令是很臃肿的,嵌套了15层的话,指令大概有几十万条。指令膨胀的特性用来配合vm真的是再合适不过了。

编译后只涉及了六种汇编指令,mov, shr, shl, and, xor, add,所以我把这六种指令设计成了一个小vm,太低级了,甚至可能都不配被称之为vm。

指令格式如下:

由于vm指令的设计问题,只适用于所涉及的变量不多于16个的汇编代码。因为源操作数和目标操作数分别只有4个bit来标识。

一个字段可能会有多个含义。比如and_param既可以是&运算的参数,又可以从中提取两个bit表示填充的垃圾指令的长度。

为了增加(一点点)难度,我还把vm的字节码改了4个字节。vm_data中的第1122145处开始的4个byte数据应该175 179 150 244 ,为了迷惑师傅们,我改成了111 112 113 114,然后使用TLS回调改回正确的字节码0xf496b3af。这个数据是最后一个&运算的参数。而且由于字节码是实时异或更新的,所以此后的十几条指令都是错的。

上一步的输出转为这一步的输入。

这一步是调用了微软的crypto api,算法是aes256 cbc, iv=0000000000000000,key是sha256(1_L0V3_BXS_F0REVER!)

看起来简单,但我是写了个shellcode的,调用比较隐蔽。当然这肯定难不倒师傅们,动调一下就知道了。

动态获取kernel32.dll的基址,通过比较hash获取LoadLibraryA的地址,导入advapi32.dll,然后继续通过比较hash获取CryptAcquireContextA,CryptCreateHash,CryptHashData,CryptDeriveKey,CryptEncrypt的地址,分别push参数后调用。

然后再走一波aes 256 ecb,key是Wo YongYuan XiHuan KanXun LunTan。不过这次是魔改的aes。

(才发现KanXun拼错了。。。题目都提交了,改的话太麻烦了,所以就先这样吧)

原版aes的使用的不可约多项式是283,我改成了299。

具体的魔改原理,师傅们可以参考

https://blog.csdn.net/u011516178/article/details/81221646。

为了欺骗师傅们使用的识别加密算法的插件,我还特意保留了原版的s盒和逆s盒。

上学期准备计网结课考试的时候,就觉得这个算法放到逆向里,绝对很有意思。

这个算法本质上来说,其实就是n维空间向量的合成与分解。

单独的算法demo在这:码分复用DEMO - 狗剩DDoG (iyzyi.com)。本题结束前该文不公开。

每次传输的值为-4, -2, 0, -2, 4,共五种不同数值,原来想加个哈夫曼之类的压缩一下数据,但是实在没时间继续改了,所以简单地使用3bit来表示,有浪费的bit位。第二部分的serial的长达192Byte的罪魁祸首就在这儿。

192Byte -> 32Byte

这个算法用于解多元单模线性方程组。我这里选用的模数是65423。

注册机是将16Byte的数据,分别乘以一个系数(由key数组生成)后求和取模,进行16次,16B的数据生成32B的结果,共32Byte。多次计算,构成单模多元线性方程组。

验证的时候就是用模意义下的高斯消元求出原来的那16个1B的数据。

好像和第三题 重返地球考察的知识点有点冲突了。不过问题不大,因为这个算法是写在验证机里的,写注册机的时候可以把这个算法直接提取出来用。不是考察的重点。

这个思路来自《加密与解密》第四版的645页。

超级有意思的一个思路,师傅们可以去读下。

具体的可以看KEYGEN脚本。

最后输出16B,与user的md5的后8字节的md5进行验证

首先去下花指令。花指令的数量不少,手动去花不太现实。不过好在种类不多,一共也就十种左右吧。发现一次后就可以写个脚本批量去一下。

然后过反调试。反调试菜鸡我接触不多,所以本题的反调试只是聊胜于无罢了。而且我故意让反调试清一色地调用exit()(其实是交题时间截止在即,没时间继续改了,逃),所以只需要找到一处反调试,就可以查看交叉引用,直接找到所有的反调试。由于出题人水平受限,本题的反调试没多大意思。

最后一步就是逆向了。大多数都是算法求逆,考验算法功底。这里捡几个关键的点来说。

拿到指令流的方式有两种。

一种是去掉花指令和反调试后把相关的代码提取出来,用它来处理一下字节码,即可拿到指令流。不过前面我也说了,字节码最后修改了4个错误的数据,由于异或操作,最后的大概十几条指令是错误的。需要发现tls回调修改的正确的数据,手动改一下字节码中的错误数据,然后再跑脚本。

另一种就是pin插桩。推荐这个方式。完美绕过我设置的tls回调的坑。

处理字节码得到伪代码后,读开头的几百行,应该能反应过来其实是一个嵌套的格式(吧)。

然后到伪代码最后的几百行提取所涉及的参数就行。如下:

这个vm难度不大,比较低级的水平。(可能的)难点在于嵌套格式的识别。

一个坑点在于最后一个&的参数被改过了,(或许)需要发现TLS回调的那个函数。

字节码的臃肿不知道会不会对师傅们造成一点点小麻烦。不知道师傅们有没有什么优雅的处理方式。菜鸡我等师傅们的wp出来后学习一波。

两种方法:

有写过shellcode经验的师傅,可以直接把汇编扣出来,改下hash,使得CryptEncrypt函数改成CryptDecrypt,就能跑,注意CryptEncrypt比CryptDecrypt多个参数,需要删掉最后一个参数。

或者有写过微软crypto api经验的可以直接知道是aes256 cbc, iv=0000000000000000,密钥被sha256了。(可以去msdn上查。但是好像查不到是cbc。我出题的时候试了一下,才发现其实是cbc)

关于不可约多项式生成s盒和逆s盒,可以参考

https://blog.csdn.net/u011516178/article/details/812216461

一个思路是动调拿到真正的s盒,然后去生成逆s盒。

由于使用了利用md5进行check(见下一步),所以整个第二部分的验证函数都需要提取出来,用于从一组已知的注册码中求解出H数组(key)。

正向的算法很复杂,但是直接导出就能用。

逆向的算法就是一个用key加密flag,先乘后加然后取模,一共进行16次,组成单模多元线性方程组,输出等式右侧的计算结果。

不过,由验证机里的正向算法推出注册机的逆向算法可能会有些难度。

需要先用已知的一组注册码求出攻击脚本中的H数组,这一过程需要导出整个第二部分的正向算法。

有了H数组后,就可以逆向写出求解注册码的逻辑。

 
 
 
 
 
 
 
 
uint16_t xor_data[] = {0x0123, 0x4567, 0x89ab, 0xcdef, 0x0f1e, 0x2d3c, 0x4b5a, 0x6978};
int pointer = 0;
uint32_t reg[16] = {0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0};
 
struct VmCmd{
    uint32_t and_param;        //&运算的参数
    uint8_t rubbish_size;    //垃圾指令大小
    uint8_t xor_index;         //异或的索引
    uint8_t reg_byte;        //(dst<<4) + src
    uint8_t dst;            //目的操作数
    uint8_t src;            //源操作数
    uint8_t op_byte;        //六种指令
    uint8_t other_op_param; //其他运算的参数
};
 
uint32_t encrypt_vm(uint32_t plain){
 
    reg[15] = plain;         // [ebp+plain]
 
    while(pointer < (sizeof(vm_data) / sizeof(vm_data[0]))) {
        VmCmd vcmd;
        vcmd.and_param = *(uint32_t*)(vm_data + pointer);
        vcmd.rubbish_size = (((vcmd.and_param >> 16) & 1) << 1) + ((vcmd.and_param >> 7) & 1);
        vcmd.xor_index = (((vcmd.and_param >> 27) & 1) << 2) + (((vcmd.and_param >> 19) & 1) << 1) + ((vcmd.and_param >> 8) & 1);
        vcmd.reg_byte = *(vm_data + pointer + 4) ^ ((xor_data[vcmd.xor_index] >> 8) & 0xff);
        vcmd.dst = (vcmd.reg_byte >> 4) & 0xf;
        vcmd.src = (vcmd.reg_byte) & 0xf;
        vcmd.op_byte = *(vm_data + pointer + 4 + 1 + vcmd.rubbish_size) ^ (xor_data[vcmd.xor_index] & 0xff);
        vcmd.other_op_param = *(vm_data + pointer + 4 + 1 + vcmd.rubbish_size + 1);
        uint16_t new_data = ((*(vm_data + pointer + 4)) << 8) + (*(vm_data + pointer + 4 + 1 + vcmd.rubbish_size));
        for (int i = 0; i < 7; i++){
            xor_data[i] = xor_data[i+1];
        }
        xor_data[7] = new_data;
        pointer += 4 + 1 + vcmd.rubbish_size + 1 + 1;
 
        if (vcmd.op_byte & 64){                //and
            reg[vcmd.dst] &= vcmd.and_param;
        } else if (vcmd.op_byte & 32){        //shr
            reg[vcmd.dst] >>= vcmd.other_op_param;
        } else if (vcmd.op_byte & 16){        //shl
            reg[vcmd.dst] <<= vcmd.other_op_param;
        } else if (vcmd.op_byte & 8){        //xor
            reg[vcmd.dst] ^= reg[vcmd.src];
        } else if (vcmd.op_byte & 4){        //mov
            reg[vcmd.dst] = reg[vcmd.src];
        } else if (vcmd.op_byte & 2){        //add
            reg[vcmd.dst] += reg[vcmd.src];
        }
    }
 
    return reg[14];        //eax
}
uint16_t xor_data[] = {0x0123, 0x4567, 0x89ab, 0xcdef, 0x0f1e, 0x2d3c, 0x4b5a, 0x6978};
int pointer = 0;
uint32_t reg[16] = {0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0};
 
struct VmCmd{
    uint32_t and_param;        //&运算的参数
    uint8_t rubbish_size;    //垃圾指令大小
    uint8_t xor_index;         //异或的索引
    uint8_t reg_byte;        //(dst<<4) + src
    uint8_t dst;            //目的操作数
    uint8_t src;            //源操作数
    uint8_t op_byte;        //六种指令
    uint8_t other_op_param; //其他运算的参数
};
 
uint32_t encrypt_vm(uint32_t plain){
 
    reg[15] = plain;         // [ebp+plain]
 
    while(pointer < (sizeof(vm_data) / sizeof(vm_data[0]))) {
        VmCmd vcmd;
        vcmd.and_param = *(uint32_t*)(vm_data + pointer);
        vcmd.rubbish_size = (((vcmd.and_param >> 16) & 1) << 1) + ((vcmd.and_param >> 7) & 1);
        vcmd.xor_index = (((vcmd.and_param >> 27) & 1) << 2) + (((vcmd.and_param >> 19) & 1) << 1) + ((vcmd.and_param >> 8) & 1);
        vcmd.reg_byte = *(vm_data + pointer + 4) ^ ((xor_data[vcmd.xor_index] >> 8) & 0xff);
        vcmd.dst = (vcmd.reg_byte >> 4) & 0xf;
        vcmd.src = (vcmd.reg_byte) & 0xf;
        vcmd.op_byte = *(vm_data + pointer + 4 + 1 + vcmd.rubbish_size) ^ (xor_data[vcmd.xor_index] & 0xff);
        vcmd.other_op_param = *(vm_data + pointer + 4 + 1 + vcmd.rubbish_size + 1);
        uint16_t new_data = ((*(vm_data + pointer + 4)) << 8) + (*(vm_data + pointer + 4 + 1 + vcmd.rubbish_size));
        for (int i = 0; i < 7; i++){
            xor_data[i] = xor_data[i+1];
        }
        xor_data[7] = new_data;
        pointer += 4 + 1 + vcmd.rubbish_size + 1 + 1;
 
        if (vcmd.op_byte & 64){                //and
            reg[vcmd.dst] &= vcmd.and_param;
        } else if (vcmd.op_byte & 32){        //shr
            reg[vcmd.dst] >>= vcmd.other_op_param;
        } else if (vcmd.op_byte & 16){        //shl
            reg[vcmd.dst] <<= vcmd.other_op_param;
        } else if (vcmd.op_byte & 8){        //xor
            reg[vcmd.dst] ^= reg[vcmd.src];
        } else if (vcmd.op_byte & 4){        //mov

[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!

最后于 2020-12-7 13:32 被kanxue编辑 ,原因:
上传的附件:
收藏
免费 4
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//