ursobad

BoB 11기 지원후기(서류, 인적성 및 필기)

ursobad — Sat, 18 Jun 2022 13:59:31 +0900

1달에 걸친 길고 길었던 BoB 11기 지원이 드디어 끝났습니다.
5월 2일에 처음 공지를 보고 6월 18일 면접까지의 1달 반정도의 지원을 시간 순서로 정리해보겠습니다.

서류 지원

5월 초에 클래스룸에 홍보 포스터와 자기소개서 양식이 뜬 걸 보고 준비해야겠다 생각했던 거 같습니다.
사실 이때는 생각만 하고 자기소개서는 한 글자도 안 적고 구상만 하루 종일 하고 있었습니다. 근데 자소서라는 게 그냥 막 내용을 채우고 문장을 정리하다 보면 대충 초안이 나오고 그걸 계속 다듬고 다듬고 다듬다 보면 괜찮은 글이 하나 나오더라고요.(물론 제가 자소서를 잘 썼다는 게 아니라 저는 이런 식으로 했다는 거죠ㅎ)
제가 본격적으로 자소서를 쓰기 시작한 시점은 5월 2일에 양식이 떴는데 그로부터 자그마치 2주가 지난 5월 16일이었습니다.
일단 BoB자소서는 기본적으로 정말 많은 양을 써야 합니다. 최대 8문항을 작성할 수 있는데 7문항은 필수고 마지막 창업계획란은 선택입니다. 저는 일단은 창업 계획이 없기 때문에 7문항을 1000자 이내로 채워야 했습니다.
자기소개, 본인이 이룬 가장 큰 성과, 지원동기, 합격 후 포부, 관심 분야, BoB 학습 계획, 진로 계획 이렇게 7문항을 필수로 작성했습니다.
자소서 마감날짜가 6월 3일까지였기 때문에 2주 만에 모든 문항을 작성해야 했습니다.

자기소개

자기소개는 전체적인 흐름을 쓰고 제가 어떤 식으로 보안을 접하고 어떤 활동을 했다는 것을 간단하게만 썼습니다. 머 프로그래밍을 접한 계기라던지 보안을 접한 계기라던지 이런 식으로 "나는 이렇게 보안을 접해서 이런 활동을 했어요"라는 것을 어필하려고 노력했습니다. 정말 흐름만을 설명하고 세부적인 내용은 밑의 문항에서 작성했습니다. 근데 이렇게 썼는데도 글자 수가 넘쳐나서 1000자를 딱 맞추는데 애먹었던 것 같습니다. 암튼 자기소개는 모든 사람들이 처음 보는 부분이라서 조금 더 신경 써서 작성했던 것 같습니다.

본인이 이룬 가장 큰 성과

저는 학교에서 한 기능반 활동과 마이다스 현장실습을 통해 리얼월드 해킹을 경험한 것, 이 두 가지를 놓고 고민을 했습니다. 그런데 성과가 더 두드러지고 "리얼월드를 경험해봤다"를 어필하고 싶어서 마이다스 현장실습 쪽으로 방향을 정했습니다. 첫 문단에는 실제로 내가 "어떤 공격을 통해서 취약점을 찾았다"같은 실질적인 성과를 적었습니다. 그리고 두 번째 문단에서는 리얼월드 해킹을 처음 해보면서 뭘 느꼈고 어떤 점을 배웠는지를 작성했습니다. 첫 번째 문단보다는 두 번째 문단에 힘을 주어서 나는 리얼월드에서 배우는 것과 CTF에서 배우는 것의 차이점 같은 것도 적었던 것 같네요.

지원동기

제가 BoB에 들어가고 싶던 이유는 머 인적 네트워크라던지, 프로젝트라던지 BoB하면 생각나는 뻔한 것들밖에 없어서 이런 걸 어떻게 남들과 다르게 어필할까를 집중했던 것 같습니다. 그래서 기능반 활동을 통해 인적 네트워크의 중요성을 깨닫게 됐다, CTF만 하다 보니 프로젝트를 하고 싶어졌다 등의 제가 실제로 겪었던 경험과 엮어서 남들과 조금 차별화했던 것 같습니다. 사실 이 부분은 BoB를 지원하는 분들이라면 다들 비슷할 거라 생각해서 저는 차별화했다고 생각하지만 아닐 수도 있을 거 같긴 하네요..

합격 후 포부

이 부분은 지원동기와 겹치는 내용이 너무 많아서 쓰기가 힘들었던 것 같습니다. 그래서 지원동기에는 "내가 어떤 경험들 했고 그걸 통해서 BoB에서 얻을 수 있는 어떤 것을 얻을 수 있을것 같다"라고 썼다면 이부분에서는 BoB에서 얻을수 있는것들이 무엇이 있는지, 또 어떤식으로 얻을수 있을지를 구체적으로 썼던 것 같습니다. 예를 들면 스터디를 하면서 인적 네트워크를 키우겠다 머 이런 식이 었습니다.

관심분야

말 그대로 관심 분야입니다. 현재까지 어떤 걸 공부했는지 써도 되고 현재 어떤 분야에 관심을 가지고 있는지를 써도 되는 것 같네요. 저 같은 경우에는 첫 문단에 현재까지 네트워크와 웹 해킹을 공부했고 어떤 방식으로 공부했다고 썼습니다. 그리고 두 번째 문단에는 지금까지는 웹 해킹을 공부했지만 앞으로는 시스템 해킹, IoT 해킹으로 나아가고 싶다는 식으로 썼네요. 여기서 자기소개서에 썼던 것처럼 어떤 계기로 접하고 공부하게 됐는지를 강조했던 것 같습니다.

BoB 학습계획

이 부분도 좀 쓰기가 힘들었습니다. 합격 후 포부와 겹치는 내용이 많았어서 그런 것 같습니다. 그래서 실제로 이 부분과 진로계획이 700자대로 가장 짧게 썼네요. 합격 후 포부에서 어떤 것들을 얻을지를 썼다면 정말 정말 구체적인 방법을 제시했습니다. 블로그에 학습한 내용을 정리한다든지, IoT에 관련된 프로젝트를 진행하고 싶다던지, 어떤 분야의 스터디를 어떻게 진행할 것인지 등이 있을 수 있겠네요. 사실 이 부분을 지원 2시간 전에 갈아엎으려다가 시간이 너무 촉박할 것 같아서 못 갈아엎고 냈습니다. 근데 알고 보니 11시 59분까지 연장됐더라고요.. 엎을걸..

진로 계획

처음에 500자 썼다가 컨펌받을 때 좀 늘리자 해서 겨우겨우 700자대로 늘렸던 것 같습니다. BoB를 수료하고 나서의 계획이기 때문에 조금 과장되더라도 그냥 썼습니다. 사실 그냥 오펜시브 시큐리티 기업에서 일하고 싶다. 또 후배들에게 지식을 공유하고 싶다. 뭐 이런 내용들을 이 악물고 700자로 늘려 썼습니다.

초안을 작성하는데 한 13일? 15일?정도 걸렸던 것 같네요.
딱 5월 31일에 초안을 모두 작성하고 6월 1일에 공선희 선생님께 전화로 첫 컨펌을 받았던 것 같습니다. 6월 1일이 공휴일(선거)이라 “어..?이거 컨펌 못받으면 어떡하지?”했는데 다행히도 선희쌤이 공휴일에도 컴펌을 해주셨습니다. 공휴일에도 컨펌해주신 선희쌤께 감사를..
그리고 6월 2일에 학교에 9시 반까지 남아서 컨펌, 수정, 컨펌, 수정을 반복하다 보니 대충 좀 괜찮은 자소서가 나왔던 것 같습니다. 그리고 6월 3일 12시쯤에 또 컨펌받고, 문장 정리하고, 컨펌받고를 반복하다가 원래 지원 마감이 4시였기 때문에 3시 10분쯤에 승준이랑 같이 지원서를 제출했습니다! 그런데 딱 지원서를 넣고 선희쌤한테 12시로 연장됐다는 카톡이 오더라고요. BoB공지 좀 일찍 하지...

아무튼 서류에는 자소서 뿐만 아니라 아니라 여러 서류를 제출할 수 있습니다.
자격증, 어학, 수상경력, 교육사항, 보유기술, 기술 발표, 발표 논문, 취약점 제보 이력, 프로젝트 기술서, 추천서 이렇게 여러 서류를 제출할 수 있습니다. 저는 이중 기능경기대회 수상 경력, 학교에서 한 프로젝트 기술서, 추천서 이렇게 3개를 제출했습니다.

자소서 쓰는데 생각보다 오래 걸리고 컨펌받는 시간도 고려해야 하기 때문에 한 3주 전부터는 빌드업을 구상하고 내용을 채워 넣는 것을 추천합니다. 또 처음부터 완벽한 문장을 쓰려고 하기보다는 일단 내용을 나열하고 정리하는 게 좋은 것 같네요. 그리고 거짓말이나 과장된 내용을 쓰는 것은 절대 안 됩니다. 면접 질문의 첫 시작은 거의 자소서에서 나오기 때문에 모르는 내용이나 자신이 한 것이 아니라면 조금 빼거나 진짜 아주 아주 아주 아주 조금 적는 게 좋습니다. 안 적는 게 베스트긴 하지만요.

6월 4일에 지원이 마감되고 6월 7일에 서류 합격자가 발표됐습니다.
어떻게 서류는 잘 넘겼네요.

인적성 및 필기

인적성은 3일중에 하루 날잡아서 보면 되고 필기는 11일 오전 10시엔가 봤습니다.
인적성은 국어, 수학으로 나뉘어있고 국어 부분이 시간이 진짜 부족했습니다. 근데 이게 합격에 영향을 미칠지는 잘 모르겠네요.
인적성을 봤다면 필기와 면접을 준비해야 합니다. 이번 11기 지원에서는 사이버 가디언즈에서 사전교육자료를 제공해 줬는데 운영체제 부분 보다가 지루해서 걍 던져버렸습니다. 그래서 사전교육과 필기시험의 유사도 어떤지를 알려드리긴 힘들 것 같네요.
10기 취약점분석 필기는 CTF형식이였는데 11기 필기는 100문제를 50분에 푸는 시험 형식이었습니다. 네트워크, 시스템, 웹 등등의 이번 11기는 통합지원이라서 이상한 윈도우 아티팩트 뭐시기도 나왔던 거 같은데 확신을 가지고 찍은 건 1/3쯤 되는 것 같습니다. 시간도 50분이라 모르는 건 걍 대충 찍고 넘겼던 것 같네요.

인적성 및 필기는 결과가 나오지 않고 면접 후에 최종 합격이 나오는 구조기 때문에 6월 11일에 필기시험을 본 후에는 바로 면접 준비를 했습니다.
생각보다 글이 길어져서 면접후기는 글을 따로 분리하겠습니당.

ELF x86 - Ptrace

ursobad — Tue, 31 Aug 2021 17:17:13 +0900

안티 디버깅 기법이 적용된것 같다.

그냥 EIP를 옮겨서 if문을 우회할수 있을 것 같다.

이 분기에서 그냥 EIP를 0x08048436로 옮겨주면 우회가 된다.

내 입력값을 dl에 한바이트,

여기서 +4만큼 한 문자열에서 한바이트를 비교한다.

그러니까 내가 asdf를 넣으면 a와 e를 비교하는 것이다.

키의 첫글자는 e인것을 알 수 있다.

틀렸기때문에 분기가 갈리지만 그냥 EIP를 바꿔서 아래 분기로 가본다.

비슷한 로직이다.

내 입력값 두번째 인덱스와 ksuiealohgy+5한 인덱스와 비교한다.

키의 두번째 글자는 a이다.

ksuiealohgy에다가 inc연산을 하는데 이는 +1을 해주는 연산이다.

그러므로 세번째 글자는 s이다.

여기는 0x0a를 더하는데 디버깅해서 값을 보면 al이 'y'인 것을 알 수 있다.

모든 글자를 합쳐보면 easy가 키인것을 알 수 있다.

FLAG = easy

처음풀때는 al, dl이 1바이트 짜리인지 몰라서 엄청 해맸었다.

어셈을 처음부터 다시 공부해야될 필요성을 느끼게 된것같다.

그리고 이제 슬슬 전국기능대회 문제 공개 기간이라서 당분간은 글이 동결되거나 기능대회 과제 관련글을 올릴것 같다.

PYC - ByteCode

ursobad — Mon, 30 Aug 2021 19:07:12 +0900

pyc파일을 리버싱 하는 문제인데 pyc는 uncompyle6를 이용해 .py파일로 복구할 수 있다.

pip install uncompyle6후에

uncompyle6 [pyc 파일]로 py파일을 디컴파일 할 수 있다.

처음에는 역연산 하려다가 그냥 브포 돌리는게 머리 덜아프고 빠를것 같아서 브포 돌렸다.

근데 일어난지 얼마 안되서 그런지 아니면 수업시간에 해서 그런지 이거 브포짜는데만 거의 1시간쯤 걸린것 같다.

심지어 코드도 더럽다ㅎ;

l = [i for i in range(5,20)]
sl = 'w, you love dec'
print(l)
print(sl)
cmpl = [57, 73, 79, 16, 18, 26, 74, 50, 13, 38, 13, 79, 86, 86, 87]
flag = ''
for i in range(15):
    for j in range(255):
        r = j + l[i] ^ ord(sl[i])
        if r==cmpl[i]:
            print(r,cmpl[i], j, chr(j))
            flag+=chr(j)
            break
print(flag)

이렇게 브포 돌리면

I_hate_RUBY_!!!라는 flag가 나오게 된다.

FLAG = I_hate_RUBY_!!!

풀고나서 생각난건데 z3를 쓰면 엄청 쉽게 풀릴것 같아서 풀고 3분도 안되서 z3로 짰는데 flag가 나와버렸다..

진작 생각해볼껄,,

from z3 import *
z = Solver()
inp = [BitVec(f'a{i}', 8) for i in range(15)]

l = [i for i in range(5,20)]
sl = 'w, you love dec'
cmpl = [57, 73, 79, 16, 18, 26, 74, 50, 13, 38, 13, 79, 86, 86, 87]

for i in range(15):
    # flag = ''
    z.add(inp[i]+l[i]^ord(sl[i])==cmpl[i])

print(z.check())
m=z.model()
flag=''
# print(m)
for i in range(len(inp)):
    # print(m.evaluate(arr[i]))
    flag+=chr(int(str(m.evaluate(inp[i]))))
print(flag)

허허,,,

PE DotNet - Basic Anti-Debug

ursobad — Sun, 29 Aug 2021 18:52:11 +0900

.NET 안티디버깅 문제였는데 나는 언인텐으로 연산으로 풀었다.

dnspy로 까보며면

이렇게 나오는데 Form1_Load에서 안티 디버깅을 하는것 같았다.

그래도 일단 디버깅 해보니까

bytes랑 key값은 영향을 안받는것 같아서 그냥 연산으로 flag를 뽑았다.

l = '''0x07
0x6F
0x66
0x54
0x12
0x7B
0x70
0x37
0x6D
0x44
0x06
0x00
0x1E
0x1D
0x06
0x2B
0x0D
0x72
0x5F
0x58
0x38
0x21
0x5F
0x50
0x38'''

l = l.split()
print(l)

key = 'I_Gu3$$_Y0u_Ju5t_Fl4gg3d_!!!'
flag = ''
for i in range(25):
    flag+=chr(eval(l[i]) ^ ord(key[i%0x1c]))
print(flag)

FLAG = N0!!!_Th4ts_Th3_R43l_Fl4g

인텐이 궁금해서 라업 보니까 그냥 코드 패치로 안티 디버깅 부분을 날려버리고 연산한 값을 뽑는 거였다.

Edit Method를 누른다음에

전부 날려버리고

shift + ctrl + s로 저장하고

다시 dnspy에 올려서 디버깅 하면 바로 flag가 나온다.

ELF ARM - Basic Crackme

ursobad — Sat, 28 Aug 2021 16:05:22 +0900

ARM분석은 처음해봤는데 베이직이라 그런지 86, x64랑 딱히 다른건 없었다. 그냥 바이너리를 실행시키는데 환경설정이 조금 필요한 정도?

그냥 IDA로 까본다.

메인 로직인것 같다.

s가 인풋인것 같고 v5가 0이 되는 값을 찾으면 되는것 같다.

위의 if ( status != 6 )에서 len이 6이 아니면 종료되므로 s[6]은 0이다.

s[3]^0x72가 0이 되려면 자기 자신과 0x72랑 xor 해야하므로 s[3]은 0x72가 되어야 한다.

이제 s[3] = 0x72인걸로 퍼즐을 맞추면 된다.

if ( s[3] + 1 != *s )이므로 s[0] = 0x73

if ( *s != s[5] ) 이므로 s[5] = 0x73

if ( s[2] + 4 != s[5] ) 이므로 s[2] = 0x6f

if ( s[4] + 2 != s[2] ) 이므로 s[4] = 0x6d

리스트로 정렬해보면 s = [0x73, ?, 0x6f, 0x72, 0x6d, 0x73]가 되는데 s[1]값은 조건이 없다.

그래서 그냥 pwntools로 바이너리를 가져와서 브루트 포스 돌렸다.

그리고 이 바이너리는 인풋이 argv로 들어가는데 그때는 pwntools에서

process(executable='바이너리 이름', argv=['바이너리 이름',인풋값])

으로 넣어주어야 들어간다.

from pwn import *
a1 = 's'
a2 = 'orms'
flag = ''
for i in range(33,127):
	flag = a1+chr(i)+a2
	p = process(executable='./ch23.bin', argv=['ch23.bin',flag])
	a = p.recvline()
	check = p.recvline()
	# print(a)
	if 'Los' not in check:
		print(flag)
		break

이렇게 돌리면

storms가 flag인것을 알 수 있다.

FLAG = storms

REV(Cracking) - ELF x86 - 0 protection, ELF x86 - Basic, PE DotNet - 0 protection, ELF x86 - Fake Instructions

ursobad — Fri, 27 Aug 2021 15:23:52 +0900

오늘부터 쉬운문제라도 3일에 한문제씩은 풀고 Write up을 블로그에 작성해보려고 한다. 물론 언제는 빼먹을수도 있다. Reversing.kr문제들은 너무 매워서 일단 Root-me문제들로 해보려고 한다. 근데 Root-me도 몇문제 풀어보니까 쉬운것 같지는 않다,,

ELF x86 - 0 protection

걍 IDA로 까면 보인다.

FLAG = 123456789

ELF x86 - Basic

이것도 걍 IDA로 까면 보인다.

FLAG = 987654321

PE DotNet - 0 protection

이름부터 DotNet인데 dnspy로 까봤다.

패스워드가 틀리면

이런걸 띄우는데 그냥 이 문자열 검색해서 조건문을 보면 flag가 있다.

FLAG = DotNetOP

ELF x86 - Fake Instructions

argv로 입력값을 받고

WPA함수 안의

blowfish에서 FLAG를 뽑아주는거 같은데 입력값이 연산에 영향을 주는거 같지 않으니까 그냥 EIP를 blowfish로 옮겨서 동적 디버깅 했다.

IDA 디버깅에서 argv로 인자값을 줄때는 디버깅 옵션에서 parameter안에 값을 넣어주면 들어간다.

이렇게 걍 EIP를 blowfish의 주소인 0x0804872C로 바꾸고 f8을 연타하다보면 flag가 터미널에 찍힌다.

FLAG = liberté!

사실 이문제는 인텐이 먼지 잘 모르겠다. 인풋값이 flag가 아닌거 보면 이게 인텐인거 같긴한데 그럼 blowfish함수위의 계산은 그냥 눈속임인건지,,

머 암튼 flag만 잘 나오면..

YISF 본선 후기 겸 Write up

ursobad — Tue, 24 Aug 2021 12:07:19 +0900

어제 YISF가 끝났는데 나는 2문제를 풀면서 10위에 머물렀다. 그래도 한문제도 못풀줄 알았는데 리버싱과 웹에서 한문제씩이 엄청 쉽게 나오면서 몇문제는 풀수 있었다. 대회가 10시 시작인데 9시까지 순천향대학교로 가야되서 5시 50분에 나와서 7시 12분 KTX를 타고 갔다. 패턴이 꼬여서 2시에 일어나는 바람에 대회 12시부터 꾸벅꾸벅 졸았던것 같다;;

ELF와 웹 php문제를 풀었는데 리버싱의 Path문제를 거의 6시간 잡고 있었다. 힌트에 어그로가 너무 끌리는 바람에 시간을 너무 썼던것 같다. Path문제도 대회가 끝나고 풀긴 했다.

대충쓰는 Write up

ELF

일단 이문제는 퍼블 따고싶어서 야매로 정연산을 짜지도 않고 pwntools로 바이너리를 가져와서 풀었다.

IDA로 까보면 이게 메인 로직인데 어짜피 flag를 넣으면 주는 "bdbccCbBbAcDCCCaAcdddACcAcaCDCdbAcdDBABDBbadcCBDBbaCDCCABDbaaaee"를 flag.txt로 제공해 주었고 앞글자가 뒷글자에 영향을 받지 않기때문에 YISF{를 넣으면 flag.txt의 일부가 제대로 나오는걸 볼 수 있다.

그래서 그냥 pwntools로 바이너리를 가져와서 YISF{[아스키 범위] 를 넣고 나오는 값을 가져온 뒤에 flag.txt 와 비교하면서 한글자씩 맞추는게 정연산 짜는거보다 빠를것 같았다.

from pwn import *
# flag = 'YISF{h3ll0_r3v_hi_h_i}'
flag = 'YISF{'
enflag = 'bdbccCbBbAcDCCCaAcdddACcAcaCDCdbAcdDBABDBbadcCBDBbaCDCCABDbaaaee'
for j in range(33,128):
    p = process('./ELF')
    p.sendline(flag+chr(j))
        
    res = p.recvline()
    print(chr(j),',',res)

python a.py >> a.txt 이렇게 하면 출력값이 a.txt에 저장되는데 ctrl+f를 이용해 enflag값을 적절히 비교하면 flag를 얻을 수 있다.

FLAG = YISF{h3ll0_r3v_hi_h_i}

PATH

딱봐도 z3길래 돌려봤더니

이런 힌트가 나왔다.

눈치껏 대충 제대로 맞춰보면 HINT{Check_the_resource_and_inject!}인거 같은데 여기서 reversing inject를 구글링하니까 dll inject가 나오길래 이런건줄 알았는데 그냥 exe안에 dll이 들어있는 구조였다.

바이너리를 hxd로 까고 "4D 5A"를 검색하면

이런걸 볼 수 있다.

이걸 다 긁어서 dll로 저장하고 IDA로 까면 flag를 뽑는 함수를 찾을 수 있다.

걍 리스트 뽑아와서 정연산 돌리면 된다.

v7 = [0]*3
v4 = [0]*256
v3 = [0]*56
v7[0] = 5394264;
v7 = 'XOR'
v7 = map(ord, v7)
v3[0] = 96;
v3[1] = 99;
v3[2] = 2;
v3[3] = -108;
v3[4] = 0;
v3[5] = -70;
v3[6] = 115;
v3[7] = -73;
v3[8] = -61;
v3[9] = -123;
v3[10] = -84;
v3[11] = -51;
v3[12] = -5;
v3[13] = -87;
v3[14] = 49;
v3[15] = 115;
v3[16] = 12;
v3[17] = -44;
v3[18] = 20;
v3[19] = 31;
v3[20] = -42;
v3[21] = 74;
v3[22] = -77;
v3[23] = -21;
v3[24] = 85;
v3[25] = 45;
v3[26] = 82;
v3[27] = -59;
v3[28] = -117;
v3[29] = 57;
v3[30] = -68;
v3[31] = 125;
v3[32] = -61;
v3[33] = 101;
v3[34] = 39;
v3[35] = 20;
v3[36] = -5;
v3[37] = 88;
v3[38] = -62;
v3[39] = 37;
v3[40] = 1;
v3[41] = -91;
v3[42] = 51;
v3[43] = 109;
v3[44] = -43;
v3[45] = 69;
v3[46] = -8;
v3[47] = 95;
v3[48] = 99;
v3[49] = -19;
v3[50] = -60;
v3[51] = -94;
v3[52] = -119;
v3[53] = 86;
v3[54] = 0;
v3[55] = 127;
v4[0] = 73;
v4[1] = 51;
v4[2] = 24;
v4[3] = 110;
v4[4] = -114;
v4[5] = 51;
v4[6] = -24;
v4[7] = -48;
v4[8] = 49;
v4[9] = 50;
v4[10] = 110;
v4[11] = -14;
v4[12] = -18;
v4[13] = -50;
v4[14] = 98;
v4[15] = -6;
v4[16] = 104;
v4[17] = -21;
v4[18] = -87;
v4[19] = -116;
v4[20] = -64;
v4[21] = -7;
v4[22] = -125;
v4[23] = 52;
v4[24] = 101;
v4[25] = 118;
v4[26] = 6;
v4[27] = 4;
v4[28] = 46;
v4[29] = -77;
v4[30] = -53;
v4[31] = 126;
v4[32] = -90;
v4[33] = -38;
v4[34] = -25;
v4[35] = -76;
v4[36] = -89;
v4[37] = 48;
v4[38] = 28;
v4[39] = -83;
v4[40] = 42;
v4[41] = -104;
v4[42] = 81;
v4[43] = 11;
v4[44] = 93;
v4[45] = 89;
v4[46] = 64;
v4[47] = -21;
v4[48] = -10;
v4[49] = 32;
v4[50] = 111;
v4[51] = 13;
v4[52] = -57;
v4[53] = 73;
v4[54] = 97;
v4[55] = 53;
v4[56] = -109;
v4[57] = 90;
v4[58] = 13;
v4[59] = -48;
v4[60] = 33;
v4[61] = -48;
v4[62] = -113;
v4[63] = -37;
v4[64] = -114;
v4[65] = 31;
v4[66] = 30;
v4[67] = 1;
v4[68] = -25;
v4[69] = -12;
v4[70] = 62;
v4[71] = 3;
v4[72] = -8;
v4[73] = -67;
v4[74] = 54;
v4[75] = 93;
v4[76] = 94;
v4[77] = 107;
v4[78] = -59;
v4[79] = 39;
v4[80] = -28;
v4[81] = 118;
v4[82] = 17;
v4[83] = 57;
v4[84] = 12;
v4[85] = 34;
v4[86] = -32;
v4[87] = -110;
v4[88] = -21;
v4[89] = 2;
v4[90] = 10;
v4[91] = -5;
v4[92] = 58;
v4[93] = -70;
v4[94] = 47;
v4[95] = -25;
v4[96] = -85;
v4[97] = 8;
v4[98] = -91;
v4[99] = -98;
v4[100] = 121;
v4[101] = 6;
v4[102] = -76;
v4[103] = -102;
v4[104] = 67;
v4[105] = -87;
v4[106] = 6;
v4[107] = 49;
v4[108] = 26;
v4[109] = -114;
v4[110] = 89;
v4[111] = 117;
v4[112] = -39;
v4[113] = -10;
v4[114] = 119;
v4[115] = 89;
v4[116] = -76;
v4[117] = 15;
v4[118] = 104;
v4[119] = 21;
v4[120] = 20;
v4[121] = 117;
v4[122] = -26;
v4[123] = -53;
v4[124] = -93;
v4[125] = -8;
v4[126] = 17;
v4[127] = 106;
v4[128] = -94;
v4[129] = -96;
v4[130] = 100;
v4[131] = -45;
v4[132] = -125;
v4[133] = -18;
v4[134] = -24;
v4[135] = 58;
v4[136] = -76;
v4[137] = 101;
v4[138] = -89;
v4[139] = -49;
v4[140] = -71;
v4[141] = 73;
v4[142] = 100;
v4[143] = -98;
v4[144] = 125;
v4[145] = -89;
v4[146] = -119;
v4[147] = -76;
v4[148] = -22;
v4[149] = -107;
v4[150] = 97;
v4[151] = -124;
v4[152] = -73;
v4[153] = -69;
v4[154] = -121;
v4[155] = -119;
v4[156] = -127;
v4[157] = 18;
v4[158] = -97;
v4[159] = 44;
v4[160] = 30;
v4[161] = -20;
v4[162] = 67;
v4[163] = -25;
v4[164] = 46;
v4[165] = 53;
v4[166] = 64;
v4[167] = -85;
v4[168] = -14;
v4[169] = -8;
v4[170] = 3;
v4[171] = 127;
v4[172] = 98;
v4[173] = 36;
v4[174] = 78;
v4[175] = 107;
v4[176] = 121;
v4[177] = -111;
v4[178] = 48;
v4[179] = -108;
v4[180] = -44;
v4[181] = 62;
v4[182] = 51;
v4[183] = -88;
v4[184] = 123;
v4[185] = -35;
v4[186] = -41;
v4[187] = 124;
v4[188] = -1;
v4[189] = -111;
v4[190] = 63;
v4[191] = -12;
v4[192] = -59;
v4[193] = -10;
v4[194] = 43;
v4[195] = 36;
v4[196] = -95;
v4[197] = 98;
v4[198] = 38;
v4[199] = -76;
v4[200] = -90;
v4[201] = 106;
v4[202] = 1;
v4[203] = -119;
v4[204] = 61;
v4[205] = -88;
v4[206] = 127;
v4[207] = -95;
v4[208] = 117;
v4[209] = -68;
v4[210] = 82;
v4[211] = 63;
v4[212] = -102;
v4[213] = -111;
v4[214] = 70;
v4[215] = 73;
v4[216] = 9;
v4[217] = -30;
v4[218] = -67;
v4[219] = -18;
v4[220] = 66;
v4[221] = -4;
v4[222] = 91;
v4[223] = -117;
v4[224] = 63;
v4[225] = -59;
v4[226] = 2;
v4[227] = -48;
v4[228] = 5;
v4[229] = -3;
v4[230] = 1;
v4[231] = 31;
v4[232] = 120;
v4[233] = -60;
v4[234] = -120;
v4[235] = 52;
v4[236] = 115;
v4[237] = 92;
v4[238] = 96;
v4[239] = 11;
v4[240] = 24;
v4[241] = 49;
v4[242] = -40;
v4[243] = -2;
v4[244] = 101;
v4[245] = 22;
v4[246] = 3;
v4[247] = 47;
v4[248] = 8;
v4[249] = -46;
v4[250] = 32;
v4[251] = 37;
v4[252] = 117;
v4[253] = -37;
v4[254] = 90;
v4[255] = -70;
def ROL(num, count, bits=8): 
	return ((num << count) | (num >> (bits - count))) & ((0b1<<bits) - 1) 

def ROR(num, count, bits=8): 
	return ((num >> count) | (num << (bits - count))) & ((0b1<<bits) - 1)

flag = ''

for i in range(56):
	v5 = v3[i]
	v0 = ROR((v4[i%4*i]^v5)&0xff, 4)
	v1 = ROL(v7[i%3]^v0, 5)

	flag+=chr(v1)

print(flag)

FLAG = YISF{Y0u_d1dn't_c4lcul4t3_all_0f_th1n9s_y0urs3lf_r19ht?}

웹은 소스 옮기기가 귀찮아서 나중에 추가ㅎ,,

본선 전에 쓰는 YISF 예선 후기 겸 Write up

ursobad — Sat, 21 Aug 2021 21:59:15 +0900

지금 글을 쓰는 날짜는 2021-08-21 9시 11분으로 YISF(순천향대 정보보호 페스티벌?) 본선 하루 전이다.

원래 예선이 끝나고 바로 후기 겸 Write up을 쓰려고 했는데 귀찮아서 미루다 미루다 본선 하루 전에 쓰게 된다.

지금은 사이트가 닫혀있지만 어차피 나는 폰이나 웹은 못 건드렸기 때문에 지금 Write up을 써도 딱히 상관없을 것 같다.(이라고 생각했으나 생각해보니까 미스크도 NC를 쓴 문제가 2문제쯤 됐다;)

나는 미스크 6문제, 립싱 한 문제를 풀면서 예선 5위로 본선에 진출했다. 물론 미스크 한 문제는 마이크 체크이다ㅎ

ㅎㅎ

서버가 닫혀서 정말 간략하게 Write up을 정리한다.

[MISC] MIC Check

마이크 체크부터 개 꼴 받게 나왔다.

1. 본 대회는 _ _ _ 으로 진행되므로 문제에 대한 _ _, _ _ _ _, 힌트 공유는 금지입니다.

2. SQLMap, Nessus 등과 같은 _ _ _ 툴은 모두 금지되어 있습니다.

3. 인가된 방법을 통한 문제 접근 외에 _ _ _적인 서버 접근이나 서버에 대한 _ _ _ _는 허용되지 않습니다.

모두에게 유의미한 성과가 나오기를... 대회 운영진 모두가 응원합니다!

빈칸을 채워서 MD5로 해쉬한 게 FLAG였다.

"개인전정답풀이방법자동화비정상공격행위" => 6970fc775b19aa348f5a4cce7b0c59af

FLAG = YISF{6970fc775b19aa348f5a4cce7b0c59af}

[MISC] Word Chain

이문제는 nc를 들어가서 ai랑 끝말잇기를 하는 문제였는데 그냥 영어 단어 대충 가져와서 틀린 글자 지워가면서 될 때까지 돌렸다. 먼가 이상한 게 어떨 때는 나오고 어떨때는 안 나왔다;; 그래서 승준이랑 지훈이는 AI가 쓰는 단어 계속 파싱 해서 풀었다고 한다. 그리고 이 문제 풀 때 윈도에서 pwntools이 고장 나서 vm pwntools로 풀었다.

l = '''world
information
map
family
government
health
system
computer
meat
year
music
person
reading
method
data
food
understanding
theory
law
bird
literature
problem
software
control
knowledge
power
ability
economics
love
internet
television
science
library
nature
fact
product
idea
temperature
investment
area
society
activity
story
industry
media
thing
oven
community
definition
safety
quality
development
language
management
player
variety
video
week
security
country
exam
movie
organization
equipment
physics
analysis
policy
series
thought
basis
boyfriend
direction
strategy
technology
army
camera
freedom
paper
environment
child
instance
month
truth
marketing
university
writing
article
department
difference
goal
news
audience
fishing
growth
income
marriage
user
combination
failure
meaning
medicine
philosophy
teacher
communication
night
chemistry
disease
disk
energy
nation
road
role
soup
advertising
location
success
addition
apartment
education
math
moment
painting
politics
attention
decision
event
property
shopping
student
wood
competition
distribution
entertainment
office
population
president
unit
category
cigarette
context
introduction
opportunity
performance
driver
flight
length
magazine
newspaper
relationship
teaching
cell
dealer
finding
lake
member
message
phone
scene
appearance
association
concept
customer
death
discussion
housing
inflation
insurance
mood
woman
advice
blood
expression
importance
opinion
payment
reality
responsibility
situation
skill
statement
wealth
application
city
county
depth
estate
foundation
grandmother
heart
perspective
photo
recipe
studio
topic
collection
depression
imagination
passion
percentage
resource
setting
ad
agency
college
connection
criticism
debt
description
memory
patience
secretary
solution
administration
aspect
attitude
director
personality
psychology
recommendation
response
selection
storage
version
alcohol
argument
complaint
contract
emphasis
highway
loss
membership
possession
preparation
steak
union
agreement
cancer
currency
employment
engineering
entry
interaction
mixture
preference
region
republic
tradition
virus
actor
classroom
delivery
device
difficulty
drama
election
engine
football
guidance
hotel
owner
priority
protection
suggestion
tension
variation
anxiety
atmosphere
awareness
bath
bread
candidate
climate
comparison
confusion
construction
elevator
emotion
employee
employer
guest
height
leadership
mall
manager
operation
recording
sample
transportation
charity
cousin
disaster
editor
efficiency
excitement
extent
feedback
guitar
homework
leader
mom
outcome
permission
presentation
promotion
reflection
refrigerator
resolution
revenue
session
singer
tennis
basket
bonus
cabinet
childhood
church
clothes
coffee
dinner
drawing
hair
hearing
initiative
judgment
lab
measurement
mode
mud
orange
poetry
police
possibility
procedure
queen
ratio
relation
restaurant
satisfaction
sector
signature
significance
song
tooth
town
vehicle
volume
wife
accident
airport
appointment
arrival
assumption
baseball
chapter
committee
conversation
database
enthusiasm
error
explanation
farmer
gate
girl
hall
historian
hospital
injury
instruction
maintenance
manufacturer
meal
perception
pie
poem
presence
proposal
reception
replacement
revolution
river
son
speech
tea
village
warning
winner
worker
writer
assistance
breath
buyer
chest
chocolate
conclusion
contribution
cookie
courage
desk
drawer
establishment
examination
garbage
grocery
honey
impression
improvement
independence
insect
inspection
inspector
king
ladder
menu
penalty
piano
potato
profession
professor
quantity
reaction
requirement
salad
sister
supermarket
tongue
weakness
wedding
affair
ambition
analyst
apple
assignment
assistant
bathroom
bedroom
beer
birthday
celebration
championship
cheek
client
consequence
departure
diamond
dirt
ear
fortune
friendship
funeral
gene
girlfriend
hat
indication
intention
lady
midnight
negotiation
obligation
passenger
pizza
platform
poet
pollution
recognition
reputation
shirt
sir
speaker
stranger
surgery
sympathy
tale
throat
trainer
uncle
time
work
film
water
money
example
while
business
study
game
life
form
air
day
place
number
part
field
fish
back
process
heat
hand
experience
job
book
end
point
type
home
economy
value
body
market
guide
interest
state
radio
course
company
price
size
card
list
mind
trade
line
care
group
risk
word
fat
force
key
light
training
name
school
top
amount
level
order
practice
research
sense
service
piece
web
boss
sport
fun
house
page
term
xylophone 
test
answer
sound
focus
matter
kind
soil
board
oil
picture
access
garden
range
rate
reason
future
site
demand
exercise
image
case
cause
coast
action
age
bad
boat
record
result
section
building
mouse
cash
class
nothing
period
plan
store
tax
side
subject
space
rule
stock
weather
chance
figure
man
model
source
beginning
earth
program
chicken
design
feature
head
material
purpose
question
rock
salt
act
birth
car
dog
object
scale
sun
note
profit
rent
speed
style
war
bank
craft
half
inside
outside
standard
bus
exchange
eye
fire
position
pressure
stress
advantage
benefit
box
frame
issue
step
cycle
face
item
metal
paint
review
room
screen
structure
view
account
ball
discipline
medium
share
balance
bit
black
bottom
choice
gift
impact
machine
shape
tool
wind
address
average
career
culture
morning
pot
sign
table
task
condition
contact
credit
egg
hope
ice
network
north
square
attempt
date
effect
link
post
star
voice
capital
challenge
friend
self
shot
brush
couple
debate
exit
front
function
lack
living
plant
plastic
spot
summer
taste
theme
track
wing
brain
button
click
desire
foot
gas
influence
notice
rain
wall
base
damage
distance
feeling
pair
savings
staff
sugar
target
text
animal
author
budget
discount
file
ground
lesson
minute
officer
phase
reference
register
sky
stage
stick
title
trouble
bowl
bridge
campaign
character
club
edge
evidence
fan
letter
lock
maximum
novel
option
pack
park
plenty
quarter
skin
sort
weight
baby
background
carry
dish
factor
fruit
glass
joint
master
muscle
red
strength
traffic
trip
vegetable
appeal
chart
gear
ideal
kitchen
land
log
mother
net
party
principle
relative
sale
season
signal
spirit
street
tree
wave
belt
bench
commission
copy
drop
minimum
path
progress
project
sea
south
status
stuff
ticket
tour
angle
blue
breakfast
confidence
daughter
degree
doctor
dot
dream
duty
essay
father
fee
finance
hour
juice
limit
luck
milk
mouth
peace
pipe
seat
stable
storm
substance
team
trick
afternoon
bat
beach
blank
catch
chain
consideration
cream
crew
detail
gold
interview
kid
mark
match
mission
pain
pleasure
score
screw
sex
shop
shower
suit
tone
window
agent
band
block
bone
calendar
cap
coat
contest
corner
court
cup
district
door
east
finger
garage
guarantee
hole
hook
implement
layer
lecture
lie
manner
meeting
nose
parking
partner
profile
respect
rice
routine
schedule
swimming
telephone
tip
winter
airline
bag
battle
bed
bill
bother
cake
code
curve
designer
dimension
dress
ease
emergency
evening
extension
farm
fight
gap
grade
holiday
horror
horse
host
husband
loan
mistake
mountain
nail
noise
occasion
package
patient
pause
phrase
proof
race
relief
sand
sentence
shoulder
smoke
stomach
string
tourist
towel
vacation
west
wheel
wine
arm
aside
associate
bet
blow
border
branch
breast
brother
buddy
bunch
chip
coach
cross
document
draft
dust
expert
floor
god
golf
habit
iron
judge
knife
landscape
league
mail
mess
native
opening
parent
pattern
pin
pool
pound
request
salary
shame
shelter
shoe
silver
tackle
tank
trust
assist
bake
bar
bell
bike
blame
boy
brick
chair
closet
clue
collar
comment
conference
devil
diet
fear
fuel
glove
jacket
lunch
monitor
mortgage
nurse
pace
panic
peak
plane
reward
row
sandwich
shock
spite
spray
surprise
till
transition
weekend
welcome
yard
alarm
bend
bicycle
bite
blind
bottle
cable
candle
clerk
cloud
concert
counter
flower
grandfather
harm
knee
lawyer
leather
load
mirror
neck
pension
plate
purple
ruin
ship
skirt
slice
snow
specialist
stroke
switch
trash
tune
zone
anger
award
bid
bitter
boot
bug
camp
candy
carpet
cat
champion
channel
clock
comfort
cow
crack
engineer
entrance
fault
grass
guy
hell
highlight
incident
island
joke
jury
leg
lip
mate
motor
nerve
passage
pen
pride
priest
prize
promise
resident
resort
ring
roof
rope
sail
scheme
script
sock
station
toe
tower
truck
witness
a
you
it
can
will
if
many
most
other
use
make
good
look
help
go
great
being
few
might
still
public
read
keep
start
give
human
local
general
she
specific
long
play
feel
high
tonight
put
common
set
change
simple
past
big
possible
particular
today
major
personal
current
national
cut
natural
physical
show
try
check
second
call
move
pay
let
increase
single
individual
turn
ask
buy
guard
hold
main
offer
potential
professional
international
travel
cook
alternative
following
special
working
whole
dance
excuse
cold
commercial
low
purchase
deal
primary
worth
fall
necessary
positive
produce
search
present
spend
talk
creative
tell
cost
drive
green
support
glad
remove
return
run
complex
due
effective
middle
regular
reserve
independent
leave
original
reach
rest
serve
watch
beautiful
charge
active
break
negative
safe
stay
visit
visual
affect
cover
yellow
yogurt
young
youth
yet
yield
you
yawn
yell
yes
yeah
yearn
yam
yacht
yesterday
yeast
yummy
yam
yoga
Yemen
yttrium
report
rise
walk
white
beyond
junior
pick
unique
anything
classic
final
lift
mix
private
stop
teach
western
concern
familiar
fly
official
broad
comfortable
gain
maybe
rich
save
stand
young
fail
heavy
hello
lead
listen
valuable
worry
handle
leading
meet
release
sell
finish
normal
press
ride
secret
spread
spring
tough
wait
brown
deep
display
flow
hit
objective
shoot
touch
cancel
chemical
cry
dump
extreme
push
conflict
eat
fill
formal
jump
kick
opposite
pass
pitch
remote
total
treat
vast
abuse
beat
burn
deposit
print
raise
sleep
somewhere
advance
anywhere
consist
dark
double
draw
equal
fix
hire
internal
join
kill
sensitive
tap
win
attack
claim
constant
drag
drink
guess
minor
pull
raw
soft
solid
wear
weird
wonder
annual
count
dead
doubt
feed
forever
impress
nobody
repeat
round
sing
slide
strip
whereas
wish
combine
command
dig
divide
equivalent
hang
hunt
initial
march
mention
smell
spiritual
survey
tie
adult
brief
crazy
escape
gather
hate
prior
repair
rough
sad
scratch
sick
strike
employ
external
hurt
illegal
laugh
lay
mobile
nasty
ordinary
respond
royal
senior
split
strain
struggle
swim
train
upper
wash
yellow
convert
crash
dependent
fold
funny
grab
hide
miss
permit
quote
recover
resolve
roll
sink
slip
spare
suspect
sweet
swing
twist
upstairs
usual
abroad
brave
calm
concentrate
estimate
grand
male
mine
prompt
quiet
refuse
regret
reveal
rush
shake
shift
shine
steal
suck
surround
anybody
bear
brilliant
dare
dear
delay
drunk
female
hurry
inevitable
invite
kiss
neat
pop
punch
quit
reply
representative
resist
rip
rub
silly
smile
spell
stretch
stupid
tear
 '''

l = l.split()

from pwn import *

context.log_level ='debug'
# print(l)
li = []
for i in l:
    if len(i)>=4:
        li.append(i)

# print(li)

r = remote("211.229.232.121", 50005)

print(r.recvuntil('[*] Good Luck!'))
hi = r.recvline().decode('utf-8')
hi = r.recvline().decode('utf-8').split(':')[-1]
print(hi)
cnt = 0
# print(str(hi)[-2])
# # r.send('hi')
while True:
    for i in li:
        if i[0] == hi[-2]:
            # k = bytes(i, encoding = "utf-8")
            k = i
            print(k)
            r.sendline(k)
            li.remove(k)
            try:
                li.remove(hi)
            except:
                pass
            break
    hi = r.recvline().split(':')[1]
    cnt+=1


print(cnt)

FLAG = YISF{4R3_y0u_4_M49ic14n_0F_Lan9u4g3}

[MISC] Have you ever heard a fox cry?

밢밞딻발닦받닶빠뭏
발탕빫맣발밦딿둡붏
퐁탈빲맣맣판뿌뿡북
뫃볻팟탉받붘뭏뿣뚴
뽀뽀뫃카운붖푸뭏툷
돈뫃뫃골쿺툰뿌붋뿏
볻뽀뽀콜욶툭뭏두뭏
톶도뽂뫃굮두푸뿌분
똨볾톯도쿦붘뿌뭏붆
봄뽀봌봇휴뚜분붇뚜
볼뫃뫃뫃더벖둑툲둟
돈독뽀퍼멓뻐멓뿡뿎
뽀복펗뻒멓뻘멓멓뭏
뽕멓뻩털터벐떠벌벆

딱 봐도 아희길래 걍 아희 처리기로 풀었다.

FLAG = YISF{A_hee_ahee_ha_hee!}

Twinkle Twinkle Little Star

https://youtu.be/_n9tj1bq2iM

이런 mov영상 파일을 하나 주는데 LED의 점멸에 맞춰서 모스부호로 바꿔서 돌려보면 nc주소가 하나 나오는데 nc에 들어가면 FLAG를 준다.

하나가 #으로 나와서 0부터 9까지 넣어 봤는데 nc 211.229.232.120 6580 였다.

밑에 작게 Flag Hint라는 게 보이는데 누가 봐도 base64 인코딩이다.

FLAG = YISF{nalang_byeol_boleo_gallae?}

[MISC] Ready... Action!!!

이건 문제 설명에 힌트가 다 있었는데 Redux 상태 관리 디버깅에 관한 문제였다.

Redux DevTools라는 크롬 익스텐션을 쓰면 이렇게 보이는데 머 type을 GET_FLAG로 바꾸라는 거 같다.

어떻게 바꿔야 되는지 뒤지게 헤매다가

저기 잘 안 보이지만 Dispatcher라고 적혀있는데 이걸 눌러서 type을 GET_FLAG로 바꾸면 FLAG를 준다

FLAG = YISF{Ch3ck_th3_deBugGing_m0dul3_b3fOre_D3p1oy_5erViCe!}

[MISC] Paint with a brush

마지막 미스크 문제이다.

이문제에서 진짜 한 5시간은 쓴 거 같다.

이런 txt 파일과 zip 파일을 하나 주는데 zip 파일에는 암호가 걸려있다.

이 txt 파일의 내용은 brain fuck라는 언어 같은데 걍 온라인 디코더 돌렸다.

이런 hex값이 나오는데 걍 감으로 사진 파일일 것 같아서 헤더를 보니까 png파일이었다.

근데 그냥 png로 바꾸면 파일이 깨져서 나오는데

이 0 부분을 지워주면 제대로 된 사진이 나온다.

여기서 진짜 시간을 개많이 썼는데 인텐인진 모르겠지만 난 zsteg라는 툴을 사용했다.

zsteg -a 사진.png 하면 정보를 뽑아준다.

먼가 엄청 많이 뽑히는데

여기서 중복을 제거하면 ZIP{7sTH6E!}ZIP가 나오고 7sTH6E!가 zip 파일의 암호이다.

zip 암호를 풀고 나면 gif 파일을 하나 얻을 수 있는데 이를 hxd로 까 보면 맨 밑에

라는 게 있는 걸 볼 수 있다.

gif 파일을 사진 파일이 모여서 만들어진 거기 때문에 모든 사진 파일의 크기를 찾아서 높이를 530으로 바꿔주어야 한다.

현재 파일의 크기는 480x480, hex로는 E0 01 E0 01인데 이를 모두 찾아서 E0 01 12 02로 바꾸면 밑에 잘려있던 FLAG를 볼 수 있다.

FLAG = YISF{You_4RE_4_R3ALLY_5MART_P3R5ON!}

[Rev] Space Y

아이다로 까서 함수를 뒤지다 보면 딱 봐도 수상한 게 하나 있다.

dword_14000A19C가 256이고 dword_14000A048이 128인걸 볼 수 있다.

걍 리스트 가져와서 연산해줬다.

l = [0xD9, 0xC9, 0xD3, 0xC6, 0xFB, 0xC9, 0xDF, 0xF7, 0xB1, 0xEC, 0xEC, 0xDF, 0xE7, 0xB0, 0xDF, 0xF4, 0xB0, 0xDF, 0xD6, 0xB3, 0xCE, 0xD5, 0xB5, 0xFE, 0xFD, 0x00, 0x00, 0x00, 0x75, 0x98, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00]

a = 256
b = 128
flag = ''
for i in range(len(l[:25])):
    flag+=chr(a^(b+l[i]))

print(flag)

FLAG = YISF{I_w1ll_g0_t0_V3NU5~}

정말 대충 쓴 거 같닿;;

후기

일단 36시간 대회라서 자고 일어나도 대회를 해야 된다는 게 조금 어지러웠지만 자고 일어났는데 순위가 거의 안 바뀐 걸 보고 다행이라고 생각했다. 36시간이 생각보다는 긴 시간이었어서 끝나고 나니까 너무 조급하게 풀었던 거 같기도 하다. 리버싱 문제 한 문제 더 풀 수 있었을 거 같은데 맞는 리스트를 찾아놓고도 아닌 줄 알아서 드롭했던 게 조금 아쉬운 것 같다. 내일이 본선인데 머 본선에서 문제를 풀 수 있을 거라고 기대하진 않지만 문제 구경하는 데에 의미를 두어야겠다. 그리고 오늘 안동대 대회도 있었는데 이거 Write up 겸 후기도 써야 되는데 이것도 언제 쓸지는 미지수이다.

복습겸 쓰는 리버싱 기초 Write UP

ursobad — Mon, 2 Aug 2021 05:45:06 +0900

제일 위의 4문제는 전 포스팅에서 풀었으니 다음문제들부터 차근차근 작성해봐야겠다

문제 수가 생각보다 많아서 두세개로 끊어서 작성하게 될 것 같다.

end or null?

binary : whatisend / linux / 64bit

로직 자체가 굉장히 간단하다. 그냥 리스트 가져와서 xor역연산 해줬다.

v6 = [67, 95, 0, 48, 43, 28, 13, 58, 58, 11, 10, 59, 54, 26, 44, 37, 31, 23, 29, 48, 48, 29, 45, 49, 27, 25, 0, 83, 63]
flag = ''
for i in range(33,127):
    flag = chr(i)
    for j in range(29):
        flag+=chr(ord(flag[j])^v6[j])
    print(flag)

머가 엄청 많이 나오는데 그중 가장 flag같은걸 찾아보면 s0oo_the_end_is_zero_or_null?가 나오게 된다.

quackme

binary : quackme / linux / 32bit

핵심 로직인것 같다.

i + 134514776의 주소의 값과 입력값을 xor해서 greetingMessage과 비교하는거 같으니까 그냥 다 가져와서 역연산 하면 될것 같다.

table1 = [0x29, 0x06, 0x16, 0x4F, 0x2B, 0x35, 0x30, 0x1E, 0x51, 0x1B, 0x5B, 0x14, 0x4B, 0x08, 0x5D, 0x2B, 0x50, 0x14, 0x5D, 0x00, 0x19, 0x17, 0x59, 0x52, 0x5D]

greetingMessage = "You have now entered the Duck Web, and you',27h,'re in for a honk"
flag = ''
for i in range(len(table1)):
	flag+=chr(table1[i]^ord(greetingMessage[i]))

print(flag)
# ( greetingMessage[i] == (*(i + 134514776) ^ s[i]) )
# picoCTF{qu4ckm3_5f8d9c17}

avap

binary : avap / linux / 64bit

strcmp_

핵심로직들인데 가장 중요한건 key값이다. key값을 브포해도 찾을수 있지만 함수들을 잘 살펴보면 check함수를 찾을 수 있는데 여기서 key값을 만든다.

위의 if문을 풀어서 key값을 찾고 "akf`|3tXb32~X3tX6sX`4stz"과 xor하면 풀릴 것 같다.

from z3 import *
z = Solver()

v4 = Int('v4')

z.add(v4 * (v4 - 14) == -49,v4 <= 24)
z.check()
print(z.model())

# [v4 = 7]

z3로 슥싹 해보면 key가 7인것을 알 수 있다. 이제 걍 무지성 xor하면 된다.

a = 'akf`|3tXb32~X3tX6sX`4stz'

key = 7
flag = ''
for i in range(len(a)):
	flag+=chr(ord(a[i])^key)
print(flag)

# flag{4s_e45y_4s_1t_g3ts}

end_linux

binary : check_linux / linux / 64bit

먼가 값을 쌓은다음에 비교하는것 같은데 어짜피 target이 flag인것 같으니까 그냥 동적디버깅으로 target값을 까보면 될 것 같다.

아이다 디버깅을 사용했다.

target에 값이 쌓여 flag가 나온다.

wwwww

binary : mm / linux / 64bit

핵심 로직인것 같다.

일단 정연산을 먼저 짜려고 했는데 그냥 짜려고 보니까 걍 브포돌릴게 보여서 걍 돌렸다. 시드 고정시켜놓고 돌리면 되는데 이때 0xffff해주는거랑 word로 테이블 뽑는거에서 삽질을 좀 많이 했다.

from ctypes import *
import string

libc = CDLL('libc.so.6')
libc.srand(0x17A3)
table1 = [0x73A8, 0x39CC, 0x4E0A, 0x8D85, 0xD1F2, 0x7776, 0x272E, 0xAB31, 0x8F34, 0x4659, 0xE7AC, 0xA308, 0x154D, 0x7D9F, 0x7123, 0xF8DB, 0x49C4, 0x5BB8, 0x2274, 0xDD76, 0xC29D, 0x7048, 0x52AE, 0x1361, 0xC98C, 0x73A6, 0x870A, 0x8870, 0x748D, 0x0669, 0x8C8F, 0xE8A9, 0x40B1, 0xDABF, 0x76C7, 0x133D, 0x52B2, 0x9E59, 0xBE76, 0xE248, 0xE4DD, 0xA6C5, 0x856E, 0xFAB7, 0x2465, 0xF6F7, 0xF41C, 0x6E93, 0x535A, 0x16DA, 0x4C54, 0x166D, 0x87A4, 0x9F0F, 0x29DD, 0x51A3, 0x1327, 0x003A]
flag = ''
for i in range(len(table1)):
    v4 = libc.rand()&0xffff
    for j in range(33,128):
        tmp = v4*j%(v4+1)
        if tmp==table1[i]:
            flag+=chr(j)

print(flag)

#dimi{ca1cul4t3d_inv3rs3?_0r_us3d_z3?_0h_y0u_ar3_4_F0Ol_;)}

345y?

binary : TooEASY.exe / windows / 32bit

이전문제랑 거의 유사한 형태이다. 그냥 윈도우 랜덤값만 뽑을줄 알면 끝나는 문제이다.

from ctypes import *

libc = CDLL('msvcrt')
libc.srand(0x3FD1CC7)

Str2 = [0x4D,0x0CB,0x0C3,0x0BB,0x19,0x0A,0x1A,0x7F,0x50,0xF8,0x18,0x08,0x89, 0x0C1,0x0A8,0x0CF,0x0BA,0x0BE,0x0EC,0x75,0x90,0x0E2,0x23,0x6D,0x0A4,0x0B7,0x35,0x0F5,0x0D1,0x9A,0x32,0x1A,0x8E]
flag = ''
for i in range(len(Str2)):
    v4 = libc.rand()%256
    for j in range(33,128):
        if (v4|j) &((255 - (v4 & j))%256) == Str2[i]:
            flag+=chr(j)
print(flag)

# dimigo{warmup?_nooo_coldup_isit?}

무지성 브포 했다.

리버싱 2일차

ursobad — Fri, 9 Jul 2021 19:03:11 +0900

어제 윤리교육, 어셈에 대해 배웠고 오늘은 x96dbg 사용법, 문제풀이를 하였다

그냥 숨겨진 Flag를 찾으면 되는 문제이다.

DIE로 뜯어보면 이렇게 나온다

x32dbg에서 문자열 찾기를 하면 flag가 나온다

마찬가지인 문제이다.

이거는 HxD로 뜯어면 Flag가 나온다

대충 보면 먼가를 입력받고 그걸 Flag랑 비교하는 것 같다. 일단 비교를 하려면 Flag가 어딘가에 있어야 하니까 어셈에서 if문인 cmp를 유심히 보면 될것 같다.

일단 인풋에서 f2를 눌러서 Break Point를 만들고 f9를 눌러 프로그램을 시작한다. 그후에 input이 나올때까지 f8을 눌러 넘긴다.

계속 넘기다보면 이렇게 Input을 입력하라고 나오는데 아무거나 입력한다.

그리고 쭉 f8을 넘기면서 보면 반복되는 부분이 있다

이부분에서 계속 반복되니까 여기 어딘가에서 Flag랑 비교하는것일 것 같다.

cmp를 하나씩 까보면 cmp dword ptr ss:[ebp-18],16부분에는 없고

여기에 있는것을 볼 수 있다.