看雪CTF.TSRC 2018 團隊賽第三題『七十二疑冢』解題思路

Editor發表於2018-12-23

建安二十五年，操崩於洛陽，年六十六。遺令曰：“天下尚未安定，未得遵古也。葬畢，立疑冢七十二，亦虛亦實。智者得金玉珍寶。”——《三國演義》

這就是看雪CTF.TSRC 2018 團隊賽第三題《七十二疑冢》的名字出處。

此題的難度就和《三國演義》中虛構的七十二疑冢一樣讓人迷惑。

今天中午12：00，本題攻擊時間畫上了句號。相比第一題（89人攻破）和第二題（67人攻破），《七十二疑冢》只有 5 支戰隊將其攻破。

看雪CTF.TSRC 2018 團隊賽第三題『七十二疑冢』解題思路

第三題點評

crownless：

七十二疑冢題目的主程式程式碼量很小，也沒有任何保護，因此可以使用反編譯器快速看清程式的邏輯。但是此題涉及到了線性反饋移位暫存器的相關知識，如果沒有相關知識的儲備及一定的數學功底，就很難上手本題。

第三題出題團隊簡介

出題方：中婭之戒

看雪CTF.TSRC 2018 團隊賽第三題『七十二疑冢』解題思路

初次見面請多關照！

期末考試纏身的密碼學方向在讀研(小)究(姑)生(娘)參見各位大佬（猛鞠躬）

//隊名叫中婭當然是想要個金身啦

//寫writeup的幾位可能都是神仙吧真的厲害QAQ

//其實題中還埋了幾個小彩蛋大佬們要不要找一找……？

//可不可以誇一下我的crackme小巧可愛……？可以嗎可以嗎可以嗎~

第三題七十二疑冢解題思路

本題解析由看雪論壇 Riatre 原創，據說曾在強網杯中一人吊打全場

看雪CTF.TSRC 2018 團隊賽第三題『七十二疑冢』解題思路

觀察

題目（又）給出了一個 32 位控制檯 Windows 應用程式C72.exe:

$ file C72.exe

C72.exe: PE32 executable (console) Intel 80386, for MS Windows

同樣沒有任何保護，執行一下：

N:\pediy\3>C72.exe

請輸入序列號！////當且僅當回顯“序列號輸入正確”時才算破解成功

----------------------------------------------------

序列號：12345678

Input invalid!

看起來也是一個經典的輸入 flag，輸出對錯的題目。

分析

這個程式分析起來難度比較小，其本身程式碼量很小，也沒有任何保護，無論是採用 IDA Pro 還是在偵錯程式中跟蹤，很快便可以看清程式邏輯，故這裡不再給出“如何閱讀反彙編”這部分的分析過程，也不在著重分析諸如輸入是怎麼編碼的之類的小細節問題，若有疑問可直接參閱後文的解題程式碼。

程式首先採用預定義的字串初始化了一個作為 key 使用的 buffer，接下來讀取輸入，並對其進行 hex decode，這裡的 hex decode 過程寫的不太魯棒（沒有判斷長度和字元範圍），但其採用了轉完之後再用 sprintf 重新格式化成大寫 hex 串並和原串比較的方法，保證了輸入一定是總計 18 個字元的大寫 hex 串。

將 decode 得到的 9 位元組記為 g_input。

程式接下來逐個考慮這 9 個位元組中的每一位（共 72 位），根據每一位利用另一張預定義的常量表（共72 * 16 位元組，不妨將其視作72行，每行16位元組的表）將原始的 key buffer 進行變換。變換的具體方法為，對於第 i 位，若其是 1，則將 key_buffer+i 開始的 16 位元組與預定義的常量表中的第 i 行進行異或。

接下來，程式摸出了一個 16 位元組的 buffer，並呼叫了一個函式對其進行“解密”，要求解密得到的最後兩位元組為 0，若符合則將解密得到的內容作為字串輸出。結合程式一開始輸出的提示，很顯然，這裡要求解密得到的是對應序列號輸入正確這七個漢字的 GBK 編碼加上兩位元組 00。

而這個“解密”函式也十分簡單：

unsigned char kMysteriousTable[256][16] = { /* 略 */ };

void DecryptResponse(unsigned char *data, unsigned char *key, unsigned int keylen)

{

for (unsigned int i = 0; i < keylen; i++)

{

unsigned int lsb = data[0] ^ key[i];

for (int j = 0; j < 15; j++) {

data[j] = data[j+1] ^ kMysteriousTable[lsb][j];

}

data[15] = 0 ^ kMysteriousTable[lsb][15];

}

}

其對輸入進行了 keylen 次操作，每次將資料的最低位元組混合上當前 key，用作索引查表，然後將資料移動 8 位，前方補 0 並異或上表中對應的 16 位元組。“移位”、“根據輸入決定異或上的值”、“異或”……敏銳的讀者可能在 10 句話之前就意識到了，這聽上去就是一個反饋移位暫存器。

其與教科書般的 FSR 的差別在於其一次做 8 位而非 1 位。

知道了其是一個 FSR 之後，我們首先驗證一下它是不是線性的，即對於一位元組中 8 位分別的反饋的組合等同於整體的反饋：

import pefile

import operator

def u128(x):

assert len(x) == 16

return reduce(operator.or_, [(ord(c) << (8 * i)) for i, c in enumerate(x)])

pe = pefile.PE('C72.exe')

kBytewiseLFSRTable = 0xDEC0

bwlfsr_table = [u128(pe.get_data(i, 16)) for i in xrange(kBytewiseLFSRTable, kBytewiseLFSRTable + 256 * 16, 16)]

for i in xrange(256):

val = reduce(operator.xor, [bwlfsr_table[1 << j] for j in xrange(8) if (i >> j) & 1], 0)

assert val == bwlfsr_table[i]

print 'OK'

程式輸出了 OK，同時我們發現：

assert bwlfsr_table[1] << 1 == bwlfsr_table[1 << 1]

也成立，因此看起來其就是一個單個的 Galois 模式的 LFSR 的一次處理一位元組的“加速處理”版，也就是說，若將上述 C 程式碼中的 data、key 都視作小端表示的整數，其完全等價於以下程式碼：

mask = 0x1000000001408008000000002000000 << 7 # toggle mask

for i in xrange(keylen * 8):

lsb = ((data & 1) ^ ((key >> i) & 1))

data >>= 1

if lsb:

data ^= mask

解決

知道了這一點之後，接下來就好辦了，線性反饋移位暫存器中的重點在於線性，也就是說其輸出完全是輸入的線性組合，注意到輸入及 LFSR 的引數已知，key 混合進去和 LFSR 同樣是在 GF(2) 上進行的（說人話：都是異或），因此輸出可以表示為 key 的各位的線性表示，加上已知的預期輸出，可以得到一個線性方程組。

由於 LFSR 的長度是 128 位，這裡可以得到 128 個線性方程，而 key 的長度是 138 * 8 位，遠超過 128，因此可能的 key 會十分多，但由於 key 的生成方式所限，其中絕大多數都無法找到一個對應的 g_input。因此直接求解 key 再試圖反算回程式的輸入是不可行的。

注意到 key 生成的過程也是線性的，因此其實可以將 key 的每一位也表示成關於輸入的 72 位的線性表示，這樣只要解存在，其一定是唯一的，並且可以直接求出。

接下來就是愉快的寫程式碼時間了，由於最後 GF(2) 上的線性方程組打算直接採用 Sage 求解，不如就把整個程式碼用 Sage 寫吧。（當然也可以自己寫 Gauss Elimination，但是何必呢……）

import pefile

import operator

def u128(x):

assert len(x) == 16

return reduce(operator.or_, [(ord(c) << (8 * i)) for i, c in enumerate(x)])

def split_bits(x):

return [(x >> i) & 1 for i in xrange(128)]

pe = pefile.PE('C72.exe')

# Data offsets (RVA)

kInitialKey = 0xB9D0 # length = 138

kBytewiseLFSRTable = 0xDEC0

kKeyRowTobeMixed = 0xEEC0

kWinMsg = 0xBA7E # length = 14

LFSRInputInstr = 0x1281

# Sanity check

bwlfsr_table = [u128(pe.get_data(i, 16)) for i in xrange(kBytewiseLFSRTable, kBytewiseLFSRTable + 256 * 16, 16)]

for i in xrange(256):

val = reduce(operator.xor, [bwlfsr_table[1 << j] for j in xrange(8) if (i >> j) & 1], 0)

assert val == bwlfsr_table[i], hex(val) + ' ' + hex(bwlfsr_table[i]) + ' ' + str(i)

# Solve

key = map(ord, pe.get_string_at_rva(kInitialKey))

encmsg = u128(''.join([pe.get_data(i+3, 4) for i in xrange(LFSRInputInstr, LFSRInputInstr + 7 * 4, 7)]))

winmsg = u128(pe.get_data(kWinMsg, 14) + '\x00\x00')

mask = bwlfsr_table[1] << 7

bitspos = [i for i, x in enumerate(bin(mask)[2:][::-1]) if x == '1']

keyrows = [map(ord, pe.get_data(i, 16)) for i in xrange(kKeyRowTobeMixed, kKeyRowTobeMixed + 72 * 16, 16)]

class Symbol(object):

def __init__(self, *idx):

self.const_v = 0

self.vars = set(idx)

def __ixor__(self, other):

if isinstance(other, int):

self.const_v ^^= other

else:

assert isinstance(other, Symbol)

self.const_v ^^= other.const_v

self.vars.symmetric_difference_update(other.vars)

return self

@classmethod

def const(cls, v):

result = cls()

result.const_v = v

return result

inpbit = map(Symbol, xrange(72))

cur = map(Symbol.const, split_bits(encmsg))

# LFSR in Galois mode

for i in xrange(len(key)):

for j in xrange(8):

c = Symbol.const((key[i] >> j) & 1)

for k in xrange(16):

if i - k < 0: break

if i - k > 71: continue

if (keyrows[i-k][k] >> j) & 1:

c ^^= inpbit[i-k]

c ^^= cur[0]

nxt = cur[1:] + [Symbol.const(0)]

for pos in bitspos:

nxt[pos] ^^= c

cur = nxt

GF2 = GF(2)

lhs = matrix(GF2, len(cur), len(inpbit))

rhs = vector([GF2(a ^^ b.const_v) for a, b in zip(split_bits(winmsg), cur)])

for i, sym in enumerate(cur):

for b in sym.vars:

lhs[i, b] = 1

print hex(int(''.join(map(str, lhs.solve_right(rhs))), 2))[2:].rstrip('L').upper()

執行即可得到本題的“序列號”：

$ time sage solve.sage

E7DFE373BFF25B92B6

sage solve.sage0.81s user 0.13s system 99% cpu 0.944 total

Trivia

1、其實 Sage 自帶符號計算功能，用的好的話甚至不用像上面的程式碼一樣手動建出矩陣，可以直接 .solve()，但我不記得怎麼用了，又懶得看文件，所以……

2、出於好奇，事後去看了一下把這個問題丟進 SMT Solver （比如 Z3）能不能直接解出來。看起來至少 Z3 可以 simplify 出等價於手動建出來的表示的 sexpr，不過這種通用的 SMT Solver 並不是拿來算這種問題的，所以能不能跑出來大概看運氣（和一些 trick）吧。

合作伙伴

看雪CTF.TSRC 2018 團隊賽第三題『七十二疑冢』解題思路

騰訊安全應急響應中心

TSRC，騰訊安全的先頭兵，肩負騰訊公司安全漏洞、黑客入侵的發現和處理工作。這是個沒有硝煙的戰場，我們與兩萬多名安全專家並肩而行，捍衛全球億萬使用者的資訊、財產安全。一直以來，我們懷揣感恩之心，努力構建開放的TSRC交流平臺，回饋安全社群。未來，我們將繼續攜手安全行業精英，探索網際網路安全新方向，建設網際網路生態安全，共鑄“網際網路+”新時代。

看雪CTF.TSRC 2018 團隊賽第三題『七十二疑冢』解題思路