[Reverse Engineering] CodeEngn Basic RCE L11 WriteUp

🅱️ CodeEngn Basic RCE L11 WriteUp

1.  문제 확인 후 파일 다운로드

2.  7-Zip File Manager 을 통해 파일 압축 해제  -->  11 파일 속 응용 프로그램 발견

3.  관련 정보 수집을 위해 Detect It Easy 를 통해 파일 오픈  -->  파일이 UPX 형식으로 패킹되어있음을 확인

 

++  아직 Detect It Easy 를 설치하지 않았다면?

-->  https://www.majorgeeks.com/

MajorGeeks.Com - MajorGeeks

4.  패킹된 상태인 11 파일에 대하여 언패킹 진행

 

++  UPX 패킹된 파일 언패킹하기

-->  https://alim11.tistory.com/456

[UPX Un/Packer] UPX 패킹된 파일 언패킹하기

5.  패킹된 파일(11.exe)과 언패킹된 파일(11_unpacked.exe)을 각각 더블클릭하여 실행

패킹된 파일을 실행한 모습

 

언패킹된 파일을 실행한 모습  -->  글자가 깨져있는 팝업창이 보임

6.  언패킹된 파일(11_unpacked.exe)을 Immunity Debugger에서 실행  -->  OEP가 00401000이고, MessageBox() 함수의 인자값 부분이 비어있음을 확인

 

 

++ OEP(Original Entry Point) 란?

 OEP는 "Original Entry Point"의 약자로, 주로 패킹(packing)된 악성 코드나 압축된 코드의 특정 부분에서의 원래 실행 지점을 의미한다.

 패킹은 악성 코드를 감추고 탐지를 피하기 위해 실행 파일을 압축하는 기술로, 이러한 경우 실행 파일은 일반적으로 정상적인 실행 흐름을 따르지 않을 수 있다.

 이때 OEP는 보안 분석가나 리버스 엔지니어가 악성 코드의 동작을 분석하고 이해하는 데 도움을 주며, 악성 코드의 실제 기능을 분석하고 대응하는 방법을 개발하는 데 도움을 줄 수 있다.

7.  사라진 값들을 찾기 위해 언패킹 전 파일(11.exe)을 Immunity Debugger에서 실행  -->  인자값을 넣어주는 코드 발견

8.  다시 언패킹된 파일(11_unpacked.exe)을 Immunity Debugger에서 실행한 후, 위에서 발견한 코드를 입력

9.  패치 후 파일을 다시 실행  -->  이전과 같이 정상적인 팝업창이 출력됨을 확인

10.  발견한 Stolen Byte 와 OEP 확인을 위해 문제 화면의 Auth 탭으로 이동

# 발견한 StolenByte
: 6A 00
: 68 00204000
: 68 12204000

# 발견한 OEP
: 00401000

 

11.  발견한 Stolen Byte 와 OEP 입력 후 Register 클릭  -->  문제가 해결되었음을 확인