看雪.WiFi萬能鑰匙 CTF 2017第十二 點評及解題思路

Editor發表於2017-06-28
WiFi


看雪CTF 2017 比賽進行至第十二題

截止至今天中午12點,第十二題破解人數為 5 人!

防守方 hsadkhk 依然位居首位~,第十二題作者衝進第二位!

此題過後,風間仁依然處於第一位,前十名排名基本保持不變。


比賽進入尾聲,僅剩 3 題。

期待ing......

接下來我們來回顧一下第十二題

看看 看雪評委和出題者是怎麼說的ヾ(๑╹◡╹)ノ"。


看雪評委 netwind 點評


作為一道安卓平臺破解題,作者在反除錯和加密演算法上對apk檔案進行了很好的防護。通過對dex檔案進行hash校驗,隱藏函式名,在so層檢查是否被附加除錯來進行反除錯。在演算法上採用了DES和RC6演算法,需要暴力列舉來破解此題。


作者簡介


liuluping,四川大學資訊電子資訊學院在讀研究生,目前研究方向為軟體安全和漏洞分析,正在進行符號執行和程式自動化分析分析相關的研究,從碩士開始接觸軟體安全,從事程式分析,惡意程式碼分析和檢測的相關方向的研究。

在程式分析上比較擅長協議逆向分析,常見加密演算法識別以及惡意程式碼分析等,在實驗室的日常工作中,接觸較多各種零散類的工作,在安全研究路上還有待成長。


看雪 CTF 2017 第十二題設計思路


題目Flag

Flag:kxuectf{D3crypted1sV3rylntere5tin91}

題目設定時需要說明flag格式:kxuectf{},否則後面涉及到暴力破解,可能會出現題目無解。

安全策略

1. DEX 修改和反除錯檢測

(1)對DEX檔案的SHA-1值進行檢測:從/data/dalvik-cache/目錄中讀出應用安裝儲存的DEX檔案,獲取裡面DEX檔案的SHA-1值,並與應用原始的SHA-1值比較,不相等則退出,隱藏在動態註冊中;

(2)為了防止解題者直接nop掉exit()函式,在進入so中的check函式後首先再進行一次DEX是否修改和反除錯檢測,如果檢測到任意一個就將DES演算法金鑰的第5個和第6個值改掉。

2. 隱藏MainActivity,使得程式不執行配置檔案中的MainActivity 。

安全策略

1.採用符號隱藏策略,將函式名隱藏

2.動態註冊

使用動態註冊將java層的check函式動態註冊為ab函式

Java層演算法

1. 在配置檔案的MainActivity 即Main類中新增了多餘的迷惑解題者的簽名驗證,實際並沒有執行。

2. Java層演算法一共三個,ab.a()、ba.a()、ca.a(),但是真正有用的是ab.a(),一個簡單的移位加密。

Main類中的呼叫順序是:

  str=ca.a(input)+ba.a(input)+ab.a(input)

uv類中的呼叫順序是:

  str= ab.a(input)+ba.a(input)+ca.a(input)

ab.a()、ba.a()函式密文和輸入長度一樣,ca.a()函式密文與輸入長度有關,所以演算法需要對輸入位數的判斷,來確定輸入為多少位。

3. 真正用於so中驗證的只取前36位,也就是真正有用的加密函式只有ab.a()。


Native 層演算法

1. Native層演算法思路簡單,使用兩層加密演算法,分別是RC6和DES。

2. 演算法基本步驟如下:

3. 首先將輸入利用DES進行加密,其中DES金鑰硬編碼在程式中,需要進行5輪。

4. 將加密後的資料分成兩部分,前4輪組成0x20個位元組作為第一部分,而後面一輪的前4個位元組作為另外一部分。

5. 將步驟2中得到的最後一輪前4個位元組替換掉硬編碼的0x10個位元組後作為下一步驟進行加密的RC6金鑰。

6. 利用步驟3中得到的RC6金鑰對步驟1中加密後得到的前半部分(0x20)進行加密後和硬編碼的資料進行比較。

7. 最後根據比較結果得到True或者False並返回。

8. Native層的加密演算法整個流程見PPT第二頁。


相關思路

1. 在步驟1中使用的DES加密演算法為標準的加密演算法,使用的Paddting填充模式,填充資料為(8-(加密長度%8))

2. 在RC6演算法中,對兩個固定引數中的一個稍微進行了修改,引數Q由0x9E3779B9變成了0x61c88647。

3. 為了增加一點難度,這裡沒有直接將輸入經過兩次加密後直接和硬編碼資料進行比較,而是將第一次加密後的部分作為第二次金鑰的一部分。這裡不會造成無解。因為在程式中已經進行了提示flag開頭為kxuectf{,因此前8個位元組固定,經過java層相關變換以及到了native層第一次DES加密時,由於DES也是8位元組分組加密,因此DES加密後輸出8位元組也是固定的,為“\x4c\xd9\xa3\xe6\xed\xfe\xd1\x05”。

這樣在進行解題中,由於知道最後比較結果,知道RC6金鑰的前12個位元組,以及知道RC6加密前的明文的前8個位元組格式,因此這裡一般思路是可以暴力列舉4個位元組,將比較結果進行解密判斷前8個位元組是否等於上面的結果,從而得到RC6的金鑰,進而逆推還原。

4. 但其實只需要破解3個位元組就ok,通過分析程式可知,flag為36個字元,最後一個為},經過java層加密後得到固定字元‘{’,在進行DES加密時,採用padding模式,因此最後一組肯定是”xxx{\x04\x04\x04\x04”。

從這個地方推過去,由於最後一組進行DES加密後會去前4個位元組來替換掉RC6的金鑰,因此列舉最後一組前的3個字元即可,這樣將最後一組進行列舉並一次進行DES加密然後將結果中的前四個位元組取出來替換到硬編碼的RC6金鑰,然後利用RC6金鑰對最後比較的0x20個位元組進行解密,如果接的得到的前8個位元組為“\x4c\xd9\xa3\xe6\xed\xfe\xd1\x05”則表示最後flag的最後四個字元已經確定,並且RC6的金鑰也確定,這樣在再對硬編碼資料進行解密並依次逆推後即可順利得到最後的flag:kxuectf{D3crypted1sV3rylntere5tin91}。


下面選取攻擊者 loudy 的破解分析



使用工具:IDA6.8(so修改、反彙編分析、動態除錯) notepad(記錄) vc6.0(程式設計解碼) android sdk emulator(android4.4虛擬機器)、jeb(dex反編譯)ApkIDE(修改DEX、重打包)

步    驟:

一、反逆向手段繞過

(1)dex層

直接JEB分析,如下圖3處紅線標註的地方有MD5校驗。

看雪.WiFi萬能鑰匙 CTF 2017第十二 點評及解題思路

繞過方法也很簡單,ApkIDE反編譯,修改下圖61行的if-eqz為if-neq,並重新打包,即可直接跳過MD5檢測。打包時,也許會提示某個styles.xml的幾行有問題,刪除那幾行即可。


(2)so層

用IDA連線,程式直接退出,故肯定有反除錯手段。用winrar對apk檔案解包後,發現lib目錄有3個不同的so檔案,如下,其中armeabi-v7a資料夾下的libenjoy.so檔案才是我的android4.4系統需要的,分析此檔案。


IDA載入,靜態分析,沒有發現.init表,那麼我們重點分析JNI_OnLoad函式。其中sub_24B8和sub_281C是兩個主要的反除錯函式。

看雪.WiFi萬能鑰匙 CTF 2017第十二 點評及解題思路

而sub_2350和sub_2378都是同一種形式的解碼函式,即按位元組依次與0x16異或,解密結果都是字串,這種函式後面還有很多,不一一介紹。

JNI_OnLoad中第14行解碼結果為“check”,也即dex呼叫的本地函式,再看17行,跟蹤到如下位置,發現check函式的實際地址為sub_3748。

而此處作者也用了一個小手段,自己新建了一個名為.mytext的可執行段,sub_3748在其中實現,導致IDA在預設的.text段找不到該函式,有一定的反逆向效果。

再看JNI_OnLoad函式呼叫的sub_24B8函式,該函式的主要作用是讀取/data/dalvik-cache/目錄下的data@app@com.game.kxctf-1.apk@classes.dex檔案或者data@app@com.game.kxctf-2.apk@classes.dex檔案的校驗值,結果與“E07784C2A2923354F18952BBDB5D81916D24D2F5”比較,不等於則exit(0)退出程式。

繞過方法也很簡單直接將JNI_OnLoad中對該函式的呼叫以0x00覆蓋即可。

JNI_OnLoad函式呼叫的sub_281C函式,實際就是呼叫sub_1B04如下,該函式建立了一個執行緒。

跟進後,發現執行緒主體如下。其中sub_25A8函式獲取/proc/%d/status的State,看其中是否包含“R/S/T”。sub_2628獲取/proc/%d/status的TracerPid,看是否為非0值。sub_2688執行cat/proc/%d/wchan,看結果中是否包含sys_epoll或者ptrace_stop。sub_24B8之前已經分析。

從分析可以知道,該執行緒沒有影響演算法流程,因此也可以直接在JNI_OnLoad中將對sub_281C的呼叫以0x00覆蓋,實現繞過。

最後在check函式sub_3748開頭還有一處反除錯,如下,分析發現sub_27B4功能和sub_24B8一模一樣,不再累述,直接將呼叫處用0x00覆蓋實現繞過。


二、演算法流程分析

反逆向手段清除後就可以大膽除錯,跟蹤演算法流程了。流程分dex層和so層兩個方面講。

(1)dex層

JEB分析結果很直觀,將三個函式分別對輸入字串的處理結果連線起來,送入so層處理,如果so層處理結果為1,則正確。

ca.a是base64編碼,ba.a、ab.a也分別是一種編碼,雖然有三種編碼,但實際分析後發現,ca.a和ba.a都不起作用,實際只有ab.a參與了演算法流程,該函式如下。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
publicstaticStringa(Stringinput) {
returnab.encrypt(input);
    }
publicstaticStringencrypt(Stringinput) {
Stringv3 = "";
intv2;
for(v2 = 0; v2<input.length(); ++v2) {
intv0 = input.charAt(v2);
if(v0<97 v0="">109) {
if(v0>= 65&&v0<= 77) {
v3 = String.valueOf(v3) + (((char)(v0 + 13)));
gotolabel_20;
                }
if(v0>= 110&&v0<= 122) {
v3 = String.valueOf(v3) + (((char)(v0 - 13)));
gotolabel_20;
                }
if(v0>= 78&&v0<= 90) {
v3 = String.valueOf(v3) + (((char)(v0 - 13)));
gotolabel_20;
                }
if(v0>= 48&&v0<= 57) {
v3 = String.valueOf(v3) + (((char)(v0 ^ 7)));
gotolabel_20;
                }
v3 = String.valueOf(v3) + (((char)(v0 ^ 6)));
            }
else {
v3 = String.valueOf(v3) + (((char)(v0 + 13)));
            }
label_20:
        }
returnv3;
    }

此時無需更加深入分析,可以等so反推之後再爆破。

(2)so層

so層流程其實很簡單。

1、   判斷dex層傳來的資料是否大於0x78(其實此時就是0x78),大於則over。

2、   擷取前0x24位(即dex層ab.a函式處理結果),並在結尾補4個4成0x28位。

3、   用金鑰{0xFD, 0xB4, 0x68, 0x54, 0x08, 0xCD, 0x56, 0x4E}對此0x28位進行DES加密(非標準)(實際操作時,金鑰轉換為子金鑰總有一兩位不同,故直接在記憶體提取子金鑰表,取消金鑰生成過程)

4、   DES結果第0x20、0x21、0x22,0x23位替換金鑰{0x65, 0x48, 0x32, 0xEF, 0xBA, 0xCD, 0x56, 0x4E, 0x0F, 0x9B, 0x1D,0x27, 0x0, 0x0, 0x0, 0x0}的最後四位。

5、   用上一步的金鑰對DES結果前0x20位進行RC6加密。

6、   RC6加密(非標準)結果與0x42D3C3C2, 0xF12AE92D, 0x66C92822, 0x2CEB540E,0x9407E577, 0x4A92B792, 0x2E5DFDF0, 0xF3549FC6比較,全部相等則註冊成功。

三、破解過程

流程梳理清楚就好了,首先通過除錯修改標準DES和RC6與程式所用一致。

其中DES修改較小,RC6修改較大,分別如下。一般RC6加密Q值為0x9E3779B9,而靜態分析可知此程式為0x61C88647(即-0x9E3779B9)。

另外RC6的金鑰會有個反饋,不是每次塊(0x10位元組)加密都用同一個金鑰,對照IDA將C程式碼做如下修改,其中kerr為下一次加解密的金鑰。

看雪.WiFi萬能鑰匙 CTF 2017第十二 點評及解題思路

這兩個函式調整好後(這是一個漫長的跟蹤過程),事情就好辦了。

由於DES為ECB模式,8位元組獨立加密。根據已知條件前8位元組為“kxuectf{”得到加密結果0x4C,0xD9, 0xA3, 0xE6, 0xED, 0xFE, 0xD1,0x05。

由最後一個位元組為“}”, ab.a函式處理後為“{”,所以DES加密的最後8位元組為x,x,x,{,4,4,4,4,其中x為未知數。編寫如下程式碼爆破,得到結果“a>6”。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
for(char i=0x20;i<0x7f;i++)< code="">
         for(char j=0x20;j<0x7f;j++)< code="">
              for(char k=0x20;k<0x7f;k++)< code="">
              {
                       str[0] = i;
                       str[1] = j;
                       str[2] = k;
                       memset ( str2, 0, sizeof ( str2 ) );
                       Des_Run ( str2, str, ENCRYPT );
                       key1[12]=str2[0];
                       key1[13]=str2[1];
                       key1[14]=str2[2];
                       key1[15]=str2[3];
                       rc6_key_setup(key1, 16);
                       rc6_block_decrypt(ct, pt);
                       if(pt[0]==stro[0] &&pt[1]==stro[1])
                       {
                            printf("%c%c%c%c\n",str[0],str[1],str[2],str[3]);
                       }
              }

由此得到正確RC6金鑰{0x65, 0x48, 0x32,0xEF, 0xBA, 0xCD, 0x56, 0x4E, 0x0F, 0x9B, 0x1D, 0x27, 0x13, 0x6a, 0x7e, 0x1F}。

利用此金鑰對0x42D3C3C2, 0xF12AE92D, 0x66C92822, 0x2CEB540E,0x9407E577, 0x4A92B792, 0x2E5DFDF0, 0xF3549FC6解密,得到結果“xkhrpgs}Q4pelcgrq6fI4elyagrer2gv”,加上“a>6{”,即“xkhrpgs}Q4pelcgrq6fI4elyagrer2gv a>6{”為正確的進入so的字串。

通過如下函式爆破。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
#include 
char test[] = "xkhrpgs}Q4pelcgrq6fI4elyagrer2gva>6{";
char getit(char a){
    if(a<97 a="">109){
            if(a>=48 && a <=57){< code="">
                return  a^7;
            }
            else if(a>=65&&a<=77){< code="">
                return a+13;
            }
            else if(a>=78&&a<=90){< code="">
                return a-13;
            }
            else if(a>=110 && a<=122){< code="">
                return a-13;
            }
            else{
                return a^6;
            }
    }
    else{
            return a+13;
    }   
}
  
int main(){
    for(int j=0;j<36;j++){< code="">
        printf("%d ",j);
        for(char a=0x20;;a++){
            if(getit(a)==test[j]){
                printf("%c ",a);
            }
            if(a==0x7f) break;
        }
        printf("\n");
    }
    return 0;
}

得到結果如下。

如果剔除掉特殊字元,得到註冊碼為

看雪.WiFi萬能鑰匙 CTF 2017第十二 點評及解題思路

“kxuectf{D3crypted1sV3rylntere5tin91}”輸入模擬器,正確。



最後感謝 WiFi 萬能鑰匙安全應急響應中心的贊助支援,

接下來的比賽大家一定要使出洪荒之力哦!↖(^ω^)↗

比心 ❤



贊助商

上海連尚網路科技有限公司成立於 2013 年,是一家專注於提供免費上網和內容服務的移動網際網路企業。連尚網路自主研發的核心產品 WiFi 萬能鑰匙,以分享經濟的模式,通過雲端計算和大資料技術,利用熱點主人分享的閒置WiFi資源,為使用者提供免費、穩定、安全的上網服務,以幫助更多的人上網,找到屬於他們的機會,改變自己的命運。



相關文章