转载

乌云白帽大会“送票题”（一）

今年的第二届乌云白帽子大会的官网上放了四道“送票题”，不造小伙伴们有没有关注呢？小编觉得这四道题出的还真是让人看完想直呼“学习了”的感觉。贴心的91Ri小编帮大家从大会官网把题目和write up整理了下，发出来以供大家学（mo）习（bai）。

送票题之一——Android方向

题目：这个 Android 应用程序中隐藏了怎样的信息？（提示：不要放过任何一点蛛丝马迹）

Tip：flag为32位字符串

附件下载： http://pan.baidu.com/s/1hq7x5vm （解压密码：2qsb）

Write Up ：

首先give me five，然后发现apk解包之后那个牛逼的音乐名字叫five five five。

然后看了一下音乐里面有啥东西，发现有6条音轨，其中2条为正常音频的音轨，其余四条如下：

乌云白帽大会“送票题”（一）

其中后三条音轨明显跟第一条音轨是降噪关系。所以音乐中并没听出来。

然后上位换为1，下位换为0，输出为文本：

Default

查看一共有128位，可转换为16进制，得到32位字符串：

乌云白帽大会“送票题”（一）

所以结果就是：

Default

73 FB FA 50 EA E5 FB 1C 8D FF F9 A9 EB 78 C1 9E

writeup by darksn0w

91Ri小编语：说实话，小编也有尝试解这题，因为我自己也有接触过一些初级的Android开发，平时又喜欢自己做些小音频，所以当看到这份write up时内心还是比较鄙视自己的。如果有下载官网上给出的附件zip的小伙伴会发现，在压缩文件中有一个MAC编辑过后留下的标（xuan）志（fu）文件夹_MACOSX，在这个文件夹有一个._givemefive.apk的文件，当你用记事本打开时，里面刚好有一个32位字符串，于是小编就这么傻傻地相信了TAT只能说我还是太天真啊[/此处满满全是泪]

送票题之二——逆向方向

题目：请对该程序通过逆向工程，计算出一组可用的 key 和授权文件 wooyun.lic。最后请提交 flag 与 wooyun.lic。

(1) 程序只能运行在 Windows 7 / 8 / 8.1 x64 系统上。

(2) 程序由两部分组成。需要先逆向分析第一部分，才能得到第二个程序。

更新说明：之前使用的大数库有一个整数溢出的 bug，新版本中已经修复了。该 bug 不影响解题，也不影响之前计算出的 key 的有效性。感谢 Riatre 同学指出该问题！仅更新了 enc.bin

2015-06-16 19:00

附件下载： http://pan.baidu.com/s/1hqerqwG （解压密码：mm32）

Write Up ：

CrptoMat

Description

程序只能运行在 Windows 7 / 8 / 8.1 x64 系统上。

程序由两部分组成。需要先逆向分析第一部分，才能得到第二个程序。

CrptoMat: Initial Observation

这是描述中提到的需要逆向分析以得到第二部分的“第一部分”。首先观察下载得到的压缩包CrptoMat-1.7z，里面包含两个文件，CrptoMat.exe及enc.bin。其中CrptoMat.exe是一个32位Windows Console应用程序，而enc.bin根据文件名猜测，应为加密后的“第二个程序”。

这样，描述中的“程序只能运行在 Windows 7 / 8 / 8.1 x64 系统上。”成为了一个疑点：为什么要求x64呢？

程序在我这里运行时会直接Crash，故决定先在IDA中载入CrptoMat.exe观察一下。 IDA识别出了main函数，其中最后一个printf的参数不是有意义的字符串，且前后有以’/x10’为单字节key对其xor解密。针对这种类型的操作，我们可以写一段简单的 IDAPython 脚本，在idb中将其解密，以方便分析。

Default

def xor(addr, len, skip, key):      for i in range(addr, addr+len, skip):          PatchByte(i, Byte(i) ^ key)

接下来执行 xor(0x423480, 32, 1, 0x10) 即可解密该字符串。不幸的是，进行完这一步后，该字符串仍然不是有意义的字符串。

检查该字符串的xref，可以发现还有另一处地方对其进行了xor解密，追踪调用来源可以发现，这个exe注册了三个TLS Callback，会在程序加载时被执行。三个TLS回调函数中分布着两种混淆。

CrptoMat: Obfuscation

这些函数中使用了大量形如 74 01 0F 的花指令。对应方式为将0F的部分直接nop掉即可。（在IDA中，可以使用Edit -> Patch program -> Change byte在idb中进行简单的patch。

除此之外，这些函数开始的位置还有大量的在64位及32位代码段间切换的指令。参考roy g biv的Heaven’s Gate: 64-bit code in 32-bit file。形如

Default

push 33h  call $+5  add dword ptr [esp], 5  retf  call $+5  mov dword ptr [esp+4], 23h  add     dword ptr [esp], 0Dh  retf

可以注意到，切换后立刻切了回来，并且中间没有夹杂任何x64代码，因此这一段也只是作为简单的反调试 & 花指令，不对实际分析以及Hex-Rays Decompiler的工作产生任何影响。简单的将其整段替换为nop即可。

去除所有上文描述的干扰，并用Alt+K手动调整一些IDA分析错的call带来的栈影响后，Hex-Rays Decompiler（所谓的F5）已经可以正常工作了。虽然这三个TLS Callback逻辑比较简单，没有Hex-Rays插件也可以很容易理解。

CrptoMat: Constants

第一个TLS Callback主要是利用IsDebuggerPresent进行了简单的反调试。

第二及第三个TLS Callback中使用简单的xor解密了一些常量，填充了另一个常量。将其都按上文的方式还原后，这个程序的逻辑变得清晰了起来。

CrptoMat: Decryption

程序在main中，利用TEB进行了简单的反调试（如果检测到有DebugFlag则会修改之前填充的一个常量）。然后首先在0x403620处获取了一些系统API的地址。接下来位于0x403280处的函数打开并读入enc.bin，调用位于0x402B70处的函数解密，并写入输出文件checkkey.exe。

下面重点关注解密函数，其首先调用位于0x4012B0的函数进行了初始化，这个函数开头动态填充了一些常量表，将之前在TLS Callback中填充的一个32字节的常量再次逐字节xor了0x73，然后存入栈中。不妨认为这是Key。后半段则有一些类似于某些对称加密算法中的Key Schedule的过程，但其中使用的所有常量表都是动态填充的，不方便识别具体算法。

先不管他，回到解密函数中，可以发现逻辑非常复杂的循环的次数为 19329 , 注意到 $ 19329 /times 16 $ 恰好等于enc.bin文件的大小。我们不妨猜测这是一个块大小为16字节的块加密算法。

那么，块大小为16字节，密钥长度为32字节的对称加密算法，首先想到的大概就是 AES-256 了吧。不妨试一试，万一是真的呢 XD

没有IV，先假装它是ECB模式，试试吧。

Default

key = [0x32,62,43,56,24,55,6,18,0x2A,65,43,21,66,21,75,5,21,49,0x32,0x20,0x21,0x1A,59,0x10,0x38,16,0x44,0x18,49,0x31,0x16,36,]  key = ''.join(map(lambda x: chr(x ^ 0x73),key))    from Crypto.Cipher import AES  with open('enc.bin', 'rb') as fp:      enc = fp.read()  aes = AES.new(key=key, mode=AES.MODE_ECB)    with open('dec.bin', 'wb') as fp:      fp.write(aes.decrypt(enc))

看上去解密成功了，然而很快发现，输出的文件看上去并不是原始的checkkey.exe。看上去有一些“多余”的部分。

在懒得分析CrptoMat.exe中具体的逻辑的情况下，对着该文件脑补，并且观察CrptoMat.exe中的解密代码，每解密一块16字节，仅输出8字节。不妨认为只要取每16字节的前8字节即可。

然后发现这样是对的 :)

checkkey: Initial Observation

我们得到了一个checkkey.exe，简单观察后可以发现，它是一个x64 Windows Console应用程序。拉进IDA分析，程序明显的分为了两个部分，第一部分验证命令行参数传入的key，第二部分验证wooyun.lic，并和key似乎有某种关联。

这个程序代码上没有任何故意设置的干扰，Hex-Rays Decompiler可以工作，虽然由于编译优化的原因，得到的部分结果不太容易理解。

checkkey: check_key

检查key的函数对输入的key进行了各种检查，要求满足一些条件（具体条件直接见以下代码），我们使用Z3来求解符合条件的串。

Default

from z3 import *  ZeroExtDword = lambda x: ZeroExt(32, x)  def summie(arr, wordsize):      expr = 0      for i in xrange(wordsize):          expr += sum(map(ZeroExtDword, arr[i::wordsize])) << (i * 8)      return expr    def hashy(x):      ans = 0      for c in map(ZeroExtDword, x):          ans = ((((ans << 3) & 0xFFFFFFFF) | (ans >> 29)) + c) & 0xFFFFFFFF      return ans    def extractDword(key, offset):      return sum([ZeroExtDword(key[offset+i]) << (i * 8) for i in xrange(4)])    _key = [BitVec('k%d' % i, 8) for i in xrange(32)]  recover = lambda m: ''.join(map(chr,[m[c].as_long() for c in _key]))    s = Solver()    for c in _key:      s.add(Or(And(ord('a') <= c, c <= ord('z')),And(ord('0') <= c, c <= ord('9')),And(ord('A') <= c, c <= ord('Z'))))    s.add(summie(_key, 1) == 0xA88)  s.add(summie(_key, 2) == 0x57E0F)  s.add((summie(_key, 4) & 0xFFFFFFFF) == 0x857AF897)  s.add(hashy(_key[::2]) == 0x56BCF7C6)  s.add(sum(map(ZeroExtDword, _key[1::2])) - 16 == 1385)    outer = [0x546658EC, 0x2A4F76A2, 0x281446A3]  for i in xrange(3):      s.add((outer[i] ^ 0x1C270E94) == extractDword(_key, i * 4))    inner = [0xE73153C4, 0x993308F4, 0x8A5779DD]  for i in xrange(3):      s.add((inner[i] ^ 0xCC203528 ^ 0x1C270E94) == extractDword(_key, (i + 1) * 4 + 1))    print s.check()  key = recover(s.model())  print key.encode('hex')  print key

运行即可在0.3s左右的时间内得到一组解，xVAH6xh67H34IaBPZpKqtIdO9vrqbP9P。

checkkey: check_license

经分析可知，check_license首先计算了文件前4字节以外的部分的”CRC32″校验和，并与前4字节表示的DWORD进行比较。注意这里的”CRC32″与规范的CRC32不同，有一处移位时故意用算术右移代替了逻辑右移。

接下来，程序计算了除前20字节以外的部分的MD5哈希，并与文件+0x4处开始的16字节进行比较，期望其相等。然后，程序期望接下来的8字节为00 07 11 F9 F6 AB 13 AE。

满足以上所有条件后，程序用类似于外层CrptoMat中的方式在内存中xor解密了两个字符串，分别为：

Default

及

Default

65537

相信比较敏感同学看到65537之后会立刻将第一个字符串作为一个十进制整数丢进 yafu 或 msieve & ggnfs 中分解。一边让机器跑着一边进行接下来的逆向 #_#

随后，程序对文件+0x28处开始直到文件结尾的内容进行了“某种计算”，期望得到的结果长度大于等于30，并将得到的结果与命令行输入的key比较，期望相符。此外，还计算了得到的结果的MD5哈希，并与文件+0x18处开始的16个字节比较，期望相符。

我们有充足的理由相信这里的“某种计算”就是RSA。稍作逆向后可以发现没有Padding，直接将字节作为256进制的Big Endian整数解释。到了这里，把它分解出来，然后根据私钥计算出一个合法的license即可。

checkkey: factorization

该模数N有120位十进制数位，如果没有特意包含比较弱的因子的话，应当是使用 msieve + GGNFS 分解比较迅速，约需要5~6小时。然而，由于不能排除其故意带有比较弱的因子的可能性，先交给 yafu 去pretest一下吧 :)

结果 yafu 在10秒后给出了分解结果。

Default

detected L1 = 32768 bytes, L2 = 10485760 bytes, CL = 64 bytes  measured cpu frequency ~= 1799.966760  using 20 random witnesses for Rabin-Miller PRP checks    ===============================================================  ======= Welcome to YAFU (Yet Another Factoring Utility) =======  =======             bbuhrow@gmail.com                   =======  =======     Type help at any time, or quit to quit      =======  ===============================================================  cached 78498 primes. pmax = 999983    >> factor(353435899753154886567901508644280318001624308174099373826296801585161412894475724220420610666130867676791214922584602747)    fac: factoring 353435899753154886567901508644280318001624308174099373826296801585161412894475724220420610666130867676791214922584602747  fac: using pretesting plan: normal  fac: no tune info: using qs/gnfs crossover of 95 digits  div: primes less than 10000  rho: x^2 + 3, starting 1000 iterations on C120  rho: x^2 + 2, starting 1000 iterations on C120  rho: x^2 + 1, starting 1000 iterations on C120  pm1: starting B1 = 150K, B2 = gmp-ecm default on C120  ecm: 30/30 curves on C120, B1=2K, B2=gmp-ecm default  ecm: 10/74 curves on C120, B1=11K, B2=gmp-ecm default  ecm: 63/63 curves on C96, B1=11K, B2=gmp-ecm default  ecm: 7/214 curves on C96, B1=50K, B2=gmp-ecm default, ETA: 46 sec  ecm: 14/82 curves on C72, B1=50K, B2=gmp-ecm default, ETA: 12 sec    starting SIQS on c48: 647644121107739553628643132820296925098092891441    ==== sieving in progress ( 8 threads):    1232 relations needed ====  ====            Press ctrl-c to abort and save state            ====  1536 rels found: 765 full + 771 from 5704 partial, (63176.30 rels/sec)    SIQS elapsed time = 0.1472 seconds.  Total factoring time = 9.9477 seconds      ***factors found***    P24 = 661333217825639141012939  P25 = 1174612726422110624673683  P24 = 702520810094682184952891  P24 = 714443298299371048348643  P24 = 906501779286561612666587    ans = 1

有趣的是，它一共有5个素因子，所谓的RSA-MP，不过这并没有影响。

checkkey: Tiro Finale

最后，写个简单的脚本生成wooyun.lic。

Default

import ctypes, hashlib, struct  def fake_crc(data):      tab = [0x00000000, 0x77073096, 0xee0e612c, 0x990951ba, 0x076dc419, 0x706af48f,      0xe963a535, 0x9e6495a3,    0x0edb8832, 0x79dcb8a4, 0xe0d5e91e, 0x97d2d988,      0x09b64c2b, 0x7eb17cbd, 0xe7b82d07, 0x90bf1d91, 0x1db71064, 0x6ab020f2,      0xf3b97148, 0x84be41de,    0x1adad47d, 0x6ddde4eb, 0xf4d4b551, 0x83d385c7,      0x136c9856, 0x646ba8c0, 0xfd62f97a, 0x8a65c9ec,    0x14015c4f, 0x63066cd9,      0xfa0f3d63, 0x8d080df5,    0x3b6e20c8, 0x4c69105e, 0xd56041e4, 0xa2677172,      0x3c03e4d1, 0x4b04d447, 0xd20d85fd, 0xa50ab56b,    0x35b5a8fa, 0x42b2986c,      0xdbbbc9d6, 0xacbcf940,    0x32d86ce3, 0x45df5c75, 0xdcd60dcf, 0xabd13d59,      0x26d930ac, 0x51de003a, 0xc8d75180, 0xbfd06116, 0x21b4f4b5, 0x56b3c423,      0xcfba9599, 0xb8bda50f, 0x2802b89e, 0x5f058808, 0xc60cd9b2, 0xb10be924,      0x2f6f7c87, 0x58684c11, 0xc1611dab, 0xb6662d3d,    0x76dc4190, 0x01db7106,      0x98d220bc, 0xefd5102a, 0x71b18589, 0x06b6b51f, 0x9fbfe4a5, 0xe8b8d433,      0x7807c9a2, 0x0f00f934, 0x9609a88e, 0xe10e9818, 0x7f6a0dbb, 0x086d3d2d,      0x91646c97, 0xe6635c01, 0x6b6b51f4, 0x1c6c6162, 0x856530d8, 0xf262004e,      0x6c0695ed, 0x1b01a57b, 0x8208f4c1, 0xf50fc457, 0x65b0d9c6, 0x12b7e950,      0x8bbeb8ea, 0xfcb9887c, 0x62dd1ddf, 0x15da2d49, 0x8cd37cf3, 0xfbd44c65,      0x4db26158, 0x3ab551ce, 0xa3bc0074, 0xd4bb30e2, 0x4adfa541, 0x3dd895d7,      0xa4d1c46d, 0xd3d6f4fb, 0x4369e96a, 0x346ed9fc, 0xad678846, 0xda60b8d0,      0x44042d73, 0x33031de5, 0xaa0a4c5f, 0xdd0d7cc9, 0x5005713c, 0x270241aa,      0xbe0b1010, 0xc90c2086, 0x5768b525, 0x206f85b3, 0xb966d409, 0xce61e49f,      0x5edef90e, 0x29d9c998, 0xb0d09822, 0xc7d7a8b4, 0x59b33d17, 0x2eb40d81,      0xb7bd5c3b, 0xc0ba6cad, 0xedb88320, 0x9abfb3b6, 0x03b6e20c, 0x74b1d29a,      0xead54739, 0x9dd277af, 0x04db2615, 0x73dc1683, 0xe3630b12, 0x94643b84,      0x0d6d6a3e, 0x7a6a5aa8, 0xe40ecf0b, 0x9309ff9d, 0x0a00ae27, 0x7d079eb1,      0xf00f9344, 0x8708a3d2, 0x1e01f268, 0x6906c2fe, 0xf762575d, 0x806567cb,      0x196c3671, 0x6e6b06e7, 0xfed41b76, 0x89d32be0, 0x10da7a5a, 0x67dd4acc,      0xf9b9df6f, 0x8ebeeff9, 0x17b7be43, 0x60b08ed5, 0xd6d6a3e8, 0xa1d1937e,      0x38d8c2c4, 0x4fdff252, 0xd1bb67f1, 0xa6bc5767, 0x3fb506dd, 0x48b2364b,      0xd80d2bda, 0xaf0a1b4c, 0x36034af6, 0x41047a60, 0xdf60efc3, 0xa867df55,      0x316e8eef, 0x4669be79, 0xcb61b38c, 0xbc66831a, 0x256fd2a0, 0x5268e236,      0xcc0c7795, 0xbb0b4703, 0x220216b9, 0x5505262f, 0xc5ba3bbe, 0xb2bd0b28,      0x2bb45a92, 0x5cb36a04, 0xc2d7ffa7, 0xb5d0cf31, 0x2cd99e8b, 0x5bdeae1d,      0x9b64c2b0, 0xec63f226, 0x756aa39c, 0x026d930a, 0x9c0906a9, 0xeb0e363f,      0x72076785, 0x05005713, 0x95bf4a82, 0xe2b87a14, 0x7bb12bae, 0x0cb61b38,      0x92d28e9b, 0xe5d5be0d, 0x7cdcefb7, 0x0bdbdf21, 0x86d3d2d4, 0xf1d4e242,      0x68ddb3f8, 0x1fda836e, 0x81be16cd, 0xf6b9265b, 0x6fb077e1, 0x18b74777,      0x88085ae6, 0xff0f6a70, 0x66063bca, 0x11010b5c, 0x8f659eff, 0xf862ae69,      0x616bffd3, 0x166ccf45, 0xa00ae278, 0xd70dd2ee, 0x4e048354, 0x3903b3c2,      0xa7672661, 0xd06016f7, 0x4969474d, 0x3e6e77db, 0xaed16a4a, 0xd9d65adc,      0x40df0b66, 0x37d83bf0, 0xa9bcae53, 0xdebb9ec5, 0x47b2cf7f, 0x30b5ffe9,      0xbdbdf21c, 0xcabac28a, 0x53b39330, 0x24b4a3a6, 0xbad03605, 0xcdd70693,      0x54de5729, 0x23d967bf, 0xb3667a2e, 0xc4614ab8, 0x5d681b02, 0x2a6f2b94,      0xb40bbe37, 0xc30c8ea1, 0x5a05df1b, 0x2d02ef8d]      crc = -1      for d in data:          crc = ctypes.c_int(tab[(crc ^ ord(d)) & 0xFF] ^ (crc >> 8)).value      return ~crc    def egcd(a, b):     if a == 0:         return (b, 0, 1)     else:         g, y, x = egcd(b % a, a)         return (g, x - (b // a) * y, y)    def modinv(a, m):     g, x, y = egcd(a, m)     if g != 1:         raise Exception('modular inverse does not exist')     else:         return x % m    primes = [661333217825639141012939,1174612726422110624673683,702520810094682184952891,714443298299371048348643,906501779286561612666587]  e = 0x10001  def rsamp_fucrypt(data):      N = reduce(lambda x,y:x*y, primes)      phi = reduce(lambda x,y:x*(y-1), primes, 1)      d = modinv(e, phi)      ans = pow(int(data.encode('hex'), 16), d, N)      ans = hex(ans)[2:].rstrip('L')      if len(ans) % 2: ans = '0' + ans      return ans.decode('hex')    def encode_license(key):      data = struct.pack('<II', 0xF9110700, 0xAE13ABF6) + hashlib.md5(key).digest() + rsamp_fucrypt(key)      encoded = hashlib.md5(data).digest() + data      return struct.pack('<i',fake_crc(encoded)) + encoded    with open('wooyun.lic','wb') as fp:      fp.write(encode_license('xVAH6xh67H34IaBPZpKqtIdO9vrqbP9P'))

Trivia

checkkey.exe中实现的高精度减法处理借位的时候有一个小bug，导致取模在一些边界情况下也是错的。比如$2^{65537} /mod N$就算不对。不过实际解题时需要的计算并不会遇上这样的边界问题 :-)

91Ri小编语 ：由于没有接触过逆向，所以小编对这道题还是没什么说话权的，不过当初这倒题目刚出来的时候，我很积极地把链接发给了会逆向的小伙伴，当时exe只要点开就会崩，小伙伴发现了出问题的地方，但很遗憾当时并不能完全解决，本来以为是脑洞题。后来write up出来之后，小伙伴说不是脑洞题，只是解题中用到的一个相关知识他没有接触过，所以不会，总的来说还是很遗憾的，小伙伴表示这道题32位与64位代码段间切换的技巧好棒

（反正没接触过逆向的我是听不懂TAT）。大家有没有和我一样觉得write up写的好详细好有条理呢？~

另外，据小道消息，这道题是蓝莲花的同学解出来的，不愧是冠军团队，赞赞赞！~

一共四道题，我们先整理两道出来供大家学习吧~至小编写完这篇稿子为止，还木有人解出最后一到题目喔，各位同学可以到乌云白帽子大会的官网去试试看喔，说不定最后一张门票就是你的啦~

链接在这里： http://summit.wooyun.org/puzzle/detail#!

正文到此结束