KSHMK

Main에는 이것 하나밖에 없었다.

그래서 정말그런지 삽질하다. bss 영역에 실행권한이 있음을 알게 되었다.

그래서 bss에 쉘코드를 넣고 실행시켰다.

OEP와 분기점의 OPCODE를 구하라고 합니다.

핀툴 홈페이지

https://software.intel.com/en-us/articles/pin-a-dynamic-binary-instrumentation-tool

핀툴(Pin Tool)이란?

- 인텔사에서 만든 x64, i686을 위해서 동적으로 바이너리를 삽입할 수 있게 한 프로그램입니다.

한국에서는 별로 문서가 없는데 이는 모든 메뉴얼이 영어로 되어 있기 때문입니다.

하지만  각각의 기능에 대한 부분은 영어를 조금만 알더라도 쉽게 이해할 수 있을겁니다,

저 같은 경우에는 컴퓨터 쪽 용어를 알고 있어 조금 수월했습니다.

(영어5등급보다 잘하시잖아요)

핀툴의 기능은 쉽게 말해서

어떤 프로그램에서 원하는 코드가 실행될때 무엇이든 할 수 있다는 것입니다.

main.cpp

socket.h

패킷은 캡슐화 되어서 이동합니다.

저는 한번 직접 물리부터 만들어 보았습니다.

근데 좀 더러울 것입니다.

시간되면 고치겠습니다.

파일은 일단 UPX로 팩킹되어있습니다.

언팩킹을 하게 될 경우 실행되지 않습니다.

이는 StolenByte와 연관이 있습니다.

보통 UPX는 popad를 한 뒤 바로 JMP를 하지만

여기에서는 몇 코드가 더 있습니다. 이것이 StolenByte입니다.

UPX 팩킹되어 있습니다.

CodeEngn basic 6에 한 내용과 같습니다.

바로 비밀번호 체크 루틴으로 들어왔습니다. 

BOOL WINAPI GetVolumeInformation(

_In_opt_ LPCTSTR lpRootPathName,

_Out_opt_ LPTSTR lpVolumeNameBuffer,

_In_ DWORD nVolumeNameSize,

_Out_opt_ LPDWORD lpVolumeSerialNumber,

_Out_opt_ LPDWORD lpMaximumComponentLength,

_Out_opt_ LPDWORD lpFileSystemFlags,

_Out_opt_ LPTSTR lpFileSystemNameBuffer,

_In_ DWORD nFileSystemNameSize

);

이중 0x040225C에 저장되는 VolumeNameBuffer는 

첫번째 볼륨의 이름이 저장됩니다.

위 루틴을 분석해보면

str = VolumName + 4562-ABEX

str앞 4글자 각각 2더함

Serial = L2C-5781 + str

DIMICON 예선 Write UP.pdf

디미고에서한 내부대회 DIMICON 예선 Write Up입니다.

본선은 대회하고 곧 올리겠습니다.

UPX 팩킹 되어 있음을 알 수 있습니다.

이번에는 OEP를 알아야 함으로 툴을 사용할 수 없습니다.

UPX는 언펙킹을하고 마지막에 원래 OEP로 가는 JMP문이 있는 특징이 있습니다.

OEP는 0x0401360 입니다.

DialogBoxParam API는 다이얼 로그를 표시하는 함수입니다.

INT_PTR WINAPI DialogBoxParam(

_In_opt_ HINSTANCE hInstance,

_In_ LPCTSTR lpTemplateName,

_In_opt_ HWND hWndParent,

_In_opt_ DLGPROC lpDialogFunc,

_In_ LPARAM dwInitParam

);

이중 lpDialogFunc가 중요합니다.

여기가 lpDialogFunc 주소 위치입니다.

키를 찾을 수 있습니다.