Vậy là mình đã kết thúc năm 3 đại học. Đúng là thời gian không chờ đợi một ai …

reversing.kr

1. Replace ~ 150 points

1.1. Overview

Một bài yêu cầu nhập password chính xác. Khi click check, chương trình chạy một lúc và tự thoát ngay sau đó.

1.2. Static Analysis

Đây là mã giả của chương trình khi được phân tích trong IDAPRO32.

Lời gọi hàm sub_40466F() dẫn tới lệnh call $+5 rất lạ. Mình đặt breakpoint ngay chỗ này và debug để xem nó đang làm gì.

1.3. Dynamic Analysis

Quan sát kỹ càng, nhận thấy rằng giá trị dword_4084D0 chính là giá trị hexacimal của input.

Tiếp tục debug sâu vào từng dòng lệnh, giá trị dword_4084D0 lần lượt được cộng thêm các giá trị: 2, 0x601605C7, 2. Chạy hết chương trình, xuất hiện cửa sổ lỗi như sau:

Instruction tham chiếu một địa chỉ không hợp lệ 0x60160A9D. Đây cũng chính là kết quả của dword_4084D0

1

dword_4084D0 = hex(input) + 2 + 0x601605C7 + 2

1.4. Solving

Vậy nhiệm vụ lúc này là chỉ cần đưa dword_4084D0 trỏ về đoạn code correct. Giá trị input thỏa mãn là:

1

input = (0x401071 - 2 - 0x601605C7 - 2) & 0xFFFFFFFF = 2687109798

Do kết quả âm nên phải & 0xFFFFFFFF

2. ImagePrc ~ 120 points

2.1. Overview

Chương trình cho người chơi vẽ hình bất kỳ và có nút check kết quả.

Với dạng bài này, khả năng cao chương trình sẽ so sánh hình chúng ta vẽ với dữ liệu đã có sẵn.

2.2. Static Analysis

Chương trình đăng ký lớp cửa sổ với các thuộc tính: Background, Cursor, Icon, … Sau đó tính toán vị trí để cửa sổ ở giữa màn hình, tạo cửa sổ và hiển thị.

Hàm xử lý logic chính của chương trình chính là sub_401130(). Trước tiên, nó tạo một bitmap có kích thước 200x150.

Tiếp theo, gọi các hàm FindResourceA(), LoadResource(), LockResource() để tải tài nguyên có sẵn lên rồi đem đi so sánh với dữ liệu mình vẽ.

2.3. Solving

Sử dụng tool Paint, tạo ra một bức ảnh có kích thước 200x150, lưu dưới dạng BMP picture.

Copy toàn bộ tài nguyên bằng tool Resource Hacker, tiếp tục dùng tool HxD để paste chúng vào ảnh ở trên. Phần được select là phần được giữ lại của BMP picture.

Save lại và mở ra, ta có được đáp án thử thách.

3. Music Player ~ 150 points

3.1. Overview

Chạy một đoạn nhạc mp3 có độ dài > 60s, một message box hiện lên với nội dung khá khó hiểu “????”.

Thử thách còn cung cấp một file ReadMe.txt với nội dung:

1
2
3
4
5

This MP3 Player is limited to 1 minutes.
You have to play more than one minute.

There are exist several 1-minute-check-routine.
After bypassing every check routine, you will see the perfect flag.

Đọc qua, chúng ta có thể hình dung được nhiệm vụ sẽ phải đi bypass những đoạn check “1-minute” có trong chương trình.

3.2. Static Analysis

Chương trình được viết bởi ngôn ngữ Visual Basic, thực sự các hàm được IDAPRO tạo ra đều không đem lại giá trị quá nhiều. Mình bắt đầu đi tìm những đoạn code có liên quan tới việc hiển thị Message Box.

Kiểm tra ở tab Import, ta thấy __imp_rtcMsgBox giúp gợi nhớ tới Message Box và được gọi ở 2 hàm sub_4038D0() và sub_4044C0().

Ở sub_4038D0(), hàm __imp_rtcMsgBox được gọi khá nhiều nhưng mình không tìm thấy đoạn code nào có kiểm tra độ dài thời gian file mp3.

Ở sub_4044C0, ta tìm được đoạn check thời gian ngay tại đây

Chính đoạn check đó sẽ đưa chương trình vào nhánh sai (màu đỏ). Vì vậy, tôi sẽ dùng plugin KeyPatch để thay đổi từ lệnh jl thành jmp (nhảy trực tiếp) tới vị trí 0x004045FE.

Apply patch, save và chạy lại chương trình. Một lỗi khác lại xuất hiện “Run-time error”.

Sau khi quan sát toàn bộ các hàm bên nhánh đúng, tôi đã đi hỏi ChatGPT về các hàm có thể gây lỗi. Tôi đã quyết định sửa jge thành jmp để nó bỏ qua hàm __imp___vbaHresultCheckObj() đầu tiên.

Lưu lại chương trình, ta thu được flag ở thanh tiêu đề chương trình.

4. Easy Crack ~ 100 points

Hàm check input rất rõ ràng như sau

Ghép nối các đoạn check lại, ta thu được flag “Ea5yR3versing”.

5. Position ~ 160 points

5.1. Overview

Chương trình là một bài keygen thuần túy.

Khi chạy chương trình, máy mình thông báo thiếu msvcr100.dll và mfc100u.dll. Lên mạng download các dll còn thiếu về rồi paste vào thư mục challenge để fix các lỗi.

Ngoài ra, còn có một file README.txt. có nội dung như sau:

1
2
3
4
5
6

ReversingKr KeygenMe

Find the Name when the Serial is 76876-77776
This problem has several answers.

Password is ***p

Từ đó, ta có thể hình dung được phải đi tìm name có tận cùng là chữ p và thỏa mãn serial bằng 76876-77776.

5.2. Static Analysis

Sau khi tìm kiếm các hàm trong IDAPRO, ta dễ dàng nhận biết được sub_DD1740() chính là hàm check input.

Về cơ bản, hàm này sẽ

• Kiểm tra độ dài name có bằng 4 hay không?
• Kiểm tra các ký tự trong name có thuộc khoảng [a-z] không?
• Kiểm tra các ký tự trong name có trùng lặp hay không?
• Kiểm tra độ dài serial có bằng 11 hay không? Ký tự thứ 6 (serial[5]) có phải là dấu - hay không?
• Tạo ra các giá trị trung gian dựa trên biến name rồi đem đi so sánh với serial.

5.3. Solving

Do name có 4 ký tự, ký tự cuối cùng là p nên ta chỉ cần brute-force 3 ký tự còn lại là tìm ra kết quả.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58

from itertools import permutations

def bit_sum(c, mask):
    return ((ord(c) & mask) != 0)

def calc_serial_part(c0, c1, c2, c3):
    vals = [0] * 10

    # name[0], name[1]
    vals[0] = (ord(c0) & 1) + 5 + bit_sum(c1, 4) + 1
    vals[1] = bit_sum(c0, 8) + 5 + bit_sum(c1, 8) + 1
    vals[2] = bit_sum(c0, 2) + 5 + bit_sum(c1, 0x10) + 1
    vals[3] = bit_sum(c0, 4) + 5 + (ord(c1) & 1) + 1
    vals[4] = bit_sum(c0, 0x10) + 5 + bit_sum(c1, 2) + 1

    vals[5] = '-' 

    # name[2], name[3]
    vals[6] = (ord(c2) & 1) + 5 + bit_sum(c3, 4) + 1
    vals[7] = bit_sum(c2, 8) + 5 + bit_sum(c3, 8) + 1
    vals[8] = bit_sum(c2, 2) + 5 + bit_sum(c3, 0x10) + 1
    vals[9] = bit_sum(c2, 4) + 5 + (ord(c3) & 1) + 1
    vals.append(bit_sum(c2, 0x10) + 5 + bit_sum(c3, 2) + 1)

    return vals[:5] + vals[6:]

def check_name(name, target_serial="76876-77776"):
    # Check format
    if len(name) != 4 or len(set(name)) != 4:
        return False

    # Serial target
    expected = list(target_serial)
    if expected[5] != '-':
        return False

    c0, c1, c2, c3 = name
    computed_vals = calc_serial_part(c0, c1, c2, c3)

    for i in range(5):
        if str(computed_vals[i])[0] != expected[i]:
            return False
    for i in range(5, 10):
        if str(computed_vals[i])[0] != expected[i + 1]: 
            return False

    return True

from string import ascii_lowercase

for name_tuple in permutations(ascii_lowercase, 3):
    name = ''.join(name_tuple) + 'p' 
    if check_name(name):
        print(f"[+] Found valid name: {name}")

# [+] Found valid name: bump
# [+] Found valid name: cqmp
# [+] Found valid name: ftmp

6. Direct3D FPS ~ 140 points

6.1. Overview

Một tựa game bắn súng fps. Nhiệm vụ của player sẽ phải đi bắn chết toàn bộ quái đang xuất hiện. Mình có thử bắn một vài con quái nhưng tất cả đều không khả thi.

6.2. Static Analysis

Sau khi trace các hàm với string “Game Clear!”, ta đi tới được hàm sub_4039C0().

Chuỗi szCkfkbuliLEEZF được chú ý tới vì đây là thông điệp được hiển thị bởi Message Box. Có vẻ chuỗi đã bị mã hóa nên ta cần xref để xem chuỗi này còn được xuất hiện ở đoạn code nào nữa.

Tại hàm sub_403400(), chuỗi szCkfkbuliLEEZF được xor với các giá trị ở mảng byte_409184[].

6.2. Dynamic Analysis

Bật debug lên để lấy các giá trị của mảng byte_409184[]. Nhìn vào kết quả, có thể dự đoán được giá trị của mảng sẽ là: 0, 4, 8, 12, 16, …

Khi debug động, mảng được xor là byte_389184[] chứ lại không phải byte_409184[]. Mình không rõ là tại sao lại bị thay đổi như vậy nhưng không sao cả, chuỗi szCkfkbuliLEEZF vẫn được xor với 1 mảng như đã phân tích ban đầu.

6.3. Solving

Dump toàn bộ giá trị của chuỗi szCkfkbuliLEEZF và xor ngược lại với mảng ở trên sẽ thu được flag bài toán.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

szCkfkbuliLEEZF = [
    0x43, 0x6B, 0x66, 0x6B, 0x62, 0x75, 0x6C, 0x69, 0x4C, 0x45, 
    0x5C, 0x45, 0x5F, 0x5A, 0x46, 0x1C, 0x07, 0x25, 0x25, 0x29, 
    0x70, 0x17, 0x34, 0x39, 0x01, 0x16, 0x49, 0x4C, 0x20, 0x15, 
    0x0B, 0x0F, 0xF7, 0xEB, 0xFA, 0xE8, 0xB0, 0xFD, 0xEB, 0xBC, 
    0xF4, 0xCC, 0xDA, 0x9F, 0xF5, 0xF0, 0xE8, 0xCE, 0xF0, 0xA9
]

for i in range(len(szCkfkbuliLEEZF)):
    print(chr(szCkfkbuliLEEZF[i] ^ (i * 4)), end='')

# Congratulation~ Game Clear! Password is Thr3EDPr0m