[Toddle] flag

fd_WriteUp

보시면.. 파파(아빠?)가 선물을 보장해서 가져왔어요! 열어볼까요? 라고 합니다.
밑에 이것은 작업을 되돌리는 거고 너가 필요한건 이진수라고 합니다...

이렇게 받으세요

파일을 받아서 열어보니까..

바이너리 형식으로 그냥 열면 막 깨져서 나오겠죠 그럼 이걸 복원해봅시다.
이건 그럼.. 리버싱 문제이겠군요(잘 못하는데 ㅠ)

일단 hex로 바로 확인해봅시다.

ELF(리눅스 실행)이 두개가 중복되며 밑에 UPX!라고 하는게 존재합니다.
그럼 압축이 되었구나.. 라고 느낌이 오는군요 그럼 UPX가 무엇인지 알아볼까요?

---

UPX(Ultimate Packer for eXecutables)로써
여러 OS에서 수많은 파일 포맷을 지원하는 오픈 소스 실행 파일 압축 프로그램입니다.

GitHub - upx/upx: UPX - the Ultimate Packer for eXecutables

그래서 link나 header의 섹션이 못 찾겠다고 하는군요.. 
그럼 upx가 packing했기에 unpacking을 한 상태로 분석할 필요가 있습니다.

01

UPX에 간단 설명(너무 길어서 잘랐어요)

저런 기능의 툴이며, 명령어를 어느정도 알려줍니다

이런식으로 명령어를 사용할 수 있습니다.
저희는 unpacking을 해야하므로 decompress으로써 그냥 upx -d ./flag로 합시다

그럼 한번 분석해봅시다.

13에서 puts로 "I will malloc() and strcpy로 flag를 담았다..라고 합니다.
그럼 의사코드를 간단하게 작성하자면..

위와 같이 추측할 수 있습니다.

flag라고 보이는 부분에 rip+0x2c0ee5이며, rip는 다음 주소를 가르키기에
0x40118b+0x2c0ee5 = 0x6C2070 입니다.

그러므로 해당 주소를 확인한다면..

밑에 저런 문구가 나오며 저 부분이 flag라고 할 수 있습니다.

---

참고 자료

 

 

참고 이미지