[Reverse Engineering] CodeEngn Advance RCE L01 WriteUp

🥫 CodeEngn Advance RCE L01 WriteUp

1. 문제 확인 후 파일 다운로드

2. 7-Zip File Manager 을 통해 파일 압축 해제한 후 Detect It Easy 를 통해 파일 오픈 --> 파일이 UPX 형식으로 패킹되어있음을 확인

++ 아직 Detect It Easy 를 설치하지 않았다면?

--> https://www.majorgeeks.com/

MajorGeeks.Com - MajorGeeks

www.majorgeeks.com

3. 패킹된 상태인 01 파일에 대하여 언패킹 진행

++ UPX 패킹된 파일 언패킹하기

--> https://alim11.tistory.com/456

[UPX Un/Packer] UPX 패킹된 파일 언패킹하기

🧮 UPX 패킹된 상태의 파일을 언패킹하는 방법 1. 하단의 링크로 접속하여 UPX Packer 다운로드 --> https://github.com/upx/upx/releases Releases · upx/upx UPX - the Ultimate Packer for eXecutables. Contribute to upx/upx developme

alim11.tistory.com

4. Immunity Debugger 을 통해 01_unpacked.exe 파일 오픈

5. Debugging 을 실시하니, 아래와 같은 에러창을 확인할 수 있었음

6. 디버깅 탐지 역할을 하는 IsDebuggerPresent 함수 발견

7. 함수 우회를 위해 0040E969 의 JNZ 를 JZ 로 변경

8. 다시 01_unpacked.exe 실행 --> 디버깅 탐지 우회 성공

좌측이 수정 전, 우측이 수정 후

9. 시간과 관련있어보이는 WINMM.timeGetTime 함수 발견 --> 해당 위치에 BreakPoint 설정

10. JNB 표시가 되어있는 00444D38 로 이동하니, 밀리세컨드가 저장되었을 것으로 추정되는 주소 발견 --> 해당 위치에도 BreakPoint 설정

11. F8 을 눌러가며 프로그램 실행 --> [EBX + 4] 주소로 이동

12. 008AF87C 의 Hex dump 에서 "7B 33" 발견 --> Little 엔디안 방식 저장이니 반전하여 "33 7B"

13. "33 7B" 을 10진수로 변환 --> 해당 프로그램은 13179ms 후에 종료됨

저작자표시 비영리 변경금지

'✒️ Reverse Engineering > CodeEngn' 카테고리의 다른 글

[Reverse Engineering] CodeEngn Basic RCE L19 WriteUp (0)	2023.11.17
[Reverse Engineering] CodeEngn Basic RCE L18 WriteUp (1)	2023.11.16
[Reverse Engineering] CodeEngn Basic RCE L17 WriteUp (0)	2023.11.15
[Reverse Engineering] CodeEngn Basic RCE L16 WriteUp (0)	2023.11.14
[Reverse Engineering] CodeEngn Basic RCE L15 WriteUp (0)	2023.11.10

🕰️ 공부하자 공부 🕰️

[Reverse Engineering] CodeEngn Advance RCE L01 WriteUp

🥫 CodeEngn Advance RCE L01 WriteUp

1. 문제 확인 후 파일 다운로드

2. 7-Zip File Manager 을 통해 파일 압축 해제한 후 Detect It Easy 를 통해 파일 오픈 --> 파일이 UPX 형식으로 패킹되어있음을 확인

++ 아직 Detect It Easy 를 설치하지 않았다면?

3. 패킹된 상태인 01 파일에 대하여 언패킹 진행

4. Immunity Debugger 을 통해 01_unpacked.exe 파일 오픈

5. Debugging 을 실시하니, 아래와 같은 에러창을 확인할 수 있었음

6. 디버깅 탐지 역할을 하는 IsDebuggerPresent 함수 발견

7. 함수 우회를 위해 0040E969 의 JNZ 를 JZ 로 변경

8. 다시 01_unpacked.exe 실행 --> 디버깅 탐지 우회 성공

9. 시간과 관련있어보이는 WINMM.timeGetTime 함수 발견 --> 해당 위치에 BreakPoint 설정

10. JNB 표시가 되어있는 00444D38 로 이동하니, 밀리세컨드가 저장되었을 것으로 추정되는 주소 발견 --> 해당 위치에도 BreakPoint 설정

11. F8 을 눌러가며 프로그램 실행 --> [EBX + 4] 주소로 이동

12. 008AF87C 의 Hex dump 에서 "7B 33" 발견 --> Little 엔디안 방식 저장이니 반전하여 "33 7B"

13. "33 7B" 을 10진수로 변환 --> 해당 프로그램은 13179ms 후에 종료됨

'✒️ Reverse Engineering > CodeEngn' 카테고리의 다른 글

티스토리툴바

[Reverse Engineering] CodeEngn Advance RCE L01 WriteUp

🥫 CodeEngn Advance RCE L01 WriteUp

1. 문제 확인 후 파일 다운로드

2. 7-Zip File Manager 을 통해 파일 압축 해제한 후 Detect It Easy 를 통해 파일 오픈 --> 파일이 UPX 형식으로 패킹되어있음을 확인

++ 아직 Detect It Easy 를 설치하지 않았다면?

3. 패킹된 상태인 01 파일에 대하여 언패킹 진행

4. Immunity Debugger 을 통해 01_unpacked.exe 파일 오픈

5. Debugging 을 실시하니, 아래와 같은 에러창을 확인할 수 있었음

6. 디버깅 탐지 역할을 하는 IsDebuggerPresent 함수 발견

7. 함수 우회를 위해 0040E969 의 JNZ 를 JZ 로 변경

8. 다시 01_unpacked.exe 실행 --> 디버깅 탐지 우회 성공

9. 시간과 관련있어보이는 WINMM.timeGetTime 함수 발견 --> 해당 위치에 BreakPoint 설정

10. JNB 표시가 되어있는 00444D38 로 이동하니, 밀리세컨드가 저장되었을 것으로 추정되는 주소 발견 --> 해당 위치에도 BreakPoint 설정

11. F8 을 눌러가며 프로그램 실행 --> [EBX + 4] 주소로 이동

12. 008AF87C 의 Hex dump 에서 "7B 33" 발견 --> Little 엔디안 방식 저장이니 반전하여 "33 7B"

13. "33 7B" 을 10진수로 변환 --> 해당 프로그램은 13179ms 후에 종료됨

'✒️ Reverse Engineering > CodeEngn' 카테고리의 다른 글

관련글

티스토리툴바