第一題實(shí)在過(guò)于簡(jiǎn)單,一個(gè)OpenGL的3D程序, 只要CE修改camera坐標(biāo)到右上角就能看到flag了
這里分析第二題的進(jìn)階版
第一關(guān)
x32dbg載入, 各種關(guān)鍵點(diǎn)下斷, 程序依賴了兩個(gè)dll, 入口全部下斷再說(shuō),
果然點(diǎn)擊第一關(guān)的驗(yàn)證按鈕, 斷在了tmgs.dll的maln函數(shù)
其實(shí)這個(gè)程序分析的時(shí)候大量時(shí)間花在了lua函數(shù)的識(shí)別上,
function_verify核心如下:
function_verify里面是調(diào)用lua腳本進(jìn)行一個(gè)check, 這里是對(duì)照l(shuí)ua源碼一個(gè)個(gè)標(biāo)記的函數(shù)名, 花費(fèi)了很多時(shí)間
同時(shí)根據(jù)上圖可以發(fā)現(xiàn)lua腳本在luaOpcode里面,將lua的luaOpcode導(dǎo)出使用luadec反編譯可以得出驗(yàn)證邏輯,
標(biāo)準(zhǔn)版到這里基本就結(jié)束了,但是進(jìn)階版官方做了一些小動(dòng)作,lua的op_mode被做了一些處理
通過(guò)搜索關(guān)鍵詞”must be a number” 定位到luaV_execute函數(shù),此處通過(guò)和lua源代碼對(duì)比發(fā)現(xiàn)opcode做了大量改動(dòng),通過(guò)逐一對(duì)比47個(gè)lua指令switch的大量代碼,人肉得出還原表 寫(xiě)出函數(shù) de_op_codes
int de_op_codes(int en) {
int r = 0;
switch (en)
{
case 0:
return 0xfe;
case 6u:
case 7u:
case 0x16u:
case 0x1Bu:
return 0;
case 0x22u:
case 0x28u:
case 0x29u:
case 0x3Cu:
return 1;
case 0x3Eu:
return 2;
case 0x3Bu:
return 3;
case 0x12u:
return 4;
case 8u:
case 0x11u:
case 0x17u:
case 0x36u:
return 5;
case 2u:
return 6;
case 0xDu:
return 7;
case 0x1Au:
return 8;
case 1u:
return 9;
case 0x1Du:
return 0xA;
case 0x1Fu:
return 0xB;
case 0xEu:
return 0xC;
case 0x31u:
return 0xD;
case 0x2Fu:
return 0xE;
case 0x1Eu:
return 0xF;
case 0x15u:
return 0x10;
case 0x3Au:
return 0x11;
case 0x13u:
return 0x12;
case 0x24u:
return 0x13;
case 0x2Bu:
return 0x14;
case 0x1Cu:
return 0x15;
case 0x2Du:
return 0x16;
case 0x19u:
return 0x17;
case 0x3Fu:
return 0x18;
case 0x18u:
return 0x19;
case 0x33u:
return 0x1A;
case 0xFu:
return 0x1B;
case 0x34u:
return 0x1C;
case 0x20u:
return 0x1D;
case 5u:
case 9u:
case 0xAu:
case 0x25u:
return 0x1E;
case 0x30u:
return 0x1F;
case 0x26u:
return 0x20;
case 0x35u:
return 0x21;
case 0x38:
return 0x22;
case 0x2Au:
return 0x23;
case 0x23u:
case 0x37u:
case 0x39u:
case 0x3Du:
return 0x24;
case 0x27u:
return 0x25;
case 4u:
return 0x26;
case 0x2Cu:
return 0x27;
case 0x32u:
return 0x28;
case 0x21u:
return 0x29;
case 0x03:
return 0x2A;
case 0xCu:
return 0x2B;
case 0x2Eu:
return 0x2C;
case 0x14u:
return 0x2D;
case 0xB:
return 0x2E;
case 0x10:
return 46;
default:
return 0;
}
}
將此函數(shù)寫(xiě)入 luadec的GET_OPCODE宏指令中,重新編譯運(yùn)行l(wèi)uadec即可還原出lua, 關(guān)鍵部分如下
可以看到程序里面通過(guò)rc4做了驗(yàn)證,由于rc4是對(duì)稱加密算法,因此只需要對(duì)dst的密文加密一次就可以得到通關(guān)密碼
第二關(guān)
通過(guò)在UE引擎關(guān)鍵地方下斷點(diǎn),發(fā)現(xiàn)第二問(wèn)處理邏輯主要在UE引擎內(nèi)部,
UE4引擎事件分發(fā)如下, 下文函數(shù)都會(huì)標(biāo)記詳細(xì)的偏移
#define RESULT_DECL = void*const Z_Param__Result
// UObject::ProcessInternal_62E860
void UObject::ProcessInternal( UObject* Context, FFrame& Stack, RESULT_DECL)
call eax
// UObject::execLet_632310
void UObject::execLet( UObject* Context, FFrame& Stack, RESULT_DECL)
call eax
// UObject::execContext_6319D0
void UObject::execContext( UObject* Context, FFrame& Stack, RESULT_DECL )
P_THIS->ProcessContextOpcode(Stack, RESULT_PARAM, /*bCanFailSilently=*/ false);
// UObject::ProcessContextOpcode_62E0B0
void UObject::ProcessContextOpcode( FFrame& Stack, RESULT_DECL, bool bCanFailSilently )
call eax
// UObject::execFinalFunction_631D50
void UObject::execFinalFunction( UObject* Context, FFrame& Stack, RESULT_DECL )
P_THIS->CallFunction( Stack, RESULT_PARAM, (UFunction*)Stack.ReadObject() );
// UObject::CallFunction_628860
void UObject::CallFunction( FFrame& Stack, RESULT_DECL, UFunction* Function )
Function->Invoke(this, Stack, RESULT_PARAM);
// Function_Invoke_641570
void UFunction::Invoke(UObject* Obj, FFrame& Stack, RESULT_DECL)
return (*Func)(Obj, Stack, RESULT_PARAM);
一個(gè)完整流程:
-> Function_Invoke_641570
-> UObject::ProcessInternal_62E860
-> UObject::CallFunction_628860
-> UObject::ProcessInternal_62E860
-> UObject::execLet_632310
-> UObject::execContext_6319D0
-> UObject::ProcessContextOpcode_62E0B0
-> sub_631DF0
-> UObject::execFinalFunction_631D50
-> UObject::CallFunction_628860
-> Function_Invoke_641570
核心函數(shù)在 Function_Invoke_641570 里面, 通過(guò)對(duì)此函數(shù)進(jìn)行下斷點(diǎn)可以記錄到調(diào)用了以下幾個(gè)函數(shù), 下面給出函數(shù)地址和具體功能
Function: 16D6860 check2_str_to_FString_846860
Function: 6CAF10 check2_GetUnicodeStringLength_83AF10
Function: 16D6860 check2_str_to_FString_846860
Function: 39B530 check2_md5_50B530
Function: 6CAF10 check2_GetUnicodeStringLength_83AF10
... 此處省略N個(gè)無(wú)關(guān)函數(shù)
Function: 39B340 check2_get_a_md5_50B340
# 內(nèi)置了一個(gè)字符串, 獲取內(nèi)置字符串的md5
Function: 16D6860 check2_str_to_FString_846860
Function: 39B530 check2_md5_50B530
Function: 6C5C60 check2_main_835C60
Function: 0B420 fun_showmsg_50B420(&第二關(guān):驗(yàn)證失敗,請(qǐng)重試)
... 此處繼續(xù)省略N個(gè)無(wú)關(guān)函數(shù)
在調(diào)用顯示函數(shù)顯示出通過(guò)失敗的上一步, 就是核心判斷函數(shù)check2_main_835C60。
再次向上,是check2_md5_50B530,這一步里面會(huì)將一個(gè)字符串計(jì)算md5。
check2_md5_50B530內(nèi)部又調(diào)用check2_md5_calc_50A800進(jìn)行真正的計(jì)算。
對(duì)·check2_md5_calc_50A800·下斷點(diǎn)可以發(fā)現(xiàn)程序依次對(duì)
E0EA72E0E1C1BFFBC26E8B47AD9D809C
tencent_mobile_game+-999893888
輸入的PASSWORD
這三個(gè)內(nèi)容計(jì)算md5,
繼續(xù)單步跟蹤發(fā)現(xiàn)程序在check2_main_835C60里面對(duì) 第二次 和 第三次 字符串md5做對(duì)比, 那么key顯而易見(jiàn)了, 就是第二次的字符串
第二次的字符串tencent_mobile_game+是寫(xiě)死在程序里面的
-999893888 是這里算出來(lái)的
本題主要考察UE4事件分發(fā)流程了, 當(dāng)然如果什么都不懂的話直接IDA findcrypt在md5的地方下斷也能做出來(lái)就是了...
第三關(guān)
算法導(dǎo)出
到了這一關(guān), 點(diǎn)擊按鈕又順利斷下來(lái)了, 還是上次的dll, 進(jìn)入了ths函數(shù)
可以看到是在ph2.dll里面進(jìn)行的處理(基礎(chǔ)版直接是sub_100363A0,和第一關(guān)類(lèi)似的過(guò)程)
進(jìn)入ph2.dll,依然是lua腳本,直接dump出bin變量的腳本,
可以看到腳本是頭部有jt,是使用luajit生成的字節(jié)碼,直接使用luajit-decomp進(jìn)行反編譯, 編譯后代碼:
check函數(shù)內(nèi)生成了一個(gè)虛擬機(jī), 執(zhí)行虛擬機(jī)代碼對(duì)輸入的數(shù)據(jù)(plainBs)進(jìn)行加密處理, 加密后和內(nèi)置的(dstRes)進(jìn)行比對(duì)
通過(guò)對(duì)虛擬機(jī)代碼進(jìn)行導(dǎo)出,導(dǎo)出工具以及導(dǎo)出的z3t_table.lua都已經(jīng)放在附錄,
虛擬機(jī)代碼有18個(gè)指令, 分別為加減乘除判斷跳轉(zhuǎn)壓棧出棧等,且采用了大數(shù)運(yùn)算庫(kù)
這里需要對(duì)虛擬機(jī)代碼進(jìn)行分析, 附錄有我自己通過(guò)js自己重新實(shí)現(xiàn)的,
其實(shí)這里標(biāo)準(zhǔn)版和進(jìn)階版差不多了, 附錄的代碼里面附帶了標(biāo)準(zhǔn)版的實(shí)現(xiàn), 可以說(shuō)進(jìn)階版除了數(shù)大一點(diǎn)(BigNumber😄), 其余的全是一樣的
分析后如下:
算法分析
首先初始化一個(gè)b64字母表
然后對(duì)輸入的數(shù)據(jù)進(jìn)行分組,8個(gè)一組,前兩個(gè)做以下運(yùn)算, 生成8字節(jié)數(shù)據(jù)
對(duì)后6個(gè)的運(yùn)算如下
InfInt x = (x2 * 256 + x1) + (x3 * 256 * 256) + 256 * 256 * 256 * (x5 * 256 + x4 + x6 * 256 * 256);
(實(shí)際上是 x1-x6分別為二進(jìn)制8位排開(kāi))
a = savebyte + (x % 61454 * 256)
b = (x % 54732) + ((x % 5136) % 256 * 256 * 256)
c = (x % 25548) * 256 + ((x % 5136) >> 8)
隨后對(duì)a/b/c/(res2)生成4個(gè)字節(jié)目標(biāo)數(shù)據(jù), 一共3*4=12字節(jié)
逆向思路:
dstRes分組,每組8+12=20位,前8為計(jì)算出原有前2位,后12位計(jì)算出后6位
詳細(xì)逆向過(guò)程:
前2位可以直接約束求解
后6位算法較為復(fù)雜, 且數(shù)據(jù)較大, 可以先化簡(jiǎn)分析
由于計(jì)算過(guò)程是
x = (x2 * 256 + x1) + (x3 * 256 * 256) + 256 * 256 * 256 * (x5 * 256 + x4 + x6 * 256 * 256)
a = savebyte + (x % 61454 * 256)
b = (x % 54732) + ((x % 5136) % 256 * 256 * 256)
c = (x % 25548) * 256 + ((x % 5136) >> 8)
因此逆向過(guò)程為 abc已知, 求x(x1-x6可以通過(guò)x算出)
令R=savebyte
公式寫(xiě)為
R+(x%61454*256)=a,
(x%54732)+((x%5136)%256*256*256)=b,
(x%25548)*256+((x%5136)>>8)=c
化簡(jiǎn):
x%61454 = (a-R) >> 8
x%54732 = b & 0xFFFF
x%5136 = ((b & 0xFF0000) >> 16) + ((c & 0xFF) << 8)
x%25548 = c >> 8
到這一步可以看出右邊均是已知,轉(zhuǎn)化為同余方程組,
由于m不互質(zhì),因此不可以使用孫子定理, 這就和這一題一樣了
project euler problem 531
對(duì)于一個(gè)同余方程:
設(shè)g=gcd(n1,n2),可以得到若方程有解,則g|(a1−a2) 必成立;其逆否命題成立。
復(fù)雜度O(n2logn) 。因此此題中四組可以兩兩分組
x1 and x2 得到 x‘,x' and x3 得到 x'',x'' and x4 得到 answer
算出x之后,x1-x6可以這樣算出
至此,三道題求解完畢
附錄代碼
https://github.com/Tai7sy/mtp_2018_write_up
