zj3t

email: euntaejang@gmail.com

Latest Posts

2015 HDCON-zeroday(TRACK3)

By 오후 3:56 ,

저번 HDCON 평소와 다른 인터넷을 풀고 이건 어려워 보여서 미루다가 날잡고 풀어봤습니다. 저한텐 어려웠습니다.



해당 문제의 파일입니다.
0-day is not zeroday

hwp파일이길래 hwpscan2라는 프로그램으로 열어봤습니다. hwpscans2 는 제가 예전에 hwp파일에 작성된 내용을 비교해서 퍼센티지로 나타내주는 툴을 만드려할 때 알았던 툴인데 peview 프로그램처럼 hwp파일에 대한 파일 구조를 나타내 줍니다.







여기서 이상한 점을 느낄 수가 있었는데요 어떤 암호화가 된 것같은 부분이라고 생각됬습니다. 앞의 섹션에서는 암호화가 되있지않았는데 이 곳은 읽을 수가 없었습니다. 그래서 저 앞의 78 9C를 검색했더니 zlib압축 파일이라는 것을 알 수 있었습니다. 


저 zlib으로 암호화 된 부분을 따로 복사해 파일을 만들고(여기서는 txt로 그냥 만들었음) 그 파일을 파이썬으로 읽어와 압축을 해제해 봤습니다.

그랬더니 저기 같은 문자열이 반복되다가 한군데가 이상한 부분이 있었습니다.


확인해보니 shell code 같았습니다. 이부분을 따로 파일로 저장한 후(bin)파일 ida로 열어봤습니다.


무언가를 계속 push하는데 의심스러웠습니다.(이렇게 말은 쉽게하지만 저도 푸는데 꽤 시간이 걸렸습니다.)

대부분 ==로 끝나는 경우는 base64!!
저 부분을 hxd로 복사해서 무슨문자열인지를 알아봤습니다.(리틀엔디안을 고려!!)



파이썬으로 풀어보니 문자열이 나왔습니다.

You Might Also Like

0 개의 댓글