HackingCrypto

PCTF 2018 - macsh(Crypto)

PCTF 2018

문제 파일 (handout-af78913b8dd5e7dfca5102ad99f4bfb262ceefd5.tgz)

우리가 원하는 코드와 그 코드의 fmac값을 같이 입력하면 그 코드를 실행해주는 프로그램이다.
일단 잠시 소스의 일부를 봐보자

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
def to_block(b):
    return bytes.fromhex('{:0{width}x}'.format(b, width=N*2))

def xor(x, y):
    return bytes([xe ^ ye for xe,ye in zip(x,y)])

def to_blocks(m):
    m += to_block(len(m))
    padb = N - len(m) % N
    m += bytes([padb]) * padb
    blocks = [m[N*i : N*(i+1)] for i in range(len(m) // N)]
    return blocks

def rot(n, c):
    return (n >> c) | ((n & ((1 << c) - 1)) << (8 * N - c))

def f(k0, i):
    return to_block(rot(to_int(k0), i % (8 * N)))

def fmac(k0, k1, m):
    C = AES.new(k1, AES.MODE_ECB)
    bs = [C.encrypt(xor(b, f(k0, i))) for i,b in enumerate(to_blocks(m))]
    return reduce(xor, bs, b"\x00" * N)

[입력 값] + [입력한 값의 length (16 bytes)] + [padding (N - length bytes)]
의 방법으로 블록이 만들어지고 있다.

fmac의 마지막에는 reduce를 사용하여 모든 블록을 xor한 값을 리턴해주고 있다.

이때, f(k0, i)잘 봐보면 to_block(rot(to_int(k0), i % (8 * N)))로 되어있다.
N = 16이므로 f(k0, 0) == f(k0, 128)이라는 결론이 나온다.

즉, reduce에서 xor을 하며 합칠 때, 같은 입력값으로 256블록이 만들어진다면 서로 같은값끼리 xor돼서 256블록의 xor결과는 0이 되게 된다. 그러면 그 이후의 블록들의 xor결과만 남게 된다.

그럼 이제 tag를 이용해서 fmac을 생성해주는 부분과 우리가 실제로 입력한 값을 검증하는 부분의 차이점을 봐보자.

tag 명령어

1
2
3
4
5
6
def tag(cmd, *args):
    if cmd not in privileged:
        cmdline = encode(" ".join([cmd] + list(args)))
        print(bytes.hex(fmac(k0, k1, cmdline)))
    else:
        print("macsh: tag: Permission denied")

실제로 검증할때

1
2
3
4
5
6
7
8
9
10
print("|$|> ", end='', flush=True)
mac, cmdline = input().split('<|>')
cmd, *args = cmdline.split()
if cmd not in commands:
    print("macsh: {}: command not found".format(cmd))
    continue
if cmd == "tag" or bytes.hex(fmac(k0, k1, encode(cmdline))) == mac:
    eval(cmd)(*args)
else:
    print("macsh: bad tag")

tag명령어는 cmdprivileged에 속하지만 않으면 되고, 공백을 기준으로 cmdline이 만들어진다.

하지만 실제로 검증할때는 공백을 포함한다.

그래서 tag명령어로 256블록을 A로 가득 채운뒤, 뒤에 원하는 값을 채우면 원하는 값의 fmac값을 알아올 수 있다.

하지만, 이때의 주의점은 length가 우리가 입력한 만큼 증가된 상태이기 때문에 실제로 검증하는 부분에는 공백을 그만큼 붙여줬다.

공백을 기준으로 cmd, args로 나누기 때문에 앞에 공백을 붙이는건 문제가 되지 않는다.

solve.py

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
from pwn import *

r = remote('macsh.chal.pwning.xxx', 64791)

r.recv()

cmd = 'cat flag.txt'
cmdline = 'A' * 16 * 256 + cmd
r.sendline(' <|>tag ' + cmdline)
mac = r.recv().split()[0]
print mac

cmdline = ' ' * 16 * 256 + cmd
r.sendline(mac + '<|>' + cmdline)

print r.recv()
Share
Posts
SAML 정리 (정리중)

What is SAMLSAML(Security Assertion Markup Language, /sæməl/)은인증 정보 제공자(Identity Provider)와 서비스 제공자(Service Provider)간의 인증 및 인가 데이터를 교환하기 위한 XML기반의 개방

몬스터라이프 검색 사이트 현황

오늘은 지난 4월 몬스터라이프의 몬스터 검색 사이트인 meso.kr 사이트를 만들고 운영하면서 쌓인 데이터를 공개해볼까 합니다. 웹페이지에 미리 Google Analytics를 설정해두었기에, Google Analytics에 쌓인 데이터를 Google Data Stud

언리얼 엔진 게임 분석 정리

평소에 언리얼엔진으로 만들어진 게임을 분석할 일이 없다보니 이번 기회에 간단하게 분석을 진행해보기로 했습니다. 진행하면서 찾아봤던 내용을 깊게 들어가지 않고 소개 정도로 마칩니다. 리소스 분석언리얼 엔진으로 만들어진 게임은 윈도우 빌드 기준으로 .pak파일과 .exe파

Plaid CTF 2017 - zipper

Something doesn’t seem quite right with this zip file. Can you fix it and get the flag? 문제 파일 (zipper.zip) zip파일 헤더에 관한 문제다.먼저 unzip명령어를 사용하여 압축해제를 시도

인증 암호 (Authenticated Cipher) [작성중]

MAC을 이용한 인증 암호화 (Authenticated Encryption using MACs)MAC을 이용한 인증 암호화는 메시지에 대한 암호화 과정과 메시지 인증 코드 생성을 함께 수행한다. 두 과정의 수행 시점에 따라서 다음과 같이 세분화 할 수 있다. 암호화 및

Categories
HackingHacking
MiscHacking/Misc
ReversingHacking/Reversing
CryptoHacking/Crypto
PwnableHacking/Pwnable
Tags
MaplestoryMaplestory
UnrealUnreal
MiscMisc
CryptoCrypto
tiptip