Description
프로그램을 분석하여 플래그를 반환하는 값을 입력하세요!
플래그 형식은 DH{...} 입니다.
Decompiled-src
main
__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
int v4; // [rsp+1Ch] [rbp-24h]
char *lineptr; // [rsp+20h] [rbp-20h] BYREF
size_t n; // [rsp+28h] [rbp-18h] BYREF
FILE *stream; // [rsp+30h] [rbp-10h]
unsigned __int64 v8; // [rsp+38h] [rbp-8h]
v8 = __readfsqword(0x28u);
sub_12EA(a1, a2, a3);
memset(&byte_4050, 0, 8uLL);
memset(&byte_4060, 0, 8uLL);
dword_4070 = 0;
dword_406C = 0;
puts("Enter Your Program");
read(0, &byte_4050, 8uLL);
byte_4058 = 0;
v4 = sub_136D();
printf("Result: %d\n", (unsigned int)v4);
if ( v4 > 99999 )
{
lineptr = 0LL;
n = 0LL;
stream = fopen("./flag", "r");
getline(&lineptr, &n, stream);
printf("Good, get the flag: %s", lineptr);
free(lineptr);
fclose(stream);
}
return 0LL;
}
byte_4050에 8바이트만큼 입력받을 수 있다.
sub_136D 함수에 의한 리턴값이 v4로 지정되고,
v4가 99999보다 커야 flag 획득이 가능하다.
sub_136D
__int64 sub_136D()
{
unsigned int v0; // eax
unsigned int v2; // [rsp+8h] [rbp-8h]
int v3; // [rsp+Ch] [rbp-4h]
v2 = 0;
while ( 1 )
{
while ( 1 )
{
v3 = 0;
++v2;
v0 = byte_4050[dword_406C];
if ( v0 > 0x72 )
{
LABEL_17:
puts("No Hack!");
exit(-1);
}
if ( byte_4050[dword_406C] < 0x61u )
break;
switch ( byte_4050[dword_406C] )
{
case 'a':
if ( !byte_4060[dword_4070] )
goto LABEL_18;
dword_406C = 0;
break;
case 'e':
v3 = 1;
goto LABEL_18;
case 'l':
if ( --dword_4070 < 0 )
dword_4070 = 0;
goto LABEL_18;
case 'n':
goto LABEL_18;
case 'r':
if ( ++dword_4070 > 7 )
dword_4070 = 7;
goto LABEL_18;
default:
goto LABEL_17;
}
}
if ( v0 == '+' )
{
++byte_4060[dword_4070];
}
else
{
if ( v0 != '-' )
goto LABEL_17;
--byte_4060[dword_4070];
}
LABEL_18:
if ( v3 )
return v2;
if ( ++dword_406C > 7 )
dword_406C = 7;
}
}
8바이트 크기의 byte_4050에서 입력받을 수 있는 문자는 ‘a’ ‘e’ ‘l’ ‘n’ ‘r’, 그리고 ‘+’, ‘-‘ 이다.
이외에 다른 문자가 포함되면 “No Hack!”이라는 문자가 출력되면서 종료된다.
각 문자에 대한 작동방식에 대해 살펴보자면,
- a:
byte_4060[dword_4070]가 0이 아닐 경우에는 dword_406C 값이 0으로 지정된다. - e:
v3 변수를 1로 지정하는데, 이후 LABEL_18에서 빠져나올때 반복문이 탈출된다. - l:
dword_4070 값이 1 감소되며, 0보다 작으면 0으로 지정된다. - n:
아무 작동없이 LABEL_18로 이동 - r:
dword_4070 값이 1 증가하며, 7보다 크면 7로 지정된다. - +:
byte_4060[dword_4070] 값이 1 증가한다. - -:
byte_4060[dword_4070] 값이 1 감소한다.
Solution
처음에 +ae 또는 -ae 입력시 결과를 살펴보면 512번 사이클 반복하는 것을 알 수 있다.
+ae 또는 -ae 입력전에 l, r 문자를 통해 dword_4070 값을 적절히 조정해주면
이중 반복문을 구현시켜 사이클을 10만회 넘길 수 있다.
l+ar-ae
l-ar-ae
l-ar+ae
l+ar+ae…
r-al-ae
r+al+ae…
VM과 유사;byte_4050 – 명령어들, dword_406C 명령어 위치, byte_4060 – 메모리, dword_4070 – 현재 가리키고 있는 메모리 위치
Result
ubuntu@wh1te4ever-main:~/Desktop/dreamhack-CTF/instrs$ nc host3.dreamhack.games 14906
Enter Your Program
l+ar-ae
Result: 197377
Good, get the flag: DH{f370cbe0dd0a2d2884110877ad301cccf8d311fc1fbf14a9cef6702836e74a6e}